XXX信息系统安全保障体系规划方案V2.5文档信息分发控制版本控制目录1. 概述 (55)1.1. 引言 (55)1.2. 背景 (55)1.2.1. XXXX行业行业相关要求 (55)1.2.2. 国家等级保护要求 (66)1.2.3. 三个体系自身业务要求 (66)1.3. 三个体系规划目标 (77)1.3.1. 安全技术和安全运维体系规划目标 (77)1.3.2. 安全管理体系规划目标 (77)1.4. 技术及运维体系规划参考模型及标准 (99)1.4.1. 参考模型 (99)1.4.2. 参考标准 (1111)1.5. 管理体系规划参考模型及标准 (1212)1.5.1. 国家信息安全标准、指南 (1212)1.5.2. 国际信息安全标准 (1212)1.5.3. 行业规范 (1212)2. 技术体系建设规划 (1313)2.1. 技术保障体系规划 (1313)2.1.1. 设计原则 (1313)2.1.2. 技术路线 (1414)2.2. 信息安全保障技术体系规划 (1414)2.2.1. 安全域划分及网络改造 (1414)2.2.2. 现有信息技术体系描述 (2323)2.3. 技术体系规划主要内容 (2828)2.3.1. 网络安全域改造建设规划 (2828)2.3.2. 网络安全设备建设规划 (3030)2.3.3. CA认证体系建设 (3838)2.3.4. 数据安全保障 (4040)2.3.5. 终端安全管理 (4242)2.3.6. 备份与恢复 (4343)2.3.7. 安全运营中心建设 (4444)2.3.8. 周期性风险评估及风险管理 (4646)2.4. 技术体系建设实施规划............ 错误!未定义书签。
错误!未定义书签。
2.4.1. 安全建设阶段................ 错误!未定义书签。
错误!未定义书签。
2.4.2. 建设项目规划................ 错误!未定义书签。
错误!未定义书签。
3. 运维体系建设规划........................ 错误!未定义书签。
错误!未定义书签。
3.1. 风险评估及安全加固.............. 错误!未定义书签。
错误!未定义书签。
3.1.1. 风险评估.................... 错误!未定义书签。
错误!未定义书签。
3.1.2. 安全加固.................... 错误!未定义书签。
错误!未定义书签。
3.2. 信息安全运维体系建设规划........ 错误!未定义书签。
错误!未定义书签。
3.2.1. 机房安全规划................ 错误!未定义书签。
错误!未定义书签。
3.2.2. 资产和设备安全.............. 错误!未定义书签。
错误!未定义书签。
3.2.3. 网络和系统安全管理.......... 错误!未定义书签。
错误!未定义书签。
3.2.4. 监控管理和安全管理中心...... 错误!未定义书签。
错误!未定义书签。
3.2.5. 备份与恢复.................. 错误!未定义书签。
错误!未定义书签。
3.2.6. 恶意代码防范................ 错误!未定义书签。
错误!未定义书签。
3.2.7. 变更管理.................... 错误!未定义书签。
错误!未定义书签。
3.2.8. 信息安全事件管理............ 错误!未定义书签。
错误!未定义书签。
3.2.9. 密码管理.................... 错误!未定义书签。
错误!未定义书签。
3.3. 运维体系建设实施规划............ 错误!未定义书签。
错误!未定义书签。
3.3.1. 安全建设阶段................ 错误!未定义书签。
错误!未定义书签。
3.3.2. 建设项目规划................ 错误!未定义书签。
错误!未定义书签。
4. 管理体系建设规划........................ 错误!未定义书签。
错误!未定义书签。
4.1. 体系建设........................ 错误!未定义书签。
错误!未定义书签。
4.1.1. 建设思路.................... 错误!未定义书签。
错误!未定义书签。
4.1.2. 规划内容.................... 错误!未定义书签。
错误!未定义书签。
4.2. 信息安全管理体系现状............ 错误!未定义书签。
错误!未定义书签。
4.2.1. 现状........................ 错误!未定义书签。
错误!未定义书签。
4.2.2. 问题........................ 错误!未定义书签。
错误!未定义书签。
4.3. 管理体系建设规划................ 错误!未定义书签。
错误!未定义书签。
4.3.1. 信息安全最高方针............ 错误!未定义书签。
错误!未定义书签。
4.3.2. 风险管理.................... 错误!未定义书签。
错误!未定义书签。
4.3.3. 组织与人员安全.............. 错误!未定义书签。
错误!未定义书签。
