| A.13 通信安全 | ||
| A.13.1 网络安全管理 | ||
| 目标:确保网络中的信息及其支持性的信息处理设施得到保护。 | ||
| A.13.1.1 | 网络控制 | 控制 应管理和控制网络以保护系统和应用中的信息。 |
| A.13.1.2 | 网络服务的安全 | 控制 所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的。 |
| A.13.1.3 | 网络中的隔离 | 控制 应在网络中隔离信息服务、用户及信息系统。 |
控制解析:
- 实施“A.13 通信安全”,需要形成书面的文件《网络安全管理规范》,文件需涵盖“A.13 通信安全”相关内容和要求。
- 为保护网络中的信息及信息处理设施的安全,应根据风险评估结果对组织的网络安全进行策划,并对策划的内容进行实施。策划内容包括但不限于:网络分区管理,网络设备管理责任和管理规范,网络设施的日志管理,网络流量异常监控,防火墙,IPS/IDS ,网络准入,漏洞扫描,敏感信息传输加密,关键设施的冗余设计等。
- 网络服务(如宽带服务、VPN服务、防火墙和入侵检测系统等),在服务协议中应明确服务的安全机制、服务级别和管理要求。
- 组织内部网络应做分区管理,可以通过物理隔离或逻辑隔离将组织内部网络分成不同的网络域。
实施本控制应输出的文档:
- 《网络安全管理规范》。
- 网络安全规划、网络拓扑图、网络安全设施清单。
- 网络服务协议。
本控制审核要点:
- 了解组织网络安全规划和实施情况,网络安全设施,是否风险处置一致。
- 审核网络服务协议中中是否有明确服务的安全机制、服务级别和管理要求。
- 查看网络拓扑图,审核网络分区管理情况,敏感区域(研发、生产、机房)网络是否有做隔离,同时敏感区域是否于普通办公区域网络有隔离。
