2020 年,有孚網路與上海某高校合作,通過 「實地調研&方案規劃——體系建立——第三方驗證——實現安全運維」 的一條龍服務運作,以 「網路安全等級保護」、「資訊保安管理體系」 為分解目標,實現了 「安全運維」 的總目標。
去年,教育部印發《2020 年教育資訊化和網路安全工作要點》,在資訊化 2.0 行動計畫基礎上明確教育資訊化應提公升網路安全人才支撐和保障能力,加強網路安全防護和保障能力。
現學校常設資訊化管理部,以支撐整個學校資訊化建設及運維保障工作,建設安全管理中心,關注網路安全、保護資訊系統、降低風險發生可能性和影響的範圍程度,從而保障網路通暢、資料中心可靠執行,其承載的資訊系統可用性和完整性。
「如何更好地保障網路資訊保安」 是包括高校在內所有行業資訊化過程中需要面對的共同課題。
有孚網路,依據公司多年標準化管理與資料中心管理運營經驗,基於 gb/t22239-2019《資訊保安技術網路安全等級保護基本要求》及國家政策指導,可與學校資訊化管理部共同協作,在學校資訊化中心安全管理現狀基礎上採用國際標準 gb/t22080-2016/iso/iec 27001:2013《資訊保安管理體系要求》構建科學、可行的執行管理體系,以保障校園網路運營以及資料中心安全運維。
實地調研 & 方案規劃
通過現場實地訪談調研,在了解學校現有日常工作及管理方式後,有孚網路與高校老師攜手推出了有效、可實施的《關於資訊保安管理體系及安全資料中心運營差距分析及建議書》,並共同推進資訊保安管理體系的建立。
資訊保安管理體系建立
plan
1、與領導層、業務相關方訪談:
(1)建立工作小組,確認主導部門及認證主體;
(2)把握關鍵目標以及方針:無重大資訊保安事件發生,實現資訊資產無破壞零損失,確保業務系統持續可靠執行;
(3)以過程進行梳理現有安全措施,明確邊界;
(4)對資產進行風險識別、分析、評價,選擇適合的處置方式和控制措施,如定期備份、訪問權按需分配、網路隔離等。
2、提供 iso27001 培訓服務,進行全員安全意識培訓:
明確標準要求,熟悉標準條款,結合實際運營,制定適宜措施。
3、根據訪談內容,編寫體系檔案:
(1)確認相關部門工作職責、明確責任部門
(2)融入實際管理情況,對後續管理提出指導意見,覆蓋體系要求
do
按體系檔案要求執行,將制度回到日常管理工作中去,保留相關記錄檔案,發現體系執行中的問題。
check
通過實施反饋完善體系管理檔案的適宜性,並指導相關人員開展內審管評工作。體系有效執行後將接受第三方審核。
act
對於發現的不符合項再次整改,持續改進,螺旋上公升。
第三方驗證
網路安全——整理定級、備案材料遞交網安進行備案;協助並指導客戶進行測評及整改,順利通過網路等級保護 2.0 **測評。
資訊保安——建立體系,整理相關材料並提交,協助並指導客戶進行不符合整改,順利拿到 iso27001 證書。
第三方驗證,以更專業、更權威的視角肯定了學校資訊化建設的技術能力和管理能力,能持續為學校建設高水平大學提供強有力的技術支撐與保障。
實現安全運維
從行政管理手段、技術管理手段兩方面入手,完善管理體系,有效支援校園網的日常執行及運維工作。同時,實現有效性有形資產與無形資產的安全風控,最終做到(重要)資訊資產管控及相關風險評估、物理環境管理、人員安全意識培養,及反射至業務安全規程,達成「高效、安全、可靠」的資料中心運維,從多維度真正意義上實現了「安全運維」的總目標。
為何而管?保護資訊免受各種威脅的損害,以保證業務連續性。
在**管?明確物理範圍。
誰來管?資訊化中心主任為最高管理者,網路管理部主任為管理者代表,主導實施。
怎麼管?形成一套完整的體系檔案作為指導檔案,主要覆蓋網路管理及資料中心管理的日常工作。
管理效果如何?通過內審管評,以訪談和查閱記錄的方式,並對資訊保安目標進行測量,驗證其可行性。
如何驗證管理成效?通過第三方機構現場審核,獲得相應證明。
通過以上標準化的實施及完善,有孚網路幫助高校資訊化完成了資訊保安管理體系的 14 個控制域、114 條控制項,完成了網路安全等級保護的 10 個控制域、231 項控制點,滿足了法律法規要求,有效履行國家標準以及行業需求;滿足了組織期望,從下至上,從內到外提公升的自信心;實現了風險管控,保護重要資產,確保核心業務持續執行。後續也將持續貫徹標準精神,以 pdca 的方法不斷改進、螺旋上公升。
遠端運維安全
當你要對雲環境進行運維的時候,安全方面該做些什麼?是否會感覺到無從下手?本認證課程旨在幫助學員了解雲環境下的運維安全的主要概念和原則 常用的運維安全預防措施,以及掌握堡壘機和vpn配置方法,來進行對雲環境進行安全的遠端運維。關於遠端運維安全的詳細教程 apsara clouder雲安全專項技能認證 ...
遠端運維安全
當你要對雲環境進行運維的時候,安全方面該做些什麼?是否會感覺到無從下手?本認證課程旨在幫助學員了解雲環境下的運維安全的主要概念和原則 常用的運維安全預防措施,以及掌握堡壘機和vpn配置方法,來進行對雲環境進行安全的遠端運維。關於遠端運維安全的詳細教程 apsara clouder雲安全專項技能認證 ...
安全運維習題
1 防火牆是一種高階訪問控制裝置,它是置於 a 的組合,是不同網路安全域間通訊流的 a 通道,能根據企業有關的安全策略控制 允許 拒絕 監視 記錄 進出網路的訪問行為。a.不同網路安全域之間的一系列部件 唯一 b.相同網路安全域之間的一系列部件 唯一 c.不同網路安全域之間的一系列部件 多條 d.相...