工业和信息化部主管 中国电子报社主办
联系合作投稿

信息消费

《信息资产风险与合规管理(ITARC)应用指南报告》发布

在8月21日召开的“北京网络安全大会”上,盛邦安全联合安全牛、数字观星共同发布了《信息资产风险与合规管理(ITARC)应用指南报告》,从业务和资产的关联角度,为产业提供信息资产风险与合规管理的全新理念与解决方案,率先完整梳理和定义了网络空间资产安全治理的标准和关键点。

不清楚保护对象,何谈安全保护?

某知名第三方调研机构在其2017年一项研究中得出结论,未来五年企业价值将取决于各自的信息资产组合。在当今日益数字化的世界中,任何想要正确评估企业价值的个体和组织,必须重视信息资产和对它的分析能力,包括信息资产的数量、种类和质量等。信息资产已逐步成为企业的战略资产,得到了企业高层的广泛重视。

但与此同时,在数字化创新的推动下,IT架构与应用越来越复杂,信息资产的数量与种类越来越多,也让网络安全的复杂度大增。特别是云计算、移动互联网等技术的创新,使得组织的网络环境失去了边界;应用系统和业务数据的开放互联成为组织的常态,组织原有的资产管理方式往往不能跟进系统变化。另外,网络资产需求的突发性,以及人员的主观工作疏忽,都可能导致出现资产数量不明、类型不清晰、安全检查漏洞不全面等问题。信息资产梳理是解决知己知彼的问题,是增强网络安全防御能力和威慑能力的基础。

如今,组织的信息安全要把重点从只重视防护手段,逐步回归到先分析防护对象安全需求上来,要先把保护对象界定清楚,然后再来谈用什么手段来保护,对信息资产的重新识别及强化管理是当前组织的信息安全工作第一件要做好的事情,信息资产识别也随之成为网络安全策略重要的基础性工作。

为了进一步明确信息资产风险与合规管理方法,推动信息资产安全治理,此次盛邦安全联合安全牛、数字观星共同发布《信息资产风险与合规管理(ITARC)应用指南报告》,从业务和资产的关联角度出发,分析了信息资产的主要类型及风险因素,明确了信息资产的识别与治理方法,融合等级保护管理规范,分享了相关行业实践案例,并给出了信息资产安全治理可落地的方案和建议。

盛邦安全五步法——信息资产安全治理落地的规范动作

报告指出,信息资产风险与合规不能作为一个单纯的安全管理问题来看待,需要意识到信息资产的安全直接关系到业务的运作效率与安全,必须得到高度重视。由于在数字化的过程中,信息资产随时都可能增加、删除以及更新,因此信息资产风险与合规需要贯穿信息资产的全生命周期,包括资产的发现、添加、整理、维护以及废弃,这样才能将安全能力覆盖到尽量多的信息资产,减少风险的暴露面。

从信息资产安全治理的全流程出发,报告建议遵循“摸清家底、备案审核、立体化防御、自动化运营、应急响应这一安全治理“五步法”原则,来提升资产安全治理水平和整体防御能力:

第一步:摸清家底。结合等级保护规范进行资产梳理是安全治理的第一步:通过主动探测、被动流量分析结合的方式,对内外网资产进行识别和梳理,清点资产,确定资产边界;盛邦安全目前可以识别物联网、路由交换设备、网络安全设备、业务系统等30类近10万种网络空间设备。

第二步备案审核。建立备案审核管理流程,进行资产认领登记备案和上线前的安全检查,对资产备案进行全生命周期管控;

第三步:基于等级保护的立体化防御。对登记审核的资产有针对性地进行分级防御部署,满足《网络安全等级保护制度2.0》、《网络安全法》等法律、法规以及行业安全管理规范的要求;

第四步自动化运营。通过流量监控、日志审计、漏洞扫描等方式对所有资产进行审核和评估,建立安全模型;对安全防御体系及核心资产进行实时监测和预警,一旦发现问题,及时反馈给防御体系,形成7*24小时的主动与被动式监测、动态指纹画像与健康巡检相结合的自动化运营机制;

第五步应急响应。任何安全措施都不能百分之百保证防线不会被突破。对组织而言,当安全事件发生时,快速定位被攻击的资产以及评估潜在会受到影响的资产并采取隔离、阻断等措施是十分重要的。当发现存在篡改、暗链、漏洞利用以及webshell攻击等安全风险时,可及时采取“一键断网”等应急响应措施。

