个人观点,如有不当敬请见谅,感谢您的阅读。
转载请在文首保留出处!
- 习主席强调:没有网络安全就没有国家安全。近些年来,国内政府和企业遭受黑客攻击入侵事件频出,造成的社会影响及经济损失巨大。为有效应对网络安全严峻形势,切实增强网络安全防御能力,大型企事业单位有必要从组织管理、制度基础、技术体系、人才培养等方多个层面,构建坚实的网络安全防御体系。本文为第一部分组织管理篇:借鉴首席安全官机制,完善网络安全组织管理。
网络的无界性打破了传统行业界限,也突破了各职能部门的管理界限。相关调查数据显示,有75%的信息系统泄密和恶意攻击事件都是由于职责不明、专业程度不够、信息管理协调不顺畅等原因造成的。在这些原因导致的安全管理问题频发的大背景下,美、澳、法、德等多个国家广泛应用首席信息安全官(CISO:Cheif Information Security Officer)机制,进行网络安全管理。以美国为例,国家立法要求,与网络安全相关的每个部门必须设立首席信息安全官,由其履行网络安全行政领导责任,落实网络安全管理相关制度,提升网络安全防护能力。在该机制下,首席信息安全官作为本单位信息安全主管,拥有很高的地位,可以直接向最高领导汇报工作,使得安全工作备受重视,可以借势整合资源,明确信息安全分工,加强部门沟通协调,合理处理安全问题。
我们国家的大型企事业单位,近年来也逐步重视信息安全管理,单各位信息管理、保密、安全保卫等相关关部门在国家网信办、工信部、公安部的领导下各司其职,共同执行信息安全管理政策和履行管理职责。但面对日益严峻复杂的网络安全形势,现行的多部门分头管理机制存在职责划分不清,多头管理的情况,已难以满足现实需要。为此有必要借鉴成熟的CISO安全管理机制,在各单位成立网络安全管理中心,对网络安全工作进行统筹统一管理。该中心可直接向本单位最高网络安全主管领导或首席信息安全官汇报工作,减少信息安全管理环节,提高工作效率,使得信息安全问题得到高度重视,及时、有效予以解决。同时,该部门在业务上可以与上级机关直接联系,对下级单位可直接进行管理和指导。
为更好的完成上述职能任务,建议在该中心成立四个工作组,主要完成安全策略制定、日常事务处理、潜在风险评估等具体任务。一是计划组,统筹结合政府政策和上级要求,以及本单位实际情况,制定安全政策、安全标准、指导方针和执行程序,确保受保护目标和保护制度与单位业务发展战略规划的一致性。二是执行组,负责做好沟通协调工作,确保各项安全管理制度顺利有效执行。三是监管组,负责全面监控网络空间安全事故,及时制定风险处理、灾难恢复、业务响应策略,与其他各组保持沟通,在必要时根据风险和威胁的程度及时调整各项安全管理规章制度。四是改善组,负责评估政策法规的成效,结合执行小组的记录文件,提出改进意见,进一步提升相关政策法规的实用性和可行性。
网络安全管理中心示意图.jpg
网友评论