您好,欢迎光临-爱游戏体育游戏-官方入口|官网下载!
爱游戏官方体育入口

致力于产品的良好用户体验、有效的网络营销效果而努力

切实保障气象网络安全的基石:气象网络安全管理制度体系

发布时间:2022-09-30 10:44:19 | 作者:爱游戏体育官网下载 | 来源:爱游戏官方体育入口人气:1

  随着互联网、大数据、人工智能等技术快速发展和应用,网络给人们生活带来了极大便利,同时其危害性和脆弱性也在以几何级的速度增加。与之相对应的是网络安全执法检查的要求越来越高,2017年6月《中华人民共和国网络安全法》正式实施,为网络安全执法检查提供了有力依据,并取得了卓越的成果。2018年,网络安全法律及配套制度逐步完善,逐渐形成了综合法律、单行条例及标准指引的立体规范体系。对于气象部门来说,做好网络安全等级保护工作变得非常重要,首要就要在气象部门建立网络安全管理制度体系,这是网络安全管理保障的依据。

  网络安全管理制度是对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。网络安全管理制度是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。气象部门网络安全管理制度体系主要有以下内容:

  1、制定一套气象部门网络安全管理制度,主要包括气象部门网络安全管理活动中的主要管理内容;

  2、制定一套气象部门操作规程对网络安全管理人员或操作人员执行的日常管理的操作规程。

  安全管理制度体系是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,其体系框架可以分为横向和纵向两个维度:安全体系框架图如下:

  纵向是策略/制度的层次化结构,分为信息安全方针与信息安全总体策略、信息安全管理规范与信息安全技术标准、安全工作实施细则与安全操作指南安全记录表单等四个层面。通过分层将信息安全战略逐步细化、落实,指导信息安全工作:

  1、信息安全方针与总体策略是在信息安全战略下提出的各信息安全领域的工作目标;是从整个组织信息安全管理的高度提出信息安全工作的方向和原则;是其下信息安全管理规范、信息安全技术标准、安全工作实施细则、安全操作指南的指导纲领。

  2、信息安全管理规范与技术标准是在信息安全方针和总体策略的思想指导下,制定的信息安全管理制度。信息安全管理规范是针对信息安全工作中的各项管理规定,具有强制效力,必须遵守。信息安全技术标准又可细分为国际标准、国家标准、行业标准等,有些标准是必须执行的,如国家与行业标准,有些标准是用来参照执行的,如地方标准等。

  3、安全工作实施细则与安全操作指南是为了贯彻、落实信息安全管理规范与技术标准而制定的,与具体情况相结合的详细规定。通常包括信息安全工作手册、操作步骤等。

  4、安全记录表单是执行信息安全管理规范,操作指南和标准时留下的安全记录表格。

  横向是信息安全对象。安全管理对象可以是物理环境、网络、主机、应用、数据等,根据管理对象的不同,在纵向的每个层次中应当分别制定相应的策略、管理规范、技术标准、实施细则、操作指南等。

  1、《气象部门信息安全组织体系和职责》:规定气象系统安全组织机构的职责和工作。

  2、《气象部门信息安全岗位人员管理办法》:加强气象部门内部人员安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要害工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份,定期进行人员的安全审查【3】。

  3、《气象部门信息安全工作人员安全管理办法》:建立气象部门工作人员在录用、调动、离职过程中的信息安全管理,提出对信息安全培训及教育、奖励和考核的要求。

  4、《气象部门信息安全培训及教育管理办法》:气象系统各层面信息安全培训的要求和主要内容。

  5、《气象部门信息安全第三方人员安全管理办法》:建立气象部门第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方单位和外包服务单位签署安全责任协议,明确其安全责任。

  6、《气象部门安全检查及考核管理办法》:建立气象部门安全检查制度和安全处罚制度,对违反规章制度的处室和人员按照规定进行处罚。

  7、《气象部门信息安全体系管理办法》:建立气象部门完整安全体系,实现从设计、实施、修改和维护生命周期的安全体系自身保障。

  8、《气象部门信息安全策略管理办法》:建立气象部门安全策略,规范从创建、执行、修改、到更新、废止等整个生命周期的维护保障。

  9、《气象部门信息安全安全现状评估管理办法》:对气象部门信息安全体系的建设和维护,要通过及时获知和评价信息安全的现状,通过对于安全现状的评估,实施信息安全建设工作,减少和降低信息安全风险,提高气象部门信息安全保障水平。

  10、《气象部门信息安全信息资产管理办法》:加强气象部门信息资产管理,建立和维护信息资产清单,维护最新的网络拓扑图,建立信息资产责任制,对信息资产进行分类管理和贴标签。

  11、《气象部门信息安全IT设备弱点评估及加固管理办法》:建立气象部门增强主机系统和网络设备的安全配置机制,实现定期进行安全评估和安全加固。

  12、《气象部门信息安全预警管理办法》:对气象部门安全威胁提前预警,及时将国内外安全信息通知气象系统各级信息安全管理人员及工作人员,确保能够及时采取应对措施,以此降低气象系统整体的信息安全风险。

