信息安全規(guī)劃設(shè)計(jì)模板 - 圖文-

1、信息系統(tǒng)安全規(guī)劃方案樊山2014/1/26本文件中出現(xiàn)的全部?jī)?nèi)容,除另有特別注明,版權(quán)均屬樊山所有。任何個(gè)人、機(jī)構(gòu)未經(jīng)樊山的書(shū)面授權(quán)許可,不得以任何方式復(fù)制引用文件的任何片斷。樊山負(fù)責(zé)對(duì)本文檔的解釋。目錄1概述 (31.1背景 (31.1.1簡(jiǎn)介 (31.1.2實(shí)施依據(jù) (31.2需求分析 (31.2.1系統(tǒng)風(fēng)險(xiǎn)綜述 (31.2.2系統(tǒng)等級(jí)化保護(hù)需求 (91.3建設(shè)目標(biāo) (101.3.1近期目標(biāo)(2014年 (101.3.2中期目標(biāo)(2015年 (111.3.3遠(yuǎn)期目標(biāo)(2016年 (112安全保障需求概要設(shè)計(jì) (122.1設(shè)計(jì)思路 (122.1.1信息安全頂層設(shè)計(jì)思想 (122.1.2信息安

2、全頂層設(shè)計(jì)內(nèi)涵 (132.1.3信息安全設(shè)計(jì)模型 (142.1.4信息安全應(yīng)滿足的基本要素 (142.2管理保障設(shè)計(jì) (162.3技術(shù)保障設(shè)計(jì) (172.4過(guò)程控制保障設(shè)計(jì) (172.5人員要求設(shè)計(jì) (173通用安全設(shè)計(jì) (193.1管理保障 (193.1.1風(fēng)險(xiǎn)管理體系設(shè)計(jì) (193.1.2系統(tǒng)安全審計(jì)設(shè)計(jì) (233.2技術(shù)保障 (253.2.1物理安全通用設(shè)計(jì) (263.2.2網(wǎng)絡(luò)安全通用設(shè)計(jì) (263.2.3系統(tǒng)安全通用設(shè)計(jì) (263.2.4應(yīng)用安全通用設(shè)計(jì) (263.2.5數(shù)據(jù)安全通用設(shè)計(jì) (263.3過(guò)程保障 (273.3.1需求分析通用控制 (273.3.2開(kāi)發(fā)采購(gòu)?fù)ㄓ每刂?(27

3、3.3.3實(shí)施交付通用控制 (273.3.4運(yùn)行維護(hù)通用控制 (283.3.5廢棄通用控制 (333.4人員要求 (343.4.1人員角色與職責(zé)通用設(shè)計(jì) (343.4.2具體角色 (353.4.3崗位設(shè)置原則 (364層面間安全設(shè)計(jì) (384.1S1系統(tǒng)安全設(shè)計(jì) (384.1.1網(wǎng)絡(luò)規(guī)劃拓?fù)?(384.1.2入侵檢測(cè)系統(tǒng)部署 (384.1.3數(shù)據(jù)庫(kù)審計(jì)系統(tǒng) (384.1.4內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng) (384.1.5堡壘機(jī)系統(tǒng) (385工程實(shí)施建議 (395.1第一期工程實(shí)施建議 (395.2第二期工程實(shí)施建議 (405.3第三期工程實(shí)施建議 (405.4工程預(yù)算 (40附件1等級(jí)保護(hù)定級(jí)流程

4、及矩陣 (41附件2崗位職責(zé)分離表 (421概述1.1背景1.1.1簡(jiǎn)介1.1.2實(shí)施依據(jù)本次規(guī)劃設(shè)計(jì)是基于國(guó)際、國(guó)家通行標(biāo)準(zhǔn)的基礎(chǔ)之上,主要采用標(biāo)準(zhǔn)如下: ISO/IEC27001:2005信息安全管理體系要求;GB/T20984-2007信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范;ISO/IEC27005:2008信息安全技術(shù)-信息安全風(fēng)險(xiǎn)管理。GB/T222392008信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22240-2008信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T20274:2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架公通字(66號(hào)文關(guān)于印發(fā)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施

5、意見(jiàn)的通知1.2需求分析1.2.1系統(tǒng)風(fēng)險(xiǎn)綜述1.2.1.1管理風(fēng)險(xiǎn)綜述1.2.1.1.1概述XXX管理風(fēng)險(xiǎn)評(píng)估是建立在ISO/IEC27001:2005信息技術(shù)-信息安全管理體系-要求基礎(chǔ)上133個(gè)控制點(diǎn)的符合性識(shí)別和控制。其中不適用24項(xiàng),不符合57項(xiàng),詳見(jiàn)圖: 圖管理風(fēng)險(xiǎn)統(tǒng)計(jì)圖分類(lèi)極高高中低一般統(tǒng)計(jì)信息安全方針112信息安全組織1337資產(chǎn)管理112人力資源安全11物理與環(huán)境安全1315通信與操作管理14712訪問(wèn)控制235111系統(tǒng)獲取、開(kāi)發(fā)與維護(hù)437信息安全事件管理112符合性549統(tǒng)計(jì)4242811581.2.1.1.2信息安全方針控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明 1.2.1.1

6、.3信息安全組織控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.1.4資產(chǎn)管理控制目標(biāo)不符合項(xiàng)風(fēng)險(xiǎn)可接受說(shuō)明1.2.1.1.5人力資源安全控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明說(shuō)明:由于本次評(píng)估未包含人力資源安全內(nèi)容,故本控制目標(biāo)為不適用項(xiàng)。1.2.1.1.6物理與環(huán)境安全控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.1.7通信與操作管理控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.1.8訪問(wèn)控制控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.1.9系統(tǒng)獲取、開(kāi)發(fā)與維護(hù)控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.1.10信息安全事件管理控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.1.11業(yè)務(wù)連續(xù)性管理控制目標(biāo)不

7、符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.1.12符合性控制目標(biāo)不符合項(xiàng)不可接受風(fēng)險(xiǎn)說(shuō)明1.2.1.2技術(shù)風(fēng)險(xiǎn)綜述1.2.1.2.1概述XXX技術(shù)風(fēng)險(xiǎn)評(píng)估是建立在國(guó)家信息安全等級(jí)保護(hù)相關(guān)要求標(biāo)準(zhǔn)之上,將從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全等5大方面進(jìn)行安全評(píng)估,二級(jí)共有80個(gè)檢查項(xiàng),三級(jí)系統(tǒng)共135個(gè)檢查項(xiàng)。序號(hào)系統(tǒng)名稱安全等級(jí)標(biāo)準(zhǔn)安全現(xiàn)狀安全威脅程度備注1三級(jí)58中2三級(jí)50中高3三級(jí)50中搞4三級(jí)90低5二級(jí)81中6二級(jí)71高7二級(jí)95低1.2.1.2.2S1系統(tǒng)通過(guò)人工審核及人員訪談的方式發(fā)現(xiàn)信號(hào)系統(tǒng)在135個(gè)檢查項(xiàng)中:符合項(xiàng)42個(gè)、部分符合項(xiàng)36個(gè)、不符合項(xiàng)48個(gè)、不適用項(xiàng)9個(gè)。

8、 1.2.1.2.2.1物理安全1.2.1.2.2.2網(wǎng)絡(luò)安全1.2.1.2.2.3系統(tǒng)安全1.2.1.2.2.4應(yīng)用安全1.2.1.2.2.5數(shù)據(jù)安全1.2.2系統(tǒng)等級(jí)化保護(hù)需求1.2.2.1信息安全等級(jí)保護(hù)定級(jí)概述1.2.2.1.1信息安全等級(jí)保護(hù)根據(jù)國(guó)家公通字(66號(hào)文關(guān)于印發(fā)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)的通知規(guī)定:根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度;遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度;針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素,信息和信息系統(tǒng)的安全等級(jí)保護(hù)共分五級(jí):

9、1.第一級(jí)為自主保護(hù)級(jí),適用于一般的信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響,但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。2.第二級(jí)為指導(dǎo)保護(hù)級(jí),適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。3.第三級(jí)為監(jiān)督保護(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。4.第四級(jí)為強(qiáng)制保護(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng),其受到破壞后,會(huì)

10、對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。5.第五級(jí)為?？乇Ｗo(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)1.2.2.2S1系統(tǒng)等級(jí)化要求與定義1.2.2.2.1系統(tǒng)描述1.2.2.2.2等級(jí)化定義業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表 信息安全等級(jí):第二級(jí)1.

