文章正式开始前我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。
本文来了解一下等保2.0中安全通用要求中对于第二级别的安全管理制度要求,首先我们出示一张对比表格,看看要求中第二级别和第一级别的区别。
| 控制点 | 第一级要求 | 第二级要求 | 变化类型 |
|---|---|---|---|
| 安全策略 | ❌ 无 | ✅ 新增:制定总体方针和安全策略,明确目标、范围、原则、框架 | 新增控制点 |
| 管理制度 | 建立"日常管理制度" | ① 覆盖"主要管理内容"(物理、网络、主机、数据、应用、建设、运维);② 建立"操作规程" | 扩展范围 + 增加深度 |
| 制定和发布 | 有专人、正式发布、版本控制 | 相同 | 无变化 |
| 评审和修订 | 定期评审修订 | 相同 | 无变化 |
我们可以看到第二级别"安全管理制度"共包含4个控制点。相比第一级,新增了"安全策略"这一完整控制点。同时管理制度第二级要求覆盖主要管理内容并建立操作规程------这是解决"制度落不了地"问题的关键。
没有变化的制定和发布与评审和修订控制点我们就不再说了,我们来看看新增的内容。控制点安全策略和升级的管理制度
首先是安全策略,原文为应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
为什么要新增控制点?因为第二级系统的安全涉及整个企业甚至影响社会,必须有统一的安全指导思想。没有"宪法",各部门各行其是,制度的规范意义被削弱。
简单说就是公司要从上到下定一个"网络安全宪法"------明确安全工作到底要达成什么目标、谁来负责、基本原则是什么、怎么管。
要求是制定网络安全的顶层设计文件(总体方针),明确安全工作的总体目标、范围、原则和安全框架。这是制度体系的"总纲",所有具体制度都要围绕它展开。
最低要求是,制定了书面的网络安全总体方针和安全策略文件,且文件中明确了安全总体目标、范围、原则和安全框架。
然后是升级要求的管理制度,原文为a) 应对安全管理活动中的主要管理内容建立安全管理制度;b) 应对管理人员或操作人员执行的日常管理操作建立操作规程。
简单说就是要先制定各项安全管理制度的"框架",然后针对每一项具体工作(如机房管理、账号管理、备份管理、密码管理等)建立详细的操作规程手册。不是说每个领域必须有一本独立的制度,而是这些领域的安全管理要求应该在制度体系中有所体现。
在这里第一级只要求"建立日常管理制度";第二级要求覆盖主要管理内容(范围扩大),并建立操作规程(深度增加)。
升级原因是第一级只有"模糊要求";第二级系统涉及的业务面更广、人员更多,必须有体系化、可执行的制度,确保每项具体操作都有章可循。操作规程解决了"制度落不了地"的问题。这也是"影响可能及社会"对管理规范性的必然要求。
要求是对主要管理内容(覆盖物理、网络、主机、数据、应用、建设、运维等领域)建立制度,同时对日常管理操作建立明确的操作规程。
最低要求是1. 制定覆盖物理、网络、主机、数据、应用、建设和运维等主要管理内容的安全管理制度;2. 对系统维护、用户操作等日常工作建立具体的操作规程。
汇总的看一下要求表格
| 控制点 | 通俗解释 | 第二级最低要求(底线) | 为什么新增(后果维度) |
|---|---|---|---|
| 安全策略 7.1.6.1 | 公司要从上到下定一个"网络安全宪法"------明确安全工作到底要达成什么目标、谁来负责、基本原则是什么、怎么管。 | 1. 制定了书面的网络安全总体方针和安全策略文件; 2. 文件中明确了安全总体目标、范围、原则和安全框架。 | 第一级系统只影响个人,不需要统一的安全战略;第二级系统的安全涉及整个企业甚至影响社会,必须有统一的安全指导思想。没有"宪法",各部门各行其是,制度的规范意义被削弱。 |
| 管理制度 7.1.6.2 | 要先制定各项安全管理制度的"框架",然后针对每一项具体工作(如机房管理、账号管理、备份管理、密码管理等)建立详细的操作规程手册。 | 1. 制定覆盖物理、网络、主机、数据、应用、建设和运维等主要管理内容的安全管理制度; 2. 对系统维护、用户操作等日常工作建立具体的操作规程。 | 第一级只有"模糊要求";第二级系统涉及的业务面更广、人员更多,必须有体系化、可执行的制度,确保每项具体操作都有章可循。操作规程解决了"制度落不了地"的问题。这也是"影响可能及社会"对管理规范性的必然要求。 |
| 制定和发布 7.1.6.3 | 要有专门的人负责制定制度;制度定好后要通过正式的文件或邮件等方式发布,并且要有版本号,防止用错旧版本。 | 1. 指定专人负责制度制定; 2. 制度通过正式方式发布(如红头文件、正式邮件、盖章等); 3. 制度有版本号控制。 | 制度不能只存在于口头,必须权威化、可追溯。专人负责保证有人干活,正式发布保证制度具有约束力,版本控制防止"用旧制度执行错误"。这是制度建设的基本功,两级都需要。 |
| 评审和修订 7.1.6.4 | 制度不能定完就扔在那里不管;要定期(如每年)检查制度还合不合适,过时的规定要及时修改。 | 1. 定期(例如每年)对制度进行评审; 2. 评审有记录; 3. 制度修订时有新版本并记录变更历史。 | 法规在变、技术在变、业务在变,制度必须跟着变。评审和修订是保证制度持续有效、不做"僵尸制度"的保障。两级都需要。 |
总结:第一级:记录"我们要做什么"。第二级:规划"我们的安全工作怎么管"(安全策略),细化"每件事具体怎么做"(管理制度+操作规程)。