网络安全法需确保相关条目的有效性与可实施性
2015-08-14 08:33:06 点击:
《中华人民共和国网络安全法(草案)》(简称“《草案》”)的提出,对于我国的信息安全产业发展来说具有非常积极的推动和促进作用。但作为法律,其主要意义在于对受该法约束的各方权利、责任、义务等做出明确界定,而非对具体的实现手段做详细论述。安恒信息总裁范渊先生在接受赛迪网的采访时提出,对于《草案》中所提到的关键信息基础设施安全内容,必然需要通过参照与制定更加详细、全面与明确的条例、规定、标准乃至安全防护方案,来确保该法相关条目的有效性和可实施性,确保能够覆盖相关安全防护的各个方面。
目前看来,被纳入“关键信息基础设施”的企业、单位,既受到了其相关行业纵向安全标准的硬性约束,同时也在全国信息安全等级保护工作推进下进行等保安全体系建设,对于涉及国家秘密的部分会受到更加严格的国家保密标准的强制控制,有些理念先进的单位甚至主动用国际更高标准的信息安全管理体系(如ISO27001)来要求自己,应该说对于“关键信息基础设施”相关企事业单位来讲,受到的审核与抽查是适当的。“根据安恒信息在等级保护建设方面多年的成功经验,成立第三方机构对这些单位进行专门审核、抽查的难题在于,如何使第三方机构在“利益不相关”的客观立场下,公正、严格与真实地反映被审核单位的信息安全实际情况。”
如今关键信息基础设施的运营者大多拥有成熟的IT体系,范渊认为“成熟的IT体系”本身就应包含“成熟的信息安全体系”,因此信息安全从来都无法脱离IT体系独立存在,而是作为信息系统一个有机组成部分与IT运营体系相辅相成。目前看来,国外先进的IT管理标准体系自身就包含了相对成熟的信息安全子体系或留有供专业信息安全标准融入的接口。因此,对于关键信息系统设施运营者来说,其安全性改进的完成时间表应该与其IT体系建设及信息安全管理体系的宣贯进度保持一致,“应考虑到行业特点与实际需求制定信息安全改进计划,使信息安全保障能力与其业务安全需求相适应。”
面对愈加严峻的恶意攻击,有效的安全预警能够帮助人们提前发现威胁,降低可能遭受的损失。而安全预警信息也应与社会安全、卫生安全、食品安全等相关预警信息一样进行分类,例如可以根据信息公开目的分为紧急警示、安全态势提醒、安全意识宣传等不同类别,以界定安全预警信息的发布时机、发布对象与发布周期。从安恒信息明鉴网络与信息安全信息通报预警管理平台的通报机制可以看到,安全预警也应根据内容的重要性、敏感度与危害度,来界定安全预警信息的扩散范围与信息详情披露程度,以避免不必要的恐慌情绪和可能出现的泄密危害。
那么怎样才能知道企业单位自己所指定的安全应急预案是有效的呢,范渊表示,对于安全应急预案的制定、验证与实施等,应该以“项目”的形式进行规划与管理。“业务连续性计划(BCP)”和“灾难恢复计划(DRP)”即包含了安全应急预案有效性验证的内容。应该首先识别可能导致业务活动中断的全部紧急事件或风险,再进行业务影响分析(BIA),选择适应的应急策略以制定真正有效和贴合业务的安全应急预案,并且采用检查清单核对、结构化排练测试、模拟测试、并行测试甚至全中断测试等方式来检验BCP的有效性。最后最重要的一点是,安全应急预案必须要定期维护与演练,需要与业务变更、信息环境变更、人员变更等进行同步变更。
目前看来,被纳入“关键信息基础设施”的企业、单位,既受到了其相关行业纵向安全标准的硬性约束,同时也在全国信息安全等级保护工作推进下进行等保安全体系建设,对于涉及国家秘密的部分会受到更加严格的国家保密标准的强制控制,有些理念先进的单位甚至主动用国际更高标准的信息安全管理体系(如ISO27001)来要求自己,应该说对于“关键信息基础设施”相关企事业单位来讲,受到的审核与抽查是适当的。“根据安恒信息在等级保护建设方面多年的成功经验,成立第三方机构对这些单位进行专门审核、抽查的难题在于,如何使第三方机构在“利益不相关”的客观立场下,公正、严格与真实地反映被审核单位的信息安全实际情况。”
如今关键信息基础设施的运营者大多拥有成熟的IT体系,范渊认为“成熟的IT体系”本身就应包含“成熟的信息安全体系”,因此信息安全从来都无法脱离IT体系独立存在,而是作为信息系统一个有机组成部分与IT运营体系相辅相成。目前看来,国外先进的IT管理标准体系自身就包含了相对成熟的信息安全子体系或留有供专业信息安全标准融入的接口。因此,对于关键信息系统设施运营者来说,其安全性改进的完成时间表应该与其IT体系建设及信息安全管理体系的宣贯进度保持一致,“应考虑到行业特点与实际需求制定信息安全改进计划,使信息安全保障能力与其业务安全需求相适应。”
面对愈加严峻的恶意攻击,有效的安全预警能够帮助人们提前发现威胁,降低可能遭受的损失。而安全预警信息也应与社会安全、卫生安全、食品安全等相关预警信息一样进行分类,例如可以根据信息公开目的分为紧急警示、安全态势提醒、安全意识宣传等不同类别,以界定安全预警信息的发布时机、发布对象与发布周期。从安恒信息明鉴网络与信息安全信息通报预警管理平台的通报机制可以看到,安全预警也应根据内容的重要性、敏感度与危害度,来界定安全预警信息的扩散范围与信息详情披露程度,以避免不必要的恐慌情绪和可能出现的泄密危害。
那么怎样才能知道企业单位自己所指定的安全应急预案是有效的呢,范渊表示,对于安全应急预案的制定、验证与实施等,应该以“项目”的形式进行规划与管理。“业务连续性计划(BCP)”和“灾难恢复计划(DRP)”即包含了安全应急预案有效性验证的内容。应该首先识别可能导致业务活动中断的全部紧急事件或风险,再进行业务影响分析(BIA),选择适应的应急策略以制定真正有效和贴合业务的安全应急预案,并且采用检查清单核对、结构化排练测试、模拟测试、并行测试甚至全中断测试等方式来检验BCP的有效性。最后最重要的一点是,安全应急预案必须要定期维护与演练,需要与业务变更、信息环境变更、人员变更等进行同步变更。
- 上一篇:医疗信息化成未来趋势,勿让信息安全隐患阻碍前行 2015/8/15
- 下一篇:天锐绿盾为企业内网搭建安全城墙 2012/5/23