11、3建設(shè)目標(biāo)1.3.1近期目標(biāo)(2014年在現(xiàn)代信息安全保障中,技術(shù)和管理是兩個(gè)不可或缺的實(shí)現(xiàn)手段,這其中,管理手段尤其重要,起著決定性的作用。因此,本規(guī)劃的首要目標(biāo)是建立完善的信息安全管理體系,將信息安全納入風(fēng)險(xiǎn)管理范疇,通過(guò)獨(dú)立審計(jì)發(fā)現(xiàn)風(fēng)險(xiǎn)使信息安全管理從被動(dòng)防御向主動(dòng)發(fā)現(xiàn)發(fā)展。本目標(biāo)是建立在ISO27001信息安全管理體系基礎(chǔ)上,對(duì)于內(nèi)部審計(jì)和管理評(píng)審ISO27001給出了明確的要求。內(nèi)部審計(jì)的實(shí)質(zhì),就是驗(yàn)證組織信息安全管理體系的有效性,看其是否符合標(biāo)準(zhǔn)規(guī)范的要求,是否符合組織既定的安全需求。管理評(píng)審是組織的最高管理者的基本職責(zé),通常都需要最高管理者主持專門(mén)的會(huì)議,讓各職能部門(mén)領(lǐng)導(dǎo)、管理者

12、代表、體系推行小組成員共同參加,對(duì)各類(lèi)評(píng)審輸入信息進(jìn)行分析討論,最終形成對(duì)ISMS持續(xù)改進(jìn)的決策。1.3.2中期目標(biāo)(2015年技術(shù)保障是信息安全保障手段必不可少的,技術(shù)保障是為了完善技術(shù)保障措施,依據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告所描述之風(fēng)險(xiǎn),根據(jù)XXX信息化發(fā)展?fàn)顩r建立3年內(nèi)的信息安全技術(shù)保障體系。完成建設(shè)后使XXX信息系統(tǒng)能夠建立積極防御,綜合防范,尋求業(yè)務(wù)與安全的平衡建設(shè),確保XXX業(yè)務(wù)系統(tǒng)能夠在可管理、可監(jiān)視、可預(yù)見(jiàn)的狀態(tài)下運(yùn)行。1.3.3遠(yuǎn)期目標(biāo)(2016年遠(yuǎn)期目標(biāo)是對(duì)未來(lái)XXX所屬信息技術(shù)系統(tǒng)能夠在一個(gè)統(tǒng)一、有序、可管理狀態(tài)下執(zhí)行業(yè)務(wù)。應(yīng)用所產(chǎn)生的信息安全保障手段的實(shí)現(xiàn)。2安全保障需求概要設(shè)計(jì)2.

13、1設(shè)計(jì)思路本次評(píng)估是XXX第一次基于信息系統(tǒng)建立的風(fēng)險(xiǎn)識(shí)別工作,在風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn),XXX最大的風(fēng)險(xiǎn)主要來(lái)源于內(nèi)部的管理問(wèn)題和對(duì)已有信息系統(tǒng)以及未來(lái)信息系統(tǒng)本身的缺陷和瑕疵。在本次設(shè)計(jì)中重點(diǎn)通過(guò)管-控-糾-改四個(gè)方面,管:建立有效的信息安全管理體系;控:通過(guò)靜態(tài)的技術(shù)控制和動(dòng)態(tài)的過(guò)程控制相結(jié)合,形成有效防御;糾:通過(guò)檢測(cè)機(jī)制,如:評(píng)估、審計(jì)、檢測(cè)、預(yù)警等手段多層次、多角度識(shí)別安全問(wèn)題,及時(shí)建立有效的控制機(jī)制;改:持續(xù)改進(jìn)是形成信息安全狀態(tài)維持的一種重要機(jī)制。2.1.1信息安全頂層設(shè)計(jì)思想在信息化發(fā)展的今天,任何信息網(wǎng)絡(luò)災(zāi)難事件的發(fā)生,都會(huì)給社會(huì)帶來(lái)很大風(fēng)險(xiǎn)。因此在信息化對(duì)經(jīng)濟(jì)建設(shè)的融合、滲透、催

14、化和倍增的背景下,加強(qiáng)信息安全的全局對(duì)策建設(shè)是非常必要的。如何保障信息系統(tǒng)和服務(wù)的不中斷,使信息系統(tǒng)所支撐的業(yè)務(wù)正常運(yùn)轉(zhuǎn),這就需要進(jìn)行信息安全頂層設(shè)計(jì)和全局對(duì)策。信息安全頂層設(shè)計(jì)總體規(guī)劃包含四個(gè)要點(diǎn):1、做好信息安全的等級(jí)保護(hù)制度的落實(shí)。信息安全等級(jí)保護(hù)制度是在信息系統(tǒng)可能面臨的風(fēng)險(xiǎn)和信息系統(tǒng)投入之間尋找到一個(gè)科學(xué)的平衡點(diǎn)。包括資金、人力、資源的各種投入都要形成一種優(yōu)化配置狀態(tài)。在資金不足的狀態(tài)下,解決重點(diǎn)、難點(diǎn)的安全問(wèn)題。2、建立健全的信息安全保障體系信息安全保障體系的建立分為技術(shù)保障體系、管理保障、過(guò)程保障和人員保障體系。信息安全技術(shù)保障體系的建立有4個(gè)要點(diǎn):縱深防御工作。如:信息安全域的

15、科學(xué)劃分;要做好安全邊界的防護(hù)和控制,物理隔離和邏輯隔離;信息安全設(shè)施在縱深多級(jí)的合理部署。動(dòng)態(tài)防護(hù)策略。在各環(huán)節(jié)部署有效的對(duì)策,對(duì)外界的攻擊要有檢測(cè)、預(yù)警、監(jiān)控、診斷、抑制、恢復(fù)和容災(zāi)的動(dòng)態(tài)機(jī)制,在整個(gè)的動(dòng)態(tài)防御流程中,保證信息系統(tǒng)和服務(wù)的正常運(yùn)營(yíng)。基于密碼技術(shù)的網(wǎng)絡(luò)信任體系建設(shè)。包括身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等環(huán)節(jié),通過(guò)規(guī)范操作,保證身份和行為的可信性和可核查性。強(qiáng)化信息系統(tǒng)內(nèi)部審計(jì)(內(nèi)控機(jī)制。內(nèi)部安全事件的數(shù)量已經(jīng)超過(guò)外部病毒、黑客攻擊等安全事件,內(nèi)部安全事件包括誤操作、違規(guī)操作和違法操作(內(nèi)部人員和外部人員互相勾結(jié),違法泄漏公司機(jī)密等。信息系統(tǒng)內(nèi)部審計(jì)有事后審計(jì)、事中審計(jì)和事前審計(jì)。

16、信息系統(tǒng)內(nèi)部審計(jì)的發(fā)展方向是審計(jì)點(diǎn)前移,即從事后審計(jì)向事中審計(jì)甚至事前審計(jì)轉(zhuǎn)化。3、信息安全系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作風(fēng)險(xiǎn)評(píng)估包括檢查評(píng)估、自評(píng)估和委托評(píng)估。檢查評(píng)估是從領(lǐng)導(dǎo)層強(qiáng)制執(zhí)行的檢查,由國(guó)家機(jī)關(guān)的官方檢測(cè),自評(píng)估和委托評(píng)估則是業(yè)主自己發(fā)起的,評(píng)估的目的是發(fā)現(xiàn)問(wèn)題和及時(shí)糾正,以強(qiáng)化系統(tǒng)的安全保障。4、及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)事件和災(zāi)難,做好系統(tǒng)應(yīng)急和災(zāi)備工作。網(wǎng)絡(luò)突發(fā)事件一般包括電子威脅類(lèi)、物理威脅類(lèi)和內(nèi)容威脅類(lèi)等幾類(lèi)。電子威脅類(lèi)包括大規(guī)模病毒擴(kuò)散等,物理威脅類(lèi)包括地震、水災(zāi)等,內(nèi)容威脅類(lèi)事件則可能導(dǎo)致社會(huì)的不穩(wěn)定,甚至?xí)绊懙絿?guó)家的穩(wěn)定。建立應(yīng)急預(yù)案和災(zāi)備對(duì)策,對(duì)系統(tǒng)目標(biāo)、規(guī)劃、對(duì)策、組織、保障、培訓(xùn)

