安全运维管理规范(安全运维管理包括哪些控制点)
导语:安全运维管理,让制度标准真正落地
丨01 市场背景
随着计算机应用技术的发展和应用程序的迅速普及。各类应用系统建设不断深入,信息安全作为信息化部门日常工作的重点,无论从管理规范、技术支撑,还是运维服务,都取得了明显成效。随着行业标准化水平的提升和技术的快速发展,尤其是云计算、虚拟化、移动应用等技术体系的应用,引起新一轮的信息化变革与技术转型,信息安全运行管理的压力和挑战逐渐凸显出来。数据中心虽然有安全、运维管理制度、标准和规范,也制定了相应的安全与运维管理制度。但在制度、标准、规范的落实上,缺乏有力的措施和有效的手段。迫切需要梳理安全与运维的制度和管理办法,形成一体化安全运维管理体系,并运用技术手段,让制度标准真正落地。
丨02 产品价值
安全运维管理系统,是明易达推出的新一代面企业数据中心的安全运维产品,基于对IT安全运维领域的深刻认知,以及多年的技术积累,信息安全运行管理平台主要包括以下核心价值点以解决用户痛点:
• 信息化安全制度和安全目标,形成安全指标管理体系
•信息化安全检查流程,根据安全目标,自定义检查流程,以及对发现的问题进行整改
• 安全问题整改的流程可控,过程可控,保证问题及时快速的解决。
• 应急演练有案可查,有据可依,保证演练的效果和成果。
• 重保管理过程中人员安排合理,重保过程中业务系统状态均有记录,任务结束后形成经验
安全运维管理系统,结合了行业等保/三全/安全责任目标等要求,制定安全合规量化指标体系,通过将安全制度条目化,条目执行人员关联,使安全工作目标量化;通过任务派发、追踪、整改等闭环流程,实现安全基线可控、安全检查留痕、合规整改透明、量化评分有据,最终实现信息安全体系运行监管有抓手,持续运营常态化,做到信息安全风险可控,管理合规。
安全运维管理系统
丨03 产品特色
① 安全制度量化实施
企业安全制度无法落地的主要原因之一是安全指标没有量化,各制度内的具体安全要求没有进行具体分拆,没有量化每个安全要求的评估分值。在安全考核和检查时,无法对制度的要求进行具体准确的评估。
具体功能实现上包括:
• 对具体制度文件中规定的安全要求进行分拆、归类和录入系统
• 对于需要量化评分的安全要求设定分值,设定检查不符合时的丢分值。
② 人员岗位量化管理
制度在执行过程中,人员的责任不清楚,无法真正考核安全制度的落实情况。产品实施过程中,实施工程师会根据企业的安全制度和人员岗位责任,将制度里面的具体安全条款,落实到具体的人员和对应的岗位,确保制度执行时人员责任清楚,考核时有据可依可查,发现问题后责任到人,从而及时解决问题。
具体功能实现上包括:
• 对具体人员的岗位进行对应设置
• 对业务系统设置安全目标后,系统根据安全目标包含的安全要求内容自动生成对应岗位人员的评分分数
• 根据安全检查的结果,系统自动计算该责任岗位的负责人得失分的情况
③ 应用系统量化评估
企业业务系统可以根据系统情况设置不同的安全考核标准和安全目标。在完全目标设定后,可根据安全目标内对应的安全要求发起安全检查。评估系统的安全制度落实情况,按照安全检查的实际结果对应用系统的安全制度执行情况进行评分。
具体功能实现上包括:
• 设置安全标签对应多个同类型的安全要求
• 对业务系统设置多个安全标签,实现对业务系统安全要求的具体要求设定
• 对业务系统设置安全目标,选择需要考核的安全要求
• 在安全目标下发起安全检查,根据检查结果得出对应的分值
• 业务系统的安全目标下可以查看当前系统安全分值的具体情况
④ 安全问题闭环管理
在安全检查中发现的问题,系统会根据检查对应的制度要求中设定的负责人,自动关联问题负责人。派送安全问题整改单,有问题负责人负责问题的整改。在整改结束后还需要重新评估确认问题整改完成,保证问题的闭环处理。
具体功能实现上包括:
• 对安全目标进行安全检查,根据对应安全要求规定的评审证据,要求安全负责人员提交对应的依据,并进行第三方评审
• 根据评审结果判定安全检查是否合格,对于不满足项自动生成安全问题
• 对安全问题创建安全整改单,及时处理发现的问题
• 整改流程处理完成前,必须再次由第三方确认问题已经解决,整改流程才能结束
免责声明:本站部份内容由优秀作者和原创用户编辑投稿,本站仅提供存储服务,不拥有所有权,不承担法律责任。若涉嫌侵权/违法的,请与我联系,一经查实立刻删除内容。本文内容由快快网络小媛创作整理编辑!