云平臺(tái)安全等級(jí)保護(hù)建設(shè)項(xiàng)目安全管理體系詳細(xì)設(shè)計(jì)

1、云平臺(tái)安全等級(jí)保護(hù)建設(shè)項(xiàng)目安全管理體系詳細(xì)設(shè)計(jì) 天融信根據(jù)XX現(xiàn)有的組織機(jī)構(gòu)框架，借鑒已有的信息安全 管理制度，并依據(jù)其他類似大型項(xiàng)目的豐富經(jīng)驗(yàn)，采用先進(jìn) 成熟的理念，幫助明確信息安全工作在整個(gè)信息化工作中的 地位、目標(biāo)、原則以及策略，并協(xié)助XX梳理安全組織架構(gòu) 和安全職責(zé)、完善安全策略，真正形成一套切實(shí)可行，具有 指導(dǎo)意義且符合實(shí)際需求的信息安全管理體系，包括安全策略、安全標(biāo)準(zhǔn)規(guī)范、安全管理制度和日常管理操作規(guī)程等。1.1.1安全管理建設(shè)設(shè)計(jì)指導(dǎo)思想各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則 性的建議，要真正構(gòu)建符合XX自身狀況的信息安全管理體 系，在建設(shè)過(guò)程中應(yīng)當(dāng)以以下思想作為指導(dǎo)

2、： “信息安全技 術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是 信息安全的關(guān)鍵，人員管理是信息安全管理的核心，信息安 全政策是進(jìn)行信息安全管理的指導(dǎo)原則，信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段”1.1.2建立安全管理制度及策略體系的目的 幫助XX對(duì)信息安全管理制度體系進(jìn)行重新規(guī)劃，重點(diǎn)是確 定信息安全工作要求和指標(biāo)的總體方針，完善信息安全管理 規(guī)章制度、辦法和操作流程，制定安全操作的技術(shù)標(biāo)準(zhǔn)和規(guī) 范等，加強(qiáng)安全管理制度的執(zhí)行力度，約束和指導(dǎo)信息系統(tǒng) 各層管理和使用人員的操作行為，以確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的安 全管理處于較高的水平。1.1.3設(shè)計(jì)原則1）參考國(guó)家等級(jí)保護(hù)要求。2） 安

3、全策略重點(diǎn)保護(hù)物理和環(huán)境安全、 信息資產(chǎn)分類管理、變更管理、業(yè)務(wù)連續(xù)管理、安全事故管理、審查評(píng)估。3）沒(méi)有絕對(duì)的安全。信息安全工作應(yīng)該以風(fēng)險(xiǎn)管理為基礎(chǔ)， 在安全、效率和成本之間均衡考慮。4）應(yīng)參照業(yè)界的做法，充分考慮到行業(yè)標(biāo)準(zhǔn)以及國(guó)內(nèi)的管理和法制環(huán)境來(lái)XX 5）對(duì)保密信息的訪問(wèn)應(yīng)遵循工作相關(guān)性原則、最小授權(quán)原 則和審批、受控原則。1.1.4安全方針信息安全方針應(yīng)由XX信息安全主管領(lǐng)導(dǎo)組織制定、下達(dá)和 指導(dǎo)執(zhí)行。根據(jù)設(shè)計(jì)原則和業(yè)務(wù)系統(tǒng)的特征制定總體安全方針：1、保障業(yè)務(wù)系統(tǒng)安全，就是業(yè)務(wù)系統(tǒng)不受不受黑客、非授 權(quán)人員等攻擊、滲透和篡改，保證可靠、及時(shí)的發(fā)布XX為 公眾和其他國(guó)家機(jī)關(guān)提供的服務(wù)。

4、確保業(yè)務(wù)系統(tǒng)在IT中實(shí)現(xiàn) 的過(guò)程中的安全保障，涉及到業(yè)務(wù)系統(tǒng)業(yè)務(wù)管理安全、業(yè)務(wù) 操作完整性、業(yè)務(wù)數(shù)據(jù)安全性等等。2、保障系統(tǒng)安全，也就是保障整個(gè)IT系統(tǒng)的安全性。3、滿足法律法規(guī)要求。1.1.5信息安全策略框架1.1.6總體策略在總體安全方針的指導(dǎo)下，制訂四個(gè)層面的總體安全策略： 第一、業(yè)務(wù)安全策略。建立和制定科學(xué)、合理的內(nèi)部控制機(jī) 制和業(yè)務(wù)流程。XX業(yè)務(wù)管理制度參照了行業(yè)標(biāo)準(zhǔn)和國(guó)家法律法規(guī)，明確了XX相關(guān)業(yè)務(wù)的管理控制要求。業(yè)務(wù)安全總體策略就是在此 基礎(chǔ)之上制定更加科學(xué)合理的內(nèi)部控制機(jī)制。在明確內(nèi)部控 制要求和建立內(nèi)部控制機(jī)制后，需要制定業(yè)務(wù)的流程，保障 業(yè)務(wù)的順利進(jìn)行，這需要涉r廠r 廠枷

