文档介绍：* 目录?XX 集团信息化蓝图架构?信息安全规划?信息安全目标框架及设计目标?信息安全目标体系?XX 容灾体系 1 应用系统信息化建设目标 IT 安全信息安全管理信息安全技术支持类运营类决策类专业类信息化蓝图分类之(五) IT安全 IT 治理 IT组织机构 IT人员 IT流程和制度 IT运维企业服务平台企业服务总线( ESB ) 业务流程管理( BPM )基础设施平台数据中心基础架构安全与管理网络与链路桌面终端* XX 集团信息安全体系框架及设计目标基于 XX 集团信息化安全的现状和设计原则,提出信息安全未来建设目标?制定和实施符合国家《信息系统安全等级保护基本要求》以及 XX 集团信息系统现状的安全管理策略和规范?在信息中心设置信息安全岗位,并完善职责规范?制定明确的信息安全策略,定期进行安全风险评估和审核,并制定持续改进计划?对关键的安全技术平台防病毒、防火墙、入侵检测系统实现,统一的安全产品选型、统一的安全产品部署、统一的安全策略发布?统一的内部基础网络规划,对不同安全要求的内网接入进行访问控制管理?建设满足业务需求的信息系统灾难恢复能力安全技术安全管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理层面安全控制网络层面安全控制主机层面安全控制应用层面安全控制数据层面安全控制* 信息安全管理对象与原则介绍安全管理的职责分离原则对于一些涉及敏感数据处理的计算机系统安全管理而言,以下工作应分开进行: ?系统的操作和系统的开发相分离。这样系统的开发者即使知道系统有那些安全漏洞也没有机会利用; ?机密资料的接受和传送相分离。这样任何一方都无法对资料进行篡改; ?安全管理和系统管理相分离。这样可使制定安全措施的人并不能亲自实施这些安全措施而对其起到制约的作用; ?系统操作和备份管理相分离。结合日志管理,以实现对数据处理过程的监督; ?除要符合中国的安全规范外,还要符合国际的规范,如 ISO27001 、 ISO17799 等。邮件系统要避免出现列入黑名单的情况。安全管理的多人负责原则、任期有限原则多人负责原则: ?出于相互监督和相互备份的考虑,如只有单人负责, 则若发生安全问题时此人不在岗就不能处理,或者他本人有安全问题时,很难察觉。任期有限原则: ?出于监督的目的,负责系统安全和系统管理的人员要有一定的轮换制度,以防止由单人长期负责一个系统的安全而造成的漏洞。安全管理对象?安全管理的对象是整个系统而不是系统中的某个或某些元素。系统的所有构成要素都是管理的对象,从系统内部看,安全管理涉及计算机、网络、操作、人事和信息资源;从外部环境看,安全管理涉及法律、道德、文化传统和社会制度等方面的内容* 信息安全管理是一个持续性的闭环过程评估风险决策支持实施控制评测安全管理信息安全管理信息安全管理可定义为具有四个主要阶段的持续过程: ?评估风险:识别组织的风险并区分其严重程度。这些风险可能与特定的 IT系统和资产相关或无关; ?决策支持:根据定义的成本-收益分析过程确定并选择控制解决方案; ?实施控制:部署并操作全面的控制解决方案以降低信息安全风险; ?衡量评测:确定并报告已部署的控制措施的有效性,以将风险管理至可接受的级别。* 为保障信息安全制度的执行和落实,必需明确信息安全职能,建立相应的信息安全组织对标国家《信息系统安全等级保护基本要求》,当前 XX 基本建立相应信息安全的组织和职能应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。岗位设置人员配备授权和审批沟通和合作审核和检查应配备一定数量的系统管理员、网络管理员、安全管理员等;安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批; 应针对关键活动建立审批流程,并由批准人签字确认。应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。现状设置了明确的信息安全岗位职责, 但未设专人进行日常的运行监管。目前相关管理人员配置不够,部分岗位无专职人员。信息中心对 XX 网络安全接入与资源访问建立了明确的审批流程。目前信息安全工作仅限于信息人员内部,缺乏与其他业务部门的合作与沟通。 XX 未制定信息安全内部审计、管理评审及有效性度量有关制度,未成立安全内部审核小组。安全组织职能要求描述非常薄弱比较薄弱较好非常好一般* 信息安全现状评估——安全管理差距概述现状总体评价: XX 已经编制信息安全管理规范,并已于2009 年启动推广; XX 信息系统建设和运维的安全管理力度相对薄弱;安