企業(yè)信息安全總體規(guī)劃方案

(完整word版企信息安全總規(guī)劃方案XXXXX公司信息安全建設(shè)劃建議YYYY科技有201X年XX1

(完整word版企信息安全總規(guī)劃方案目錄第1章綜........................................................31。1概........................................................31.2現(xiàn)狀分析....................................................41.3設(shè)計(jì)目標(biāo)....................................................7第2章信安全總體規(guī)劃............................................92.1設(shè)目標(biāo)、依據(jù)及原則..........................................2.1設(shè)計(jì)目標(biāo)................................................92。1.2設(shè)計(jì)依據(jù)................................................92.1設(shè)計(jì)原則...............................................102.2總信息安全規(guī)劃方案.........................................112。2信安全管理體系......................................122.2分階段建設(shè)策.........................................17第3章分段安全建設(shè)規(guī)劃.........................................193。1規(guī)原則...................................................193.2安全基礎(chǔ)框架設(shè)計(jì)...........................................19第4章初規(guī)劃...................................................214。1建目標(biāo)...................................................214.2建立信息安全管理體........................................214。3建安全管理組織...........................................24第5章中規(guī)劃...................................................265。1建目標(biāo)...................................................265。2建基礎(chǔ)保障體系...........................................265。3建監(jiān)控審計(jì)體系...........................................265。4建應(yīng)急響應(yīng)體系...........................................295。5建災(zāi)難備份與恢復(fù)體系......................................33第6章三規(guī)劃...................................................366。1建目標(biāo)...................................................366。2建服務(wù)保障體系...........................................366。3保和改進(jìn)ISMS37第7章總.......................................................397。1綜.......................................................397.2效果預(yù)期...................................................397.3后期.......................................................392

(完整word版企信息安全總規(guī)劃方案1章

綜述1.1

概述信息技術(shù)革命和經(jīng)濟(jì)全球化的發(fā)展企業(yè)間的競(jìng)爭(zhēng)已經(jīng)轉(zhuǎn)為技術(shù)和信息的競(jìng)爭(zhēng)，隨著企業(yè)的業(yè)務(wù)的快速增長(zhǎng)、企業(yè)信息系統(tǒng)規(guī)模的不斷擴(kuò)大企業(yè)對(duì)信息技術(shù)的依賴性也越來越強(qiáng)，企業(yè)是否能長(zhǎng)期生存、企業(yè)的業(yè)務(wù)是否能高效的運(yùn)作也越來越依賴于是否有一個(gè)穩(wěn)定、安全的信息系統(tǒng)和數(shù)據(jù)資產(chǎn)。因此，確保信息系統(tǒng)穩(wěn)定、安全的運(yùn)行，保證企業(yè)知識(shí)資產(chǎn)的安全已經(jīng)成為現(xiàn)代企業(yè)發(fā)展創(chuàng)新的必然要求，信息安全能力已成為企業(yè)核心競(jìng)爭(zhēng)力的重要部分。企業(yè)高度重視客戶及生產(chǎn)信息，生產(chǎn)資料，設(shè)計(jì)文檔，知識(shí)產(chǎn)權(quán)之安全防護(hù)。而終端，服務(wù)器作為信息數(shù)據(jù)的載體是信息安全防護(hù)的首要目標(biāo).與此同時(shí)，隨著企業(yè)業(yè)務(wù)領(lǐng)域的擴(kuò)展和規(guī)模的快速擴(kuò)張，為了滿足企業(yè)發(fā)展和業(yè)務(wù)需要,企業(yè)的生產(chǎn)和支撐支撐系統(tǒng)也進(jìn)行了相應(yīng)規(guī)模的建設(shè)和擴(kuò)展，為了滿足生產(chǎn)的高速發(fā)展,場(chǎng)的大力擴(kuò)張，企業(yè)決定在近期進(jìn)行信息安全系統(tǒng)系統(tǒng)的調(diào)研建設(shè)，因此隨著系統(tǒng)規(guī)模的擴(kuò)大和應(yīng)用的復(fù)雜化，相關(guān)的信息安全風(fēng)險(xiǎn)也隨之而來，比如病毒、蠕蟲、垃圾郵件、間諜軟件、流氓軟件、數(shù)據(jù)截獲、嗅探、監(jiān)聽、肆意泛濫，內(nèi)部機(jī)密數(shù)據(jù)泄漏、辦公系統(tǒng)受到影響等等，因此為了保證企業(yè)業(yè)務(wù)正常運(yùn)營(yíng)、制卡系統(tǒng)的高效安全的運(yùn)行，不因各種安全威脅的破壞而中斷息安全建設(shè)不可或缺息安全建設(shè)必然應(yīng)該和當(dāng)前的信息化建設(shè)進(jìn)行統(tǒng)一全局考慮應(yīng)該在相關(guān)的重要信息化建設(shè)中進(jìn)行安全前置的考慮和規(guī)劃，避免安全防護(hù)措施的遺漏，安全防護(hù)的滯后造成的重大安全事件的發(fā)生本次企業(yè)信息安全體系建設(shè)規(guī)劃主要考慮采用各種被證明是行之有效的各種信息安全產(chǎn)品和技術(shù)，幫助企業(yè)建設(shè)一個(gè)主動(dòng)、高效、全面的信息安全防御體系，降低信息安全風(fēng)險(xiǎn)，更好的為企業(yè)生產(chǎn)和運(yùn)營(yíng)服務(wù)。3

(完整word版企信息安全總規(guī)劃方案1.2

現(xiàn)狀分目前企業(yè)已經(jīng)在前期進(jìn)行了部分信息安全的建設(shè)，包括終端上的一部分防病毒，網(wǎng)絡(luò)邊界處的基本防火墻等安全軟件和設(shè)備，在很大程度上已經(jīng)對(duì)外部威脅能有一個(gè)基本的防護(hù)能力，但是如今的安全威脅和攻擊手段日新月異，層出不,種高危零日洞不斷被攻擊者挖掘出來,攻擊的目標(biāo)越來越有針對(duì)性目前企業(yè)所面臨的全球安全威脅呈現(xiàn)如下幾個(gè)新的趨勢(shì)：

惡意攻擊數(shù)量快速增加，攻擊手段不斷豐富,最新的未知威脅防不勝防：如何防范未知威脅，抵御不同攻擊手段和攻擊途徑帶來的信息安全沖擊?高級(jí)、有針對(duì)性的高危持續(xù)性攻擊APT已蔓延各類規(guī)模企業(yè)：如何阻止不同的攻擊手段？不僅僅是防病毒！需要服務(wù)器終端，網(wǎng)絡(luò)，數(shù)據(jù)等各方面多層次的防護(hù)，增加威脅防范能力復(fù)雜混亂的應(yīng)用與外接設(shè)備環(huán)境如何確保應(yīng)用和設(shè)備的準(zhǔn)入控制？繁瑣枯燥的系統(tǒng)維護(hù)和安全管理：如何更有效利用有限的信息人力資源？工具帶來的新問題：如何保證安全策略的強(qiáng)制要求，統(tǒng)一管理和實(shí)施效果？終端接入不受控：如何確保終端滿足制定的終端安全策略—終端準(zhǔn)入控制網(wǎng)頁式攻擊Web-basedAttack已為最主流的攻擊法：如何確保訪問可靠網(wǎng)站？?jī)?nèi)外部有意無意的信息泄露將嚴(yán)重影響企業(yè)的聲譽(yù)和重大經(jīng)濟(jì)損失從目前大多數(shù)企業(yè)的信息安全建設(shè)來看，針對(duì)以上的目前主流的新形勢(shì)的信息威脅企業(yè)在安全建設(shè)上還面臨安全防護(hù)需要進(jìn)一步依靠國際先進(jìn)技術(shù)增強(qiáng)主動(dòng)防御,縱深防御的能力前大多數(shù)企業(yè)在安全防護(hù)上還有如下的欠缺：4

