“網絡安全是三分技術，七分管理?！蹦壳?，政府部門網絡安全工作普遍存在安全意識不強、缺乏整體安全體系方案及安全管理機制、安全管理缺少抓手、安全管理人員技能有待提高等系列問題。政務外網安全長期存在“重技術、輕管理”現(xiàn)狀。

如何抓住網絡安全管理的“牛鼻子”？

如何解決以上存在問題及現(xiàn)狀，協(xié)同政府部門構建起行之有效的網絡安全管理體系，同時為政務外網安全管理提供有力抓手？

遠望信息認為，應從頂層架構入手，構建起自上而下的網絡安全管理體系。

遠望縣域政務外網安全“三位一體”之安全管理體系

作為縣域政務外網安全體系的重要組成部分，安全管理體系以合規(guī)合法、責任到人為中心，從安全管理機構、安全崗位職責、安全管理制度、人員安全管理、安全建設管理、安全管理流程、安全合規(guī)管理等方面構建起一體化的網絡安全管理體系，為政務外網安全建設夯實管理根基。

安全管理機構

建立符合監(jiān)管要求與建設目標的安全管理機構是安全管理體系建設的主要內容之一。依據(jù)等保2.0安全保護能力建設要求，安全管理機構建立應符合以下原則：具備安全領導協(xié)調機構、配備網絡安全專門管理機構、設立網絡安全管理專職崗位、對網絡安全職責有清晰定義。

安全崗位職責

依據(jù)《網絡安全等級保護基本要求》以及《黨委（黨組）網絡安全工作責任制實施辦法》，各級黨委（黨組）對本地區(qū)本部門網絡安全工作負主體責任，領導班子主要負責人是第一責任人，主管網絡安全的領導班子成員是直接責任人。應設立安全主管、安全管理各方面負責人崗位，并定義各負責人的職責；設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義部門及各個工作崗位的職責；同時配備一定數(shù)量的系統(tǒng)管理員、網絡管理員和專職的安全管理員。

安全管理制度

依據(jù)法規(guī)要求及行業(yè)規(guī)范構成全面的政務網絡安全管理制度體系，包括安全策略、管理制度、操作規(guī)程等方面。制度規(guī)范體系涵蓋以下內容：制定網絡安全頂層管理策略，制定網絡安全管理規(guī)范和技術標準，針對網絡安全管控具體工作事項設計安全管理流程。

人員安全管理

人員管理是安全管理的重要組成部分，網絡安全體系的建設、運營人員是否合格履行個人職責對安全成效至關重要。依據(jù)國家網絡安全相關法律法規(guī)，應通過建立健全人員安全管理制度，將安全管理要素融入人員管理制度規(guī)范中，同時監(jiān)督指導制定人員安全管理規(guī)定。遠望縣域政務外網安全管理體系人員安全管理包括人員錄用、人員離崗、人員安全意識教育和培訓等方面。

安全建設管理

遵從“四同步”原則，即業(yè)務規(guī)劃與安全規(guī)劃同步，業(yè)務體系構建與安全體系構建同步，應用技術發(fā)展和安全技術發(fā)展同步，業(yè)務能力提升和安全能力提升同步。將安全建設管理納入業(yè)務建設方案設計、產品采購和使用、軟件開發(fā)、工程實施、方案測試驗收、系統(tǒng)交付等建設過程的全流程。

安全管理流程

根據(jù)實際業(yè)務需求，完成設備入網、業(yè)務系統(tǒng)上線、分險事件處置、釘辦處置流程、人員變更流程、應急處置流程等流程設計。

安全合規(guī)管理

安全合規(guī)管理即依據(jù)等保要求，在實施網絡安全等級保護、關鍵信息基礎設施安全保護制度要求過程中，建立健全安全合規(guī)管理機制，確保安全合規(guī)建設內容全面、有效落地。同時依據(jù)《中華人民共和國密碼法》要求，推進重要系統(tǒng)商用密碼應用安全性評估，確保符合密碼管理要求。此外還包括依據(jù)相關法律法規(guī)要求，加強數(shù)據(jù)安全風險評估、數(shù)據(jù)出境安全評估。