[信息系统安全规划方案.doc

信构企业信用信息管理系统安全规划建议书  目录 1. 总论 3 1.1. 项目背景 3 1.2. 项目目标 3 1.3. 依据及原则 4 1.3.1. 原则 4 1.3.2. 依据 5 1.4. 项目范围 7 2. 总体需求 7 3. 项目建议 8 3.1. 信构企业信用信息管理系统安全现状评估与分析 8 3.1.1. 评估目的 8 3.1.2. 评估内容及方法 9 3.1.3. 实施过程 14 3.2. 信构企业信用信息管理系统安全建设规划方案设计 23 3.2.1. 设计目标 23 3.2.2. 主要工作 24 3.2.3. 所需资源 27 3.2.4. 阶段成果 27 4. 附录 27 4.1. 项目实施内容列表及报价清单 27 总论 项目背景 ******************（以下简称“********”）隶属***********，主要工作职责是根据的授权，负责；负责。 项目目标 以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导，结合********信构企业信用信息管理系统安全现状及未来发展趋势，建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估，积极采取各种安全管理和安全技术防护措施，落实信息安全等级保护相关要求，提高信构企业信用信息管理系统安全防护能力。 从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止企业信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信构企业信用信息管理系统安全稳定运行，确保业务数据安全。 依据及原则 原则 以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务、信构企业信用信息管理系统，在方案设计中遵循以下的原则： 适度安全原则 从网络、主机、应用、数据等层面加强防护措施，保障信构企业信用信息管理系统的机密性、完整性和可用性，同时综合成本，针对信构企业信用信息管理系统的实际风险，提供对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。 重点保护原则 根据信构企业信用信息管理系统的重要程度、业务特点，通过划分不同安全保护等级的信构企业信用信息管理系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信构企业信用信息管理系统。 技术管理并重原则 把技术措施和管理措施有效结合起来，加强********信构企业信用信息管理系统的整体安全性。 标准性原则 信息安全建设是非常复杂的过程，在规划、设计信息安全系统时，单纯依赖经验是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析。 同时，在规划、设计********信息安全保护体系时应考虑与其他标准的符合性，在方案中的技术部分将参考IATF安全体系框架进行设计，在管理方面同时参考27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性。 动态调整原则 信息安全问题不是静态的，它总是随着********的安全组织策略、组织架构、信构企业信用信息管理系统和操作流程的改变而改变，因此必须要跟踪信构企业信用信息管理系统的变化情况，调整安全保护措施。 成熟性原则 本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的。 科学性原则 在对********信构企业信用信息管理系统进行安全评估的基础上，对其面临的威胁、弱点和风险进行了客观评价，因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决********信息网络中存在的安全问题，满足特性需求。 依据 政策文件 关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知（中办[2003]27号文件） 关于印发《信息安全等级保护工作的实施意见》的通知（公通字[2004]66号文件） 关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号文件） 《信息安全等级保护管理办法》（公通字[2007]43号） 《关于开展全国重要信构企业信用信息管理系统安全等级保护定级工作的通知》（公信安[2007]861号） 《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号) 标准规范 计算机信构企业信用信息管理系统 安全保护等级划分准则（GB/T 17859-1999） 信息安全技术 信构企业信用信息管理系统安全等级保护实施指南 信息安全技术 信构企业信用信息管理系统安全保护等级定级指南（GB/T 22240-2008） 信息安全技术 信构企业信用信息管理系统安全等级保护基本要求（GB/T 22239-2008） 信息安全技术 信构企