数据保护系统需要什么技术要求吗 信息系统安全需求方案?
信息系统安全需求方案?
信息安全建设是一项复杂的系统工程,涵盖的内容非常广泛,而数据安全是其中最重要的内容之一。在基本安全需求中,技术安全需求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软件和硬件并正确配置其安全功能来实现。根据保护重点的不同,技术安全需求分为三类:数据保护、系统服务功能保护和一般安全保护。其中,数据保护是信息安全建设的重要目标和核心内容。保护数据。你想保护数据做什么?我们必须清楚,保护数据就是保护数据的机密性(c)、完整性(I)和可用性(a)。中情局数据保护原则。
数据保护的六个步骤?步骤1:为组织建立一个配置基线。;的基础设施。
组织需要知道他们如何存储数据。为此,他们可以使用CIS控制5和11来创建配置基准,以便组织和管理配置,编制可接受的异常目录,并对未经授权的更改发出警报。组织应该以适用于所有授权终端的设计该标准。
步骤2:确定需要监控的关键文件和流程。
对于配置基准,组织需要用他们的关键文档和过程来监控它们。他们可以使用CIS controls 7-17来优化他们的监控流程,包括终端主映像、操作系统二进制文件和Web服务器目录,他们还应该注意涉及这些文件或日志记录和警报生成的关键流程。
步骤3:记录静态和动态配置监控程序。
组织可以使用CIS Control 3.1和3.2来配置其自动扫描工具以防止漏洞,并且他们应该考虑使用静态和动态监控。前者有利于定期检查和评估固定网络参数,而后者有利于提供实时变化通知。
步骤4:实现持续的漏洞监控。
一旦组织配置了扫描工具,就需要找出漏洞监控程序的范围。作为数据完整性保护的一部分,组织应遵循CIS Control 3的指导,以确保有关于改变基准配置或使组织面临高风险的可疑活动的通知。组织还应该尝试了解IT和安全人员如何合作来加强数据完整性。
步骤5:建立正式的变更管理流程。
如果一个组织建立一个正式的过程来评估请求和跟踪结果,那么变更管理是最有效的。例如,一个组织可以考虑创建一个变更控制委员会,该委员会有权对高优先级问题采取措施,并使用风险评级来确定修复已发现漏洞的优先级。
第六步:建立员工安全教育培训机制。
最后,组织应遵循CIS控制18,并为其员工建立安全意识培训。组织应该首先进行差距分析,以了解员工的需求。技能和行为。在此基础上,组织可以提供相应的培训,解决所有成员的安全技能差距。
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。
