信息安全等级保护体系建设方案Word格式文档下载.docx
《信息安全等级保护体系建设方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护体系建设方案Word格式文档下载.docx(16页珍藏版)》请在冰豆网上搜索。
(12)GB/T20273-2006信息安全技术数据库管理系统安全技术要求
(13)GB/T21052-2007信息安全技术信息系统物理安全技术要求
(14)GB/T21052-2006等级保护系列安全产品技术要求
(15)国家标准《电子计算机机房设计规范》(GB50174-93)
(16)国家标准《计算站场地安全技术》(GB9361-88)
(17)《中国工程建设标准化协会标准—建筑与建筑群综合布线系统工程设计规范》(CECS72:
95)
1.3.项目建设内容
首先,本次项目以满足国家信息系统等级保护的相关要求为实施指导原则,某信息化公司公司对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站这6个系统业务系统进行协助等保定级,并开展等保评估工作,对以后的人员组织结构调整、安全制度提供相应建议,并对其网络、应用和主机等方面进行整改规划实施,来使其具备良好的保密性、完整性、可用性。
通过对国家等级保护测评单位的测评;
再次,某信息化公司公司可配合用户单位,完成第三方测评单位对全部6个系统进行验收测评。
具体来讲,本项目的建设内容包括:
(1)依据国家信息系统等级保护要求,协助对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站进行定级,并开展等保评估工作。
(2)落实对该系统网络的网络架构安全整改规划和安全设备部署,配合用户完善安全管理制度、安全管理机构、人员安全管理等。
第2章.安全管理体系建设
2.1.总体安全体系建设
网络安全系统是整体的、动态的。
网络安全系统符合MPDRR模型(M-management,P-protect,D-detection,R1-response,R2-recovery),因此,要真正实现一个系统的安全,就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系。
建立安全整改方案正是基于信息系统安全等级保护要求及MPDRR模型构建的,符合网络安全系统整体性和动态性的特点。
它集各种安全技术产品和安全管理措施于一体,将多种网络安全技术和安全管理体系有机集成,实现安全产品之间的互通与联动,是一个统一的、可扩展的安全体系平台。
信息安全一般都是三分技术,七分管理。
管理是相当重要的。
2.2.安全管理层面
基于信息系统安全二级等级保护要求,对某市某单位的安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理进行管理体系建设。
以下为安全管理建议,仅供参考。
2.2.1.安全管理制度
序号
安全管理制度
1.
建立信息安全工作的总体方针和安全策略文件,明确机构安全工作的总体目标、范围、原则和安全框架等
2.
建立和完善各项安全管理制度,且覆盖范围包括物理、网络、主机系统、数据、应用、建设和管理等层面的各类管理内容
3.
建立全面的信息安全管理制度体系,由总体方针、安全策略、管理制度、操作规程等构成
4.
由专门的部门或人员负责制定安全管理制度
5.
对相关的管理制度制定统一的格式,并且进行版本控制
6.
对制定的安全管理制度进行论证和审定,论证和评审方式可通过会议或座谈会的形式进行,并且按照统一的格式标准或要求制定
2.2.2.安全管理机构
安全管理机构
建立专门的信息安全领导小组(即信息安全管理工作的职能部门),且明确小组成员的岗位及要求
建立岗位职责明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位,
对对关键事务的管理人员配备配备2人或2人以上共同管理,例如:
安全主管、机房管理员、系统管理员、网络管理员、安全管理员等
配备专职安全管理员,且不能与其它关键岗位兼任
规定对信息系统中的重要活动进行审批,包括审批部门、批准人,审批活动是否得到授权;
定期审查、更新审批项目
建立信息安全领导小组或者安全管理委员会,并定期召开例会,共同协助处理信息安全问题
7.
聘请安全顾问指导信息安全建设、参与安全规划和安全评审
8.
定期对信息系统进行全面安全检查,明确检查周期、检查内容有哪些
9.
建立安全检查制度,检查内容包括:
安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等
10.
制定安全检查表格实施安全检查,并记录归档以备后查
2.2.3.人员安全管理
人员安全管理
对从事关键岗位的人员需要签署岗位安全协议并明确安全责任
定期对关键岗位的人员进行全面、严格的安全审查和技能考核,内容包括:
安全知识、安全技能等,对关键岗位人员特殊的考核内容等,并保存考核内容及记录文档
制定培训计划并按计划对各个岗位人员进行安全教育和培训,并保存安全教育和培训记录
2.2.4.系统建设管理
系统建设管理
制定工程实施管理制度,内容包括:
工程实施过程的控制方法、实施参与人员的行为准则等方面内容
委托第三方测试机构对信息系统进行独立的安全性测试,且保留评审、测试验收报告等文档
对系统测试验收的控制方法和人员行为准则进行书面规定,包括交付过程的控制方法和对交付参与人员的行为限制等方面内容
2.2.5.系统运维管理
系统运维管理
建立相关安全管理制度,加强对办公环境的保密性管理,规范办公环境人员行为
对未对介质在物理传输过程中的人员选择、打包、交付等情况进行控制
对存储介质的使用过程、送出维修以及销毁的介质应首先清除介质中的敏感数据;
但规定对保密性较高的存储介质未经批准不得自行销毁
建立相关安全管理制度,对存储地的环境要求和管理方法制定详细的规定
建立相关安全管理制度,对重要介质中的数据和软件采取加密存储
建立相关安全管理制度,定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补
建立相关安全管理制度,对定期检查违反规定拨号上网或其他违反网络安全策略的行为做出明确规定
定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补
建立相关安全管理制度,对外来计算机做出详细的防病毒规定
建立相关安全管理制度,,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定
11.
建立相关安全管理制度,定期检查信息系统内各种产品的恶意代码库的升级情况
12.
建立变更控制的申报和审批文件化程序
13.
对计算机事件按等级划分
14.
建立相关安全管理制度,定期对系统相关的人员进行应急预案的培训
15.
建立相关安全管理制度,定期组织对应急预案进行演练
16.
建立相关安全管理制度,明确规定应急预案的审查周期
第3章.项目规划建设
3.1.总体工作计划
某信息化公司公司可协助某市某单位定级备案,首先对其系统现场等保评估,会对以后的组织结构调整、业务扩展有前瞻性的角度考虑,先对其进行等保评估,再进行整改实施,接着进行第三方测评,测评通过再验收。
但是本次项目主要对其进行定级配合工作和等测评评估,不包括等保整改。
3.2.系统差距评估
通过类似规模项目的经验,初步判断该项目协助定级工作为8人日(平均一个系统1个人日,还需2个人日进行整理);
测评评估总工时为48个工作日,投入人力为3个工程师。
该项目总计152人日,下面为系统定级差距测评计划(注6个系统在同一个物理地址)。
二级系统定级、测评评估工作预计计划
日期
(工作日)
时间
评估活动/评估单元
涉及部门/人员
系统定级(预计实施周期:
8天,1人投入)3000*60=18万25万。
8个工作日
09:
00-17:
00
协助主方系统负责人编写定级报告等资料。
业主方系统负责人、项目人员
测评评估(预计实施周期:
48天,3人投入)
1个工作日
项目启动,项目人员会面,交流后面工作,协商交流,资料整理。
6个工作日
基本信息调研
表1-1.单位基本情况(业主方)
表1-2.参与人员名单(业主方)
表1-3.物理环境情况(机房管理员)
表1-4.信息系统基本情况(业主方、原系统单位)
表1-5.承载业务(服务)情况调查
(业主方、原系统单位)
表1-6.信息系统网络结构(环境)情况调查(网络管理员)
表1-7.外联线路与设备端口(网络边界)情况调查(网络管理员)
表1-8.网络设备情况调查(网络管理员)
表1-9.安全设备情况调查(网络管理员)
表1-10.服务器设备情况调查(系统管理员)
表1-11.终端设备情况调查(系统管理员)
表1-12.系统软件情况调查(系统管理员)
表1-13.应用系统软件情况调查(业务系统管理员)
表1-14.业务数据情况调查(业务系统管理员)
表1-15.数据备份情况调查(系统管理员、业务系统管理员、数据库管理员、网络管理员)
表1-16.应用系统软件处理流程调查(原系统单位)
表1-17.业务数据流程调查(业务系统管理员)
表1-18.管理文档情况调查(业务方)
表1-19.信息系统安全等级备案表(业主方)
表1-20.等级保护工作小组名单(业主方)
系统单位、机房管理员、网络管理员、系统管理员、业务系统管理员、数据库管理员
3个工作日
表2-1.物理安全
物理位置的选择
物理访问控制
防盗窃和防破坏
防雷击
防火
防水和防潮
防静电
温湿度控制
电力供应
电磁防护
机房管
理员
表2-2.网络安全
结构安全
访问控制
安全审计
边界完整性检测
入侵防范
恶意代码防范
网络设备防护
网络
管理员
表2-3.主机安全
身份鉴别
入侵检测
资源控制
系统
管理员、数据库管理员
表2-4.应用安全
通信完整性
通信保密性
软件容错
业务系统
管理员、
原系统单位
表2-5.数据备份与恢复
数据完整性
数据保密性
备份和恢复
管理员、数据库管理员、网络管理员
2个工作日
表2-6.安全管理机构
岗位设置
人员配备
授权和审批
沟通和合作
审核和检查
业主方(信息网络中心及人事部门)
表2-7.安全管理制度
1、管理制度
2、制定和发布
3、评审和修订
业主方(信息网络中心)
表2-8.人员安全管理
1、人员录用
2、人员离岗
3、人员考核
4、安全意识教育和培训
5、外部人员访问管理
人事部门相关人员
表2-9.系统建设管理
系统定级
安全方案设计
产品采购和使用
自行软件开发
外包软件开发
工程实施
测试验收
系统交付
系统备案
等级评定
安全服务商选择
系统建设负责人
表2-10.系统运维管理
环境管理
资产管理
介质管理
设备管理
网络安全管理
系统安全管理
恶意代码防范管理
密码管理
变更管理
备份与恢复管理
安全事件处理
应预案管理
机房管理员、业务系统管理员、系统管理员、网络管理员、安全主管
评估记录整理、分析、判定
系统负责人
提交某市某单位负责人审核、确认,盖章
某市某单位项目负责人
第4章.
安全建设清单及预算