文档介绍:、修改、读取负责编制、修改、. 概述 . 引言 . 背景 . XXXX行业行业相关要求 . 国家等级保护要求 . 三个体系自身业务要求 . 三个体系规划目标 . 安全技术和安全运维体系规划目标 . 安全管理体系规划目标 . 技术及运维体系规划参考模型及标准 . 参考模型 . 参考标准 . 管理体系规划参考模型及标准 . 国家信息安全标准、指南 . 国际信息安全标准 . 行业规范 132. 技术体系建设规划 . 技术保障体系规划 . 设计原则 . 技术路线 . 信息安全保障技术体系规划 . 安全域划分及网络改造 . 现有信息技术体系描述 . 技术体系规划主要内容 . 网络安全域改造建设规划 . 网络安全设备建设规划 . CA认证体系建设 . 数据安全保障 . 终端安全管理 . 备份与恢复 . 安全运营中心建设 . 周期性风险评估及风险管理 . 技术体系建设实施规划 . 安全建设阶段 . 建设项目规划 503. 运维体系建设规划 . 风险评估及安全加固 . 风险评估 . 安全加固 . 信息安全运维体系建设规划 . 机房安全规划 . 资产和设备安全 . 网络和系统安全管理 . 监控管理和安全管理中心 . 备份与恢复 . 恶意代码防范 . 变更管理 . 信息安全事件管理 . 密码管理 . 运维体系建设实施规划 . 安全建设阶段 . 建设项目规划 684. 管理体系建设规划 . 体系建设 . 建设思路 . 规划内容 . 信息安全管理体系现状 . 现状 . 问题 . 管理体系建设规划 . 信息安全最高方针 . 风险管理 . 组织与人员安全 . 信息资产管理 . 网络安全管理 . 桌面安全管理 . 服务器管理 . 第三方安全管理 . 系统开发维护安全管理 . 业务连续性管理 . 项目安全建设管理 . 物理环境安全 . 管理体系建设规划 . 项目规划 . 总结 104概述引言本文档基于对XXXX公司(以下简称“XXXX公司工业”)信息安全风险评估总体规划的分析,提出XXXX公司工业信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。背景XXXX行业行业相关要求国家XXXX行业总局一直以来十分重视信息安全管理工作,先后下发了涉及保密计算机运行、等级保护定级等多个文件,在2008年下发了147号文《XXXX行业行业信息安全保障体系建设指南》,指南从技术、管理、运维三个方面对安全保障提出了建议,如下图所示。图1_1行业信息安全保障体系框架国家等级保护要求等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家XXXX行业专卖局在2008年8月下发了国烟办综[2008]358号文《国家XXXX行业专卖局办公室关于做好XXXX行业行业信息系统安全等级定级工作的通知》,而在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求,如下图所示。图1_2等保基本要求框架图三个体系自身业务要求在国家数字XXXX行业政策的引导下,近年来信息系统建设日趋完善,尤其是随着国家局统一建设的一号工程的上线,业务系统对信息系统的依赖程度逐渐