17、等進(jìn)行分級(jí)分類(lèi)演練。2.1.2信息安全頂層設(shè)計(jì)內(nèi)涵信息安全頂層設(shè)計(jì)是組織自身對(duì)信息安全的需求,制定的一個(gè)切實(shí)可行的安全體系。它涵蓋信息系統(tǒng)的基礎(chǔ)安全服務(wù)和架構(gòu)、安全運(yùn)維、安全治理、風(fēng)險(xiǎn)管理和合規(guī)等各個(gè)子系統(tǒng)。由于組織信息安全建設(shè)需求的不同,各組織的信息安全頂層設(shè)計(jì)存在著較大的差異,因而直接照搬其它組織信息安全頂層設(shè)計(jì)的方法并不可行。另外,信息安全頂層設(shè)計(jì)涉及組織的業(yè)務(wù)流程和組織架構(gòu)以及安全合規(guī)等問(wèn)題,不是簡(jiǎn)單的安全產(chǎn)品的堆砌?？梢哉f(shuō),信息安全頂層設(shè)計(jì)的設(shè)計(jì)和建設(shè)是一個(gè)極其復(fù)雜的系統(tǒng)工程,不是單一產(chǎn)品和技術(shù)平臺(tái)可以解決的。在信息安全頂層設(shè)計(jì)的規(guī)劃和建設(shè)中,組織還應(yīng)該認(rèn)識(shí)到,信息系統(tǒng)中信息的交互和

18、安全風(fēng)險(xiǎn)是并生共存的。信息安全頂層設(shè)計(jì)的規(guī)劃和建設(shè)并不能實(shí)現(xiàn)絕對(duì)的信息安全,除非切斷所有的信息流動(dòng)和共享,然而這將導(dǎo)致信息系統(tǒng)失去其存在的意義。2.1.3信息安全設(shè)計(jì)模型信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中,通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析,制定并執(zhí)行相應(yīng)的安全保障策略,從技術(shù)、管理、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性、完整性和可用性,降低安全風(fēng)險(xiǎn)到可接受的程度,從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。該標(biāo)準(zhǔn)給出了信息系統(tǒng)安全保障的基本概念和模型,并建立了信息系統(tǒng)安全保障框架。該標(biāo)準(zhǔn)詳細(xì)給出了信息系統(tǒng)安全保障的一般模型,包括安全保障上下文、信息系統(tǒng)安全保障評(píng)估、信息系統(tǒng)保護(hù)輪廓和信

19、息系統(tǒng)安全目標(biāo)的生成、信息系統(tǒng)安全保障描述材料;信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果,包括信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的要求、評(píng)估對(duì)象的要求、評(píng)估結(jié)果的聲明等。(如圖 圖信息系統(tǒng)安全保障的基本概念和模型2.1.4信息安全應(yīng)滿足的基本要素隨著協(xié)作業(yè)務(wù)模式、高明的犯罪攻擊以及越來(lái)越復(fù)雜的IT基礎(chǔ)設(shè)施的出現(xiàn),現(xiàn)有的從戰(zhàn)術(shù)上獨(dú)立實(shí)施的安全技術(shù)已經(jīng)不足以應(yīng)對(duì)新的風(fēng)險(xiǎn)。應(yīng)對(duì)方式應(yīng)跨躍多個(gè)信息安全技術(shù)領(lǐng)域,從戰(zhàn)略的高度端到端的管理風(fēng)險(xiǎn):人員和身份識(shí)別:保障合法用戶在允許的時(shí)間訪問(wèn)合適的資源人員和身份識(shí)別子系統(tǒng)是整個(gè)信息安全系統(tǒng)的基礎(chǔ),它一方面提供了有效的訪問(wèn)控制能力,另一方面實(shí)現(xiàn)了基于人員和身份的管理。獲得

20、授權(quán)的用戶可以訪問(wèn)基礎(chǔ)設(shè)施,數(shù)據(jù),信息和服務(wù)。同時(shí),其訪問(wèn)范圍受到了其身份和權(quán)限的控制。人員和身份的識(shí)別可以采取多種方式進(jìn)行,包括物理身份證或邏輯令牌或用戶標(biāo)識(shí)符等。數(shù)據(jù)和信息:保障數(shù)據(jù)在傳輸及整個(gè)生命周期中的安全數(shù)據(jù)和信息子系統(tǒng)主要負(fù)責(zé)對(duì)分布在組織各個(gè)信息系統(tǒng)中的數(shù)據(jù)和信息進(jìn)行安全防護(hù)。數(shù)據(jù)和信息是組織的核心資產(chǎn),信息系統(tǒng)中的數(shù)據(jù)和信息在存儲(chǔ)、轉(zhuǎn)移、使用、傳輸、交換等過(guò)程中,都有可能受到安全威脅。數(shù)據(jù)和信息子系統(tǒng)通過(guò)對(duì)資產(chǎn)進(jìn)行分類(lèi)統(tǒng)計(jì)、分配屬性、設(shè)定強(qiáng)制訪問(wèn)策略、審計(jì)、加密等措施實(shí)現(xiàn)對(duì)數(shù)據(jù)和信息的保護(hù)。應(yīng)用和流程:保障應(yīng)用和業(yè)務(wù)服務(wù)的安全應(yīng)用和流程子系統(tǒng)負(fù)責(zé)對(duì)組織業(yè)務(wù)應(yīng)用的整個(gè)生命周期進(jìn)行安

21、全防護(hù),它涵蓋了從應(yīng)用的設(shè)計(jì)開(kāi)發(fā)、實(shí)施到使用的整個(gè)過(guò)程,使應(yīng)用在其整個(gè)生命周期中獲得有效的控制和安全的保護(hù)。另外組織的應(yīng)用和業(yè)務(wù)安全還需要考慮行業(yè)或地區(qū)法律法規(guī)的遵從等內(nèi)容。網(wǎng)絡(luò)、服務(wù)器和終端:保障信息系統(tǒng)基礎(chǔ)架構(gòu)的安全網(wǎng)絡(luò)、服務(wù)器和終端子系統(tǒng)主要面向組織信息系統(tǒng)的基礎(chǔ)架構(gòu),它通過(guò)對(duì)存在于基礎(chǔ)架構(gòu)中安全隱患的主動(dòng)監(jiān)控和控制,避免或減少技術(shù)設(shè)施帶來(lái)的風(fēng)險(xiǎn),確保上層應(yīng)用系統(tǒng)的安全和穩(wěn)定。該子系統(tǒng)一般會(huì)通過(guò)部署相應(yīng)的安全防護(hù)產(chǎn)品,結(jié)合安全監(jiān)控、安全管理、應(yīng)急響應(yīng)預(yù)案等安全措施,來(lái)達(dá)到預(yù)期安全防護(hù)的目的。物理基礎(chǔ)架構(gòu):保障信息系統(tǒng)有關(guān)物理設(shè)施和環(huán)境的安全物理基礎(chǔ)架構(gòu)子系統(tǒng)負(fù)責(zé)保護(hù)企業(yè)信息系統(tǒng)的物理基礎(chǔ)

22、設(shè)施和環(huán)境。物理基礎(chǔ)設(shè)施和環(huán)境的損壞將極大的影響企業(yè)信息系統(tǒng)及其業(yè)務(wù)的連續(xù)性。該子系統(tǒng)涉及到的內(nèi)容可能包括物理訪問(wèn)控制設(shè)施和環(huán)境被破壞,關(guān)鍵物理設(shè)施的損壞或丟失等。物理基礎(chǔ)架構(gòu)安全子系統(tǒng)通常需要通過(guò)一個(gè)有效、集中的監(jiān)控系統(tǒng),實(shí)現(xiàn)對(duì)有關(guān)資源的集中管理和監(jiān)控,包括:物理設(shè)施、員工、客戶、公用場(chǎng)所甚至天氣情況等。在信息安全的理論體系中,這五個(gè)層次不是孤立的,它們是相輔相成的。組織在設(shè)計(jì)信息安全系統(tǒng)時(shí)必須全面考慮信息安全體系的各個(gè)層次,并結(jié)合自身具體情況進(jìn)行有所側(cè)重的規(guī)劃和設(shè)計(jì)。只有通過(guò)對(duì)以上安全子系統(tǒng)的深入分析,才能建立起一個(gè)強(qiáng)大的安全矩陣,有效的應(yīng)對(duì)各種安全風(fēng)險(xiǎn)和威脅。2.2管理保障設(shè)計(jì)信息安全管

23、理體系是信息安全保障體系的一個(gè)重要組成部分。信息安全管理體系框架是從管理的層面出發(fā),按照多層防護(hù)的思想,為實(shí)現(xiàn)信息安全戰(zhàn)略而搭建的。信息安全管理體系由幾下幾部分組成:安全政策,標(biāo)準(zhǔn)管理規(guī)定信息安全政策與標(biāo)準(zhǔn)是信息安全管理、運(yùn)作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套對(duì)信息安全的管理規(guī)定,是安全意識(shí)培養(yǎng)的內(nèi)容來(lái)源,是組織管理控制和審計(jì)的依據(jù),是技術(shù)方案必須遵從的基礎(chǔ)要求。安全意識(shí)培養(yǎng)宣傳教育員工在信息安全方面的自我約束、自我控制,是信息安全管理體系的一個(gè)重要層次。安全意識(shí)培養(yǎng)是信息安全管理控制的基礎(chǔ),實(shí)際工作中大部分的信息安全控制需要依靠員工的主觀能動(dòng)性。安全組織管理控制通過(guò)完善的組織架構(gòu),明確不