4.3.4. 信息资产管理................ 错误!未定义书签。
错误!未定义书签。
4.3.5. 网络安全管理................ 错误!未定义书签。
错误!未定义书签。
4.3.6. 桌面安全管理................ 错误!未定义书签。
错误!未定义书签。
4.3.7. 服务器管理.................. 错误!未定义书签。
错误!未定义书签。
4.3.8. 第三方安全管理.............. 错误!未定义书签。
错误!未定义书签。
4.3.9. 系统开发维护安全管理........ 错误!未定义书签。
错误!未定义书签。
4.3.10. 业务连续性管理.............. 错误!未定义书签。
错误!未定义书签。
4.3.11. 项目安全建设管理............ 错误!未定义书签。
错误!未定义书签。
4.3.12. 物理环境安全................ 错误!未定义书签。
错误!未定义书签。
4.4. 管理体系建设规划................ 错误!未定义书签。
错误!未定义书签。
4.4.1. 项目规划.................... 错误!未定义书签。
错误!未定义书签。
4.4.2. 总结........................ 错误!未定义书签。
错误!未定义书签。
1.概述1.1.引言本文档基于对XX股份公司(以下简称“XX股份公司工业”)信息安全风险评估总体规划的分析,提出XX股份公司管理信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。
本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。
1.2.背景1.2.1.XXXX行业行业相关要求国家XXXX行业总局一直以来十分重视信息安全管理工作,先后下发了涉及保密计算机运行、等级保护定级等多个文件,在2008年下发了147号文《XXXX行业行业信息安全保障体系建设指南》,指南从技术、管理、运维三个方面对安全保障提出了建议,如下图所示。
图 1_1行业信息安全保障体系框架1.2.2.国家等级保护要求等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家XXXX行业专卖局在2008年8月下发了国烟办综[2008]358号文《国家XXXX行业专卖局办公室关于做好XXXX行业行业信息系统安全等级定级工作的通知》,而在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求,如下图所示。
图 1_2等保基本要求框架图1.2.3.三个体系自身业务要求在国家数字XXXX行业政策的引导下,近年来信息系统建设日趋完善,尤其是随着国家局统一建设的一号工程的上线,业务系统对信息系统的依赖程度逐渐增加,信息系统的重要性也逐渐提高,其安全保障就成为了重点。
此外,除了一号工程外,信息系统的重要组成部分还有MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统(卷包中控系统、物流中控系统、制丝中控系统、动力中控系统)等。
企业生产已经高度依赖于企业的信息化和各信息系统。
信息系统现阶段还无法达到完全的自动化和智能化运行。
因此需要各级技术人员对信息系统进行运行和维护。
在整个信息系统运行的过程中,起主导作用的仍然是人,是各级管理员。
设备的作用仍然仅仅停留在执行层面。
因此信息系统的稳定运行的决定因素始终都在于人员的操作。
信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。
当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,就可以对保障体系进行新的规划和设计。
从而使新的保障体系能够适应企业不断发展和变化的安全需求。
这也仍遵循和完善了PDCA原则。
1.3.三个体系规划目标1.3.1.安全技术和安全运维体系规划目标建立技术体系的目的是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。
按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:1)防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。
2)检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。
3)响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。
4)恢复:通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。
1.3.2.安全管理体系规划目标本次项目通过风险评估对XX股份公司工业自身安全管理现状进行全面了解后,对信息安全管理整体提出以下目标:1.3.2.1.健全信息安全管理组织建立全面、完整、有效的信息安全保障体系,必须健全、完善信息安全管理组织,这是XX股份公司管理信息安全保障体系建立的首要任务。