(完整word版企信息安全總規(guī)劃方案1.2目前信息安全存在的問題在信息系統(tǒng)安全評(píng)估中我們對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)掃描、安全管理等等方面進(jìn)行了安全評(píng)估，發(fā)現(xiàn)主要有如下的問題：網(wǎng)絡(luò)設(shè)備安全：訪問控制問題網(wǎng)絡(luò)設(shè)備安全漏洞設(shè)備配置安全系統(tǒng)安全：補(bǔ)丁問題運(yùn)行服務(wù)問題安全策略問題弱口令問題默認(rèn)共享問題防病毒情況應(yīng)用安全：exchange郵件系統(tǒng)的版本問題apache、weblogic的安全配置問題serv-U版本問題radmin程管理的安全問題數(shù)據(jù)安全：數(shù)據(jù)庫補(bǔ)丁問題Oracle據(jù)庫默認(rèn)帳號(hào)問題Oracle據(jù)庫弱口令問題Oracle據(jù)庫默認(rèn)配置問題Mssql據(jù)庫默認(rèn)有威脅的存儲(chǔ)過程問題網(wǎng)絡(luò)區(qū)域安全:市局政務(wù)外網(wǎng)安全措施完善5

(完整word版企信息安全總規(guī)劃方案市局與分局的訪問控制問題分局政務(wù)外網(wǎng)安全措施加強(qiáng)安全管理：沒有建立安全管理組織沒有制定總體的安全策略沒有落實(shí)各個(gè)部門信息安全的責(zé)任人缺少安全管理文檔通過安全評(píng)估中的安全修復(fù)過程，我們對(duì)上述大部分的的安全問題進(jìn)行了修補(bǔ)，但是依然存在殘余的風(fēng)險(xiǎn)，主要是數(shù)據(jù)安全（已安排升級(jí)計(jì)劃、網(wǎng)絡(luò)區(qū)域安全和安全管理方面的問題。所以當(dāng)前信息安全存在的問題主要表現(xiàn)在如下的幾個(gè)方面：1在政務(wù)外網(wǎng)中，市局建立了基本的安全體系，但是還需要進(jìn)一步的完善,如務(wù)外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。另外分局并沒有實(shí)施任何的防護(hù)措施，存在被黑客入侵的安全隱患；2.政務(wù)內(nèi)網(wǎng)中局分局之間沒有做訪問控制在蠕蟲病毒相互擴(kuò)散的可能另外，如果黑客入侵了分局的政務(wù)內(nèi)網(wǎng)后,可能進(jìn)一步的向市進(jìn)行滲透攻擊.3.原有的信息安全組織沒有實(shí)施起來，沒有制定安全總體策略；沒有落實(shí)信息安全責(zé)任人。導(dǎo)致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實(shí)處。4.通過安全評(píng)估，建立了基本的安全管理制度；但是這些安全管理制度還沒有落實(shí)到日常工作中，并且可能在實(shí)際的操作中根據(jù)實(shí)際的情況做一些修改。5。沒有成立安全應(yīng)急小組，沒有相應(yīng)的應(yīng)急事件預(yù)案；缺少安全事件應(yīng)急處理流與規(guī)范也沒有對(duì)安全事件的處理過程做記錄歸檔。6。沒有建立數(shù)據(jù)備份與恢復(fù)制度；應(yīng)該對(duì)備份的數(shù)據(jù)做恢復(fù)演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。7。目前市局分局之間的政務(wù)內(nèi)網(wǎng)是租天威的網(wǎng)絡(luò)而沒有其它的備用線路。萬一用的天威網(wǎng)絡(luò)發(fā)生故障將可能導(dǎo)致市局與分局之間的政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中斷。通過信息安全風(fēng)險(xiǎn)評(píng)估對(duì)發(fā)現(xiàn)的關(guān)于操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞，并且由于當(dāng)時(shí)信息安全管理中并沒有規(guī)范的安全管理制度，也是出現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等漏洞的原因之一為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長(zhǎng)期有效的管理，我們建議建設(shè)ISMS（信安全管理體系安全險(xiǎn)通過PDCA模型,輸出為可管理的安全風(fēng)險(xiǎn)。1.2

常見的信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅大致如下：根據(jù)目前的安全威脅企業(yè)的信息安全面臨的問題是?信息安全僅作為后臺(tái)數(shù)據(jù)的保障?前端業(yè)務(wù)應(yīng)用和后端數(shù)據(jù)庫信息安全等級(jí)不高?信息安全只是建立在簡(jiǎn)單的“封、堵”上，不利提升工作效率和協(xié)同辦公6

(完整word版企信息安全總規(guī)劃方案因此，對(duì)于企業(yè)來說，在新的環(huán)境下，需要就如下的安全考慮，根據(jù)合理的規(guī)劃進(jìn)行分期建設(shè)?業(yè)務(wù)模式正在發(fā)生改變，生產(chǎn)、研發(fā)等系統(tǒng)的實(shí)施，信息安全應(yīng)全面面向應(yīng)用，信息安全須前置，以適應(yīng)業(yè)務(wù)的安全要求。?用戶終端的多樣化也應(yīng)保持足夠的安全。?數(shù)據(jù)集中化管控和網(wǎng)絡(luò)融合后所需的安全要求.?數(shù)據(jù)中心業(yè)務(wù)分區(qū)模塊化管理及災(zāi)備應(yīng)急機(jī)制1.3

設(shè)計(jì)目標(biāo)為企業(yè)設(shè)計(jì)完善的信息安全管理體系,增強(qiáng)企業(yè)信息系抵御安全風(fēng)險(xiǎn)的能力,為業(yè)生產(chǎn)及銷售業(yè)務(wù)的健康發(fā)展提供強(qiáng)大的保障。1.

通過對(duì)企業(yè)各IT系統(tǒng)的風(fēng)分析，了解企業(yè)信息系統(tǒng)的安全現(xiàn)狀和存在的各種安全風(fēng)險(xiǎn)，明確未來的安全建設(shè)需求2.

完成安全管理體系規(guī)劃設(shè)計(jì)，涵蓋安全管理的各個(gè)方面，設(shè)計(jì)合理的建設(shè)流程，滿足中長(zhǎng)期的安全管理要求。提供如下安全管理項(xiàng)目：?人員管理?規(guī)劃制訂和建設(shè)流程規(guī)劃?安全運(yùn)維管理及資產(chǎn)管理3.

完成安全技術(shù)體系規(guī)劃設(shè)計(jì)設(shè)計(jì)有前瞻性的安全解決方案在進(jìn)成本/效益分析的基礎(chǔ)上，選用主流的安全技術(shù)和產(chǎn)品建設(shè)主動(dòng)、全面、高效的技術(shù)防御體系,將企業(yè)面臨的各種風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。針對(duì)整體安全規(guī)劃計(jì)劃，在接下來的幾年內(nèi)分期建設(shè),最滿足如下安全防護(hù)需求?網(wǎng)絡(luò)邊界安全防護(hù)?安全管理策略7

(完整word版企信息安全總規(guī)劃方案?關(guān)鍵業(yè)務(wù)服務(wù)器的系統(tǒng)加固，入侵防護(hù)關(guān)鍵件監(jiān)控和系統(tǒng)防護(hù)?網(wǎng)絡(luò)和服務(wù)器安全防護(hù)及安全基線檢查與漏洞檢測(cè)?增強(qiáng)終端綜合安全防護(hù)?強(qiáng)化內(nèi)部人員上網(wǎng)行為管理?建設(shè)機(jī)密數(shù)據(jù)防泄漏和數(shù)據(jù)加密,磁盤加密?網(wǎng)絡(luò)信任和加密技術(shù)防護(hù)?建設(shè),強(qiáng)化容災(zāi)和備份管理4.

加強(qiáng)企業(yè)內(nèi)部的IT制與審計(jì)確保IT法律、法規(guī)，上級(jí)監(jiān)管單位的要求相符合，比如：?需要滿足國家信息系統(tǒng)安全系統(tǒng)的安全檢查要求?需要滿足國家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》8

(完整word版企信息安全總規(guī)劃方案2章2。設(shè)計(jì)目、據(jù)原2.11設(shè)計(jì)標(biāo)

信息安全體規(guī)劃電子政務(wù)網(wǎng)是深圳市電子政務(wù)業(yè)務(wù)的承載和體現(xiàn)，是電子政務(wù)的重要應(yīng)用,存儲(chǔ)著的重要的數(shù)據(jù)資源，流動(dòng)著經(jīng)濟(jì)建設(shè)和社會(huì)生活中重要的數(shù)據(jù)信息。所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理幾方面，加強(qiáng)安全保障體系的建設(shè),為子政務(wù)應(yīng)用提供安全可靠的運(yùn)行環(huán)境。2。計(jì)據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》《電子政務(wù)總體框架》《電子政務(wù)信息安全保障技術(shù)框架》《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》《信息安全等級(jí)保護(hù)管理辦法》《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》《計(jì)算機(jī)場(chǎng)地安全要求》《計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》同時(shí)在評(píng)定其信息資產(chǎn)的價(jià)值等級(jí)時(shí)，也將參考ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等國際標(biāo)準(zhǔn)。電子政務(wù)網(wǎng)將依據(jù)信息價(jià)值的保密性影響、信息價(jià)值完整性影響、信息價(jià)值的可用性影響9

(完整word版企信息安全總規(guī)劃方案等多個(gè)方面，來對(duì)信息資產(chǎn)的價(jià)值等級(jí)進(jìn)行劃分為五級(jí)，第一級(jí)為最低級(jí)，第五級(jí)為最高級(jí).2.13設(shè)計(jì)則電子政務(wù)網(wǎng)安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵循如下的原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則:對(duì)任信息系統(tǒng)，絕對(duì)全難以達(dá)到，也不一定是必要的，安全保障體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到技術(shù)上可實(shí)現(xiàn)，組織上可執(zhí)行分級(jí)保護(hù)原則：應(yīng)用為主導(dǎo)，科學(xué)劃分網(wǎng)安全防護(hù)與業(yè)務(wù)安全保護(hù)安全等級(jí)并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理，保證服務(wù)的有效性和快捷性。最小特權(quán)原則：整個(gè)系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。標(biāo)準(zhǔn)化與一致性原則：電子政務(wù)網(wǎng)是一個(gè)龐大的系統(tǒng)工程其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)電子政務(wù)網(wǎng)安全地互聯(lián)互通、信息共享.多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的,都可被攻破.是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充當(dāng)一層被攻破時(shí)其他層仍可保護(hù)系統(tǒng)的安。整體性和統(tǒng)一性原則：一個(gè)大型網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)、人員等,在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)整體的角度去統(tǒng)一看待、分析，才可能實(shí)現(xiàn)有效、可行的安全保護(hù)。技術(shù)與管理相結(jié)合原則：電子政務(wù)網(wǎng)是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn).因此在考慮安全保體系時(shí)，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。統(tǒng)籌規(guī)劃，分步實(shí)施原則:由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、時(shí)間的變化，安全防護(hù)與攻擊手段的進(jìn)步，在一個(gè)比較全面的安全體系下可以根據(jù)網(wǎng)絡(luò)的實(shí)際需要，先建立基本的10

(完整word版企信息安全總規(guī)劃方案的安全保障體系，保證基本的、必須的安全性。隨著今后網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化,調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。動(dòng)態(tài)發(fā)展原則:要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施,適應(yīng)新的網(wǎng)絡(luò)環(huán)境,滿足的網(wǎng)絡(luò)安全需求易操作性原則：安全措施需要人去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性其，措施的采用不能影響系統(tǒng)的正常運(yùn)行。適應(yīng)性及靈活性原則：安措施必須能隨著系統(tǒng)性能安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。遵守有關(guān)法規(guī)：在安全支撐平臺(tái)設(shè)計(jì)和設(shè)備選型過程中，涉及到密碼產(chǎn)品的銷售應(yīng)符合國家有關(guān)法律法規(guī)的規(guī)定，涉及到其他安全產(chǎn)品的銷售應(yīng)具有主管部門的銷售許可證同時(shí)安全產(chǎn)品應(yīng)具有良好升級(jí)及售后維護(hù)2.2總體信安規(guī)方總體目標(biāo)通過建立建設(shè)ISMS（信息安全管理體系）,達(dá)到對(duì)安全險(xiǎn)的長(zhǎng)期有效的管理，并且對(duì)于存在的安全風(fēng)險(xiǎn)/安全需求通過適用于ISMS的（Plan-Do—Check-Act）模型輸出為可管理的安全風(fēng)險(xiǎn)。解決問題當(dāng)前的信息安全經(jīng)過了一次完整的信息安全評(píng)估，并且進(jìn)行了相應(yīng)的安全修復(fù)后，信息安全風(fēng)險(xiǎn)已經(jīng)得到了比較有效的管理，但是還是存在部分遺留的風(fēng)險(xiǎn)，以及其它的一些可預(yù)見的風(fēng)險(xiǎn)。在這里將會(huì)對(duì)這些安全問題進(jìn)行處理。11

(完整word版企信息安全總規(guī)劃方案2。息全體為了達(dá)到對(duì)信息安全進(jìn)行管理，我們可以通過建立（信息安全管理體系然后通過向ISMS輸?shù)男畔踩蠛推谕?jīng)過必需的活動(dòng)和過程產(chǎn)生滿足需和期望信息安全的輸出（例如可管理的信息安全）策劃建立ISMS:據(jù)組織的整體方針和目標(biāo)建立安全方針目標(biāo)目的以及與管理風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)的過程和程序以獲得結(jié)果實(shí)施和運(yùn)行ISMS:實(shí)和運(yùn)行安全方針控制過程和程序。檢查監(jiān)視和評(píng)審用時(shí)根據(jù)安全方針目標(biāo)和慣有經(jīng)驗(yàn)評(píng)估測(cè)量過程業(yè)績(jī)向管理層報(bào)告結(jié)果進(jìn)行評(píng)審。保持和改進(jìn)ISMS:根管理評(píng)審結(jié)果采取糾正和預(yù)防措施以持續(xù)改進(jìn)ISMS.針對(duì)當(dāng)前的信息安全問題，我們可以視為是對(duì)信息安全的需求和期望，所以我們可以把這些信息安全需求，提交到ISMS（信息安全管理體系）的過程中，進(jìn)行處理。對(duì)于將來出現(xiàn)的信息安全問題也以提交到息安全管理體系的過程中進(jìn)行處理并最終輸出可被管理的信息安全。所以對(duì)于信息安全的總體規(guī)劃是首先建立ISMS(信息安全管理體系通過ISMS程的PDCA模式處理當(dāng)前的信息安全問題。對(duì)于當(dāng)前存在的信息安全問題我們可通過下面的四12

(完整word版企信息安全總規(guī)劃方案?jìng)€(gè)階段來解決：?劃建立ISMS：建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體安全策略。并且根據(jù)當(dāng)前的信息安全問題，提出安全解決方案.?施和運(yùn)行ISMS根據(jù)當(dāng)前的信息安全問題的安全解決方案進(jìn)行實(shí)施妥善的處理這些信息安全問題。?查監(jiān)視和評(píng)審ISMS:過專業(yè)的安評(píng)估來檢查信息安全問題是否得到了有效的管理。?持和改進(jìn)ISMS:根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果,信息安全管理策略進(jìn)行修改對(duì)信安全管理范圍進(jìn)行調(diào)整。2。2。1。1策劃建立ISMS建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體信息安全策略、落實(shí)各個(gè)部門信息安全負(fù)責(zé)人、信息安全培訓(xùn)等等。并且根據(jù)當(dāng)前的信息安全問題，提出安全解決方案.2

建立信息安全管理系統(tǒng)信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。在信息安全保障體系中，技術(shù)是工具，組織是運(yùn)作，管理是指導(dǎo)，它們緊密配合，共同實(shí)現(xiàn)信息安全保障的目標(biāo)。信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風(fēng)險(xiǎn)，需要采用信息安全風(fēng)險(xiǎn)管理的方法加以控制。13

(完整word版企信息安全總規(guī)劃方案由于當(dāng)前市的安全管理組織并沒有真正運(yùn)作起來,所以有在一個(gè)高度上來制定信息的安全策略因此沒有落實(shí)各個(gè)部門信息安全責(zé)任人，沒有對(duì)各個(gè)部門息安全人員的職責(zé)進(jìn)行定義也沒有制定安全管理文檔；導(dǎo)致安全管理沒有落到實(shí)處。另外需要對(duì)網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。2。2.1。1。2

根據(jù)安全問題提出解決方案針對(duì)以下兩個(gè)問題，通過建立信息安全管理系統(tǒng)來解決，見《2.2.1。1.1立息安全管理系統(tǒng)》1.2.