24、同安全組織、不同安全角色的定位和職責(zé)以及相互關(guān)系,對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行控制管理。這里包含了“管理”和“監(jiān)控”兩方面的含義,特別是對(duì)專職的信息安全管理部門(mén)而言,“監(jiān)控”是極其重要的職責(zé)。管理控制的落實(shí)需要通過(guò)標(biāo)準(zhǔn)、安全意識(shí)培養(yǎng)和審計(jì)工作進(jìn)行保障和監(jiān)督,同時(shí)它又是信息安全標(biāo)準(zhǔn)、安全意識(shí)培養(yǎng)和審計(jì)工作開(kāi)展的重要對(duì)象。審計(jì)監(jiān)督審計(jì)監(jiān)督是XXX內(nèi)部風(fēng)險(xiǎn)控制的重要組成部分。內(nèi)部審計(jì)是組織內(nèi)部控制的一種自我監(jiān)督機(jī)制。信息安全審計(jì)一般是在信息安全管理控制的基礎(chǔ)上,由組織內(nèi)部相對(duì)獨(dú)立的專職部門(mén)對(duì)信息安全管理控制的效果進(jìn)行監(jiān)督。風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)問(wèn)題信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)是了解支撐XXX關(guān)鍵業(yè)務(wù)運(yùn)作的信息系統(tǒng)的安全狀況,

25、評(píng)估核心信息資產(chǎn)所面臨的風(fēng)險(xiǎn),發(fā)現(xiàn)信息安全實(shí)踐中的薄弱環(huán)節(jié)和改進(jìn)機(jī)會(huì),明確信息系統(tǒng)的安全需求,提出信息安全控制措施改進(jìn)方案。2.3技術(shù)保障設(shè)計(jì)XXX信息系統(tǒng)安全技術(shù)解決方案是在理解安全管理的要求,用最小的投入得到最大的回報(bào),同時(shí)也為安全運(yùn)維管理提供了易于操作的平臺(tái)。在對(duì)安全技術(shù)規(guī)劃實(shí)施時(shí),需要考慮以下內(nèi)容:整體安全性的規(guī)劃。對(duì)于不同的安全功能機(jī)制加以整合以達(dá)到統(tǒng)一控管及互補(bǔ)的目的?？紤]對(duì)其它同時(shí)進(jìn)行的項(xiàng)目的影響。從基礎(chǔ)的、負(fù)面影響最小的安全措施入手。具有未來(lái)的擴(kuò)充性,不致因容量問(wèn)題而須改變整體架構(gòu)。安全措施的設(shè)計(jì)與實(shí)施應(yīng)當(dāng)根據(jù)信息資產(chǎn)所面臨的風(fēng)險(xiǎn)所定。安全措施的設(shè)計(jì)應(yīng)以達(dá)到安全保護(hù)目的為原則而

26、非最大限度的投入。信息安全技術(shù)按照其所在的信息系統(tǒng)層次可以分為物理安全技術(shù),基礎(chǔ)架構(gòu)安全(網(wǎng)絡(luò)、主機(jī)和終端,應(yīng)用安全技術(shù),數(shù)據(jù)安全技術(shù),身份和訪問(wèn)管理五大種類(lèi)。安全技術(shù)體系的建立原則是要建設(shè)與管理制度相對(duì)應(yīng)的安全架構(gòu)設(shè)計(jì)。2.4過(guò)程控制保障設(shè)計(jì)過(guò)程控制保障是在信息系統(tǒng)生命周期的五個(gè)階段建立有效保障,從而從根本上管理和控制信息安全問(wèn)題。 信息安全問(wèn)題應(yīng)該從計(jì)劃組織階段開(kāi)始重視,在信息系統(tǒng)生命周期每個(gè)階段建立有效的安全控制和管理。2.5人員要求設(shè)計(jì)要使IA達(dá)到目的首先從最高管理許諾開(kāi)始,這種許諾是基于對(duì)已經(jīng)意識(shí)到的威脅的認(rèn)識(shí)程度。這種承諾必須繼之以建立有效的IA策略和程序、指定角色和責(zé)任、資源的義

27、務(wù)關(guān)鍵人員的培訓(xùn)(用戶和系統(tǒng)管理者和強(qiáng)制的人員義務(wù)。這些步驟包括建立物理安全和人員安全的度量以便控制和監(jiān)控對(duì)IT環(huán)境的設(shè)施和關(guān)鍵要素的訪問(wèn)。策略和程序培訓(xùn)和意識(shí)系統(tǒng)安全管理物理安全、人員安全設(shè)施對(duì)策3通用安全設(shè)計(jì)通用安全設(shè)計(jì)是建立在宏觀角度上的綜合性設(shè)計(jì),設(shè)計(jì)首先將各個(gè)系統(tǒng)所產(chǎn)生的共同問(wèn)題及宏觀問(wèn)題統(tǒng)一解決,有效的降低在安全建設(shè)中的重復(fù)建設(shè)和管理真空的問(wèn)題。在通用設(shè)計(jì)中重點(diǎn)針對(duì)組織信息安全管理體系和風(fēng)險(xiǎn)管理過(guò)程的控制元素;從系統(tǒng)生命周期考慮信息安全問(wèn)題。3.1管理保障3.1.1風(fēng)險(xiǎn)管理體系設(shè)計(jì)XXX信息安全系統(tǒng)建設(shè)中,最重要的保障機(jī)制是設(shè)置安全管理機(jī)構(gòu),并設(shè)置由主管領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)的信息安全管理領(lǐng)

28、導(dǎo)小組,負(fù)責(zé)XXX信息系統(tǒng)安全管理的領(lǐng)導(dǎo)與指導(dǎo)工作。具體職責(zé)包括:審定XXX信息安全技術(shù)發(fā)展規(guī)劃;審批信息安全方針、政策,分配信息安全管理職責(zé);確認(rèn)風(fēng)險(xiǎn)評(píng)估,審批信息安全預(yù)算計(jì)劃及設(shè)施的購(gòu)置;審批重大信息安全項(xiàng)目的開(kāi)發(fā)和實(shí)施方案;聽(tīng)取信息安全管理職能部門(mén)的工作匯報(bào),對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策;協(xié)調(diào)信息安全管理隊(duì)伍與各部門(mén)之間的關(guān)系。3.1.1.1信息安全管理組織結(jié)構(gòu)系統(tǒng)需要有一個(gè)安全管理實(shí)體,即安全管理機(jī)構(gòu),在領(lǐng)導(dǎo)小組指揮下,具體落實(shí)領(lǐng)導(dǎo)的決策,了解與匯報(bào)執(zhí)行情況,提出改進(jìn)建議,真正體現(xiàn)管理的戰(zhàn)斗力。安全管理部門(mén)應(yīng)建立清晰實(shí)用的管理和技術(shù)持續(xù)性方案,不斷評(píng)估和更新該方案;根據(jù)清楚的

29、程序進(jìn)行信息安全審計(jì),向信息安全管理領(lǐng)導(dǎo)小組匯報(bào)信息系統(tǒng)存在的問(wèn)題并提出改進(jìn)的建議;制定清晰的方針政策和詳細(xì)的操作指南;安全管理部門(mén)應(yīng)組織專業(yè)人士定期(平均為一年一到兩次對(duì)系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估,從保密性、完整性、可用性和可維護(hù)性四個(gè)基本方面進(jìn)行評(píng)測(cè)和優(yōu)化,將相應(yīng)的風(fēng)險(xiǎn)降低到可接受的程度,實(shí)現(xiàn)信息安全的成本效益。 圖3-1信息安全組織管理結(jié)構(gòu)圖(見(jiàn)附件3 3.1.1.2信息安全方針與策略組織必須建立良好的信息安全方針和策略,并指導(dǎo)XXX總體的信息安全工作的開(kāi)展。需要在一個(gè)組織機(jī)構(gòu)明確的前提下建立信息系統(tǒng)的綜合安全目標(biāo),并形成文件(如:信息安全管理手冊(cè)。在信息安全方針的指引下要建立定期的管理評(píng)審,

