文档介绍:信息系统安全保障体系规划方案
文档信息
文档名称
XXXXXXXXXXXX信息系统安全保障体系规划方案
保密级别
商业秘密
文档编号
制作人
制作日期
复审人
复审日期
复审日期
分发控制
读者
文档权限
与文档的主要关系
创建、修改、读取
负责编制、修改、审核本技术方案
XXXXXXXXXXXX
阅读
版本控制
时间
版本
说明
修改人
文档初始化
修改完善
目 录
1. 概述 5
. 引言 5
. 背景 5
. XXXX行业行业相关要求 5
. 国家等级保护要求 6
. 三个体系自身业务要求 7
. 三个体系规划目标 7
. 安全技术和安全运维体系规划目标 7
. 安全管理体系规划目标 8
. 技术及运维体系规划参考模型及标准 10
. 参考模型 10
. 参考标准 12
. 管理体系规划参考模型及标准 12
. 国家信息安全标准、指南 12
. 国际信息安全标准 13
. 行业规范 13
2. 技术体系建设规划 14
. 技术保障体系规划 14
. 设计原则 14
. 技术路线 14
. 信息安全保障技术体系规划 15
. 安全域划分及网络改造 15
. 现有信息技术体系描述 24
. 技术体系规划主要内容 29
. 网络安全域改造建设规划 29
. 网络安全设备建设规划 32
. CA认证体系建设 40
. 数据安全保障 42
. 终端安全管理 45
. 备份与恢复 46
. 安全运营中心建设 47
. 周期性风险评估及风险管理 48
. 技术体系建设实施规划 49
. 安全建设阶段 49
. 建设项目规划 50
3. 运维体系建设规划 51
. 风险评估及安全加固 51
. 风险评估 51
. 安全加固 51
. 信息安全运维体系建设规划 51
. 机房安全规划 51
. 资产和设备安全 52
. 网络和系统安全管理 55
. 监控管理和安全管理中心 60
. 备份与恢复 61
. 恶意代码防范 62
. 变更管理 63
. 信息安全事件管理 64
. 密码管理 67
. 运维体系建设实施规划 68
. 安全建设阶段
68
. 建设项目规划 68
4. 管理体系建设规划 70
. 体系建设 70
. 建设思路 70
. 规划内容 71
. 信息安全管理体系现状 72
. 现状 72
. 问题 74
. 管理体系建设规划 75
. 信息安全最高方针 75
. 风险管理 76
. 组织与人员安全 76
. 信息资产管理 79
. 网络安全管理 91
. 桌面安全管理 93
. 服务器管理 93
. 第三方安全管理 95
. 系统开发维护安全管理 97
. 业务连续性管理 98
. 项目安全建设管理 100
. 物理环境安全 102
. 管理体系建设规划 103
. 项目规划 103
. 总结 104
概述
引言
本文档基于对XXXX公司(以下简称“XXXX公司工业”)信息安全风险评估总体规划的分析,提出XXXX公司工业信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。
本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。
背景
XXXX行业行业相关要求
国家XXXX行业总局一直以来十分重视信息安全管理工作,先后下发了涉及保密计算机运行、等级保护定级等多个文件,在2008年下发了147号文《XXXX行业行业信息安全保障体系建设指南》,指南从技术、管理、运维三个方面对安全保障提出了建议,如下图