原有的信息安全組織沒有實(shí)施起來,沒有制定安全總體策略；沒有落實(shí)信息安全責(zé)任人.導(dǎo)致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實(shí)處。通過安全評(píng)估建立基本的安全管理制度是些安全管理制度還沒有落實(shí)到日常工作中，并且可能在實(shí)際的操作中根據(jù)實(shí)際的情況做一些修改.基礎(chǔ)保障體系針對(duì)以下兩個(gè)問題，通過建立基礎(chǔ)保障體系來解決，同時(shí)根據(jù)這些基礎(chǔ)的安全設(shè)備建立信息監(jiān)控與審計(jì)體系。1.2.

在政務(wù)外網(wǎng)中，市局建立了基本的安全體系，但是還需要進(jìn)一步的完善，例如政務(wù)外網(wǎng)總出口有單點(diǎn)故障的隱患門戶網(wǎng)站有被撰改的隱患.另外分局并沒有實(shí)施任何的防護(hù)措施,存在被黑客入侵的安全隱患在政務(wù)內(nèi)網(wǎng)中,市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴(kuò)散的可能。另外，如果黑客入侵了分局的政務(wù)內(nèi)網(wǎng)后，可能進(jìn)一步的向市局進(jìn)行滲透攻擊.建設(shè)信息安全基礎(chǔ)保障體系一項(xiàng)復(fù)雜的、綜合的系統(tǒng)工程，是堅(jiān)持積極防御、綜合防范方針的具體體現(xiàn)。目前電子政務(wù)基礎(chǔ)保障體系已經(jīng)初具規(guī)模，但是還存在個(gè)別問題，需要進(jìn)一步的完善。14

(完整word版企信息安全總規(guī)劃方案監(jiān)控審計(jì)體系監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn),能成對(duì)電子政務(wù)網(wǎng)所有網(wǎng)上行為的監(jiān)控.通過此體系監(jiān)控到的數(shù)據(jù)能對(duì)電子政務(wù)網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等這些情況有較全面的了解。應(yīng)急響應(yīng)體系針對(duì)下面的這個(gè)問題，通過建立應(yīng)急響應(yīng)體系來解決。沒有成立安全應(yīng)急小組，沒有相應(yīng)的應(yīng)急事件預(yù)案；缺少安全事件應(yīng)急處理流程與規(guī)范，也沒有對(duì)安全事件的處理過程做記錄歸檔。電子政務(wù)網(wǎng)絡(luò)承載了大量的政務(wù)網(wǎng)絡(luò)應(yīng)用，因此網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)功能變得更加關(guān)鍵，需要建立一個(gè)應(yīng)急響應(yīng)體系。它的主要功能是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)電子政務(wù)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性，完整性、數(shù)據(jù)的保密性.因此需要特別注重響應(yīng)、處理安全事件,因?yàn)榘彩录赡軒碇卮笃茐?。那些引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決,避免加重整個(gè)政務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。15

(完整word版企信息安全總規(guī)劃方案災(zāi)難備份與恢復(fù)體系針對(duì)下面的這個(gè)個(gè)問題，通過建立災(zāi)難備份與恢復(fù)體系來解決。1.2.

沒有建立數(shù)據(jù)備份與恢復(fù)制度；應(yīng)該對(duì)備份的數(shù)據(jù)做恢復(fù)演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。目前市局與分局之間的政務(wù)內(nèi)網(wǎng)是租用天威的網(wǎng)絡(luò)而沒有其它的備用線路萬一租用的天威網(wǎng)絡(luò)發(fā)生故障將可能導(dǎo)致市局與分局之間的政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中斷。為了保證深圳市政務(wù)網(wǎng)的正常運(yùn)行，抵抗包括地震、火災(zāi)、水災(zāi)等自然災(zāi)難，以及戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料的突發(fā)事件造成的損害，因此應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系。在這個(gè)體系里主要包括下面三個(gè)部分：政務(wù)內(nèi)網(wǎng)線路的冗余備份、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)、數(shù)據(jù)庫系統(tǒng)的備份與恢復(fù).。2施和運(yùn)行ISMS在上面策劃建立ISMS的過中我們出根據(jù)當(dāng)前信息安全問題處理的解決方案，包括:?立基礎(chǔ)保障體系?立信息監(jiān)控與審計(jì)體系16

(完整word版企信息安全總規(guī)劃方案?立應(yīng)急服務(wù)體系?立災(zāi)難備份與恢復(fù)體系上述的四個(gè)安全體系將在這個(gè)階段進(jìn)行實(shí)施.2。2查監(jiān)視和審ISMS通過專業(yè)的安全評(píng)估來檢查信息安全問題是否得到了有效的管理同時(shí)建立服務(wù)與保障體系來保障系統(tǒng)的正常運(yùn)行。服務(wù)保障是指保護(hù)和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、可控性、不可否認(rèn)性等特性。服務(wù)保障體系則包括：風(fēng)險(xiǎn)評(píng)估、軟硬件升級(jí)、設(shè)備安全巡檢、設(shè)備日常維護(hù)等等。2。2。1。4保持和改進(jìn)ISMS?據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整.?結(jié)從其它組織或組織自身的安全經(jīng)驗(yàn)得到的教訓(xùn)?保改進(jìn)活動(dòng)達(dá)到了預(yù)期的目的。2.2.2分建安全風(fēng)險(xiǎn)長(zhǎng)期存在，并不斷變化，這導(dǎo)致安全保障建設(shè)沒辦法一步到位。所以必須對(duì)安全保17

(完整word版企信息安全總規(guī)劃方案障建設(shè)分階段實(shí)施.工程實(shí)施的漸進(jìn)性、逐步性，根據(jù)先后緩急，初步將安全實(shí)施計(jì)劃分為以下四個(gè)階段第一階段策劃建立ISMS建立信息安全管理系統(tǒng)建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人根據(jù)當(dāng)前信息安全的問題制定解決方案第二階段：實(shí)施和運(yùn)行ISMS根據(jù)當(dāng)前信息安全的問題解決方案進(jìn)行安全實(shí)施，包括：建立基礎(chǔ)保障體系建立監(jiān)控審計(jì)體系建立應(yīng)急響應(yīng)體系建立災(zāi)難備份與恢復(fù)體系第三階段檢查監(jiān)視和評(píng)審ISMS通過建立服務(wù)保障體系中的信息風(fēng)險(xiǎn)安全評(píng)估設(shè)備巡檢等評(píng)審當(dāng)前信息安全問題的處理情況第四階段：保持和改進(jìn)ISMS根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)信安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。18

(完整word版企信息安全總規(guī)劃方案章

分階段安建設(shè)規(guī)劃傳統(tǒng)的安全設(shè)計(jì)理念基本上仍處于忙于封堵現(xiàn)有系統(tǒng)漏洞的階段,有人形象的稱之為“修修補(bǔ)補(bǔ)”或“圍、追、堵、截這樣的設(shè)計(jì)理念建成的安全體系只能是局部的、被動(dòng)的安全而無法提供整體的、主動(dòng)的安全；同時(shí)也缺乏有效的管理和監(jiān)控手段,得信息安全狀況令人擔(dān)憂表現(xiàn)在病毒、蠕蟲層出不窮、系統(tǒng)漏洞眾多，另外經(jīng)過很多國際權(quán)威機(jī)構(gòu)的調(diào)查，內(nèi)部發(fā)生的安全事件占全部安全事件的70％甚至更多，比如內(nèi)部的誤用和嗅探、攻擊等濫用行為，都因?yàn)槿狈τ行У谋O(jiān)控和管理而不能及時(shí)發(fā)現(xiàn)，也給網(wǎng)絡(luò)的安全帶來巨大挑戰(zhàn);安全是一個(gè)整體，任何一部分的薄弱都會(huì)使得整體的安全防御能力大打折扣，不但使得組織重金建設(shè)的邊界安全防御體系失去作用，同時(shí)還會(huì)嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)營(yíng)，從經(jīng)濟(jì)、法律、聲譽(yù)等多方面對(duì)企業(yè)造成負(fù)面影響。新的安全形勢(shì)下需要新的思維和新的解決方案。安全是一個(gè)整體的、動(dòng)態(tài)的過程要全面深入的考慮那頭痛醫(yī)頭、腳痛醫(yī)腳的方法已無法滿足用戶日益復(fù)雜的安全需求，要解決這些問題，歸根結(jié)底取決于信息安全保障體系的建設(shè)?！捌髽I(yè)面對(duì)的是一個(gè)以信息為核心的世界信息是企業(yè)的核心，規(guī)劃開始前，這一點(diǎn)必須要有清晰認(rèn)識(shí)，我們可以從三個(gè)層面來看?基礎(chǔ)架層面：包括終端、服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)在內(nèi)的基礎(chǔ)設(shè)施，乃至數(shù)據(jù)中心和容災(zāi)中心，這些都是信息數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸、處理的載體，圍繞信息處理和流轉(zhuǎn)所搭建的基礎(chǔ)設(shè)施，同時(shí)也是IT系統(tǒng)和管理人員為保證信息和數(shù)據(jù)的安全、可用的最基礎(chǔ)和重要管理對(duì)象；?信息為心層面：信息和數(shù)據(jù)是整個(gè)企業(yè)業(yè)務(wù)運(yùn)行中最為核心的部分，所有的業(yè)務(wù)運(yùn)轉(zhuǎn)都圍繞著信息而進(jìn)行，而信息的保障、安全存儲(chǔ)流轉(zhuǎn)都是信息保護(hù)所關(guān)注的重點(diǎn)；?安全治層面：為了保障信息的安全，不能僅僅停留在單獨(dú)建設(shè)的分散的安全上，最終安全的目標(biāo)是要實(shí)現(xiàn)安全的治理，安全的目標(biāo)則是為企業(yè)定制打造所需的技術(shù)運(yùn)維、技術(shù)管理體系，幫助企業(yè)提升整體安全管理水平3.1

規(guī)劃原則IT管理的基礎(chǔ)核心和重點(diǎn)內(nèi)容，應(yīng)該有相應(yīng)的信息安全建設(shè)和保障內(nèi)容與之配套，因此以信息為核心的IT管理視角，也同樣是當(dāng)前進(jìn)行信息安全規(guī)劃的出發(fā)點(diǎn)。為此,我們規(guī)劃企業(yè)的整體安全的時(shí)候，應(yīng)遵循如下原則:?體規(guī)劃，對(duì)變化安全建設(shè)規(guī)劃要有相對(duì)完整和全面的框架結(jié)構(gòu)，能應(yīng)對(duì)當(dāng)前安全威脅的變化趨勢(shì)。?足現(xiàn)有，升能力在現(xiàn)有IT建設(shè)基礎(chǔ)上，完善安全基礎(chǔ)架構(gòu)建設(shè),過化和調(diào)整挖掘潛力，提升整體安全保障能力。?眼信息，點(diǎn)防范以安全治理為工作目標(biāo)著重提升安全整體水平，對(duì)目前企業(yè)和主管部門關(guān)注的，以及法律法規(guī)要求的內(nèi)容進(jìn)行重點(diǎn)關(guān)注。3.2

安全基框架設(shè)明確了本次規(guī)劃的目標(biāo)，我們就可以進(jìn)一步確立一個(gè)針對(duì)企業(yè)信息安全建設(shè)的工作框架19

(完整word版企信息安全總規(guī)劃方案附圖1.

安全工作總體框架上述總體框架中，通過基礎(chǔ)架構(gòu)安全、信息安全、安全治理三個(gè)層次的工作內(nèi)容，來達(dá)成我們的總體規(guī)劃目標(biāo)通過技術(shù)、管理、運(yùn)維三大支撐體系為支柱，實(shí)現(xiàn)企業(yè)在安全體系建設(shè)、法規(guī)遵從與落實(shí)、安全風(fēng)險(xiǎn)管控和安全高效管理四個(gè)信息安全主體目標(biāo)的不斷治理和改善。20

(完整word版企信息安全總規(guī)劃方案4章

初期規(guī)劃4.1

設(shè)標(biāo)?建立信息安全管理體系?建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人?根據(jù)當(dāng)前信息安全的問題制定解決方案4.2

立息全理系信息安全管理系統(tǒng)的規(guī)范,詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)(ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來鑒定最適宜的控制對(duì)象,并自己的需求采取適當(dāng)?shù)目刂啤Ｏ旅鎸⒔榻B應(yīng)該如何建立信息安全管理體系的步驟,下圖所示圖1立信安全管理體系的步驟1）定義信息安全策略21

(完整word版企信息安全總規(guī)劃方案信息安全策略是組織信息安全的最高方針，需要根據(jù)內(nèi)各個(gè)部門的實(shí)際情況，分別制訂不同的信息安全策略。例如，開發(fā)部、數(shù)據(jù)部、系統(tǒng)都分別有一個(gè)信息安全策略，適用于其部門內(nèi)所有員工。信息安全策略應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書面文件,發(fā)內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正植根于內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。在安全管理文檔的制定中我們對(duì)如下的文檔進(jìn)行了定義：《安全管理文檔—業(yè)務(wù)系統(tǒng)軟件安全技術(shù)標(biāo)準(zhǔn)》《安全管理文檔—網(wǎng)絡(luò)信息發(fā)布制度》《安全管理文檔-通網(wǎng)絡(luò)服務(wù)安全標(biāo)準(zhǔn)》《安全管理文檔—-網(wǎng)絡(luò)連接策略和標(biāo)準(zhǔn)》《安全管理文檔-郵系統(tǒng)安全管理標(biāo)準(zhǔn)》《安全管理文檔—-用戶單位用戶帳號(hào)和口令管理規(guī)程》《安全管理文檔——信息管理人員的安全手冊(cè)》《安全管理文檔——用戶單位信息系統(tǒng)安全策略》《安全管理文檔-機(jī)管理制度》《安全管理文檔-系管理員手冊(cè)》《安全管理文檔—安全事件處理流程》《安全管理文檔——病毒防治管理規(guī)定》《安全管理文檔—-網(wǎng)絡(luò)管理員手冊(cè)》《安全管理文檔-備和恢復(fù)管理制度》(2）定義ISMS（信息安全管理系統(tǒng)）的范圍22

(完整word版企信息安全總規(guī)劃方案ISMS（信息安全管理系統(tǒng)）的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，需要根據(jù)自己的實(shí)際情況，在整個(gè)范圍內(nèi)、或者在個(gè)別部門或領(lǐng)域構(gòu)架ISMS。在本階段，應(yīng)將劃分成不同的信息安全控制領(lǐng)域,以易于對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾?。?)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致.風(fēng)險(xiǎn)評(píng)估主要對(duì)范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全管制措施進(jìn)行鑒定風(fēng)險(xiǎn)估主要依賴于信息和系統(tǒng)的性質(zhì)、使用信息的目的、所采用的系統(tǒng)環(huán)境等因素，在進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估時(shí),要將直接后果和在后果一并考慮。(4)信息安全風(fēng)險(xiǎn)管理根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很容易避免，例如通過采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等；轉(zhuǎn)嫁風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方(被嫁方）接受時(shí)才被采用.一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)產(chǎn)生重大影響的風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后出于實(shí)際和經(jīng)濟(jì)方面的原因，只要進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。（5)確定管制目標(biāo)和選擇管制措施。管制目標(biāo)的確定和管制措施的選擇原則是費(fèi)用不超過風(fēng)險(xiǎn)所造成的損失。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程應(yīng)實(shí)對(duì)選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)整，以適應(yīng)變化了的情況，使的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。(6)準(zhǔn)備信息安全適用性聲明。23

(完整word版企信息安全總規(guī)劃方案信息安全適用性聲明記錄了內(nèi)相關(guān)的風(fēng)險(xiǎn)管制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施。信息安全適用性聲明的準(zhǔn)備，一方面是為了向內(nèi)的員工聲明面對(duì)信息安全風(fēng)險(xiǎn)的態(tài)度，在更大程度上則是為了向外界表明的態(tài)度和作為，以表明已經(jīng)全面、系統(tǒng)地審視了其信息安全系統(tǒng)并將所有有必要管制的風(fēng)險(xiǎn)控制在能夠被接受的范圍內(nèi)。4.3

建立安全理組織當(dāng)前信息中心成立的安全領(lǐng)導(dǎo)小組，負(fù)責(zé)制定安全策略、落實(shí)信息安全責(zé)任，并下發(fā)到下面的幾個(gè)部門但是,這組織結(jié)構(gòu)并沒有施起來實(shí)際上是各個(gè)部門的信息安全策略和安全管理或者沒有實(shí)施,或者不全面；并且相關(guān)的信息安全責(zé)任也沒有明確的定義?？梢哉f信息安全體系并沒有建立起來。因此，我們建議設(shè)立一個(gè)首席安全官來代替原來的安全領(lǐng)導(dǎo)小組，負(fù)責(zé)對(duì)信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在的執(zhí)行情況、設(shè)立各個(gè)部門的信息安全責(zé)任人，落實(shí)信息安全責(zé)任。以下是各個(gè)責(zé)任人的職責(zé)定義：1.

ＣＳＯ：席安全官

負(fù)責(zé)對(duì)信息安全制定總體安全策略，監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性，包括開發(fā)部、數(shù)據(jù)部、系統(tǒng)部等部門.24

2.3.4.5.6.7.

(完整word版企信息安全總規(guī)劃方案系統(tǒng)運(yùn)維管理:系統(tǒng)運(yùn)維部門管理人員對(duì)整系統(tǒng)運(yùn)維部門進(jìn)行管理。系統(tǒng)管理員：系統(tǒng)權(quán)限管理員對(duì)所有系統(tǒng)進(jìn)行管理、建設(shè)、維護(hù)的相關(guān)人員，需要有廣泛的知識(shí)面，豐富的理論和實(shí)際操作經(jīng)驗(yàn)。網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)設(shè)備管理員所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的維護(hù)人員，需要有豐富的理論和實(shí)際操作經(jīng)驗(yàn)。數(shù)據(jù)庫管理員：網(wǎng)絡(luò)設(shè)備管理員所有的應(yīng)用數(shù)據(jù)庫的管理和維護(hù)人員需有豐富的理論和實(shí)際操作經(jīng)驗(yàn)。文檔管理員：資料管理員記錄類設(shè)備、系統(tǒng)操作,維護(hù)、整理相關(guān)文檔，以及日志備份等相關(guān)信息。機(jī)房管理員：設(shè)備物理安全保障員錄機(jī)房進(jìn)出相關(guān)記錄，包括系統(tǒng)管理員、系統(tǒng)用戶以及文檔管理員的相關(guān)記錄；對(duì)計(jì)算機(jī)硬件進(jìn)行檢修、維護(hù);對(duì)物理環(huán)境的維護(hù)等。開發(fā)管理員：軟件安全保障員督軟件發(fā)工作的安全性措施實(shí)施情況，制定軟件開發(fā)的安全標(biāo)準(zhǔn)。安全應(yīng)急小組：安全事件緊急響應(yīng)小組應(yīng)急響應(yīng)中心組長(zhǎng)由系統(tǒng)運(yùn)維部主管擔(dān)任，組員包括:系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫管理員.25

(完整word版企信息安全總規(guī)劃方案5章

中期規(guī)劃5.1

建目根據(jù)當(dāng)前信息安全的問題解決方案進(jìn)行安全實(shí)施，包括:?建立基礎(chǔ)保障體系?建立監(jiān)控審計(jì)體系?建立應(yīng)急響應(yīng)體系?建立災(zāi)難備份與恢復(fù)體系5.25.3

建基保體通過拓?fù)鋱D描述安全現(xiàn)狀。建監(jiān)審體建設(shè)電子政務(wù)的審計(jì)監(jiān)控體系就是要建設(shè)完整的責(zé)任認(rèn)定體系和健全授權(quán)管理體系從技術(shù)上加強(qiáng)了電子政務(wù)安全管理從而證了電子政務(wù)的安全性。一、審計(jì)監(jiān)控體系為電子政務(wù)建立了一個(gè)完整的責(zé)任認(rèn)定體系1）在信任體系中對(duì)合法操作行為的責(zé)任認(rèn)定責(zé)任認(rèn)定體系設(shè)計(jì)的定位就是所有的操作者都是不可信任的,這決定了責(zé)任認(rèn)定在這里所處的地位：起到完善信任體系中痕跡保留以及事后追查的作用，是和身份認(rèn)證、授權(quán)管理并列的保證網(wǎng)絡(luò)內(nèi)網(wǎng)安全的三大重要措施。在信任體系中的責(zé)任認(rèn)定，傳統(tǒng)的手段是通過查閱應(yīng)用程序的操作日志、通過調(diào)用數(shù)據(jù)庫的操作日志、通過審計(jì)其他設(shè)備的操作日志來反映合法操作行為和非法行為的責(zé)任認(rèn)定問題。這部分的責(zé)任認(rèn)定體系是整個(gè)完整的責(zé)任認(rèn)定體系中的一部分。它不能解決所有的責(zé)任認(rèn)定問題。相反地，由于各產(chǎn)品缺乏有效的協(xié)調(diào)性，記錄的信息無26

