1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

系统安全保障方案.docxVIP

系统安全保障方案.docx

    1. 1、本文档共12页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    PAGE114

    系统安全保障方案

    概述

    依据《中华人民共和国网络安全法》、《信息系统安全保护管理办法》等国家相关信息安全政策和法规,结合本项目的实际情况,本项目的系统定级拟定三级,同时我司考虑到系统中存在着大量非公开信息,如何保护这些信息的机密性和完整性、以及系统的持续服务能力尤为重要,我司针对本项目系统建设安全保障部分进行信息安全策略、信息安全管理、信息安全技术和信息安全运营,如图所示:

    信息安全的四个领域

    其中,信息安全策略包括信息安全的战略和信息安全的政策和标准,而信息安全管理、信息安全运营和信息安全技术则是“企业-人-系统”的三元关系:

    管理是企业管理的行为(包括安全意识、组织结构和审计监督);

    运营是日常管理的行为(包括运营流程和对象管理);

    技术是信息系统的行为(包括安全服务和安全基础设施)。

    可以概述为:信息安全是在管理机制下,通过运营机制借助技术手段实现的。

    信息安全运营是信息安全管理和信息安全技术手段在日常工作中的执行,是信息安全工作的关键,即“七分管理,三分技术,运行贯穿始终”。

    信息安全策略

    我司秉承着满足本项目需求的安全设计目标,结合先进的信息安全技术,设计一套科学合理的安全保障体系,形成有效的安全防护能力、隐患发现能力、应急反应能力和系统恢复能力,从物理、网络、系统、应用和管理等方面保证“信息化系统”安全、高效、可靠运行,保证信息的机密性、完整性、可用性和操作的不可否认性,避免各种潜在的威胁。

    信息安全战略

    我司信息安全策略是信息安全保障体系的核心,是信息安全工作的原则、宗旨、指导,为信息安全工作指明了方向。信息安全工作是针对各信息系统中存在的信息安全风险而开展的。

    我司针对本次项目信息安全战略的制定坚持3大原则:

    1、为业务发展提供支持和保障

    信息安全工作的最终目标是要为业务发展提供必要的保障和支持。

    2、在信息技术战略规划的基础上制定

    信息技术远景规划报告是现行的信息技术工作开展的最高指导性文件,而信息技术又是信息安全工作开展的必不可少的重要基础,因此信息安全战略必须在其信息技术规划的基础上制定。

    3、遵从风险管理的理念

    信息安全是风险管理中的一个特殊的课题。信息安全战略的制定也必须在风险管理的原则下,从风险的角度看待信息安全问题,以风险防范、风险控制的方法开展信息安全工作。

    信息安全政策标准体系

    信息安全政策与标准体系是信息安全管理、运营、技术体系标准化、制度化后形成的一整套信息安全的管理规定,其体系框架可以分为横向和纵向两个维度,如图示:

    信息安全政策标准体系框架

    纵向是制度/规定的层次化结构,分为信息安全政策、信息安全标准与规范、信息安全指南和细则三个层面。通过信息安全政策、信息安全标准与规范、信息安全指南和细则将信息安全战略逐步细化、落实,指导的信息安全工作:

    信息安全政策是在信息安全战略下提出的各信息安全领域的工作目标;是从整个管理的高度提出的信息安全工作的方向和原则;是其下信息安全标准与规范、信息安全指南与细则的指导纲领。

    信息安全标准与规范是在信息安全政策的思想指导下,制定的信息安全管理制度。其中信息安全标准是针对信息安全的管理和技术标准,是指导性的,不具强制效力。而信息安全规范则是针对信息安全工作开展中的管理规定,具有强制效力,必须遵守。

    信息安全指南与细则是为了贯彻、落实信息安全标准与规范而制定的,信息安全标准与规范与具体情况相结合的详细规定。

    横向是信息安全对象。根据针对对象的不同,在纵向的每个层次中应当分别制定相应的政策、标准或规范等,图中只是给出了一些示例。

    信息安全管理体系

    信息安全管理体系是信息安全保障体系的一个重要组成部分。信息安全管理体系框架是从管理的层面出发,按照多层防护的思想,为实现信息安全战略而搭建的。

    信息安全管理体系的三层防护结构如图:

    信息安全管理的三层防护结构

    认知——宣传教育

    员工在信息安全方面的自我约束、自我控制,是信息安全管理体系的第一个层次。认知是信息安全管理控制的基础,实际工作中大部分的信息安全控制需要依靠员工的主观能动性。

    组织——管理控制

    信息安全管理控制是信息安全管理体系的第二个层次,其目的主要是通过完善组织架构,明确不同安全组织、不同安全角色的定位和职责以及相互关系,对信息安全风险进行控制管理。这里包含了“管理”和“监控”两方面的含义,特别是对专职的信息安全管理部门而言,“监控”是极其重要的职责。

    管理控制的落实需要通过认知和审计工作进行保障和监督,同时它又是信息安全认知和审计工作开展的重要对象。

    审计——二次监督

    审计监督是内部风险控制的重要组成部分。内部审计是内部控制的一种自我监督机制。信息安全审计一般是在信息安全管理控制的基础上,由内部相对独立的专职部门对信息安全管理控制的效果进行监督。为与管理控制中的“监控”职能区别,通常

    您可能关注的文档

    最近下载

    文档评论(0)

    最好的姿态迎接最好的生活 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >