信息安全管理体系规划与设计方案Word格式文档下载.docx
《信息安全管理体系规划与设计方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系规划与设计方案Word格式文档下载.docx(17页珍藏版)》请在冰豆网上搜索。
版本
修订记录
日期
修订
审核
批准
v1.0
制作文档
XXX-07-20
XXX
1概述
1.1信息安全建设思路
XXX信息化服务中心信息安全建设工作的总体思路如下图所示:
XXX信息化服务中心的信息安全建设由针对性安全问题和支撑性安全技术两条主线展开,这两条主线在安全建设的过程中的关键节点又相互衔接和融和,最终形成一个完整的安全建设方案,并投入实施。
首先,XXX信息化服务中心的信息化建设是基于当前通用的网络与信息系统基础技术,这使得信息化建设和安全技术有了一个共同的基础,使得XXX信息化服务中心的针对性安全需求与通用的安全解决技术和方案有了一定的共通点和结合点。
在这个基础上,通过安全评估,对信息化建设和信息安全建设进行分析和总结,其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今后可能存在的安全问题,明确网络和信息系统运营所面临的安全风险级别。
从支撑性安全技术的主线展开,对现有网络和信息技术的固有缺陷出发,总结了普遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从信息安全领域的完整框架、思路、技术和理念出发,提供完整的安全建设思路和方法。
在此基础之上,两条主线进入融和的阶段。
信息安全领域的理论、框架和技术基础与XXX信息化服务中心的安全问题有机地进行结合,有针对性地提出XXX信息化服务中心安全保障总体策略。
在这个安全保障总体策略中,包括了整体建设目标,安全技术策略,以及相应的管理策略。
总体安全策略一方面充分体现了XXX信息化服务中心对自身信息化建设中安全问题的针对性,另一方面也充分基于现有的信息安全领域的安全模型和技术支持能力,因此具备了可行性、针对性和前瞻性。
以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制定,包括安全技术体系,安全管理体系和运营保障体系。
在现实的运营过程中,安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来提高整体安全性效果。
在信息安全体系框架的指导下,依据相应的建设标准和管理规范,规划和制定详细的信息安全系统实施方案和运营维护计划。
为了更加稳妥地进行全面的信息安全建设,在信息安全系统实施过程中首先进行试点项目建设,在试点项目建设中进一步积累经验,并对某些实施方案的细节进行调整,为建设实施顺利地全面开真打下基础。
信息安全体系建设的思路体现了以下的特点:
⏹统筹规划和设计在建设过程中占有非常重要的地位;
⏹充分结合建设现状与信息安全通用技术和理念;
⏹充分考虑了当前的建设现状以及未来业务发展的需要;
⏹注重安全管理体系的建设,以及管理、技术和保障的相互结合;
⏹采取试点工程计划,使得信息安全建设实施更加稳妥。
1.2信息安全建设内容
XXX信息化服务中心的信息安全建设所涉及的工作内容包括以下部分。
1.2.1建立管理组织机构
建立专职的信息安全监管机构,明确各级管理机构的人员岗位配置和职能权限,全面负责信息安全建设工作和维护信息安全系统的运营。
1.2.2物理安全建设
按照国家对于计算机机房的相关建设标准,制定统一的计算机机房建设标准和管理规范,对于计算机机房建设中的环境参数、保障机制,以及运行过程中的人员访问控制、监控措施等进行统一约定,颁布统一的计算机机房管理制度,对设备安全管理、介质安全管理、人员安全管理等作出详细的规定。
1.2.3网XXX全建设
网XXX全是信息安全保障的重点,制定统一的网络结构技术标准,对如何划分内部信息系统的安全区域,安全区域的边界采取的隔离措施,进行约定,保证内部网络与外部网络、办公网与业务生产网之间的安全隔离。
制定统一的互联网接入点、外联网接入点的技术标准和管理规范,统一约定网络边界接入点的网络结构、安全产品的部署模式,保证内部网络与外部网络之间的安全隔离。
制定统一的远程移动办公技术标准和管理规范,保证远程移动办公接入的安全性。
制定统一的网XXX全系统建设标准和管理规范,包括防火墙、网络入侵检测、网络脆弱性分析、网络层加密等。
1.2.4系统安全建设
系统安全的工作内容包括制定统一的系统安全管理规范,包括主机入侵检测、系统安全漏洞分析和加固,提升服务器主机系统的安全级别。
制定统一的网络病毒查杀系统的建设标准和管理规范,有效抑制计算机病毒在内部网络和信息系统中的传播和蔓延。
1.2.5应用安全建设
应用安全机制在应用层为业务系统提供直接的安全保护,能够满足身份认证、用户授权与访问控制、数据安全传输等安全需求。
制定统一的身份认证、授权与访问控制、应用层通信加密等应用层安全系统的建设标准和管理规范,改善业务应用系统的整体安全性。
1.2.6系统和数据备份管理
系统和数据备份是重要的安全保障机制,为了保障业务数据的安全性,降低突发意外事件所带来的安全风险,制定统一的系统和数据备份标准与规范,采取先进的数据备份技术,保证业务数据和系统软件的安全性。
1.2.7应急响应管理
制定统一的应急响应计划标准,建立应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。
在发生安全事件后,尽快作出适当的响应,将安全事件的负面影响降至最低,保障金融业务正常运转。
1.2.8灾难恢复管理
灾难是指对网络和信息系统造成任何破坏作用的意外事件,要制定详细的灾难恢复计划,考虑到数据大集中的安全需求,采用异地容灾备份等技术,确保数据的安全性和业务的持续性,在灾难发生后,尽快完成恢复。
1.2.9人员管理和教育培训
制定统一的人员安全管理和教育培训规范,定期对信息系统的用户进行安全教育和培训,对普通用户进行基本的安全教育,对安全技术岗位的用户进行岗位技能培训,提高全员的安全意识,培养高素质的安全技术和管理队伍。
1.3信息安全建设原则
信息安全体系的建设,涉及面广、工作量大,必须坚持以下的原则,保证建设和运营的效果。
1.3.1统一规划
要对信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。
同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。
1.3.2分步有序实施
信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行。
1.3.3技术管理并重
仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性,XXX信息化服务中心信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。
制定统一的安全建设管理规范,指导的安全管理工作。
1.3.4突出安全保障
信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。
2信息安全建设基本方针
XXX信息化服务中心信息安全体系建设的基本安全方针是“统一规划建设、全面综合防御、技术管理并重、保障运营安全”。
统一规划建设,突出了进行统筹规划的重要性,提供了的安全建设所需的统一技术标准、管理规范,以及实施步骤的安排,也保证了人员和资金的投入。
全面综合防御,是指在技术层面上,综合使用了多种安全机制,将不同安全机制的保护效果有机地结合起来,构成完整的立体防护体系。
技术管理并重,突出了安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系与技术防护体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,实现了最佳的保护效果。
保障运营安全,突出了安全保障的重要性,利用多种安全保障机制,保障了网络和信息系统的运行安全,也保障了业务的持续性和业务数据的安全性。
3信息安全建设目标
根据XXX信息化服务中心信息安全体系建设的基本方针,XXX信息化服务中心信息安全的建设目标,可以用“一个目标、两种手段、三个体系”进行概括。
3.1一个目标
XXX信息化服务中心信息安全的建设目标是:
基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高XXX信息化服务中心信息系统的整体安全等级,为XXX信息化服务中心的业务发展提供坚实的信息安全保障。
3.2两种手段
信息安全体系的建设应该包括安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
3.3三个体系
XXX信息化服务中心信息安全体系的建设最终形成3个主要体系,具体包括安全技术体系、安全管理体系、以及运行保障体系。
4信息安全体系建立的原则
XXX信息化服务中心信息安全体系的设计与建设过程,遵循了以下基本指导原则。
4.1标准性原则
尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,包括在技术框架中与具体的信息安全技术相关的标准,以及在管理框架中与安全管理相关的标准。
标准性原则从根本上保证了XXX信息化服务中心的信息安全体系建设具有良好的全面性、标准性、和开放性。
4.2整体性原则
从宏观的、整体的角度出发,系统地建设XXX信息化服务中心信息安全体系,不仅仅局限于安全技术层面,或者技术层面中孤立的安全技术,而是全面构架信息安全技术体系,覆盖从物理安全、通信和网XXX全、主机系统安全、到数据和应用系统安全各个层面。
同时,建立全面有效的安全管理体系和运行保障体系,使得安全技术体系发挥最佳的保障效果。
4.3实用性原则
建立信息安全体系,必须针对XXX信息化服务中心网络和信息系统的特点,在现状分析和风险评估的基础上有的放矢地进行,不能简单地照抄照搬其它的信息安全保障方案。
同时,信息安全体系中的所有内容,都被用来指导XXX信息化服务中心信息安全系统的建设和管理维护等实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。
实用性还体现在信息安全体系的建设过程中,由于内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行建设。
4.4先进性原则
信息安全体系中所涉及的安全技术和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,XXX信息化服务中心的信息安全系统建设的需要,为网络和信息系统提供有效的安全服务保障。
5信息安全策略
信息安全策略是信息安全建设的核心,它描述了在信息安全建设过程中,需要对哪些重要的信息资产进行保护,以及如何进行保护。
在对XXX进行的安全风险评估的基础之上,明确了信息安全建设工作的内容和重点,并形成了指导信息安全建设的《XXX-信息安全总体策略》,总体策略的设计坚持了管理与技术并重的原则,以确保网络和信息系统的安全性为主,采用多重保护、最小授权、和严格管理等措施,从宏观整体的角度进行阐述,是信息安全建设总的指导原则。
按照要保障的资产对象的不同,总体策略划分为物理安全、网XXX全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。
随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保
升级会员 