文档介绍：企业IT信息平安规划
应用系统
信息化建立目标
IT平安
信息平安
管理
信息平安
技术
支持类
运营类
决策类
专业类
信息化蓝图分类之〔五〕IT平安
IT治理
IT组织
机构
IT人员
IT流程和制度
IT运维
企业效劳平台
企业效劳总线〔ESB〕
业务流程管理〔BPM〕
根底设施平台
数据中心
根底架构
平安与管理
网络与链路
桌面终端
XX集团信息平安体系框架及设计目标
基于XX集团信息化平安的现状和设计原那么，提出信息平安未来建立目标
制定和实施符合国家?信息系统平安等级保护根本要求?以及XX集团信息系统现状的平安管理策略和标准
在信息中心设置信息平安岗位，并完善职责标准
制定明确的信息平安策略，定期进展平安风险评估和审核，并制定持续改进方案
对关键的平安技术平台防病毒、防火墙、入侵检测系统实现，统一的平安产品选型、统一的平安产品部署、统一的平安策略发布
统一的内部根底网络规划，对不同平安要求的内网接入进展访问控制管理
建立满足业务需求的信息系统灾难恢复能力
安全技术
安全管理
平安管理制度
平安管理机构
人员平安管理
系统建立管理
系统运维管理
物理层面平安控制
网络层面平安控制
主机层面平安控制
应用层面平安控制
数据层面平安控制
信息平安管理对象与原那么介绍
平安管理的职责别离原那么
对于一些涉及敏感数据处理的计算机系统平安管理而言，以下工作应分开进展：
系统的操作和系统的开发相别离。这样系统的开发者即使知道系统有那些平安漏洞也没有时机利用；
机密资料的承受和传送相别离。这样任何一方都无法对资料进展篡改；
平安管理和系统管理相别离。这样可使制定平安措施的人并不能亲自实施这些平安措施而对其起到制约的作用；
系统操作和备份管理相别离。结合日志管理，以实现对数据处理过程的监视；
除要符合中国的平安标准外，还要符合国际的标准，如ISO27001、ISO17799等。邮件系统要防止出现列入黑名单的情况。
平安管理的多人负责原那么、任期有限原那么
多人负责原那么：
出于相互监视和相互备份的考虑，如只有单人负责，那么假设发生平安问题时此人不在岗就不能处理，或者他本人有平安问题时，很难觉察。
任期有限原那么：
出于监视的目的，负责系统平安和系统管理的人员要有一定的轮换制度，以防止由单人长期负责一个系统的平安而造成的漏洞。
平安管理对象
平安管理的对象是整个系统而不是系统中的某个或某些元素。系统的所有构成要素都是管理的对象，从系统内部看，平安管理涉及计算机、网络、操作、人事和信息资源；从外部环境看，平安管理涉及法律、道德、文化传统和社会制度等方面的内容
信息平安管理是一个持续性的闭环过程
评估风险
决策支持
实施控制
评测
安全管理
信息平安管理
信息平安管理可定义为具有四个主要阶段的持续过程：
评估风险：识别组织的风险并区分其严重程度。 这些风险可能与特定的IT系统和资产相关或无关；
决策支持：根据定义的本钱-收益分析过程确定并选择控制解决方案；
实施控制：部署并操作全面的控制解决方案以降低信息平安风险；
衡量评测：确定并报告已部署的控制措施的有效性，以将风险管理至可承受的级别。
为保障信息平安制度的执行和落实，必需明确信息平安职能，建立相应的信息平安组织
对标国家?信息系统平安等级保护根本要求?，当前XX根本建立相应信息平安的组织和职能
应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。
岗位设置
人员配备
授权和审批
沟通和合作
审核和检查
应配备一定数量的系统管理员、网络管理员、安全管理员等；安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批； 应针对关键活动建立审批流程，并由批准人签字确认。
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。
定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。
现状
设置了明确的信息安全岗位职责，但未设专人进行日常的运行监管。
目前相关管理人员配置不够，部分岗位无专职人员。
信息中心对XX网络安全接入与资源访问建立了明确的审批流程。
目前信息安全工作仅限于信息人员内部，缺乏与其他业务部门的合作与沟通。
XX未制定信息安全内部审计、管理评审及有效性度量有关制度，未成立安全内部审核小组。
安全组织职能