Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:11906 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
点对点分析CII与等级保护系列:安全管理部分(一)
本文来自公众号:绿盟科技   2020.06.29 17:42:26


《网络安全法》第三章第二节规定了关键信息基础设施(CII)的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。既然关键信息基础设施的范围、保护在网络安全等级保护制度的基础之上,并且要实行重点保护。那么,绿盟君做了《点对点分析CII与等级保护系列》来分析其中要求的异同点。本系列共分六章,包括:安全技术部分(一、二、三章),安全管理部分(一、二)和安全建设管理部分。 本文是安全管理部分第一章。


对比情况主要参考:

《信息安全技术  关键信息基础设施网络安全保护基本要求》(报批稿);

《信息安全技术 网络安全等级保护基本要求》,GB/T22239-2019。

将关键信息基础设施要求与等级保护三级要求进行对应分析。

安全管理部分


CII要求

对应等保要求

运营者应符合国家网络安全等级保护制度相关要求,对相关信息系统开展定级备案、相应等级的测评、安全建设、整改及自查工作。

分析点评 完全一致


CII要求

对应等保要求

运营者应:

a)建立适合本组织的网络安全保护计划,结合关键业务流的安全风险报告,明确关键信息基础设施网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施、实施细则及资源保障等,形成文档并经审批后发布至相关人员。网络安全保护计划应至少每年修订一次,或发生重大变化时进行修订。

安全管理制度

安全策略

a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。

分析点评 略有提高,细化了修订时间。


CII要求

对应等保要求

b)基于关键业务链、供应链等安全需求建立或完善安全策略和制度,并根据关键信息基础设施面临的安全风险和威胁的变化相应调整。

管理制度

a)应对安全管理活动中的主要管理内容建立安全管理制度;

b)应对管理人员或操作人员执行的日常管理操作建立操作规程。

分析点评 略有提高,明确突出了关键业务链、供应链等安全需求建立或完善安全策略和制度。


CII要求

对应等保要求

运营者应:

a)成立指导和管理网络安全工作的委员会或领导小组,由组织主要负责人担任其领导职务,设置专门的网络安全管理机构,建立首席网络安全官制度,建立并实施网络安全考核及监督问责机制。

安全管理机构

岗位设置

a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;

分析点评 明确提高。

1、只有担任,没有授权。

2、建立首席网络安全官制度。

3、建立并实施考核及监督问责机制。


CII要求

对应等保要求

b)安全管理机构主要人员应参与本组织信息化决策。

分析点评 此项目为新增项目,明确提高。


CII要求

对应等保要求

c)安全管理机构相关人员应参加国家、行业或业界网络安全相关活动,及时获取网络安全动态,并传达到本组织。

a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;

b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;

c)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。

分析点评 略有提高,细化了参加网络安全相关活动,并予以传达。


下期预告


本文是全系列的第四讲。本系列的第五讲,将为大家介绍安全管理第二部分的对比。敬请期待……

往期回顾:

点对点分析CII与等级保护系列:安全技术部分(一)

点对点分析CII与等级保护系列:安全技术部分(二)

点对点分析CII与等级保护系列:安全技术部分(三)