网络安全保障的三同步是什么?
信息系统的生命周期和安全级别不是相互独立的,而是相互关联、不可分割的。
信息系统的生命周期模型包括规划和组织、开发和采购、实施和交付、运营和维护。将信息系统的整个生命周期(包括老化)抽象为五个阶段。随着操作和维护阶段的变化,反馈将创建信息系统生命周期的完整封闭结构。在信息系统生命周期的每个阶段,技术、管理集成了工程和人力支持元素。从信息系统建设入手,要充分考虑系统的安全要求,确保信息系统建设与信息系统安全建设同步规划实施。它不是使用同步来构建和同步,而是“3同步”。
1、同步计划
关键信息基础架构运营商必须:
a) 安全需求同步分析是指从组织功能或业务角度分析核心信息基础设施的网络安全实施需求,并说明核心信息基础架构建设或重建初期的安全需求。
b) 同时确定安全要求,即以网络安全需求规范为基础,明确核心信息基础设施的网络安全需求,形成网络安全功能和性能规范。
c) 验证网络安全部门是否已签署并批准安全要求规范。
2、同时施工
关键信息基础架构运营商必须:
a) 设计同步安全架构,即根据定义的关键信息基础设施的网络安全要求设计网络安全架构。识别系统中不同的信息安全组件,并解释每个组件提供的信息安全服务以及可能的实现机制。
b) 同步详细的安全设计,即根据安全级别选择基本安全措施,细化核心信息基础设施中安全机制的具体实施。
c) 在建设或转换过程中,必须安装符合GB/T22239项目实施相关要求的网络安全设施,包括专有软件。
d) 建设完成后,组织对核心信息基础设施进行验收,并将网络安全作为验收的重要内容。
3、同步使用
关键信息基础架构运营商必须:
a) 同步安全装置的操作,使其保持活动状态。
b) 按照GB/T22239中适当级别的安全操作和维护要求进行安全操作和维修。
c) 当核心信息基础设施和运营环境发生重大变化时,应评估其风险,及时更新安全设施,并实施变更管理。
d) 同步安全设施的配置管理,包括制定配置管理计划、制定基线配置、记录和维护基线配置的旧版本,以便根据需要恢复历史配置。
