企业安全负责人一听到主管单位单位要来现场进行网络安全就紧张可是对于不少重点企业来说,现场检查又是不可避免的,今天就谈谈企业如何准备网络安全检查。
网络安全现场检查类型:
常规检查:年度例行重要信息系统网络安全检查,公安局网安组织的网络安全监督执法检查
(检查结果整改通知书)
专项检查:针对重点企业可能在重大活动前夕组织如XX会议、XX大等,或者针对某一方面如个人信息保护、数据安全等;
检查成员组成:可能是一方或者多方组成如WXB、网安支队、第三方支撑单位以及该行业主管部门如通信管理局、教育局、交通局、证监局等等。
网络安全检查法律法规依据:
-
《中华人民共和国网络安全法》
-
《通信网络安全防护管理办法》
-
《电信和互联网用户个人信息保护规定》
-
《反电信网络诈骗法》
-
《关键信息基础设施安全保护条例》
-
《网络安全审查办法》
-
《公安机关互联网安全监督检查规定》
网络安全现场检查形式:
1)访谈工作由检查组成员与被检查人员如安全管理人员、系统平台产品和开发人员、运维人员如:数据库管理员、网络管理员等进行交流、咨询等活动,了解有关受评估系统的基本信息、日常操作流程以及员工对数据安全的认知,获取相关证据
2)文档查验由检查组成员审阅安全管理规范体系文件及证据资料文档如应急演练记录文档、安全培训资料、数据全生命周期管理等管理制度和操作规程等。通过文档查验,可以评估企业的安全管理制度是否健全,是否能够覆盖数据全生命周期的各个环节。
3)系统平台演示由被检查方对受测的平台、系统以及其他安全防护软硬件平台进行演示,评估成员对演示过程进行评估发现安全风险缺陷评估,重点关注系统的权限控制机制、数据加密措施、访问日志记录、操作系统安全基线等安全特性。
4)测试验证由检查成员通过技术测试(如漏洞扫描、人工渗透、流量监测)获取证据。主要测试目的验证权限控制、身份认证、审计机制、数据加解密、组件漏洞、数据泄露等方面的安全性。
网络安全检查表样例:
网络安全检查迎检建议:
1、提前准备:如人员准备、会议室茶水、相关被查文件等。
2、面对访谈,坚持“要说真话,不讲假话,假话全不讲,真话不全讲”原则。
3、迎检人员建议每年固定如网络、数据库、系统访谈等,这样容易协调,也具备一定的检验
4、企业在技术测试(渗透测试、漏洞扫描)时会对检查IP做风控措施,这个在这就不细说了。
