《XXXX公司信息系统安全保障体系规划方案》由会员分享,可在线阅读,更多相关《XXXX公司信息系统安全保障体系规划方案(131页珍藏版)》请在金锄头文库上搜索。
1、XXX信息系统统安全保保障体系系规划方方案V2.55文档信息息文档名称称XX管理理信息系系统安全全保障体体系规划划方案保密级别别商业秘密密文档编号号制作人制作日期期复审人复审日期期复审日期期分发控制制读者文档权限限与文档的的主要关关系创建、修修改、读读取负责编制制、修改改、审核核本技术术方案WWWWWWWWWW阅读版本控制制时间版本说明修改人V1.00文档初始始化V2.55修改完善善目 录录1.概述述51.1.引言51.2.背景51.2.1.XXXXXX行业行行业相关关要求551.2.2.国国家等级级保护要要求61.2.3.三三个体系系自身业业务要求求71.3.三个体体系规划划目标771.3.
2、1.安安全技术术和安全全运维体体系规划划目标771.3.2.安安全管理理体系规规划目标标81.4.技术及及运维体体系规划划参考模模型及标标准1001.4.1.参参考模型型101.4.2.参参考标准准121.5.管理体体系规划划参考模模型及标标准1221.5.1.国国家信息息安全标标准、指指南1221.5.2.国国际信息息安全标标准1331.5.3.行行业规范范132.技术术体系建建设规划划142.1.技术保保障体系系规划1142.1.1.设设计原则则142.1.2.技技术路线线142.2.信息安安全保障障技术体体系规划划152.2.1.安安全域划划分及网网络改造造152.2.2.现现有信息息技
3、术体体系描述述242.3.技术体体系规划划主要内内容2992.3.1.网网络安全全域改造造建设规规划2992.3.2.网网络安全全设备建建设规划划322.3.3.CCA认证证体系建建设4002.3.4.数数据安全全保障4422.3.5.终终端安全全管理4452.3.6.备备份与恢恢复4662.3.7.安安全运营营中心建建设4772.3.8.周周期性风风险评估估及风险险管理4482.4.技术体体系建设设实施规规划4992.4.1.安安全建设设阶段4492.4.2.建建设项目目规划5503.运维维体系建建设规划划513.1.风险评评估及安安全加固固513.1.1.风风险评估估513.1.2.安安全
4、加固固513.2.信息安安全运维维体系建建设规划划513.2.1.机机房安全全规划5513.2.2.资资产和设设备安全全523.2.3.网网络和系系统安全全管理5553.2.4.监监控管理理和安全全管理中中心6003.2.5.备备份与恢恢复6113.2.6.恶恶意代码码防范6623.2.7.变变更管理理633.2.8.信信息安全全事件管管理6443.2.9.密密码管理理673.3.运维体体系建设设实施规规划6883.3.1.安安全建设设阶段6683.3.2.建建设项目目规划6684.管理理体系建建设规划划704.1.体系建建设7004.1.1.建建设思路路704.1.2.规规划内容容714.2
5、.信息安安全管理理体系现现状7224.2.1.现现状7224.2.2.问问题7444.3.管理体体系建设设规划7754.3.1.信信息安全全最高方方针7554.3.2.风风险管理理764.3.3.组组织与人人员安全全764.3.4.信信息资产产管理7794.3.5.网网络安全全管理9914.3.6.桌桌面安全全管理9934.3.7.服服务器管管理9334.3.8.第第三方安安全管理理954.3.9.系系统开发发维护安安全管理理974.3.10.业务连连续性管管理9884.3.11.项目安安全建设设管理11004.3.12.物理环环境安全全10224.4.管理体体系建设设规划11034.4.1.
6、项项目规划划10334.4.2.总总结10041. 概述1.1. 引言本文档基基于对XXX股份份公司(以以下简称称“XX股股份公司司工业”)信息息安全风风险评估估总体规规划的分分析,提提出XXX股份公公司管理理信息安安全技术术工作的的总体规规划、目目标以及及基本原原则,并并在此基基础上从从信息安安全保障障体系的的视角描描绘了未未来的信信息安全全总体架架构。本文档内内容为信信息安全全技术体体系、运运维体系系、管理理体系的的评估和和规划,是是信息安安全保障障体系的的主体。1.2. 背景1.2.1. XXXXX行业行行业相关关要求国家XXXXX行行业总局局一直以以来十分分重视信信息安全全管理工工作,
7、先先后下发发了涉及及保密计计算机运运行、等等级保护护定级等等多个文文件,在在20008年下下发了1147号号文XXXXXX行业行行业信息息安全保保障体系系建设指指南,指指南从技技术、管管理、运运维三个个方面对对安全保保障提出出了建议议,如下下图所示示。图 1_1行业信信息安全全保障体体系框架架1.2.2. 国家等级级保护要要求等级保护护工作作作为我国国信息安安全保障障工作中中的一项项基本制制度,对对提高基基础网络络和重要要信息系系统安全全防护水水平有着着重要作作用,国国家XXXXX行行业专卖卖局在220088年8月月下发了了国烟办办综2200883558号文文国家家XXXXX行业业专卖局局办公
