关于安全项目建设及落地实施基本原则

一、安全项目建设的依据来源
主要从三个方面说明
1、法律合规。主要包含《网络安全法》《数据安全法》《个人信息保护法》、等级保护2.0、主管监管单位及行业协会下发的安全实施细则等
2、第三方审计。如ISO27001认证；内部安全审计等
3、安全风险评估。如季度安全扫描，暴露面安全风险，主机/pc周期运行风险，行业或公司安全事件等
二、落地实施原则
从可用性、供应链安全、人员安全、网络安全方面进行
1、可用性安全。具体体现在，新增项目避免物理串联在网络架构中、端/虚拟机/容器/云主机安全端防护，尽可能轻量化，业务时间段安全策略采取安全打开原则。
2、供应链安全。从产品选型与供应商做好风险管理。实时安全策略更新单向从供应商获取，避免将安全设备的端口或服务开放给供应商。关注供应商安全风险，及时跟进漏洞及风险处置。
3、人员安全。安全管理人员安全，背景、培训和制度保障安全设备被安全管理；供应商实施人员安全，资质、经验和签订保密协议保障安全项目实施安全。
4、网络安全。由于大部分安全设备属于集权类系统，所以在系统的安全控制上应遵循最小特权、需知原则。在其他系统交互加强网络策略管理，高危端口强管控。