30、每年至少一次。3.1.1.3資產(chǎn)管理資產(chǎn)清單幫助確保進(jìn)行了有效的資產(chǎn)保護(hù),并且其它的業(yè)務(wù)目的,例如出于健康和安全、保險(xiǎn)或者金融(資產(chǎn)管理原因,也可能要用到資產(chǎn)清單。編寫(xiě)資產(chǎn)清單的過(guò)程是風(fēng)險(xiǎn)評(píng)估的一個(gè)重要方面。XXX要能夠確定其資產(chǎn)、資產(chǎn)的相對(duì)價(jià)值和這些資產(chǎn)的重要性。根據(jù)該信息,組織可以提供與資產(chǎn)價(jià)值及其重要性相符的安全保護(hù)等級(jí)。應(yīng)當(dāng)為每個(gè)信息系統(tǒng)的重要資產(chǎn)都建立并保有一份資產(chǎn)清單。對(duì)于每種資產(chǎn),都要清楚地進(jìn)行確認(rèn),其所有權(quán)和安全等級(jí)劃分,以及資產(chǎn)目前所處位置(當(dāng)需要恢復(fù)損失和毀壞的信息時(shí),這點(diǎn)就非常重要都應(yīng)當(dāng)?shù)玫脚鷾?zhǔn)并記錄在案。(詳見(jiàn)資產(chǎn)調(diào)查表清單3.1.1.4人力資源管理3.1.1.4.1人

31、員錄用3.1.1.4.2人員離崗3.1.1.4.3人員考核3.1.1.4.4安全意識(shí)教育和培訓(xùn)3.1.1.4.5外部人員訪問(wèn)管理3.1.1.5物理與環(huán)境安全3.1.1.6通信與操作管理參加技術(shù)保障第4部分3.1.1.7訪問(wèn)控制參加技術(shù)保障第4部分3.1.1.8信息系統(tǒng)的獲取、開(kāi)發(fā)與維護(hù)參見(jiàn)3.3過(guò)程保障3.1.1.9業(yè)務(wù)連續(xù)性管理3.1.1.10符合性3.1.1.11風(fēng)險(xiǎn)評(píng)估管理3.1.1.11.1風(fēng)險(xiǎn)評(píng)估計(jì)劃3.1.1.11.1.1設(shè)計(jì)目標(biāo)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)是了解支撐XXX關(guān)鍵業(yè)務(wù)運(yùn)作的信息系統(tǒng)的安全狀況,評(píng)估核心信息資產(chǎn)所面臨的風(fēng)險(xiǎn),發(fā)現(xiàn)信息安全實(shí)踐中的薄弱環(huán)節(jié)和改進(jìn)機(jī)會(huì),明確信息系統(tǒng)

32、的安全需求,提出信息安全控制措施改進(jìn)方案。3.1.1.11.1.2設(shè)計(jì)原則3.1.1.11.1.3信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南(詳見(jiàn)XXX風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理程序3.1.1.12風(fēng)險(xiǎn)管理實(shí)施3.1.1.12.1信息安全風(fēng)險(xiǎn)管理過(guò)程信息安全風(fēng)險(xiǎn)管理過(guò)程由確定范疇、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)溝通以及風(fēng)險(xiǎn)監(jiān)視和評(píng)審組成。如圖所示,信息安全風(fēng)險(xiǎn)管理過(guò)程可能循環(huán)進(jìn)行風(fēng)險(xiǎn)評(píng)估和/或風(fēng)險(xiǎn)處置活動(dòng)。風(fēng)險(xiǎn)評(píng)估的循環(huán)方法能夠使得每一次循環(huán)更加深入和具體。循環(huán)方法可以在確保高風(fēng)險(xiǎn)被準(zhǔn)確識(shí)別和在識(shí)別控制措施上花費(fèi)最小的時(shí)間和精力之間尋找平衡。首先確定范疇。然后進(jìn)行風(fēng)險(xiǎn)評(píng)估。如果風(fēng)險(xiǎn)評(píng)估為進(jìn)行有效決策的提供了充分的信

33、息,以確定將風(fēng)險(xiǎn)降低到可接受級(jí)別所需活動(dòng),則風(fēng)險(xiǎn)評(píng)估任務(wù)結(jié)束,開(kāi)始進(jìn)行風(fēng)險(xiǎn)處置。如果信息不夠充分,則進(jìn)行另外一個(gè)修訂范疇和風(fēng)險(xiǎn)評(píng)估的循環(huán),也可能是整個(gè)范圍內(nèi)的部分內(nèi)容進(jìn)行循環(huán)。3.1.1.12.2信息安全風(fēng)險(xiǎn)處置3.1.1.12.3信息安全風(fēng)險(xiǎn)的接受3.1.1.12.4信息安全風(fēng)險(xiǎn)的溝通3.1.1.12.5信息安全監(jiān)視和評(píng)審監(jiān)視和評(píng)審風(fēng)險(xiǎn)因子3.1.1.12.6風(fēng)險(xiǎn)管理監(jiān)視、評(píng)審和改進(jìn)3.1.2系統(tǒng)安全審計(jì)設(shè)計(jì)3.1.2.1設(shè)計(jì)目標(biāo)信息安全審計(jì)是指XXX為驗(yàn)證所有信息安全政策、標(biāo)準(zhǔn)、程序及其他相關(guān)規(guī)章制度的正確實(shí)施和檢查信息系統(tǒng)符合安全實(shí)施標(biāo)準(zhǔn)的情況,以及檢驗(yàn)安全運(yùn)行效果,信息安全控制措施是否

34、得當(dāng)所進(jìn)行的系統(tǒng)的、獨(dú)立的檢查和評(píng)價(jià),是XXX信息安全保障體系的一種自我保證手段。3.1.2.2設(shè)計(jì)原則信息安全審計(jì)需要保證相對(duì)的獨(dú)立性,因此需要由獨(dú)立的內(nèi)部審計(jì)部門(mén)來(lái)負(fù)責(zé)。信息安全審計(jì)的具體工作主要是評(píng)價(jià)信息安全工作的開(kāi)展情況,某些情況下也會(huì)使用信息安全監(jiān)控工具。XXX開(kāi)展信息安全審計(jì)工作的目的是:避免違背有關(guān)法律法規(guī)或合同約定事宜及其他安全要求的規(guī)定,確保XXX信息安全管理體系符合安全方針和標(biāo)準(zhǔn)要求,作為自我保障和改進(jìn)機(jī)制的一部分,在保證信息安全管理體系持續(xù)有效運(yùn)作的同時(shí),不斷的改進(jìn)和完善。在信息安全管理體系中,信息安全審計(jì)在保障管理控制措施有效執(zhí)行的同時(shí)還需要驗(yàn)證這些措施是否能有效實(shí)現(xiàn)信

35、息安全工作目標(biāo)。3.1.2.3信息安全審計(jì)監(jiān)督體系3.1.2.4信息安全年度審計(jì)計(jì)劃3.1.2.4.1建立內(nèi)審程序3.1.2.4.2審計(jì)目的3.1.2.4.3審計(jì)范圍XXX所屬信息系統(tǒng),依據(jù)信息安全決策小組統(tǒng)一規(guī)劃要求,按審計(jì)周期確定3.1.2.5職責(zé)分工3.1.2.5.1主管部門(mén)XXX信息資產(chǎn)部職責(zé):全面執(zhí)行內(nèi)審工作,并協(xié)調(diào)審計(jì)人員與各部門(mén)的工作3.1.2.5.2相關(guān)部門(mén)XXX所屬各部門(mén)職責(zé):協(xié)助審計(jì)小組完成內(nèi)審計(jì)劃3.1.2.5.3控制程序和要求3.1.2.5.4成立審計(jì)小組3.1.2.5.5文件審計(jì)3.1.2.5.6現(xiàn)場(chǎng)審計(jì)3.1.2.5.7編寫(xiě)審計(jì)報(bào)告3.1.2.5.8討論糾正措施3.

