XXXX公司信息系统安全保障体系规划方案

《XXXX公司信息系统安全保障体系规划方案》由会员分享，可在线阅读，更多相关《XXXX公司信息系统安全保障体系规划方案（103页珍藏版）》请在金锄头文库上搜索。

1、XXX信息系统平安保障体系规划方案V2.5文档信息文档名称XX管理信息系统平安保障体系规划方案保密级别商业秘密文档编号制作人制作日期复审人复审日期复审日期分发控制读者文档权限与文档的主要关系创立、修改、读取负责编制、修改、审核本技术方案WWWWWWWW阅读版本控制时间版本说明修改人V1.0文档初始化V2.5修改完善目 录1.概述51.1.引言51.2.背景51.2.1.XXXX行业行业相关要求51.2.2.国家等级保护要求61.2.3.三个体系自身业务要求71.3.三个体系规划目标71.3.1.平安技术和平安运维体系规划目标71.3.2.平安管理体系规划目标81.4.技术及运维体系规划参考模型

2、及标准101.4.1.参考模型101.4.2.参考标准121.5.管理体系规划参考模型及标准121.5.1.国家信息平安标准、指南121.5.2.国际信息平安标准131.5.3.行业标准132.技术体系建设规划142.1.技术保障体系规划142.1.1.设计原那么142.1.2.技术路线142.2.信息平安保障技术体系规划152.2.1.平安域划分及网络改造152.2.2.现有信息技术体系描述242.3.技术体系规划主要内容292.3.1.网络平安域改造建设规划292.3.2.网络平安设备建设规划322.3.3.CA认证体系建设402.3.4.数据平安保障422.3.5.终端平安管理452.3

3、.6.备份与恢复462.3.7.平安运营中心建设472.3.8.周期性风险评估及风险管理482.4.技术体系建设实施规划492.4.1.平安建设阶段492.4.2.建设工程规划503.运维体系建设规划513.1.风险评估及平安加固513.1.1.风险评估513.1.2.平安加固513.2.信息平安运维体系建设规划513.2.1.机房平安规划513.2.2.资产和设备平安523.2.3.网络和系统平安管理553.2.4.监控管理和平安管理中心603.2.5.备份与恢复613.2.6.恶意代码防范623.2.7.变更管理633.2.8.信息平安事件管理643.2.9.密码管理673.3.运维体系建

4、设实施规划683.3.1.平安建设阶段683.3.2.建设工程规划684.管理体系建设规划704.1.体系建设704.1.1.建设思路704.1.2.规划内容714.2.信息平安管理体系现状724.2.1.现状724.2.2.问题744.3.管理体系建设规划754.3.1.信息平安最高方针754.3.2.风险管理764.3.3.组织与人员平安764.3.4.信息资产管理794.3.5.网络平安管理914.3.6.桌面平安管理934.3.7.效劳器管理934.3.8.第三方平安管理954.3.9.系统开发维护平安管理974.3.10.业务连续性管理984.3.11.工程平安建设管理1004.3.

5、12.物理环境平安1024.4.管理体系建设规划1034.4.1.工程规划1034.4.2.总结1041. 概述1.1. 引言本文档基于对XX股份公司以下简称“XX股份公司工业信息平安风险评估总体规划的分析，提出XX股份公司管理信息平安技术工作的总体规划、目标以及根本原那么，并在此根底上从信息平安保障体系的视角描绘了未来的信息平安总体架构。本文档内容为信息平安技术体系、运维体系、管理体系的评估和规划，是信息平安保障体系的主体。1.2. 背景1.2.1. XXXX行业行业相关要求国家XXXX行业总局一直以来十分重视信息平安管理工作，先后下发了涉及保密计算机运行、等级保护定级等多个文件，在2021

6、年下发了147号文?XXXX行业行业信息平安保障体系建设指南?，指南从技术、管理、运维三个方面对平安保障提出了建议，如以下图所示。图 1_1行业信息平安保障体系框架1.2.2. 国家等级保护要求等级保护工作作为我国信息平安保障工作中的一项根本制度，对提高根底网络和重要信息系统平安防护水平有着重要作用，国家XXXX行业专卖局在2021年8月下发了国烟办综2021358号文?国家XXXX行业专卖局办公室关于做好XXXX行业行业信息系统平安等级定级工作的通知?，而在?信息系统平安等级保护根本要求?中对信息平安管理和信息平安技术也提出了要求，如以下图所示。图 1_2等保根本要求框架图1.2.3. 三个

7、体系自身业务要求在国家数字XXXX行业政策的引导下，近年来信息系统建设日趋完善，尤其是随着国家局统一建设的一号工程的上线，业务系统对信息系统的依赖程度逐渐增加，信息系统的重要性也逐渐提高，其平安保障就成为了重点。此外，除了一号工程外，信息系统的重要组成局部还有MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统卷包中控系统、物流中控系统、制丝中控系统、动力中控系统等。企业生产已经高度依赖于企业的信息化和各信息系统。信息系统现阶段还无法到达完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。在整个信息系统运行的过程中，起主导作用的仍然是人，是各

