01、信息安全工作总体规划V1.0

XXX单位

信息安全工作总体方针

V1.0

目录

1 总则 .......................................................................................................................... 1

1.1 目标................................................................................................................ 1 1.2 适用范围........................................................................................................ 1 1.3 建设思路........................................................................................................ 1 1.4 建设原则........................................................................................................ 3 1.5 建设目标........................................................................................................ 4 2 体系框架 .................................................................................................................. 5

2.1 安全模型........................................................................................................ 5 2.2 体系框架........................................................................................................ 7 3 建设内容 ................................................................................................................ 13

3.1 组织机构...................................................................................................... 13 3.2 人员管理...................................................................................................... 13 3.3 物理管理...................................................................................................... 13 3.4 网络管理...................................................................................................... 14 3.5 系统管理...................................................................................................... 14 3.6 应用管理...................................................................................................... 14 3.7 数据管理...................................................................................................... 14 3.8 运维管理...................................................................................................... 15 4 总体安全策略 ........................................................................................................ 15

4.1 物理安全策略.............................................................................................. 15 4.2 网络安全策略.............................................................................................. 16 4.3 主机安全策略.............................................................................................. 17 4.4 应用安全策略.............................................................................................. 17 4.5 数据安全策略.............................................................................................. 18 4.6 病毒管理策略.............................................................................................. 19 5 附则 ........................................................................................................................ 19

1 总则

为加强和规范XXX单位信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。

1.1 目标

本文档的目的是为XXX单位信息系统安全管理提供一个总体安全架构文件,该文件将指导信息系统的安全管理体系的建立。安全管理体系的建立是为信息系统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。

1.2 适用范围

本文档适用于信息系统安全方案规划、安全建设实施和安全策略的制定。

1.3 建设思路

XXX单位信息安全建设工作的总体思路如下图所示:

1 / 19

信息安全系统建设规划和实施方案安全技术体系安全管理体系运营保障体系整体安全策略(建设目标、技术策略、管理策略)现存问题建设现状发展趋势信息安全技术和机制信息化建设现状网络和信息技术安全威胁和安全脆弱性

信息化建设是基于当前通用的网络与信息系统基础技术,针对安全性问题和支撑安全技术,通过安全评估,对信息化建设和信息安全建设进行分析和总结,其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今后可能存在的安全问题,明确网络和信息系统运营所面临的安全风险级别。

从支撑性安全技术展开,对现有网络和信息技术的固有缺陷出发,总结了普遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从信息安全领域的完整框架、思路、技术和理念出发,提供完整的安全建设思路和方法。

在此基础之上,对信息安全领域的理论、框架和技术基础与XXX单位的安全问题有机地进行结合,有针对性地提出XXX单位安全保障总体策略。安全保障总体策略包括了整体建设目标,安全技术策略,以及相应的管理策略。

以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制定,

包括安全技术体系,安全管理体系和运营保障体系。在现实的运营过程中,安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来提高整体安全性效果。

在信息安全体系框架的指导下,依据相应的建设标准和管理规范,规划和制

定详细的信息安全系统实施方案和运营维护计划。

2 / 19

信息安全体系建设的思路体现了以下的特点: ? ? ? ?

统筹规划和设计在建设过程中占有非常重要的地位; 充分结合建设现状与信息安全通用技术和理念; 充分考虑了当前的建设现状以及未来业务发展的需要;

注重安全管理体系的建设,以及管理、技术和保障的相互结合。

1.4 建设原则

信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。

信息安全体系的建设,涉及面广、工作量大,必须坚持以下的原则,保证建设和运营的效果。

? 统一规划

要对的信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。

? 分步有序实施

信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行。

? 基于安全需求

依据信息系统担负的使命,积累的信息资产的重要性以及可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。

? 技术管理并重

仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性,XXX单位信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。制定统一的安全建设管理规范,指导的安全管理工作。

3 / 19

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4