36、1.2.5.9跟蹤驗(yàn)證3.2技術(shù)保障在規(guī)劃、建設(shè)、使用、維護(hù)整個(gè)XXX系統(tǒng)項(xiàng)目的過(guò)程中,技術(shù)保障設(shè)計(jì)將主要遵循統(tǒng)一規(guī)劃、分步實(shí)施、立足現(xiàn)狀、節(jié)省投資、科學(xué)規(guī)范、嚴(yán)格管理的原則進(jìn)行安全體系的整體設(shè)計(jì)和實(shí)施,并充分考慮到先進(jìn)性、現(xiàn)實(shí)性、持續(xù)性和可擴(kuò)展性。主要標(biāo)準(zhǔn)參照依據(jù)為國(guó)家等級(jí)保護(hù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求,設(shè)計(jì)原則為以下幾方面:1等級(jí)標(biāo)準(zhǔn)性原則構(gòu)建XXX信息系統(tǒng)這樣龐大的系統(tǒng),必須堅(jiān)持遵循相關(guān)的標(biāo)準(zhǔn)。本方案從設(shè)計(jì)到產(chǎn)品選型都遵循國(guó)家等級(jí)保護(hù)二級(jí)和三級(jí)相關(guān)標(biāo)準(zhǔn)。2需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定是必要的。應(yīng)對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際分析

37、(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可用性、可維護(hù)性等,并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定安全策略。3綜合性、整體性原則安全模塊和設(shè)備的引入應(yīng)該體現(xiàn)系統(tǒng)運(yùn)行和管理的統(tǒng)一性。一個(gè)完整的系統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個(gè)環(huán)節(jié),必須提高整個(gè)系統(tǒng)的安全性以及系統(tǒng)中各個(gè)部分之間的嚴(yán)密的安全邏輯關(guān)聯(lián)的強(qiáng)度,以保證組成系統(tǒng)的各個(gè)部分協(xié)調(diào)一致地運(yùn)行。4易操作性原則安全措施需要人為去完成,如果措施過(guò)于復(fù)雜,對(duì)人的要求過(guò)高,本身就降低了安全性。5設(shè)備的先進(jìn)性與成熟性安全設(shè)備的選擇,既要考慮其先進(jìn)性,還要考慮其成熟性。先進(jìn)意味著技術(shù)、性能方面的優(yōu)越,而成熟

38、性表示可靠與可用。6無(wú)縫接入安全設(shè)備的安裝、運(yùn)行,應(yīng)不改變網(wǎng)絡(luò)原有的拓?fù)浣Y(jié)構(gòu),對(duì)網(wǎng)絡(luò)內(nèi)的用戶應(yīng)是透明的,不可見(jiàn)的。同時(shí),安全設(shè)備的運(yùn)行應(yīng)該不會(huì)對(duì)網(wǎng)絡(luò)傳輸造成通信“瓶頸”。7可管理性與擴(kuò)展性安全設(shè)備應(yīng)易于管理,而且支持通過(guò)現(xiàn)有網(wǎng)絡(luò)對(duì)網(wǎng)上的安全設(shè)備進(jìn)行安全的統(tǒng)一管理、控制,能夠在網(wǎng)上監(jiān)控設(shè)備的運(yùn)行狀況,進(jìn)行實(shí)時(shí)的安全審計(jì)。8保護(hù)原有投資的原則在進(jìn)行XXX運(yùn)營(yíng)分系統(tǒng)信息安全體系建設(shè)時(shí),應(yīng)充分考慮原有投資,要充分利用XXX運(yùn)營(yíng)分系統(tǒng)已有的建設(shè)基礎(chǔ),規(guī)劃其XXX系統(tǒng)的整體安全體系和災(zāi)難恢復(fù)系統(tǒng)。9綜合治理XXX系統(tǒng)是企業(yè)大環(huán)境下一個(gè)系統(tǒng)工程,信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個(gè)技術(shù)問(wèn)題,各種安全技術(shù)應(yīng)該與

39、運(yùn)行管理機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合,從社會(huì)系統(tǒng)工程的角度綜合考慮。3.2.1物理安全通用設(shè)計(jì)3.2.2網(wǎng)絡(luò)安全通用設(shè)計(jì)3.2.3系統(tǒng)安全通用設(shè)計(jì)3.2.4應(yīng)用安全通用設(shè)計(jì)3.2.5數(shù)據(jù)安全通用設(shè)計(jì)3.3過(guò)程保障3.3.1需求分析通用控制3.3.1.1設(shè)計(jì)目標(biāo)需求分析是解決“做什么”的問(wèn)題,是定義“做”的范圍和尺度,是將用戶要求我們做什么,變成我們書(shū)面承諾為用戶做什么的過(guò)程。需求分析結(jié)果應(yīng)確保所有的風(fēng)險(xiǎn)承擔(dān)者都明白其含義,并形成文檔,從而作為下一步工作的基礎(chǔ)。本設(shè)計(jì)目的是為XXX在信息系統(tǒng)規(guī)劃前能夠統(tǒng)一定義安全性,事先建立好安全防護(hù)手段,降低安全風(fēng)險(xiǎn)出現(xiàn)的幾率。3.3

40、.1.2設(shè)計(jì)原則信息安全需求來(lái)自于業(yè)務(wù)需求,根據(jù)ISSE信息系統(tǒng)安全過(guò)程控制控制原則,建立設(shè)計(jì)方案。3.3.1.3建設(shè)方案3.3.2開(kāi)發(fā)采購(gòu)?fù)ㄓ每刂?.3.2.1設(shè)計(jì)目標(biāo)開(kāi)發(fā)采購(gòu)過(guò)程是目前XXX面臨的重要問(wèn)題,由于很多情況下沒(méi)有自主采購(gòu)權(quán),并且在采購(gòu)過(guò)程中缺乏和乙方的直接溝通,因此建立有效的預(yù)防性控制措施和糾正性控制措施勢(shì)在必行。3.3.2.2設(shè)計(jì)原則信息系統(tǒng)開(kāi)發(fā)采購(gòu)過(guò)程的建設(shè)是建立在國(guó)家標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)要求基礎(chǔ)上。3.3.2.3建設(shè)方案3.3.3實(shí)施交付通用控制3.3.3.1設(shè)計(jì)目標(biāo)實(shí)施交付控制的目的是為了在交付過(guò)程中能夠有效識(shí)別系統(tǒng)在正式執(zhí)行業(yè)務(wù)前可能出現(xiàn)的安全風(fēng)險(xiǎn),本階段發(fā)現(xiàn)的問(wèn)題可

41、通過(guò)修改設(shè)計(jì)、廠家現(xiàn)場(chǎng)解決或者修改維護(hù)策略進(jìn)行補(bǔ)償。3.3.3.2設(shè)計(jì)原則本設(shè)計(jì)是在ITIL基礎(chǔ)上結(jié)合ISO/IEC27001:2005相關(guān)要求執(zhí)行控制3.3.3.3建設(shè)方案3.3.4運(yùn)行維護(hù)通用控制3.3.4.1設(shè)計(jì)目標(biāo)隨著數(shù)據(jù)大集中進(jìn)程的日益加快,大型數(shù)據(jù)中心的規(guī)模擴(kuò)大迅速投入大量如服務(wù)器類(lèi)、網(wǎng)絡(luò)類(lèi)、安全類(lèi)等IT基礎(chǔ)設(shè)施;同時(shí),信息網(wǎng)絡(luò)技術(shù)的應(yīng)用層次不斷深入,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展,像類(lèi)似于業(yè)務(wù)系統(tǒng)癱瘓,篡改信息或失竊之類(lèi)的重大安全事故,都意味著巨大損失,根據(jù)美國(guó)FBI機(jī)構(gòu)統(tǒng)計(jì):在計(jì)算機(jī)網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、存儲(chǔ)數(shù)據(jù)遭受多種攻擊和破壞中,有大概占80%的比例是

42、來(lái)自內(nèi)部人員所為,其發(fā)生頻率遠(yuǎn)遠(yuǎn)高于外部黑客攻擊。而對(duì)于目前大型數(shù)據(jù)中心來(lái)說(shuō),隨著機(jī)房規(guī)模擴(kuò)大,應(yīng)用系統(tǒng)增加,運(yùn)維人員數(shù)量增多,則意味著其發(fā)生的操作風(fēng)險(xiǎn)機(jī)率也在不斷加大。縱觀當(dāng)前市場(chǎng)上IT服務(wù)、安全管理產(chǎn)品,維護(hù)主體還是IT運(yùn)維人員,只在權(quán)限方面有限制外,對(duì)于IT運(yùn)維人員本身所帶來(lái)的潛在操作風(fēng)險(xiǎn)卻沒(méi)有涉及如何防范,主要還是基于信任或責(zé)任基礎(chǔ)上,對(duì)于管理來(lái)講存在很大風(fēng)險(xiǎn)。目前,已經(jīng)越來(lái)越多的相關(guān)法令法規(guī)出臺(tái),如美國(guó)薩班斯(Sarbanes Oxley法案,最新發(fā)布的巴塞爾新資本協(xié)議,信息安全管理體系ISO27000的總體思路、我國(guó)頒布的安全等級(jí)保護(hù)技術(shù)要求要求企業(yè),特別是一些關(guān)鍵行業(yè)企事業(yè)單位,

