信息系統(tǒng)安全需求方案？信息安全建設(shè)是一項復(fù)雜的系統(tǒng)工程，涵蓋的內(nèi)容非常廣泛，而數(shù)據(jù)安全是其中最重要的內(nèi)容之一。在基本安全需求中，技術(shù)安全需求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要通過在信息系統(tǒng)中部署軟

信息系統(tǒng)安全需求方案？

根據(jù)保護重點的不同，技術(shù)安全需求分為三類:數(shù)據(jù)保護、系統(tǒng)服務(wù)功能保護和一般安全保護。其中，數(shù)據(jù)保護是信息安全建設(shè)的重要目標和核心內(nèi)容。保護數(shù)據(jù)。你想保護數(shù)據(jù)做什么？我們必須清楚，保護數(shù)據(jù)就是保護數(shù)據(jù)的機密性(c)、完整性(I)和可用性(a)。中情局數(shù)據(jù)保護原則。

數(shù)據(jù)保護的六個步驟？

組織需要知道他們?nèi)绾未鎯?shù)據(jù)。為此，他們可以使用CIS控制5和11來創(chuàng)建配置基準，以便組織和管理配置，編制可接受的異常目錄，并對未經(jīng)授權(quán)的更改發(fā)出警報。組織應(yīng)該以適用于所有授權(quán)終端的設(shè)計該標準。

步驟2:確定需要監(jiān)控的關(guān)鍵文件和流程。

對于配置基準，組織需要用他們的關(guān)鍵文檔和過程來監(jiān)控它們。他們可以使用CIS controls 7-17來優(yōu)化他們的監(jiān)控流程，包括終端主映像、操作系統(tǒng)二進制文件和Web服務(wù)器目錄，他們還應(yīng)該注意涉及這些文件或日志記錄和警報生成的關(guān)鍵流程。

步驟3:記錄靜態(tài)和動態(tài)配置監(jiān)控程序。

組織可以使用CIS Control 3.1和3.2來配置其自動掃描工具以防止漏洞，并且他們應(yīng)該考慮使用靜態(tài)和動態(tài)監(jiān)控。前者有利于定期檢查和評估固定網(wǎng)絡(luò)參數(shù)，而后者有利于提供實時變化通知。

步驟4:實現(xiàn)持續(xù)的漏洞監(jiān)控。

一旦組織配置了掃描工具，就需要找出漏洞監(jiān)控程序的范圍。作為數(shù)據(jù)完整性保護的一部分，組織應(yīng)遵循CIS Control 3的指導(dǎo)，以確保有關(guān)于改變基準配置或使組織面臨高風(fēng)險的可疑活動的通知。組織還應(yīng)該嘗試了解IT和安全人員如何合作來加強數(shù)據(jù)完整性。

步驟5:建立正式的變更管理流程。

如果一個組織建立一個正式的過程來評估請求和跟蹤結(jié)果，那么變更管理是最有效的。例如，一個組織可以考慮創(chuàng)建一個變更控制委員會，該委員會有權(quán)對高優(yōu)先級問題采取措施，并使用風(fēng)險評級來確定修復(fù)已發(fā)現(xiàn)漏洞的優(yōu)先級。

第六步:建立員工安全教育培訓(xùn)機制。

最后，組織應(yīng)遵循CIS控制18，并為其員工建立安全意識培訓(xùn)。組織應(yīng)該首先進行差距分析，以了解員工的需求。技能和行為。在此基礎(chǔ)上，組織可以提供相應(yīng)的培訓(xùn)，解決所有成員的安全技能差距。