8、室室关于做做好XXXXX行行业行业业信息系系统安全全等级定定级工作作的通知知,而而在信信息系统统安全等等级保护护基本要要求中中对信息息安全管管理和信信息安全全技术也也提出了了要求,如如下图所所示。图 1_2等保基基本要求求框架图图1.2.3. 三个体系系自身业业务要求求在国家数数字XXXXX行行业政策策的引导导下,近近年来信信息系统统建设日日趋完善善,尤其其是随着着国家局局统一建建设的一一号工程程的上线,业业务系统统对信息息系统的的依赖程程度逐渐渐增加,信信息系统统的重要要性也逐逐渐提高高,其安安全保障障就成为为了重点点。此外外,除了了一号工工程外,信信息系统统的重要要组成部部分还有有MESS
9、系统、EERP系系统、网网站系统统、工商商协同营营销系统统、LIIMS系系统、OOA系统统及生产产系统(卷卷包中控控系统、物物流中控控系统、制制丝中控控系统、动动力中控控系统)等等。企业业生产已已经高度度依赖于于企业的的信息化化和各信息系系统。信息系统统现阶段段还无法法达到完完全的自自动化和和智能化化运行。因因此需要要各级技技术人员员对信息息系统进进行运行行和维护护。在整整个信息息系统运运行的过过程中,起起主导作作用的仍仍然是人人,是各各级管理理员。设设备的作作用仍然然仅仅停停留在执执行层面面。因此此信息系系统的稳稳定运行行的决定定因素始始终都在在于人员员的操作作。信息息安全运运维体系系的作用
10、用是在安安全管理理体系和和安全技技术体系系的运行行过程中中,发现现和纠正正各类安安全保障障措施存存在的问问题和不不足,保保证它们们稳定可可靠运行行,有效效执行安安全策略略规定的的目标和和原则。当当运行维维护过程程中发现现目前的的信息安安全保障障体系不不能满足足本单位位信息化化建设的的需要时时,就可可以对保保障体系系进行新新的规划划和设计计。从而而使新的的保障体体系能够够适应企企业不断断发展和和变化的的安全需需求。这这也仍遵遵循和完完善了PPDCAA原则。1.3. 三个体系系规划目目标1.3.1. 安全技术术和安全全运维体体系规划划目标建立技术术体系的的目的是是通过使使用安全全产品和和技术,支支
11、撑和实实现安全全策略,达达到信息息系统的的保密、完完整、可可用等安安全目标标。按照照P2DDR2模模型,行行业信息息安全技技术体系系涉及信信息安全全防护、检检测、响响应和恢恢复四个个方面的的内容:1) 防护:通通过访问问控制、信信息系统统完整性性保护、系系统与通通信保护护、物理理与环境境保护等等安全控控制措施施,使信信息系统统具备比比较完善善的抵抗抗攻击破破坏的能能力。2) 检测:通通过采取取入侵检检测、漏漏洞扫描描、安全全审计等等技术手手段,对对信息系系统运行行状态和和操作行行为进行行监控和和记录,对对信息系系统的脆脆弱性以以及面临临的威胁胁进行评评估,及及时发现现安全隐隐患和入入侵行为为并
12、发出出告警。3) 响应:通通过事件件监控和和处理工工具等技技术措施施,提高高应急处处理和事事件响应应能力,保保证在安安全事件件发生后后能够及及时进行行分析、定定位、跟跟踪、排排除和取取证。4) 恢复:通通过建立立信息系系统备份份和恢复复机制,保保证在安安全事件件发生后后及时有有效地进进行信息息系统设设施和重重要数据据的恢复复。1.3.2. 安全管理理体系规规划目标标本次项目目通过风风险评估估对XXX股份公公司工业业自身安安全管理理现状进进行全面面了解后后,对信信息安全全管理整整体提出出以下目目标:1.3.2.1. 健全信息息安全管管理组织织建立全面面、完整整、有效效的信息息安全保保障体系系,必
13、须须健全、完完善信息息安全管管理组织织,这是是XX股股份公司司管理信信息安全全保障体体系建立立的首要要任务。信息安全全管理组组织的健健全需要要明确角角色模型型,在此此基础上上设计信信息安全全岗位职职责和汇汇报关系系,充分分考虑XXX股份份公司工工业与下下属单位位的组织织模式和和特点,做做到信息息安全职职责分工工明确合合理、责责任落实实到位。1.3.2.2. 建立信息息安全专专业服务务团队随着XXX股份公公司管理理信息化化的推进进,XXX股份公公司工业业需要有有一支拥拥有各种种专业技技能的团团队提供供身份认认证、安安全监控控、威胁胁和弱点点管理、风风险评估估等信息息安全服服务。信息安全全团队建建
14、设的关关键在于于人才培培养和服服务团队队的设立立。XXX股份公公司工业业将在明明确信息息安全服服务团队队设立方方案的基基础上制制定人才才培养计计划,逐逐步培养养在信息息安全各各个领域域的专业业技术人人才,在在3-55年的时时间内建建立起一一支高素素质的,能能够满足足XX股股份公司司管理信信息安全全需求的的专业服服务团队队。1.3.2.3. 建立完善善的信息息安全风风险管理理流程作为XXX股份公公司管理理信息安安全保障障体系的的基本理理念之一一,信息息安全风风险管理理的实现现需要建建立完善善的流程程,XXX股份公公司工业业将建立立针对信信息安全全风险的的全程管管理能力力和信息息安全管管理持续续改
15、进能能力,将将信息安安全的管管理由针针对结果果的管理理变成针针对过程程的管理理。XX股份份公司管管理信息息安全风风险管理理流程需需要覆盖盖需求分分析、控控制实施施、运行行监控、响响应恢复复四个环环节,识识别相应应的信息息安全风风险管理理核心流流程,并并进行流流程设计计和实施施。1.3.2.4. 完善信息息安全制制度与标标准信息安全全制度与与标准是是信息安安全工作作在管理理、控制制、技术术等方面面制度化化、标准准化后形形成的一一整套文文件。XXX股份份公司工工业已经经制定并并发布执执行了一一些信息息安全相相关的制制度和标标准,但但是在完完整性、针针对性、可可用性和和执行效效果方面面都有较较大的改改进空间间。例如如在信息息安全管管理制度度的上,没没有依据据XXXXX
