文章正式开始前我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。
本文来了解一下等保2.0中安全通用要求中对于第二级别的安全管理人员要求,首先我们出示一张对比表格,看看安全区域边界要求中第二级别和第一级别的区别。
| 控制点 | 第一级要求 | 第二级要求 |
|---|---|---|
| 人员录用 | 指定专人负责录用 | + 对被录用人员进行身份、安全背景、专业资格等审查 |
| 人员离岗 | 及时终止权限,收回软硬件设备 | 相同 |
| 安全意识教育和培训 | 进行安全意识教育和岗位培训,告知责任和惩戒 | 相同 |
| 外部人员访问管理 | 访问受控区域前需得到授权或审批 | + 访问受控网络/系统需申请、由专人开设账户/分配权限并登记备案;+ 离场后清除权限 |
我们可以看到第二级别“安全管理人员”共包含4个控制点。相比第一级,增强了“人员录用”和“外部人员访问管理”这两个控制点。对比来说如果第一级是“有人管、有记录”,那么第二级就是“管得更严、查得更细”——录用时要背景审查,外部人员不仅要管物理进入,还要管网络接入,并且全程留痕。
对于要求相同的控制点,我会在汇总表格中展示。我们现在主要了解一下新增强的两个控制点,人员录用和外部人员访问管理。
首先是人员录用,原文是a) 应指定或授权专门的部门或人员负责人员录用;b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查。
安全背景审查通常包括无犯罪记录证明、工作履历核实、学历学位验证等,具体范围根据岗位敏感度确定。
简单说就是招人不能只看简历——要对被录用人员的身份、工作经历、专业资质进行核实,防止有恶意背景的人进入关键岗位。对比来讲。第一级只要求“有人负责录用”;第二级要求核实这人到底是谁、有没有风险。
这是因为第一级系统影响有限,招错人损失可控;第二级系统可能服务企业或公众,关键岗位一旦录用有恶意背景的人,可能造成数据泄露、系统破坏等影响社会的事件。背景审查就是把“坏人”挡在门外的第一关。
要求是要求对录用人员进行背景调查,核实身份真实性、工作履历、专业资格、安全背景(是否有犯罪记录等)。这是降低“内部威胁”风险的第一道防线。最低底线是1. 指定专人负责录用;2. 对被录用人员进行身份、安全背景、专业资格或资质审查(有审查记录);3. 审查结果作为录用决策依据。
最后就是外部人员访问管理,原文是a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;c) 外部人员离场后应及时清除其所有的访问权限。
简单说就是外部人员(如供应商工程师(驻场人员也算)、临时工)要来公司: ① 进机房/办公区:要申请、审批、有人全程陪同、登记; ② 要连公司网络/系统:也要申请、审批、由专人开账号、分权限,并登记; ③ 人走了:账号立刻删。
这是因为第二级系统可能面临更复杂的供应链风险。外包人员、厂商工程师如果可以通过网络接入系统且权限不清,一旦其账号被滥用或被攻击者利用,就会成为“特洛伊木马”。全程审批+留痕+回收是控制第三方风险的关键。
对比来看第一级只要求“物理访问需审批”;第二级要求网络访问也要审批、要开临时账号、人走要销号。
要求是对第三方人员(供应商、外包、访客)的物理访问和逻辑访问进行全生命周期管控,包括事前审批、事中监控、事后清理,防止第三方成为攻击跳板。
最低要求是1. 外部人员物理访问受控区域:书面申请、审批、专人全程陪同、登记备案;2. 外部人员接入受控网络/访问系统:书面申请、审批、专人开设账户、分配权限、登记备案;3. 外部人员离场后及时清除所有访问权限。
汇总表格如下
| 控制点(原文) | 通俗解释 | 第二级最低要求(底线) | 为什么新增(后果维度) |
|---|---|---|---|
| 人员录用 7.1.8.1 | 招人不能只看简历——要对被录用人员的身份、工作经历、专业资质进行核实,防止有恶意背景的人进入关键岗位。 | 1. 指定专人负责录用; 2.对被录用人员进行身份、安全背景、专业资格或资质审查(有审查记录); 3. 审查结果作为录用决策依据。 | 第一级系统影响有限,招错人损失可控;第二级系统可能服务企业或公众,关键岗位一旦录用有恶意背景的人,可能造成数据泄露、系统破坏等影响社会的事件。背景审查就是把“坏人”挡在门外的第一关。 |
| 人员离岗 7.1.8.2 | 员工离职当天,必须收回他的门禁卡、钥匙、公司电脑,并且注销所有系统账号,让他再也进不来。 | 1. 及时终止访问权限; 2. 收回身份证件、钥匙、徽章、软硬件设备; 3. 有离职交接记录。 | 离职风险在两级中都存在——走的人如果不及时收权限,可能成为“内部幽灵”。这是人员安全管理的底线,两级都需要。 |
| 安全意识教育和培训 7.1.8.3 | 定期给员工做安全培训,教他们怎么设密码、怎么识别钓鱼邮件、怎么处理敏感数据,并告诉他们违规了会有什么后果。 | 1. 对所有人员进行安全意识教育和岗位技能培训; 2. 告知安全责任和惩戒措施; 3. 有培训记录。 | 人的安全意识不会自动提升,必须通过持续培训来强化。第一级和第二级都需要,差别在于第二级培训内容应更丰富、频率更高。 |
| 外部人员访问管理 7.1.8.4 | 外部人员(如供应商工程师、临时工)要来公司:① 进机房/办公区:要申请、审批、有人全程陪同、登记;② 要连公司网络/系统:也要申请、审批、由专人开账号、分权限,并登记;③ 人走了:账号立刻删。 | 1. 外部人员物理访问受控区域:书面申请、审批、专人全程陪同、登记备案; 2.外部人员接入受控网络/访问系统:书面申请、审批、专人开设账户、分配权限、登记备案; 3.外部人员离场后及时清除所有访问权限。 | 第二级系统可能面临更复杂的供应链风险。外包人员、厂商工程师如果可以通过网络接入系统且权限不清,一旦其账号被滥用或被攻击者利用,就会成为“特洛伊木马”。全程审批+留痕+回收是控制第三方风险的关键。 |
总结:第一级:外部人员只管“进门”。第二级:外部人员“进门”要批,“联网”也要批,人走了账号必须删——把第三方风险管到“全生命周期”。录用员工不仅要“有人管”,还要“查清楚”——背景审查是把“坏人”挡在门外的第一关。
