收藏
下载资源

信息系统安全计划

上传人:tia****nde 文档编号:33477364 上传时间:2018-02-15 格式:DOC 页数:10 大小:23KB
返回 下载 相关 举报
信息系统安全计划_第1页
第1页 / 共10页
信息系统安全计划_第2页
第2页 / 共10页
信息系统安全计划_第3页
第3页 / 共10页
信息系统安全计划_第4页
第4页 / 共10页
信息系统安全计划_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《信息系统安全计划》由会员分享,可在线阅读,更多相关《信息系统安全计划(10页珍藏版)》请在金锄头文库上搜索。

1、第 1 页信息系统安全计划信息系统安全规划建议书目录1.总论1.1.1.2.1.3.3项目背景3项目目标3依据及原则.3原则.31.3.2.依据.41.4.项目范围52.3.总体需求.6项目建议.63.1.信息系统安全现状评估与分析61.3.1.评估目的.63.1.2.评估内容及方法.3.1.3.实施过程.113.2.信息系统安全建设规划方案设计13.2.1.设计目标.13.2.2.主要工作.183.2.3.所需资源.203.2.4.阶段成果.204.附录.204.1.项目实施内容列表及报价清单.203.1.1.1.总论1.1.项目背景*(以下简称“*”)隶属*,主要工作职责是根据的授权,负责

2、;负责等工作。*作为*部门,在印前,需要对。在整个业务流程中信息系统起了关键的作用。1.2.项目目标以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合*信息系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信息系统安全防护能力。从技术与管理上提高*网络与信息系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信息系统安全稳定运行,确保业务数据安全。1.3.

3、依据及原则1.3.1.原则以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务、信息系统,在方案设计中遵循以下的原则:适度安全原则从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,同时综第 2 页合成本,针对信息系统的实际风险,提供对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。技术管理并重原则把技术措施和管理措施有效结合起来,加强*信息系统的整体安全性。

4、标准性原则信息安全建设是非常复杂的过程,在规划、设计信息安全系统时,单纯依赖经验是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析。同时,在规划、设计*信息安全保护体系时应考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性。动态调整原则信息安全问题不是静态的,它总是随着*的安全组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施。成熟性原则本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能

5、够解决安全问题并在很多项目中有成功应用的。科学性原则在对*信息系统进行安全评估的基础上,对其面临的威胁、弱点和风险进行了客观评价,因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决*信息网络中存在的安全问题,满足特性需求。1.3.2.依据1.3.2.1.政策文件关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知(中办20*27号文件)关于印发信息安全等级保护工作的实施意见的通知(公通字20*6第 3 页6号文件)关于印发信息安全等级保护管理办法的通知(公通字20*43号文件)信息安全等级保护管理办法(公通字20*43号)关于开展全国重要信息系

6、统安全等级保护定级工作的通知(公信安20*861号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20*1429号)1.3.2.2.标准规范计算机信息系统安全保护等级划分准则(GB/T17859-1999)信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全保护等级定级指南(GB/T22240-20*)信息安全技术信息系统安全等级保护基本要求(GB/T22239-20*)信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评过程指南信息安全技术信息系统等级保护安全设计技术要求1.4.项目范围按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,

7、将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。依据信息系统安全等级保护基本要求(以下简称基本要求),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。根据*现状和*规划,确定本项目主要建设内容包括:网络结构调整、物理安全建设、主机及应用系统安全建设、数据存储与备份安全建设、终端安全建设、运行及优化等。篇二:20*年信息系统安全等级保护工作实施方案。局20*年信息系统安全等级保护工作实施方案20*年4月25日市局组织全市系统信息线召开了

8、市OA信息系统安全等级保护工作会议第 4 页,为贯彻落实会议与文件精神,做好我局信息系统安全等级保护工作,提高信息系统安全保障能力和水平,结合我单位实际,制定此工作实施方案。一、等级保护工作的内容和目的信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息系统安全等级保护工作内容的核心是对信息系统安全定级、按标准进行建设、管理和监督。信息系统安全等级定级共分五级。1.第一级为自主保护级,适用于一般的信息和信息系统,

9、其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。2.第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。3.第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。4.第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害

10、。5.第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后第 5 页,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。开展信息系统安全等级保护工作,目的在于一是全面清理我局信息系统现状,提升信息系统安全意识和提高安全防范能力,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。二是提高我局信息和信息系统安全建设的整体水平,有利于在我局信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,优化信息安全资源的配置。三是明确信息系统建设与管理部门、人员的信息安全责任,加强信