8、级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。信息平安运维体系的作用是在平安管理体系和平安技术体系的运行过程中，发现和纠正各类平安保障措施存在的问题和缺乏，保证它们稳定可靠运行，有效执行平安策略规定的目标和原那么。当运行维护过程中发现目前的信息平安保障体系不能满足本单位信息化建设的需要时，就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断开展和变化的平安需求。这也仍遵循和完善了PDCA原那么。1.3. 三个体系规划目标1.3.1. 平安技术和平安运维体系规划目标建立技术体系的目的是通过使用平安产品和技术，支撑和实现平安策略

9、，到达信息系统的保密、完整、可用等平安目标。按照P2DR2模型，行业信息平安技术体系涉及信息平安防护、检测、响应和恢复四个方面的内容：1) 防护：通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等平安控制措施，使信息系统具备比拟完善的抵抗攻击破坏的能力。2) 检测：通过采取入侵检测、漏洞扫描、平安审计等技术手段，对信息系统运行状态和操作行为进行监控和记录，对信息系统的脆弱性以及面临的威胁进行评估，及时发现平安隐患和入侵行为并发出告警。3) 响应：通过事件监控和处理工具等技术措施，提高应急处理和事件响应能力，保证在平安事件发生后能够及时进行分析、定位、跟踪、排除和取证。4) 恢复

10、：通过建立信息系统备份和恢复机制，保证在平安事件发生后及时有效地进行信息系统设施和重要数据的恢复。1.3.2. 平安管理体系规划目标本次工程通过风险评估对XX股份公司工业自身平安管理现状进行全面了解后，对信息平安管理整体提出以下目标：1.3.2.1. 健全信息平安管理组织建立全面、完整、有效的信息平安保障体系，必须健全、完善信息平安管理组织，这是XX股份公司管理信息平安保障体系建立的首要任务。信息平安管理组织的健全需要明确角色模型，在此根底上设计信息平安岗位职责和汇报关系，充分考虑XX股份公司工业与下属单位的组织模式和特点，做到信息平安职责分工明确合理、责任落实到位。1.3.2.2. 建立信息

11、平安专业效劳团队随着XX股份公司管理信息化的推进，XX股份公司工业需要有一支拥有各种专业技能的团队提供身份认证、平安监控、威胁和弱点管理、风险评估等信息平安效劳。信息平安团队建设的关键在于人才培养和效劳团队的设立。XX股份公司工业将在明确信息平安效劳团队设立方案的根底上制定人才培养方案，逐步培养在信息平安各个领域的专业技术人才，在3-5年的时间内建立起一支高素质的，能够满足XX股份公司管理信息平安需求的专业效劳团队。1.3.2.3. 建立完善的信息平安风险管理流程作为XX股份公司管理信息平安保障体系的根本理念之一，信息平安风险管理的实现需要建立完善的流程，XX股份公司工业将建立针对信息平安风险

12、的全程管理能力和信息平安管理持续改良能力，将信息平安的管理由针对结果的管理变成针对过程的管理。XX股份公司管理信息平安风险管理流程需要覆盖需求分析、控制实施、运行监控、响应恢复四个环节，识别相应的信息平安风险管理核心流程，并进行流程设计和实施。1.3.2.4. 完善信息平安制度与标准信息平安制度与标准是信息平安工作在管理、控制、技术等方面制度化、标准化后形成的一整套文件。XX股份公司工业已经制定并发布执行了一些信息平安相关的制度和标准，但是在完整性、针对性、可用性和执行效果方面都有较大的改良空间。例如在信息平安管理制度的上，没有依据?XXXX行业行业信息平安保障体系建设指南?或者是ISMS体系

13、建设等标准和标准制定，从而使管理规定缺乏系统性。在前期调研中，发现只有?系统支持和维护管理控制程序?、?信息设备及软件控制程序?等少量管理文档，缺乏以满足XX股份公司工业对整个信息系统平安管理的需求。XX股份公司工业需要有方案的逐步建立一套完整的，可操作的信息平安制度与标准，并通过对执行效果的持续跟踪，不断完善，以形成一套真正符合XX股份公司工业需求、完整有效的信息平安制度与标准，为信息平安工作的开展提供依据和指导。1.3.2.5. 建立标准化的流程随着信息化建设的推进，XX股份公司工业需要建设越来越多的应用系统，这些系统目前日常维护工作根本依靠系统维护人员的经验，因此逐步建立专业化的信息平安

14、效劳和标准化的流程成为信息平安保障体系建立的重要目标之一。1.4. 技术及运维体系规划参考模型及标准1.4.1. 参考模型目前平安模型已经从以前的被动保护转到了现在的主动防御，强调整个生命周期的防御和恢复。PDR模型就是最早提出的表达这样一种思想的平安模型。所谓PDR模型指的就是基于防护Protection、检测Detection、响应Reaction的平安模型。上个世纪90年代末，ANS联盟在PDR模型的根底上建立了新的P2DR模型。该模型是可量化、可由数学证明、基于时间的、以PDR为核心的平安模型。这里P2DR2是策略Policy、防护Protection、检测Detection、响应Response、恢复Recovery的缩写。如以下图所示。ProtectionDetectionResponseRecoveryPolicy图 1_2 P2DR2模型 策略Policy策略是P2DR模型的核心，所有的防护、检测、响应都是依据策略。它描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。 防护Protection防护是主动防御的防御局部，系统的平安最终是依靠防护来实现的。防护的对象涵盖了