43、如金融、電力、政府等行業(yè)單位,建立起有效的內(nèi)部審計(jì)制度,IT操作行為審計(jì)成為內(nèi)部審計(jì)重中之重。實(shí)現(xiàn)網(wǎng)內(nèi)行為審計(jì),控制與防范風(fēng)險(xiǎn),是目前行業(yè)所關(guān)注的核心問(wèn)題。其實(shí)現(xiàn)目標(biāo):對(duì)內(nèi)部運(yùn)維管理人員實(shí)現(xiàn)有效監(jiān)管;其監(jiān)管的核心:一是“審計(jì)”,二是“控制”。審計(jì):全面覆蓋一般運(yùn)維管理各種途徑,全面審計(jì)、錄像與回放操作;其操作行為:可定為人、時(shí)間、事件以及操作行為內(nèi)容;其作用:可威懾違規(guī)人員,防范風(fēng)險(xiǎn),明確責(zé)任,確保系統(tǒng)安全穩(wěn)定?？刂?包含“訪問(wèn)控制”與“訪問(wèn)集中”。訪問(wèn)控制:即對(duì)未經(jīng)授權(quán)網(wǎng)絡(luò)訪問(wèn)連接進(jìn)行阻斷并報(bào)警,保障運(yùn)維安全、防范意外風(fēng)險(xiǎn);訪問(wèn)集中:通過(guò)代理方式確定網(wǎng)絡(luò)訪問(wèn)通道唯一性,實(shí)現(xiàn)所有運(yùn)維過(guò)程強(qiáng)制集

44、中化管理,規(guī)范運(yùn)維人員操作行為與操作習(xí)慣。3.3.4.2設(shè)計(jì)原則統(tǒng)一管理建立安全運(yùn)維管理體系,需要組織指定管理人員負(fù)責(zé)安全運(yùn)維管理體系的運(yùn)行,該管理人員根據(jù)組織的業(yè)務(wù)需求和客戶需要,對(duì)開(kāi)發(fā)、實(shí)施和改進(jìn)服務(wù)管理能力實(shí)施統(tǒng)一管理。管理人員根據(jù)運(yùn)維對(duì)象分配角色,確定組織結(jié)構(gòu)并實(shí)施組織優(yōu)化。流程化建立安全運(yùn)維管理體系,需要組織識(shí)別的服務(wù)管理流程,以及服務(wù)管理流程之間的接口、流程活動(dòng)協(xié)調(diào)的方式。建立文件化的安全運(yùn)維管理策略和計(jì)劃,提供審計(jì)證據(jù)。預(yù)警平臺(tái)建立安全運(yùn)維管理體系,需建立預(yù)警平臺(tái),以監(jiān)視、測(cè)量、審計(jì)運(yùn)維服務(wù)對(duì)象、運(yùn)維服務(wù)過(guò)程以及運(yùn)維服務(wù)管理體系?？?jī)效考核建立安全運(yùn)維管理體系,需要建立績(jī)效考核制度

45、,定期檢查員工績(jī)效,獎(jiǎng)勵(lì)工作富有成效員工,懲戒違法法律法規(guī)、以及工作規(guī)范的員工,尤其違法信息安全規(guī)定的員工。風(fēng)險(xiǎn)評(píng)估建立安全運(yùn)維管理體系,需要識(shí)別、評(píng)估、管理問(wèn)題和風(fēng)險(xiǎn),以及風(fēng)險(xiǎn)處理達(dá)成既定目標(biāo)的方法。3.3.4.3建設(shè)方案3.3.4.3.1安全巡檢3.3.4.3.1.1巡檢內(nèi)容3.3.4.3.1.2巡檢流程3.3.4.3.2安全運(yùn)維管理3.3.4.3.2.1變更管理3.3.4.3.2.1.1變更內(nèi)容:3.3.4.3.2.1.2變更流程:3.3.4.3.2.2安全加固3.3.4.3.2.2.1加固內(nèi)容:3.3.4.3.2.2.2加固周期:3.3.4.3.2.2.3加固流程:3.3.4.3.3安

46、全事件處置3.3.4.3.3.1計(jì)算機(jī)病毒事件處置3.3.4.3.3.2服務(wù)器安全事件處置3.3.4.3.3.3網(wǎng)絡(luò)安全事件處置3.3.4.3.3.4信息安全預(yù)警3.3.4.3.3.4.1信息安全預(yù)警的必要性信息安全預(yù)警是指信息網(wǎng)絡(luò)的預(yù)警,隨著網(wǎng)絡(luò)威脅趨勢(shì)在不斷變化,以應(yīng)用為目標(biāo)或載體的威脅日益增多。近年來(lái),網(wǎng)絡(luò)入侵攻擊、網(wǎng)上竊密事件日益頻繁。網(wǎng)絡(luò)信息安全威脅多以竊取、濫用、假冒、欺詐、篡改、阻塞、致癱等新一代惡意代碼形式為主。據(jù)統(tǒng)計(jì)網(wǎng)絡(luò)惡意代碼每年增長(zhǎng)量竟達(dá)到12.8倍,復(fù)合式病毒泛濫,在線信息劫持頻繁發(fā)生,僵尸網(wǎng)絡(luò)不斷擴(kuò)大,被植入木馬和諜報(bào)的IP 地址數(shù)量猛增,網(wǎng)頁(yè)篡改大量增加。我國(guó)網(wǎng)絡(luò)信

47、息安全威脅也面臨著前所未有的嚴(yán)峻形勢(shì),一場(chǎng)新的高技術(shù)對(duì)抗將在新的高度上展開(kāi)。以下是某安全研究中心提供的資料,顯示了當(dāng)前信息安全領(lǐng)域面臨的形勢(shì):每天上報(bào)掛馬數(shù)據(jù)量:50.80萬(wàn)條數(shù)據(jù);每天上報(bào)掛馬數(shù)據(jù)大小:90150MB;新病毒樣本(去除重復(fù)和變種:100個(gè);每天能夠捕獲的新網(wǎng)馬樣本(去除重復(fù)和變種:1000個(gè)。建立信息安全及安全預(yù)警已迫在眉睫,從技術(shù)、管理上,解決信息安全控制與維護(hù)中的實(shí)際問(wèn)題,是我們目前亟待解決的問(wèn)題。3.3.4.3.3.4.2范圍3.3.4.3.3.4.3發(fā)布方式3.3.4.3.4應(yīng)急響應(yīng)3.3.4.3.4.1范圍1、安全事件應(yīng)急響應(yīng):安全事件是指計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備系統(tǒng)的硬件

48、、軟件、數(shù)據(jù)因病毒感染或惡意攻擊等安全原因遭到破壞、更改、泄漏,造成信息系統(tǒng)不能正常訪問(wèn),或已經(jīng)發(fā)現(xiàn)的有可能造成上述現(xiàn)象的安全隱患,如非授權(quán)訪問(wèn)、信息泄密、系統(tǒng)性能?chē)?yán)重下降、網(wǎng)絡(luò)擁塞、病毒爆發(fā)等。當(dāng)出現(xiàn)以上安全事件時(shí),服務(wù)方必須及時(shí)進(jìn)行響應(yīng)。2、完善響應(yīng)流程:建立應(yīng)急響應(yīng)體系,完善應(yīng)急響應(yīng)流程,快速對(duì)安全事件進(jìn)行準(zhǔn)確定位,及時(shí)響應(yīng)處理,快速恢復(fù)系統(tǒng)運(yùn)行,降低安全事件造成的損失和影響。3、制訂和完善重要信息安全設(shè)備和安全系統(tǒng)的應(yīng)急響應(yīng)預(yù)案:制定和完善重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案,根據(jù)應(yīng)急預(yù)案,按照應(yīng)急響應(yīng)流程,組織相關(guān)人員進(jìn)行應(yīng)急演練,達(dá)到提高應(yīng)急處理速度,多方協(xié)調(diào)聯(lián)動(dòng)能力,熟悉應(yīng)急流程的目的。每

49、年至少組織一次安全應(yīng)急演練。3.3.4.3.4.2過(guò)程階段控制點(diǎn)數(shù)量控制手段準(zhǔn)備階段4跟蹤并通告最新的安全威脅;完善被保護(hù)資產(chǎn)的安全防御設(shè)施,提高安全事件的監(jiān)測(cè)和控制能力;制定業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)害恢復(fù)計(jì)劃;加強(qiáng)系統(tǒng)的風(fēng)險(xiǎn)管理,把握被保護(hù)系統(tǒng)的安全狀況;完善應(yīng)急響應(yīng)的策略和流程并且加強(qiáng)宣傳工作;維護(hù)應(yīng)急響應(yīng)的技術(shù)工具和各種資源庫(kù);加強(qiáng)應(yīng)急響應(yīng)技術(shù)人員對(duì)工具和流程操作的培訓(xùn)。檢測(cè)階段31.事件發(fā)生與否的確認(rèn);2.評(píng)估事件影響范圍;3.現(xiàn)場(chǎng)取樣,收集事件證據(jù);4.向處理事件的上級(jí)部門(mén)匯報(bào)。抑制階段31.關(guān)掉已受害的系統(tǒng);2.斷開(kāi)網(wǎng)絡(luò);3.修改防火墻或路由器的過(guò)濾規(guī)則;4.封鎖或刪除被攻破的登錄賬號(hào);