最后,从技术发展趋势来看,组织必然要逐渐适应扑面而来的物联网浪潮,将物联网融入到自身的业务中,这很可能会给组织带来两大风险——更多、更复杂的设备资产和更加频繁的资产变更。盛邦安全CEO权小文表示:“在5G等技术的推动下,物联网和业务的结合将为信息资产安全治理带来更高的要求。各个组织要进一步对信息资产的管理模式进行创新,安全厂商也需要对物联网的资产管理做到持续性的监控和针对异常行为与资产变化的及时响应,各方都要提前布局,做好准备,才能更好地面对快速更迭的新技术、新应用带来的挑战。”

责任编辑:徐恒


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

2023中国电子报编辑选择奖

12月26日,“2023中国电子报编辑选择奖”获奖名单正式出炉。本次评选采用企业自荐和编辑推荐两种方式,综合考量影响力、创新性、成长性等多个维度,围绕企业、技术、产品、解决方案等赛道评出20个奖项。

2024年全国工业和信息化工作会议

12月21日,全国工业和信息化工作会议在京召开。会议坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大和二十届二中全会精神,深入学习贯彻习近平总书记关于新型工业化的重要论述,认真落实中央经济工作会议和全国新型工业化推进大会部署要求,总结2023年工作,部署2024年任务。

深入学习贯彻党的二十大精神·工信系统在行动

当前,全国工业和信息化系统正进一步深入学习党的二十大精神,将二十大精神贯彻落实到具体举措和实际行动。为深入学习宣传贯彻党的二十大精神,中国电子报推出“深入学习贯彻党的二十大精神·工信系统在行动”专栏,通过调研采访报道各地贯彻落实党的二十大精神的具体举措、典型案例,反映各地实干担当、求真务实的精神风貌。敬请关注。

学习贯彻习近平新时代中国特色社会主义思想主题教育

学习贯彻习近平新时代中国特色社会主义思想主题教育开展以来,全国工信系统牢牢把握“学思想、强党性、重实践、建新功”的总要求,多措并举扎实推进主题教育高质量开局、高标准起步。

聚焦2023年全国两会

北京3月5日电 第十四届全国人民代表大会第一次会议5日上午在北京人民大会堂开幕。近3000名新一届全国人大代表肩负人民重托出席盛会,认真履行宪法和法律赋予的神圣职责。

世界超高清视频(4K/8K)产业发展大会

会议

2023全球数字贸易创新大赛

11月22—23日,2023全球数字贸易创新大赛总决赛在杭州举行。大赛是第二届全球数字贸易博览会重要活动之一,今年为首次举办。大赛设置人工智能元宇宙和区块链Web3.0两个赛道,吸引了近200家优秀企业及项目团队参与,其中,100余家入围半决赛,24家进入总决赛。

2023世界VR产业大会

10月19日,由工业和信息化部、江西省人民政府共同主办的2023世界VR产业大会在江西南昌开幕。江西省委书记、省人大常委会主任尹弘,工业和信息化部副部长徐晓兰,江西省委常委、南昌市委书记李红军出席开幕式并致辞。开幕式由江西省委副书记、省政府省长叶建春主持。

2023世界显示产业大会

9月7日-8日,由四川省人民政府、工业和信息化部主办的2023世界显示产业大会在四川省成都市召开。四川省委副书记、省长黄强,工业和信息化部党组成员、副部长张云明,重庆市政府党组成员、副市长江敦涛,德国联邦经济发展和对外贸易协会主席米夏埃尔·舒曼出席开幕式并先后致辞。

2023世界超高清视频产业发展大会

5月8日-10日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2023世界超高清视频产业发展大会在广州召开。5月9日,广州市委副书记、市长郭永航,中央广播电视总台副台长胡劲军,国家广播电视总局副局长朱咏雷,工业和信息化部总工程师赵志国,广东省委副书记、省长王伟中出席开幕式并先后致辞。

2022世界集成电路大会

11月17日,由工业和信息化部、安徽省人民政府共同主办的2022世界集成电路大会在安徽省合肥市召开。安徽省委书记、省人大常委会主任郑栅洁出席会议。安徽省委副书记、省长王清宪,工业和信息化部党组成员、副部长王江平出席开幕式并致辞。

世界显示产业大会

本周排行