5、科竊令絳請(qǐng)安全建設(shè)與安全現(xiàn)范罰艇廠r r物淮安主抹端安全安主卑設(shè)于冊(cè)配置冊(cè)與運(yùn)行涼程11丿J信息安全策略信息融昔埋規(guī)及到業(yè)務(wù)管理安全、業(yè)務(wù)事務(wù)完 整性等方面。該部分由各業(yè)務(wù)部門(mén)加以落實(shí)。第二、應(yīng)用系統(tǒng)安全策略。 保證內(nèi)部控制制度、 流程的實(shí)現(xiàn); 保證業(yè)務(wù)信息和數(shù)據(jù)整個(gè)生命周期的安全。首先是通過(guò)應(yīng)用系統(tǒng)的實(shí)現(xiàn)將制定的內(nèi)部控制制度進(jìn)行落 實(shí)，將業(yè)務(wù)流程加以實(shí)現(xiàn)，同時(shí)要保證該過(guò)程確實(shí)將這些要 求落實(shí)。其次，保證實(shí)現(xiàn)后的業(yè)務(wù)系統(tǒng)能夠?qū)I(yè)務(wù)處理的信 息和數(shù)據(jù)在整個(gè)生命周期中的保密性、完整性、抗抵賴性。保障XX重要信息的真實(shí)性和完整性。該部分由各業(yè)務(wù)部門(mén) 和信息化部門(mén)共同加以落實(shí)。第三、基礎(chǔ)設(shè)施安全策略。

6、保證數(shù)據(jù)庫(kù)、操作系統(tǒng)、業(yè)務(wù)中間件、網(wǎng)絡(luò)等支撐業(yè)務(wù)應(yīng)用的IT基礎(chǔ)設(shè)施安全。業(yè)務(wù)和應(yīng)用系統(tǒng)不是孤立存在的， 是在IT環(huán)境中運(yùn)行的，所 以IT支撐環(huán)境的安全直接影響著整個(gè)業(yè)務(wù)的安全性。IT支撐環(huán)境安全策略就是保證數(shù)據(jù)庫(kù)、操作系統(tǒng)、業(yè)務(wù)中間件、 網(wǎng)絡(luò)等支撐業(yè)務(wù)應(yīng)用的IT基礎(chǔ)設(shè)施安全。該部分由信息化部 門(mén)加以落實(shí) 第四、運(yùn)行維護(hù)安全策略。監(jiān)控業(yè)務(wù)與系統(tǒng)的有效運(yùn)行。 前面三個(gè)方面只是強(qiáng)調(diào)了如何實(shí)現(xiàn)整個(gè)業(yè)務(wù)系統(tǒng)，如何保證 業(yè)務(wù)系統(tǒng)的安全性，但是如何保證業(yè)務(wù)系統(tǒng)確實(shí)按照內(nèi)控和 既定業(yè)務(wù)流程在正常的運(yùn)行，如何建立運(yùn)行過(guò)程安全性的評(píng) 價(jià)機(jī)制。這些需通過(guò)運(yùn)行管理安全來(lái)實(shí)現(xiàn)。運(yùn)行管理安全策 略是：監(jiān)控業(yè)務(wù)和系統(tǒng)的有效運(yùn)行。該部分由信息化部門(mén)加 以落實(shí)。1.1.7安全管理組織機(jī)構(gòu)XX信息系統(tǒng)安全管理組織機(jī)構(gòu)要堅(jiān)持責(zé)任明確、分工負(fù)責(zé)、統(tǒng)一管理的原則，在集中指揮的管理機(jī)制下統(tǒng)籌協(xié)調(diào)不同層 次、不同管理范圍的安全管理工作。天融信根據(jù)多年安全建 設(shè)及服務(wù)經(jīng)驗(yàn)，建議XX安全管理組織架構(gòu)的工作及人員安