文档名称：

信息系统安全规划建议书两篇.docx

格式：docx 大小：20KB 页数：15页

下载后只包含 1 个 DOCX 格式的文档，没有任何的图纸或源代码，查看文件列表

如果您已付费下载过本站文档，您可以点这里二次下载

预览

下载此文档

信息系统安全规划建议书两篇.docx

上传人:niupai11 2022/8/23 文件大小：20 KB

下载得到文件列表

信息系统安全规划建议书两篇.docx

相关文档

文档介绍

文档介绍：信息系统安全规划建议书两篇
第1条
目背景目目标在国家相关信息安全等级保护文件和 ISO27001/GBT22080 的指导下，结合 xx 信息系统安全须满足业务发展的需要。
XX 信息系统安全建设旨在从技术和管理上加强公司网络和信息系统的安全防护水平，防止信息网络瘫痪、应用系统损坏、业务数据丢失、XX信息泄露、终端病毒感染、有害信息传播、恶意渗透攻击、信息系统安全稳定运行和业务数据安全。
鉴于 XX 信息系统安全现状和未来需求分析，迫切需要建立一套完善的安全体系。
该系统包括信息系统安全管理系统和技术产品技术系统。
通过这两个系统的建立，将实现XX信息系统的所有信息资产和* * * * * *的安全管理和技术保护。
同时，通过多层次、多角度的安全服务和产品，它涵盖了信息安全的各个方面，从物理环境、网络层、系统层、数据库层、应用层和组织管理。
整个安全体系包括网络平台安全、应用安全、系统平台安全和物理环境安全。
，一是调查分析信息系统安全现状；二是信息系统安全建设的规划与设计。
.1 .1 .1 .评估的目的是准确把握 XX 的现状，了解存在的缺陷和不足，提高信息系统的整体安全性。
基于信息系统安全等级保护标准，进行信息系统安全整合分析，作为 xx 信息系统安全规划的原始标准和改进依据。
.1 .2 .1 .1+评价内容结合信息系统安全等级保护的基本要求标准，对XX信息系统进行测试和评价，应包括两个方面:一是安全控制评价，主要评价信息系统中信息安全等级保护所需的基本安全控制的实施和配置；二是系统的整体评价，主要是对信息系统的整体安全性进行评价和分析。
安全控制评估是信息系统整体安全评估的基础。
安全控制评价的描述以评价单元的方式组织。评价单位分为两类:安全技术评价和安全管理评价。安全技术评估包括五个级别的安全控制评估 :物理安全、网络安全、主机系统安全、应用程序安全和数据安全。安全管理评价包括五个方面的安全控制评价:安全管理组织、安全管理体系、人员安全管理、系统建设管理和系统运行维护管理。
详情请参考下图。XX是基于信息系统安全等级保护的基本要求标准（2级）的信息系统安全规划建议。因此，总共66个控制项目、 175个控制点，在技术和管理两个主要方面、10级需要进行安全评估。
技术部分将从五个方面评估 XX 的安全控制:物理安全、网络安全、主机安全、应用安全、数据安全和备份。
3 .2 .2 .2 .2 .2 安全管理组织、安全管理体系、人员安全管理、系统施工管理和系统运行维护管理安全控制评估
估实施阶段工作主要是根据信息系统安全等级保护实施指南和评估方案的要求，在进入评估现场后通过各种评估方法对信息系统安全的各个方面进行评估。
主要的评估方法包括。文档审核的对象主要是与被评估信息系统安全各方面相关的文档，如安全管理体系和文档、安全管理实施过程文档、系统设计方案、网络设备技术数据、系统和产品实际配置描述、系统各种运行记录文档、机房建设相关数据等。
通过对这些文件的评审和分析，确认评价的相关内容是否满足等级要求。
3 .1 .2 .2 .2 .2 现场访谈评价人员与被评价信息系统的相关人员进行交谈和询问，了解信息系统技术和管理的一些基本信息，并验证一些评价内容和文件评审的内容。
员工访谈是通过问卷调查、员工访谈、现场调查、文件查看等方式了解管理薄弱环节。，并测试客户的信息安全管理系统、信息安全运维流程等。与等级要求相比。
评估人员通过与信息系统相关人员（个人/团体）进行交流、讨论等活动，获得证据证明信息系统安全级别保护措施是否有效。评估中使用了各种问卷和访谈提纲。
对评估方法人员的访谈简要描述了按照系统分类，检查安全管理体系的制定和实施是否达到目标，了解甲方安全管理体系、的制定和实施。主要内容包括安全组织与管理、安全政策与程序、应用安全管理、数据安全管理、操作系统安全管理、网络安全管理、访问控制管理、物理安全控制、业务连续性管理
（包括备份）实施管理体系和程序文件的收集、分析与分析、现场检查管理流程记录问卷和现场访谈工作结果甲方安全管理体系访谈结果现场检查现场检查主要是核实一些需要现场计算机实际检查和确认的信息
评估人员通过对被评估对象的观察、检查、分析等活动，获取证据证明信息系统安全等级保护措施的有效性。评估过程中使用了