(完整word版企信息安全總規(guī)劃方案法互通所以在很大的程度上，這部分分的、凌亂的信息在工作中難被有效使用，一直是整個(gè)信息安全建設(shè)中的一個(gè)軟肋2)對(duì)網(wǎng)絡(luò)中非法操作行為的責(zé)任認(rèn)定對(duì)于非法操作的責(zé)任認(rèn)定，現(xiàn)有的手段是通過審計(jì)監(jiān)管技術(shù)來實(shí)現(xiàn)責(zé)任認(rèn)定。由于這部分的責(zé)任認(rèn)定針對(duì)性強(qiáng)，目的明確又有響應(yīng)實(shí)時(shí)、警告及時(shí)等特點(diǎn),所以在電子政務(wù)建設(shè)中越來越被重視它的作用與審計(jì)機(jī)關(guān)在國家經(jīng)濟(jì)系中的審計(jì)行為有著非常似的共性-—同樣是對(duì)非法的操作行為進(jìn)行審計(jì)。所不同的是，審計(jì)機(jī)關(guān)是對(duì)非法的經(jīng)濟(jì)行為進(jìn)行審計(jì)，而信息安全強(qiáng)審計(jì)是對(duì)電子政務(wù)網(wǎng)絡(luò)中的非法操作行為進(jìn)行審計(jì)。他的作用已經(jīng)決定了它是責(zé)任認(rèn)定體系中最重要的一個(gè)組成部分，對(duì)整個(gè)責(zé)任認(rèn)定體系起著決定性的作用3）以強(qiáng)審計(jì)為核心建立完整的責(zé)任認(rèn)定體系要解決一個(gè)完整的責(zé)任認(rèn)定體系，我們不僅要考慮到對(duì)合法操作行為的責(zé)任認(rèn)定，更要考慮到對(duì)非法操作行為的責(zé)任認(rèn)定。同時(shí)我們又要兼顧網(wǎng)絡(luò)中各個(gè)設(shè)備審計(jì)信息的全面收集，以及對(duì)審計(jì)數(shù)據(jù)的集中化管理以及分析.以強(qiáng)審計(jì)為核心的任認(rèn)定體系，我們通過對(duì)網(wǎng)絡(luò)組成要素的審計(jì)，通過對(duì)應(yīng)用系統(tǒng)的審計(jì),通過對(duì)安全產(chǎn)品的審，通過對(duì)主機(jī)、服務(wù)器、絡(luò)、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的審計(jì)。構(gòu)建了一個(gè)完整的責(zé)任認(rèn)定體系。同時(shí)，由于強(qiáng)審計(jì)系統(tǒng)強(qiáng)大的審計(jì)分析功能，可以及時(shí)有效的反映責(zé)任認(rèn)定數(shù)據(jù)。確保了責(zé)任認(rèn)定體系強(qiáng)有力、完整等特性。二、健全授權(quán)管理體系在授權(quán)管理中，對(duì)網(wǎng)絡(luò)資源的授權(quán)管理是非常重要的問題。不解決這個(gè)問題，就無法建立起完整的授權(quán)管理體系審計(jì)監(jiān)控體系從根本上對(duì)全網(wǎng)進(jìn)行授權(quán)監(jiān)督管理。主要有以下內(nèi)容:1）網(wǎng)絡(luò)連接的授權(quán)管理27

(完整word版企信息安全總規(guī)劃方案?須保證所有連接入網(wǎng)絡(luò)的計(jì)算機(jī)都是合法的；?何非法接入的企圖都是能夠得到有效控制和管理的；?絡(luò)內(nèi)各主機(jī)之間的訪問和連接都是得到授權(quán)并可以控制；?有能夠連入外網(wǎng)計(jì)算機(jī)的訪問外網(wǎng)的權(quán)限都是有限的、受控的經(jīng)過授權(quán)的。2)主機(jī)的授權(quán)管理?網(wǎng)絡(luò)內(nèi)的用戶使用光驅(qū)（含刻錄光驅(qū))、軟驅(qū)、口授以權(quán)限并統(tǒng)一輸入輸出通道，從而保證數(shù)據(jù)進(jìn)出的安全性。?主機(jī)中重要文件資源的使用實(shí)行嚴(yán)格的授權(quán)管理。?于有統(tǒng)一出口的網(wǎng)絡(luò)或者物理隔離于公網(wǎng)的網(wǎng)絡(luò)通過撥號(hào)上網(wǎng)(包括ADSL號(hào)撥號(hào)、號(hào)、手機(jī)撥號(hào)等的方式存在諸多的安全隱患，必須嚴(yán)格的授權(quán)與限制。3)數(shù)據(jù)庫的授權(quán)管理?操作者向數(shù)據(jù)庫中字符、段的訪問進(jìn)行授權(quán)。4)服務(wù)器的授權(quán)管理?重要文件的進(jìn)行授權(quán)管理；?終端訪問服務(wù)器的進(jìn)行授權(quán)管理；5）對(duì)網(wǎng)絡(luò)打印機(jī)的權(quán)限分配、控制與管理?網(wǎng)絡(luò)打印機(jī)進(jìn)行權(quán)限分配?網(wǎng)絡(luò)打印機(jī)進(jìn)行訪問控制；通過審計(jì)監(jiān)控體系完成對(duì)網(wǎng)絡(luò)資源的授權(quán)管理既是構(gòu)建完善的授權(quán)管理基礎(chǔ)設(shè)施的重要組28

(完整word版企信息安全總規(guī)劃方案成部分同時(shí)也是建立健全責(zé)任認(rèn)定體系必要前提。5.4

建立應(yīng)急應(yīng)體系應(yīng)急響應(yīng)體系的建立主要有三個(gè)方面，成立安全應(yīng)急小組,制定安全應(yīng)急預(yù)案安全應(yīng)急過程文檔歸檔。安全應(yīng)急組成立安全應(yīng)急小組，應(yīng)急響應(yīng)中心組長(zhǎng)由系統(tǒng)運(yùn)維部主管擔(dān)任，組員包括系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫管理員。系統(tǒng)運(yùn)維部門主管系統(tǒng)管理員

網(wǎng)絡(luò)管理員

數(shù)據(jù)庫管理員應(yīng)急響應(yīng)小組的職能：對(duì)網(wǎng)絡(luò)安全問題能積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、確保及時(shí)恢復(fù).應(yīng)急響應(yīng)小組成員職責(zé)（1）（2）（3）（4）

組長(zhǎng)：協(xié)調(diào)應(yīng)急響應(yīng)小組其它成員的工作，協(xié)調(diào)與其它部門的接口關(guān)系，組織應(yīng)急計(jì)劃的評(píng)審、組織各類安全問題的交流等。系統(tǒng)管理員操作系統(tǒng)和應(yīng)用系統(tǒng)的備份與恢復(fù)系統(tǒng)的安全配置,系統(tǒng)層安全事件的處理。網(wǎng)絡(luò)管理員：維護(hù)網(wǎng)絡(luò)正常運(yùn)行，網(wǎng)絡(luò)的安全配置和維護(hù)，網(wǎng)絡(luò)層安全事件的處理數(shù)據(jù)庫管理員：數(shù)據(jù)庫的備份與恢復(fù)，維護(hù)應(yīng)用系統(tǒng)的數(shù)據(jù)，出現(xiàn)安全事故時(shí)配合系統(tǒng)管理員和網(wǎng)絡(luò)管理員處理安全事件以及恢復(fù)應(yīng)用系統(tǒng)的數(shù)據(jù).29

(完整word版企信息安全總規(guī)劃方案安全應(yīng)急案制定安全應(yīng)急預(yù)案的過程：（1）

預(yù)先定義深圳市的各種安全事件通過調(diào)研，預(yù)測(cè)可能會(huì)遇到的安全事件，將其一一列出定義，并根據(jù)其相關(guān)性進(jìn)行分類，對(duì)每一類又按照其發(fā)作范圍和危害程度進(jìn)行分級(jí)最后制作安全事件一覽表.1）常見的安全事件列表系統(tǒng)崩潰用戶在奇怪的時(shí)間和地點(diǎn)登錄；猜口令的企圖；非授權(quán)用戶使用有特權(quán)的服務(wù);系統(tǒng)時(shí)鐘改變系統(tǒng)不知原因的重新啟動(dòng)；活動(dòng)較少的賬號(hào)突然活動(dòng)明顯增加；用大量變化的號(hào)碼對(duì)用戶進(jìn)行呼叫；非編程人員利用編譯工具與開發(fā)工具；新的或陌生的文件;賬號(hào)變化，查明是否有入侵者；文件長(zhǎng)度或數(shù)據(jù)內(nèi)容發(fā)生變化；企圖寫系統(tǒng)，尤其是特權(quán)用戶的行為；數(shù)據(jù)被修改或刪除；拒絕服務(wù)；系統(tǒng)性能嚴(yán)重下降，有奇怪的進(jìn)程運(yùn)行并占用大量的處理間；網(wǎng)絡(luò)性能嚴(yán)重下降,用戶反映無法正常使用服務(wù)；30

