本文转载自微信公众号《齐寅说新安》,作者何伟峰。转载本文请联系齐银说新安公众号。网络安全原则的目的网络安全原则的目的是就组织如何保护其系统和数据免受网络威胁提供战略指导。这些网络安全原则分为四项关键活动:治理、保护、检测和响应。治理:识别和管理安全风险。保护:实施安全控制以降低安全风险。检测:检测并了解网络安全事件。响应:响应网络安全事件并从中恢复。治理原则G1:首席信息安全官负责领导和监督网络安全。G2:确定并记录系统、应用程序和数据的身份和价值。G3:确定并记录系统、应用程序和数据的机密性、完整性和可用性要求。G4:安全风险管理流程嵌入到组织风险管理框架中。G5:在系统和应用程序被授权使用之前,以及在其整个运行生命周期中,安全风险被识别、记录、管理和接受。保护原则P1:系统和应用程序根据其价值及其机密性、完整性和可用性要求进行设计、部署、维护和停用。P2:系统和应用程序由受信任的供应商提供和支持。P3:系统和应用程序被配置为减少它们的攻击面。P4:系统和应用程序以安全、负责和可审计的方式进行管理。P5:及时识别和缓解系统和应用程序中的安全漏洞。P6:只有受信任和支持的操作系统、应用程序和计算机代码才能在系统上执行。P7:数据在静态和不同系统之间传输时被加密。P8:不同系统之间通信的数据是受控的、可检查的、可审计的。P9:数据、应用程序和配置设置以安全和经过身份验证的方式定期备份。P10:只有受信任和经过审查的人员才能访问系统、应用程序和数据存储库。P11:授予人员对其职责所需的系统、应用程序和数据存储库的最低访问权限。P12:使用多种方法来识别和验证系统、应用程序和数据存储库中的人员。P13:为人员提供持续的网络安全意识培训。P14:对系统、支持基础设施和设施的物理访问仅限于授权人员。检测原则D1:及时发现、收集、关联和分析网络安全事件和异常活动。响应原则R1:及时发现网络安全事件,及时向内外部相关机构报告。R2:网络安全事件得到及时控制、杜绝和恢复。R3:在需要时制定业务连续性和灾难恢复计划。成熟度建模在实施网络安全原则时,组织可以使用以下成熟度模型来评估单个原则、原则组或整个网络安全原则的实施情况。成熟度模型中的五个级别是:不完整:网络安全原则部分实施或未实施。初始:网络安全原则得到实施,但实施不力或临时实施。发展:网络安全原则得到全面实施,但在逐个项目的基础上。治理:网络安全原则被确立为标准业务实践,并在整个组织中得到严格执行。优化:在整个组织实施网络安全原则时,有意识地关注优化和持续改进。《信息安全指南》是澳大利亚国家网络安全中心发布的一套系统性指南。我们在了解各国网络安全相关的系统知识时可以借鉴,也可以从中找到共性,从而在工作中找到共性。最佳安全实施。在不断深入了解各国网络安全的系统性内容的过程中,我们也可以不断增进对网络安全的认识,增强网络安全意识。网络安全知识和咨询是网络安全意识的前提,需要在这方面不断提高。