11、息系统安全建设和监管,形成信息系统安全保障和监管体系,保障信息系统的可持续发展。二、等级保护工作定级对象等级保护工作定级对象为具有独立业务应用的各类信息系统。信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。具体分三类:一是各种信息系统运行的支撑系统。如网络平台等。二是各种业务管理信息系统。如教务管理系统,OA系统等。三是各类信息发布系统。如网站等。三、工作任务和时间安排1、5月底前由信息办全面梳理我局信息系统,对已建设、使用的信息系统逐一进行摸底自查,进行等级保护定级。2、6月至8月间由省发展测评公司现场检查,再根据省发展

12、测评公司的测评问题进行整改。第 6 页3、我局对使用的OA系统,根据市局的会议要求及我局实际情况定为二级申报信息系统的安全保护等级定级材料。由信息办按附件2信息系统安全等级保护定级报告和附件3信息系统安全等级保护备案表的要求填写申报材料。并于11月25日以前,将定级材料电子稿上传至市局。5、定级材料上报备案。由分管局领导对信息系统的定级材料进行审核,确定信息系统等级保护级别后,于9月底前将我局信息系统的定级备案材料报市局信息办,由市局信息办统一到市公安机关进行定级备案。6、迎接上级检查。20*年,省教育厅将对各高校信息系统安全等级保护工作进行专项工作检查。四、工作要求1、提高认识,明确机构。各

13、部门要高度重视,将信息系统等级保护工作作为增强网络信息安全管理水平、化解网络信息安全责任风险的重要手段,我局由分管局局长领导,信息办副科长负责组织实施,*为安全员,*为网络管理员,*为系统管理员,其他相关部门积极配合,切实保障信息系统安全。2、加强管理,有序推进。信息系统定级工作完成后,信息办要按照相应的技术标准和要求,拿出切实可行的整改措施和方案,有计划地推动信息系统安全等级保护工作的开展。信息办要以此为契机,加大力度,着力推进我局信息化工作的建设与发展。要安排专项工作经费并纳入年度预算,确保信息系统持续可靠运行。市局20*7428篇三:信息系统安全措施和应急处理方案。第 7 页无锡市金茂服

14、装有限公司信息系统安全措施和应急处理方案为加强我司信息系统的管理,确保信息系统的安全运行,提高应对突发事件的能力,保证我司正常的业务联系和生产资料,促进信息系统在我司的应用和发展,特制定了系统安全措施和应急处理预案:一、成立计算机信息系统应急领导小组组长:徐珽成员:戎斌、单船兰、吴建美职责:领导小组负责全司突发事件的“应急预案”实施和全司信息系统日常安全运行管理的组织协调及决策工作。二、应急预案通报制度1、信息系统应用科室发现信息系统(大面积或者全部局域网电脑)或供电系统故障,应及时立即通知科室负责人,科室负责人应立即通知办公室、生产各部门、后勤科,办公室即刻通报领导小组决定备份或全部启动应急

15、预案。2、办公室或后勤科应在15分钟之内初步查明故障原因、所需恢复时间,并通知相关科室负责人,必要时及时向领导小组报告。3、办公室或后勤科应在故障排除后,立即报告领导小组,请求结束“应急预案”的实施,领导小组决定停止应急预案时,由办公室及时通知各相关科室办公室或后勤科应在事后将详细的故障原因及处理结果报告领导小组。5、对无法在1个小时内恢复的故障,须立即通过电话分别向公司产业部、业务部、经理室汇报;故障恢复后再通过电话分别公司产业部、业务部、经理室。三、信息系统故障的应急措施各相关科室在获知发生信息系统故障后,立即采取如下措施:1、信息科应首先确保数据库安全,并采取措施防止故障进一步扩大,在有

16、备用设备的情况下应及时启用备用设备替换故障设备。第 8 页2、对现有技术条件或设备无法确定故障原因的,应立即联系相关硬件和软件供应商或向相关专家请求支援。3、各窗口科室设置“计算机故障”告示牌,并立即转入手工作业状态,科室负责人及时到现场进行组织协调,尽量不影响车间生产。5、对信息系统故障期间产生的手工数据,视情况在故障排除后予以补录。人民医院计算机管理系统应急控制规范HIS管理系统应急控制规范是指当系统的计算机或网络系统发生故障,HIS无法正常处理业务时,通过手工的方式进行业务处理的一种紧急措施的规范。医院信息系统故障原因各异,有的因为区域的网络链路中断,有的因为磁盘阵列老化,还有因为UPS故障导致信息系统不能正常使用。不能被动地应对医院信息系统故障,而是预防为主,应急方案为辅。在发生故障时,在规定时间内暂时无法解决的,经医院信息安全小

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号