云平台安全等级保护建设项目安全管理体系详细设计.pdfVIP

云平台安全等级保护建设项目安全管理体系详细设计

天融信根据XX现有的组织机构框架，借鉴已有的信息安全

管理制度，并依据其他类似大型项目的丰富经验，采用先进

成熟的理念，帮助明确信息安全工作在整个信息化工作中的

地位、目标、原则以及策略，并协助XX梳理安全组织架构

和安全职责、完善安全策略，真正形成一套切实可行，具有

指导意义且符合实际需求的信息安全管理体系，包括安全策

略、安全标准规范、安全管理制度和日常管理操作规程等。

1.1.1安全管理建设设计指导思想

各种标准体系文件为信息安全管理建设仅仅提供一些原则

性的建议，要真正构建符合XX自身状况的信息安全管理体

系，在建设过程中应当以以下思想作为指导：“信息安全技

术、信息安全产品是信息安全管理的基础，信息安全管理是

信息安全的关键，人员管理是信息安全管理的核心，信息安

全政策是进行信息安全管理的指导原则，信息安全管理体系

是实现信息安全管理最为有效的手段”。

1.1.2建立安全管理制度及策略体系的目的

帮助XX对信息安全管理制度体系进行重新规划，重点是确

定信息安全工作要求和指标的总体方针，完善信息安全管理

规章制度、办法和操作流程，制定安全操作的技术标准和规

范等，加强安全管理制度的执行力度，约束和指导信息系统

各层管理和使用人员的操作行为，以确保整个网络系统的安

全管理处于较高的水平。

1.1.3设计原则

1）参考国家等级保护要求。

2）安全策略重点保护物理和环境安全、信息资产分类管理、

变更管理、业务连续管理、安全事故管理、审查评估。

3）没有绝对的安全。信息安全工作应该以风险管理为基础，

在安全、效率和成本之间均衡考虑。

4）应参照业界的做法，充分考虑到行业标准以及国内的管

理和法制环境来XX。

5）对必威体育官网网址信息的访问应遵循工作相关性原则、最小授权原

则和审批、受控原则。

1.1.4安全方针

信息安全方针应由XX信息安全主管领导组织制定、下达和

指导执行。

根据设计原则和业务系统的特征制定总体安全方针：

1、保障业务系统安全，就是业务系统不受不受黑客、非授

权人员等攻击、渗透和篡改，保证可靠、及时的发布XX为

公众和其他国家机关提供的服务。确保业务系统在IT中实现

的过程中的安全保障，涉及到业务系统业务管理安全、业务

操作完整性、业务数据安全性等等。

2、保障系统安全，也就是保障整个IT系统的安全性。

3、满足法律法规要求。

1.1.5信息安全策略框架

1.1.6总体策略

在总体安全方针的指导下，制订四个层面的总体安全策略：

第一、业务安全策略。建立和制定科学、合理的内部控制机

制和业务流程。

XX业务管理制度参照了行业标准和国家法律法规，明确了

XX相关业务的管理控制要求。业务安全总体策略就是在此

基础之上制定更加科学合理的内部控制机制。在明确内部控

制要求和建立内部控制机制后，需要制定业务的流程，保障

业务的顺利进行，这需要涉及到业务管理安全、业务事务完

整性等方面。该部分由各业务部门加以落实。

第二、应用系统安全策略。保证内部控制制度、流程的实现；

保证业务信息和数据整个生命周期的安全。

首先是通过应用系统的实现将制定的内部控制制度进行落

实，将业务流程加以实现，同时要保证该过程确实将这些要

求落实。其次，保证实现后的业务系统能够对业务处理的信

息和数据在整个生命周期中的必威体育官网网址性、完整性、抗抵赖性。

保障XX重要信息的真实性和完整性。该部分由各业务部门

和信息化部门共同加以落实。

第三、基础设施安全策略。保证数据库、操作系统、业务中

间件、网络等支撑业务应用的IT基础设施安全。

业务和应用系统不是孤立存在的，是在IT环境中运行的，所

以IT支撑环境的安全直接影响着整个业务的安全性。IT支

撑环境安全策略就是保证数据库、操作系统、业务中间件、

网络等支撑业务应用的IT基础设施安全。该部分由信息化部

门加以落实。

第四、运行维护安全策略。监控业务与系统的有效运行。

前面三个方面只是强调了如何实现整个业务系统，如何保证

业务系统的安全性，但是如何保证业务系统确实按照内控和

既定业务流程在正常的运行，如何建立运行过程安全性的评

价机制。这些需通过运行管理安全来实现。运行管理安全策

略是：监控业务和系统的有效运行。该部分由信息化部门加

以落实。

1.1.7安全管理组织机构

XX信息系统安全管理组织机构要坚持责任明确、