50、5.關(guān)閉可被攻擊利用的服務(wù)功能。根除階段31.系統(tǒng)異常行為分析2.日志審計(jì)3.入侵監(jiān)測(cè)4.安全風(fēng)險(xiǎn)評(píng)估恢復(fù)階段1把所有被破壞的資產(chǎn)徹底地還原到正常運(yùn)作狀態(tài)。(恢復(fù)被破壞系統(tǒng)需要建立在災(zāi)害恢復(fù)計(jì)劃的基礎(chǔ)上總結(jié)階段11、形成事件處理的最終報(bào)告;2、檢查應(yīng)急響應(yīng)過(guò)程中存在的問(wèn)題,重新評(píng)估和修改事件響應(yīng)過(guò)程;3、評(píng)估應(yīng)急響應(yīng)人員在相互溝通和事件處理上存在的缺陷,以促進(jìn)事后進(jìn)行有針對(duì)性的培訓(xùn)。3.3.4.3.4.3事件應(yīng)急預(yù)案和應(yīng)急演練方案為了保證信息網(wǎng)絡(luò)系統(tǒng)安全及減少信息系統(tǒng)發(fā)生嚴(yán)重故障時(shí)對(duì)地鐵三號(hào)線運(yùn)營(yíng)產(chǎn)生的影響,根據(jù)XXX信息系統(tǒng)、人員組織情況制訂適合的安全應(yīng)急預(yù)案。配備多重保險(xiǎn)系統(tǒng),做到以多種技

51、術(shù)防范為主,及早消除現(xiàn)行信息網(wǎng)絡(luò)系統(tǒng)的危機(jī),確保信息系統(tǒng)正常運(yùn)行。建立應(yīng)急處理機(jī)構(gòu),平時(shí)應(yīng)加強(qiáng)對(duì)應(yīng)急保障預(yù)案的演練,不斷深化、細(xì)化應(yīng)急預(yù)案,提高應(yīng)急處理能力。在信息系統(tǒng)遭受?chē)?yán)重破壞時(shí),迅速啟用應(yīng)急措施,明確應(yīng)急指揮中心,維持各部門(mén)的正常運(yùn)作,最大限度縮短對(duì)地鐵三號(hào)線運(yùn)營(yíng)的影響時(shí)間。3.3.5廢棄通用控制3.3.5.1設(shè)計(jì)目標(biāo)不良的信息系統(tǒng)廢棄過(guò)程會(huì)造成組織大量的數(shù)據(jù)丟失或者泄露,直接影響到組織的生產(chǎn)和無(wú)形資產(chǎn)的損失,本設(shè)計(jì)目標(biāo)是在現(xiàn)有的組織架構(gòu)下通過(guò)有序的管理控制對(duì)信息系統(tǒng)廢棄過(guò)程建立控制約束,降低信息在廢棄階段造成的損失或危害。3.3.5.2設(shè)計(jì)原則本設(shè)計(jì)依據(jù)GB/T25058-2010國(guó)家

52、信息安全等級(jí)保護(hù)實(shí)施指南建立。3.3.5.3建設(shè)方案3.3.5.3.1信息轉(zhuǎn)移、暫存和清除3.3.5.3.2設(shè)備遷移或廢棄3.3.5.3.3存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀3.4人員要求3.4.1人員角色與職責(zé)通用設(shè)計(jì)3.4.1.1信息安全領(lǐng)導(dǎo)小組信息安全是XXX工作人員必須共用承擔(dān)的責(zé)任。信息安全領(lǐng)導(dǎo)小組是系統(tǒng)安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu),負(fù)責(zé)本單位信息安全工作的宏觀管理。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)信息安全總體規(guī)劃與決策,并領(lǐng)導(dǎo)全公司安全建設(shè)、運(yùn)行、維護(hù)和管理等工作;信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)組織落實(shí)上層決策,制定本公司決策,并領(lǐng)導(dǎo)信息安全工作,信息安全領(lǐng)導(dǎo)小組的職責(zé)是:信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)制定公司系統(tǒng)安全建設(shè)的

53、總體規(guī)劃并審議監(jiān)督各部門(mén)安全工作規(guī)劃的制定與實(shí)施;負(fù)責(zé)制定信息安全總體策略并審批;負(fù)責(zé)領(lǐng)導(dǎo)制定全公司與系統(tǒng)安全相關(guān)的規(guī)章制度;負(fù)責(zé)系統(tǒng)安全管理層以上的人員權(quán)限授予工作;負(fù)責(zé)系統(tǒng)重大安全事故查處與匯報(bào)工作。3.4.1.2信息安全管理部門(mén)在信息安全領(lǐng)導(dǎo)小組的基礎(chǔ)上,信息安全管理應(yīng)該由本機(jī)構(gòu)信息安全相關(guān)的若干管理部門(mén)共同完成,例如有信息資產(chǎn)部、車(chē)務(wù)部、車(chē)輛部、維修部、財(cái)務(wù)部、安技部、計(jì)劃部、培訓(xùn)部、人事部、行政部等。信息資產(chǎn)部對(duì)系統(tǒng)及系統(tǒng)安全保障提供技術(shù)決策和技術(shù)支持,在技術(shù)上對(duì)系統(tǒng)和系統(tǒng)安全保障承擔(dān)管理責(zé)任。業(yè)務(wù)應(yīng)用部門(mén)對(duì)系統(tǒng)的業(yè)務(wù)處理以及業(yè)務(wù)流程的安全承擔(dān)管理責(zé)任。安全保衛(wèi)部門(mén)對(duì)系統(tǒng)的場(chǎng)地以及系

54、統(tǒng)資產(chǎn)的防災(zāi)、防盜、防破壞等承擔(dān)管理責(zé)任。行政部門(mén)從行政上對(duì)信息安全保障執(zhí)行管理工作。各個(gè)部門(mén)應(yīng)與信息技術(shù)部門(mén)協(xié)作,共同對(duì)系統(tǒng)的建設(shè)和運(yùn)行維護(hù)承擔(dān)管理責(zé)任。為明確安全職責(zé),應(yīng)在相關(guān)管理部門(mén)中指定對(duì)信息安全負(fù)責(zé)的主管,這些主管共同貫徹執(zhí)行系統(tǒng)安全工作的方針政策、規(guī)章制度及有關(guān)的技術(shù)標(biāo)準(zhǔn)、規(guī)范和方案,并監(jiān)督安全策略的落實(shí)。對(duì)于信息系統(tǒng)建設(shè)和運(yùn)行維護(hù)的具體執(zhí)行,應(yīng)該有相應(yīng)的安全管理崗位,定義了相應(yīng)的安全角色和職責(zé),各具體機(jī)構(gòu)根據(jù)實(shí)際情況設(shè)置相應(yīng)安全崗位,具體的安全角色和職責(zé)的描述如下。3.4.1.3IT/IS審計(jì)部門(mén)IS/IT審計(jì)部門(mén)直接向信息安全領(lǐng)導(dǎo)小組負(fù)責(zé),審計(jì)工作應(yīng)該具有獨(dú)立性、公正性,每年為

55、三號(hào)線分公司建立年度審計(jì)計(jì)劃并組織實(shí)施IT/IS審計(jì)工作,推動(dòng)信息安全管理體系PDCA的動(dòng)態(tài)運(yùn)行。3.4.2具體角色3.4.2.1安全管理員3.4.2.2主機(jī)系統(tǒng)管理員3.4.2.3網(wǎng)絡(luò)管理員3.4.2.4數(shù)據(jù)庫(kù)管理員3.4.2.5應(yīng)用管理員3.4.2.6安全審計(jì)員3.4.2.7資產(chǎn)管理員3.4.3崗位設(shè)置原則為確保系統(tǒng)的安全,必須加強(qiáng)人事安全管理,提高安全管理人員的技術(shù)水平和安全意識(shí),同時(shí)在人員崗位的設(shè)置方面要遵循以下原則。3.4.3.1多人負(fù)責(zé)原則對(duì)一些有較高密級(jí)的與安全有關(guān)的活動(dòng),都必須有兩人或多人在場(chǎng)。工作人員必須由系統(tǒng)主管領(lǐng)導(dǎo)指派,且忠誠(chéng)可靠,能勝任工作;工作人員應(yīng)該認(rèn)真記錄簽署工作情況,以證明安全工作已得到保障。上述所指與安全有關(guān)的活動(dòng)包括:硬件和軟件的維護(hù);系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和維護(hù);處理保密信息;系統(tǒng)用媒介的發(fā)放與回收;訪問(wèn)控制用證件的發(fā)放與回收;重要程序和數(shù)據(jù)的刪除和銷(xiāo)毀等。3.4.3.2任期有限原則不能由一人長(zhǎng)