  13、《气象部门信息安全安全审计及监控管理办法》:对气象部门网络层面和系统层面部署访问控制、安全审计以及安全监控技术措施,保障气象部门业务系统的安全运行。

  14、《气象部门信息安全项目立项安全管理办法》:建立气象部门项目建设的安全管理,实现安全系统与业务系统“同步规划、同步建设、同步运行”,加强安全规划、安全评估和论证的管理。

  15、《气象部门安全运行维护管理办法》:建立气象部门日常维护操作规程和变更控制规程,规范日常运行维护操作。

  16、《气象部门信息安全配置变更管理办法》:建立气象部门信息安全配置变更管理,严格控制和审批变更行为。

  17、《气象部门信息安全病毒防护管理办法》:加强气象系统病毒防治工作,提升气象系统病毒整体防护能力,降低并防范病毒对于气象系统业务造成的影响。

  18、《气象部门信息安全补丁管理办法》:按照补丁跟进和发布、补丁获取、补丁测试、补丁加载、补丁验证、补丁归档这一流程建立气象部门补丁安全管理。

  19、《气象部门信息安全账号口令及权限管理办法》:建立气象部门用户账号和权限管理,按照最小特权原则为用户分配权限,避免出现共用账号的情况。

  20、《气象部门信息安全应急响应管理办法》:制定气象部门各业务系统的应急方案,及时发现、报告、处理和记录。

  针对气象部门业务及办公特点提出具体操作流程,需要与安全管理规章制度配合使用,具体管理流程名称如下:

  1、《气象部门信息安全管理流程—安全补丁管理流程》配合《气象部门信息安全补丁管理办法》使用。

  2、《气象部门信息安全管理流程—安全策略管理流程》:配合《气象部门信息安全策略管理办法》共同使用。

  3、《气象部门信息安全管理流程—安全配置变更管理流程》:配合《气象部门信息安全配置变更管理办法》共同使用。

  4、《气象部门信息安全管理流程—安全事件处理流程》:配合《气象部门信息安全应急响应管理办法》共同使用。

  5、《气象部门信息安全管理流程—安全体系运作流程》:配合《气象部门信息安全安全体系管理办法》共同使用。

  6、《气象部门信息安全管理流程—办公网络环境第三方人员访问申请审批流程》:配合《气象部门信息安全第三方人员安全管理办法》共同使用。

  7、《气象部门信息安全管理流程—办公终端安全处理流程》:配合《气象部门信息安全办公终端管理办法》共同使用。

  8、《气象部门信息安全管理流程—应急响应流程》:配合《气象部门信息安全应急响应管理办法》共同使用。

  9、《气象部门信息安全管理流程—账号安全管理流程》:配合《气象部门信息安全账号口令及权限管理办法》共同使用。

  1、《气象部门信息安全网络技术安全规范—IP网络安全管理规范》:规范气象部门针对网络设备、网络结构以及网络各类安全控制的操作,确保安全配置和过程控制的安全有效。

  2、《气象部门信息安全网络技术安全规范—防火墙配置标准》:规范气象部门各类业务系统的安全配置,降低被攻击的风险。

  3、《气象部门信息安全主机技术安全规范—系统安全规范》:针对气象部门安装的主流操作系统配置安全,确保安全配置和过程控制的安全有效。

  4、《气象部门信息安全主机技术安全规范—windows系统安全配置标准》:规范气象部门使用的windows系统安全配置,降低被攻击的风险。

  5、《气象部门信息安全应用技术安全规范—应用系统安全规范》:规范气象部门应用系统在开发过程中,安全功能设定过程中的安全。

  6、《气象部门信息安全数据安全规范—数据安全规范》:规范气象部门数据存储和传输过程中的安全控制。

  7、《气象部门信息安全主机技术安全规范—应急技术安全规范》:规范气象部门应急计划的内容、应急流程、职责等相关应急准备。

  1、《气象部门第三方人员安全保密协议》:规范硬件和软件维护人员,咨询人员,临时性的短期职位人员,以及辅助人员和外部服务人员等第三方人员在气象部门进行逻辑访问等活动,签署不同安全责任的保密协议,保证气象部门信息化系统的安全。

  2、《气象部门安全工作人员保密协议》:规范所有气象部门安全工作人员能够做好气象部门的保密工作,确保气象部门敏感信息和国家秘密的安全。

  安全管理制度出台实施后,既要保持相对稳定,又不能一成不变。要以严肃、认真、谨慎的态度,经过不断实践,总结经验教训,对安全管理制度不断增加新的内容。建议按照“全面防范、重点突出”的原则,及时跟踪对标国家法律法规、政策文件和技术标准规范,迅速跟进完善气象部门网络安全制度,逐步建立起全方位、持续改进的网络安全制度体系。在弥补制度空白的同时,规范制度文件的制修订和审核发布流程,抓好制度的贯彻落实。

你觉得这篇文章怎么样?

0 0