Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12925 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
点对点分析CII与等级保护系列:安全管理部分(二)
本文来自公众号:绿盟科技   2020.07.07 17:00:30


《网络安全法》第三章第二节规定了关键信息基础设施(CII)的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。既然关键信息基础设施的范围、保护在网络安全等级保护制度的基础之上,并且要实行重点保护。那么,绿盟君做了《点对点分析CII与等级保护系列》来分析其中要求的异同点。本系列共分六章,包括:安全技术部分(一、二、三章),安全管理部分(一、二)和安全建设管理部分。 本文是安全管理部分第二章。


对比情况主要参考:

《信息安全技术  关键信息基础设施网络安全保护基本要求》(报批稿);

《信息安全技术 网络安全等级保护基本要求》,GB/T22239-2019。

将关键信息基础设施要求与等级保护三级要求进行对应分析。

安全管理人员


CII要求

对应等保要求

运营者应:

a)对安全管理机构的负责人和关键岗位的人员进行安全背景和安全技能审查,符合要求的人员方能上岗,关键岗位包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应专人负责,并配备2人以上共同管理。

安全管理人员

人员录用

b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核;

分析点评 明显提高。

1、 细化了安全管理机构的负责人和关键岗位的人员进行安全背景和安全技能审查。

2、 关键岗位应专人负责,并配备2人以上共同管理(AB角色管理,等保无此要求)。


CII要求

对应等保要求

b)运营者应建立网络安全教育培训制度,定期开展基于岗位的网络安全教育培训和技能考核,应规定适当的关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长,教育培训内容应包括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识等。

安全意识教育和培训:

a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;

b)应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训;

c)应定期对不同岗位的人员进行技能考核。

分析点评 培训内容细化,明确包含了网络安全保护技术、网络安全风险意识等。


CII要求

对应等保要求

c)在上岗前对人员进行安全背景审查,当必要时或人员的身份、安全背景等发生变化时(例如取得非中国国籍)应根据情况重新进行安全背景审查。应在人员发生内部岗位调动时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关人员或角色。应在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份认证相关的软硬件设备,进行离职面谈并通知相关人员或角色。

人员录用

b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核;

c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。

人员离岗

a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;

b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。

分析点评 略有增强,细化人员要求。强调安全背景等发生变化时(例如取得非中国国籍)应根据情况重新进行安全背景审查,强调人员安全的全生命周期管理。


CII要求

对应等保要求

d)与从业人员签订安全保密协议,在安全保密协议中,应约定安全职责、奖惩机制,以及当离岗后的脱密期限。

人员录用

c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。

人员离岗

b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。

分析点评 略有增强,细化安全保密协议内容,加入脱密期的要求。


下期预告


本文是全系列的第五讲。本系列的第六讲,将为大家介绍 安全建设管理部分的对比 。敬请期待……

往期回顾:

点对点分析CII与等级保护系列:安全技术部分(一)

点对点分析CII与等级保护系列:安全技术部分(二)

点对点分析CII与等级保护系列:安全技术部分(三)

点对点分析CII与等级保护系列:安全管理部分(一)