一、没有安全管理制度为高风险
二级及以上系统未建立任何与安全管理活动相关的安全管理制度或者制度无法满足适用于当前系统。
二、未建立网络安全领导小组为高风险
三级及以上系统未成立指导和管理网络安全工作的委员会或领导小组,或其最高领导未由单位主管领导担任或授权。
三、未定期开展网络安全意识和安全技能培训为高风险
二级及以上系统未定期组织开展与安全意识、安全技能相关的培训。这要求我们各家网络运营者每年至少开展一次相关培训,并留痕。
四、未对外部人员接入受控网络进行管理为高风险
二级及以上系统未建立外部人员接入受控网络访问系统的相关管理制度,同时无法提供外部人员接入受控网络访问系统的申请、审批等相关记录文档。
五、没有运维工具管控措施的为高风险
三级及以上系统应严格控制运维工具的使用,经过审批后方可接入使用,操作过程中应保留审计日志数据,操作结束后应删除工具中的敏感数据。使用开源的运维工具,应保证工具自身的安全,做好病毒检测、漏洞扫描等。一哥在此推荐大家使用商用的运维工具,不要随意使用来源不明的工具。
六、没有设备外联管控措施的为高风险
三级及以上系统管理制度上无关于外部连接的授权和审批流程,也未定期进行相关的巡检同时无技术手段对违规上网及其他违反网络安全策略的行为有效控制、检查、阻断。这里要求我们在三级及以上系统中配备安全准入系统进行技术管控。
七、没有外来接入设备恶意代码检查措施的为高风险
二级及以上系统未在管理制度中明确外来计算机或存储设备接入安全操作流程同时外来计算机且存储设备接入网络前未进行恶意代码检查。这在实际工作中不少单位没有落实或者落实不彻底,这也是为什么内网会中毒的一个重要原因。
八、没有变更管理制度的为高风险
二级及以上系统无变更管理制度,或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容且实际变更中无任何流程、人员、方案等审批环节和记录。不能随意对系统进行变更,有时一些安全事件就是因为误操作而导致的。
九、没有重要事件的应急预案的为高风险
二级及以上系统未制定重要事件的应急预案或应急预案内容不完整,未明确重要事件的应急处理流程、系统恢复流程等内容,一旦出现应急事件,无法合理有序的进行应急事件处置过程。在三级及以上系统中不仅要有预案,还需要定期培训与演练,对未定期(至少每年一次)对相关人员进行应急预案培训,未根据不同的应急预案进行应急演练,无法提供应急预案培训和演练记录的也是为高风险。这就要求我们应急预案不只是一个预案,更要成为发生突发事件后实际操作的一个规范应对流程。总结下来:应急演练大家要认真认真做,不要走过场。
十、云计算平台运维方式不当的为高风险
二级及以上云计算平台的运维地点不在中国境内且境外对境内云计算平台实施操作运维未遵循国家相关规定。对于云计算平台一哥还是建议大家至少选择物理位置及运维地点在中国境内的平台。