(完整word版企信息安全總規(guī)劃方案發(fā)現(xiàn)有人在不斷強(qiáng)行登錄系統(tǒng)；系統(tǒng)中出現(xiàn)奇怪的新用戶帳號(hào)；管理員收到來自其它系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅等.2）常見的安全事件類型：發(fā)現(xiàn)后門軟件、間諜軟件；計(jì)算機(jī)病毒；程序化入侵發(fā)現(xiàn)入侵者；破壞和刪除文件；拒絕服務(wù)攻擊等。3）劃分安全事件的級(jí)別?？疾彀踩录l(fā)作的范圍：是否是多點(diǎn)事件；在一個(gè)點(diǎn)上有多少臺(tái)計(jì)算機(jī)被影響;檢查涉密信息是否被攻擊；事件的入侵點(diǎn)在什么地方確定攻擊來自的方向；安全事件發(fā)生的時(shí)間和持續(xù)時(shí)間；處理該安全事件需要什么資源等.考察安全事件的危害性：是否造成了損失，確定損失的大小；判斷信息失密發(fā)生與否及其程度；判斷事件是否構(gòu)成犯罪；分析安全事件采用的手法31

(完整word版企信息安全總規(guī)劃方案(2）

分析安全事件制造者類型；分析事件的潛在危險(xiǎn)。為安全事件制訂應(yīng)急計(jì)劃預(yù)案）對(duì)分類分級(jí)的安全事件制訂應(yīng)急計(jì)劃，并予以評(píng)審。對(duì)不可預(yù)測(cè)的安全事件，也要制訂通用的應(yīng)急計(jì)劃。應(yīng)急計(jì)劃包括：a.安全事件序號(hào)、名稱、類別、級(jí)別b。安全事件處目標(biāo)事件處理目標(biāo)是消除當(dāng)前安全事件造成的威脅和減少損失健全和改善信息統(tǒng)的安全措施。c。需要保護(hù)的息將的信息劃分密級(jí)，一般分為五:開內(nèi)部、秘密、機(jī)密、絕密確定對(duì)哪類密級(jí)的信息采取哪類保護(hù)措施。d.設(shè)計(jì)安全事件處理過程針對(duì)本安全事件，設(shè)計(jì)現(xiàn)場(chǎng)處理流程。e。設(shè)計(jì)安全事處理的驗(yàn)證方法設(shè)計(jì)驗(yàn)證安全事件是否排除的方法（3）

安全事件處理流程本次風(fēng)險(xiǎn)評(píng)估項(xiàng)目中已經(jīng)定義了安全事件處理流程，所以該流程參見《安全管理文檔—安全事件處理流程》安全應(yīng)急程文檔安全事件處理完畢，系統(tǒng)恢復(fù)正常運(yùn)行后，要對(duì)整個(gè)事故的相關(guān)文檔進(jìn)行歸檔，總結(jié)經(jīng)驗(yàn)教訓(xùn)，并形成一個(gè)《安全事件調(diào)查研究報(bào)告告中應(yīng)詳細(xì)描述整個(gè)事件的經(jīng)過，記錄緊急響32

(完整word版企信息安全總規(guī)劃方案應(yīng)事件的起因、處理過程、建議改進(jìn)的安全方案等應(yīng)急響應(yīng)中心人員必須進(jìn)行事后調(diào)查，評(píng)估事件損失，調(diào)查事件原委追究事件責(zé)任，編寫《安全事件調(diào)查研究報(bào)告應(yīng)急響應(yīng)中心人員對(duì)照事件處理過程,發(fā)現(xiàn)應(yīng)急計(jì)劃的不足完善應(yīng)急計(jì)劃。對(duì)事件原因進(jìn)行徹底分析，找到確切根源，制訂消除安全事件根源的措施，保證同一安全事件不再發(fā)生。5.5

建立災(zāi)難份與恢復(fù)體政務(wù)內(nèi)網(wǎng)線冗余通過拓?fù)鋱D來表達(dá)建立冗余線路的基本做法。服務(wù)器系統(tǒng)份與恢復(fù)備份：?系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫管理員和系統(tǒng)管理員應(yīng)向備份系統(tǒng)管理員提供備份需求雙方協(xié)商備份策,諸如備份范圍、備份時(shí)間、備份頻率、保存期限、備份拷貝數(shù)目等.?備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔，在備份系統(tǒng)上建立相應(yīng)的備份策略，并更新《備份信息匯總表?在備份系統(tǒng)保護(hù)之下的文件系統(tǒng)在做調(diào)整(諸如目錄名稱更換）或者增加、減小備份內(nèi)容時(shí)，應(yīng)該向備份系統(tǒng)管理員提交備份申請(qǐng)表，具體描述調(diào)整的內(nèi)容.?備份系統(tǒng)管理員根據(jù)備份申請(qǐng)表的要求，在備份系統(tǒng)上調(diào)整備份策略,并更新《備份信息匯總表成備份策略調(diào)整工作后，核對(duì)備份申請(qǐng)表，并歸檔備案?對(duì)于某些先前不在備份策略保護(hù)內(nèi)的數(shù)據(jù),且需要臨時(shí)保護(hù)的，系統(tǒng)管理員可向備份系統(tǒng)管理員提交備份申請(qǐng)表，具體描述備份需求?備份系統(tǒng)管理員根據(jù)備份申請(qǐng)表的要求,建立臨時(shí)備份策略對(duì)數(shù)據(jù)進(jìn)行備份。完成備份工作33

(完整word版企信息安全總規(guī)劃方案后跟數(shù)據(jù)庫系統(tǒng)管理員核對(duì)備份申請(qǐng)表,并檔備案。?對(duì)于每日全備份的數(shù)據(jù)，在磁帶中保留期限為兩個(gè)星期，過期后磁帶被覆蓋。?對(duì)于每周全備份，每個(gè)星期六或者星期日做一次全備份，備份數(shù)據(jù)保留時(shí)間為三個(gè)月，下一個(gè)星期一、星期二將每周備份的所有磁帶遷移到帶庫外，異地存放，確保機(jī)房發(fā)生災(zāi)難后，數(shù)據(jù)丟失不超過一個(gè)星期。?對(duì)于每月全備份，備份數(shù)據(jù)保留時(shí)間為半年，做兩份磁帶拷貝，其中一份磁帶留在本地，另外一份磁帶異地存放。?在備份策略發(fā)生更變時(shí)，應(yīng)該相應(yīng)的更新《備份信息匯總表》文檔，保持該文檔的內(nèi)容與備份系統(tǒng)內(nèi)的策略內(nèi)容同步。恢復(fù)：?相關(guān)人員在需要恢復(fù)文件系統(tǒng)類型的數(shù)據(jù)時(shí)，應(yīng)當(dāng)向備份系統(tǒng)管理員提交恢復(fù)申請(qǐng)表,描述需要恢復(fù)數(shù)據(jù)所在的主機(jī)、數(shù)據(jù)所在路徑、數(shù)據(jù)大概備份時(shí)間、要求恢復(fù)的目的地的目錄路徑等。?備份系統(tǒng)管理員根據(jù)恢復(fù)申請(qǐng)表的要求，查詢備份系統(tǒng)進(jìn)行恢復(fù).?完成恢復(fù)工作后，通知相關(guān)人員及核對(duì)恢復(fù)申請(qǐng)表并歸檔備案。數(shù)據(jù)庫系備份與恢復(fù)備份:?系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫管理員和系統(tǒng)管理員應(yīng)向備份系統(tǒng)管理員提供備份需求,雙方商備份策略，諸如備份范圍、備份時(shí)間、備份頻度、保存期限、備份拷貝數(shù)目等。?備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔,備份系統(tǒng)上建立應(yīng)的備份策略，并更新《備份信息匯總表?在備份系統(tǒng)保護(hù)之下的文件系統(tǒng)在做調(diào)（諸如目錄名稱更換者增加減小備份內(nèi)容時(shí)，應(yīng)該向備份系統(tǒng)管理員提交備份申請(qǐng)表，具體描述調(diào)整的內(nèi)容。34

(完整word版企信息安全總