信息系統(tǒng)安全需求方案？信息安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，涵蓋的內(nèi)容非常廣泛，而數(shù)據(jù)安全是其中最重要的內(nèi)容之一。在基本安全需求中，技術(shù)安全需求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過(guò)在信息系統(tǒng)中部署軟

信息系統(tǒng)安全需求方案？

根據(jù)保護(hù)重點(diǎn)的不同，技術(shù)安全需求分為三類:數(shù)據(jù)保護(hù)、系統(tǒng)服務(wù)功能保護(hù)和一般安全保護(hù)。其中，數(shù)據(jù)保護(hù)是信息安全建設(shè)的重要目標(biāo)和核心內(nèi)容。保護(hù)數(shù)據(jù)。你想保護(hù)數(shù)據(jù)做什么？我們必須清楚，保護(hù)數(shù)據(jù)就是保護(hù)數(shù)據(jù)的機(jī)密性(c)、完整性(I)和可用性(a)。中情局?jǐn)?shù)據(jù)保護(hù)原則。

數(shù)據(jù)保護(hù)的六個(gè)步驟？

組織需要知道他們?nèi)绾未鎯?chǔ)數(shù)據(jù)。為此，他們可以使用CIS控制5和11來(lái)創(chuàng)建配置基準(zhǔn)，以便組織和管理配置，編制可接受的異常目錄，并對(duì)未經(jīng)授權(quán)的更改發(fā)出警報(bào)。組織應(yīng)該以適用于所有授權(quán)終端的設(shè)計(jì)該標(biāo)準(zhǔn)。

步驟2:確定需要監(jiān)控的關(guān)鍵文件和流程。

對(duì)于配置基準(zhǔn)，組織需要用他們的關(guān)鍵文檔和過(guò)程來(lái)監(jiān)控它們。他們可以使用CIS controls 7-17來(lái)優(yōu)化他們的監(jiān)控流程，包括終端主映像、操作系統(tǒng)二進(jìn)制文件和Web服務(wù)器目錄，他們還應(yīng)該注意涉及這些文件或日志記錄和警報(bào)生成的關(guān)鍵流程。

步驟3:記錄靜態(tài)和動(dòng)態(tài)配置監(jiān)控程序。

組織可以使用CIS Control 3.1和3.2來(lái)配置其自動(dòng)掃描工具以防止漏洞，并且他們應(yīng)該考慮使用靜態(tài)和動(dòng)態(tài)監(jiān)控。前者有利于定期檢查和評(píng)估固定網(wǎng)絡(luò)參數(shù)，而后者有利于提供實(shí)時(shí)變化通知。

步驟4:實(shí)現(xiàn)持續(xù)的漏洞監(jiān)控。

一旦組織配置了掃描工具，就需要找出漏洞監(jiān)控程序的范圍。作為數(shù)據(jù)完整性保護(hù)的一部分，組織應(yīng)遵循CIS Control 3的指導(dǎo)，以確保有關(guān)于改變基準(zhǔn)配置或使組織面臨高風(fēng)險(xiǎn)的可疑活動(dòng)的通知。組織還應(yīng)該嘗試了解IT和安全人員如何合作來(lái)加強(qiáng)數(shù)據(jù)完整性。

步驟5:建立正式的變更管理流程。

如果一個(gè)組織建立一個(gè)正式的過(guò)程來(lái)評(píng)估請(qǐng)求和跟蹤結(jié)果，那么變更管理是最有效的。例如，一個(gè)組織可以考慮創(chuàng)建一個(gè)變更控制委員會(huì)，該委員會(huì)有權(quán)對(duì)高優(yōu)先級(jí)問(wèn)題采取措施，并使用風(fēng)險(xiǎn)評(píng)級(jí)來(lái)確定修復(fù)已發(fā)現(xiàn)漏洞的優(yōu)先級(jí)。

第六步:建立員工安全教育培訓(xùn)機(jī)制。

最后，組織應(yīng)遵循CIS控制18，并為其員工建立安全意識(shí)培訓(xùn)。組織應(yīng)該首先進(jìn)行差距分析，以了解員工的需求。技能和行為。在此基礎(chǔ)上，組織可以提供相應(yīng)的培訓(xùn)，解決所有成員的安全技能差距。