文档介绍:Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8
公司信息系统安全保障体系规划方案
信息系统安全保障体系规划方案
文档信息
文档名称
XXXXXXXXXXXX信息系统安全保障体系规划方案
保密级别
商业秘密
文档编号
制作人
制作日期
复审人
复审日期
复审日期
分发控制
读者
文档权限
与文档的主要关系
创建、修改、读取
负责编制、修改、审核本技术方案
XXXXXXXXXXXX
阅读
版本控制
时间
版本
说明
修改人
文档初始化
修改完善
目 录
概述
引言
本文档基于对XXXX公司(以下简称“XXXX公司工业”)信息安全风险评估总体规划的分析,提出XXXX公司工业信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。
本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。
背景
XXXX行业行业相关要求
国家XXXX行业总局一直以来十分重视信息安全管理工作,先后下发了涉及保密计算机运行、等级保护定级等多个文件,在2008年下发了147号文《XXXX行业行业信息安全保障体系建设指南》,指南从技术、管理、运维三个方面对安全保障提出了建议,如下图所示。
图 1_1行业信息安全保障体系框架
国家等级保护要求
等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家XXXX行业专卖局在2008年8月下发了国烟办综[2008]358号文《国家XXXX行业专卖局办公室关于做好XXXX行业行业信息系统安全等级定级工作的通知》,而在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求,如下图所示。
图 1_2等保基本要求框架图
三个体系自身业务要求
在国家数字XXXX行业政策的引导下,近年来信息系统建设日趋完善,尤其是随着国家局统一建设的一号工程的上线,业务系统对信息系统的依赖程度逐渐增加,信息系统的重要性也逐渐提高,其安全保障就成为了重点。此外,除了一号工程外,信息系统的重要组成部分还有MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统(卷包中控系统、物流中控系统、制丝中控系统、动力中控系统)等。企业生产已经高度依赖于企业的信息化和各信息系统。
信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。在整个信息系统运行的过程中,起主导作用的仍然是人,是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安全需求。这也仍遵循和完善了PDCA原则。
三个体系规划目标
安全技术和安全运维体系规划目标
建立技术体系的目的是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:
防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。
检测:通过采取入侵检测、***、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。
响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。
恢复:通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。
安全管理体系规划目标
本次项目通过风险评估对XXX