信息安全規(guī)劃設計模板 - 圖文-

1、信息系統(tǒng)安全規(guī)劃方案樊山2014/1/26本文件中出現(xiàn)的全部內(nèi)容,除另有特別注明,版權均屬樊山所有。任何個人、機構未經(jīng)樊山的書面授權許可,不得以任何方式復制引用文件的任何片斷。樊山負責對本文檔的解釋。目錄1概述 (31.1背景 (31.1.1簡介 (31.1.2實施依據(jù) (31.2需求分析 (31.2.1系統(tǒng)風險綜述 (31.2.2系統(tǒng)等級化保護需求 (91.3建設目標 (101.3.1近期目標(2014年 (101.3.2中期目標(2015年 (111.3.3遠期目標(2016年 (112安全保障需求概要設計 (122.1設計思路 (122.1.1信息安全頂層設計思想 (122.1.2信息安

2、全頂層設計內(nèi)涵 (132.1.3信息安全設計模型 (142.1.4信息安全應滿足的基本要素 (142.2管理保障設計 (162.3技術保障設計 (172.4過程控制保障設計 (172.5人員要求設計 (173通用安全設計 (193.1管理保障 (193.1.1風險管理體系設計 (193.1.2系統(tǒng)安全審計設計 (233.2技術保障 (253.2.1物理安全通用設計 (263.2.2網(wǎng)絡安全通用設計 (263.2.3系統(tǒng)安全通用設計 (263.2.4應用安全通用設計 (263.2.5數(shù)據(jù)安全通用設計 (263.3過程保障 (273.3.1需求分析通用控制 (273.3.2開發(fā)采購通用控制 (27

3、3.3.3實施交付通用控制 (273.3.4運行維護通用控制 (283.3.5廢棄通用控制 (333.4人員要求 (343.4.1人員角色與職責通用設計 (343.4.2具體角色 (353.4.3崗位設置原則 (364層面間安全設計 (384.1S1系統(tǒng)安全設計 (384.1.1網(wǎng)絡規(guī)劃拓撲 (384.1.2入侵檢測系統(tǒng)部署 (384.1.3數(shù)據(jù)庫審計系統(tǒng) (384.1.4內(nèi)網(wǎng)安全風險管理與審計系統(tǒng) (384.1.5堡壘機系統(tǒng) (385工程實施建議 (395.1第一期工程實施建議 (395.2第二期工程實施建議 (405.3第三期工程實施建議 (405.4工程預算 (40附件1等級保護定級流程

4、及矩陣 (41附件2崗位職責分離表 (421概述1.1背景1.1.1簡介1.1.2實施依據(jù)本次規(guī)劃設計是基于國際、國家通行標準的基礎之上,主要采用標準如下: ISO/IEC27001:2005信息安全管理體系要求;GB/T20984-2007信息安全技術-信息安全風險評估規(guī)范;ISO/IEC27005:2008信息安全技術-信息安全風險管理。GB/T222392008信息安全技術-信息系統(tǒng)安全等級保護基本要求GB/T22240-2008信息安全技術-信息系統(tǒng)安全等級保護定級指南GB/T20274:2008信息安全技術信息系統(tǒng)安全保障評估框架公通字(66號文關于印發(fā)關于信息安全等級保護工作的實施

5、意見的通知1.2需求分析1.2.1系統(tǒng)風險綜述1.2.1.1管理風險綜述1.2.1.1.1概述XXX管理風險評估是建立在ISO/IEC27001:2005信息技術-信息安全管理體系-要求基礎上133個控制點的符合性識別和控制。其中不適用24項,不符合57項,詳見圖: 圖管理風險統(tǒng)計圖分類極高高中低一般統(tǒng)計信息安全方針112信息安全組織1337資產(chǎn)管理112人力資源安全11物理與環(huán)境安全1315通信與操作管理14712訪問控制235111系統(tǒng)獲取、開發(fā)與維護437信息安全事件管理112符合性549統(tǒng)計4242811581.2.1.1.2信息安全方針控制目標不符合項不可接受風險說明 1.2.1.1

6、.3信息安全組織控制目標不符合項不可接受風險說明1.2.1.1.4資產(chǎn)管理控制目標不符合項風險可接受說明1.2.1.1.5人力資源安全控制目標不符合項不可接受風險說明說明:由于本次評估未包含人力資源安全內(nèi)容,故本控制目標為不適用項。1.2.1.1.6物理與環(huán)境安全控制目標不符合項不可接受風險說明1.2.1.1.7通信與操作管理控制目標不符合項不可接受風險說明1.2.1.1.8訪問控制控制目標不符合項不可接受風險說明1.2.1.1.9系統(tǒng)獲取、開發(fā)與維護控制目標不符合項不可接受風險說明1.2.1.1.10信息安全事件管理控制目標不符合項不可接受風險說明1.2.1.1.11業(yè)務連續(xù)性管理控制目標不

7、符合項不可接受風險說明1.2.1.1.12符合性控制目標不符合項不可接受風險說明1.2.1.2技術風險綜述1.2.1.2.1概述XXX技術風險評估是建立在國家信息安全等級保護相關要求標準之上,將從物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全等5大方面進行安全評估,二級共有80個檢查項,三級系統(tǒng)共135個檢查項。序號系統(tǒng)名稱安全等級標準安全現(xiàn)狀安全威脅程度備注1三級58中2三級50中高3三級50中搞4三級90低5二級81中6二級71高7二級95低1.2.1.2.2S1系統(tǒng)通過人工審核及人員訪談的方式發(fā)現(xiàn)信號系統(tǒng)在135個檢查項中:符合項42個、部分符合項36個、不符合項48個、不適用項9個。

8、 1.2.1.2.2.1物理安全1.2.1.2.2.2網(wǎng)絡安全1.2.1.2.2.3系統(tǒng)安全1.2.1.2.2.4應用安全1.2.1.2.2.5數(shù)據(jù)安全1.2.2系統(tǒng)等級化保護需求1.2.2.1信息安全等級保護定級概述1.2.2.1.1信息安全等級保護根據(jù)國家公通字(66號文關于印發(fā)關于信息安全等級保護工作的實施意見的通知規(guī)定:根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等因素,信息和信息系統(tǒng)的安全等級保護共分五級:

9、1.第一級為自主保護級,適用于一般的信息和信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益。2.第二級為指導保護級,適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害。3.第三級為監(jiān)督保護級,適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成較大損害。4.第四級為強制保護級,適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng),其受到破壞后,會

10、對國家安全、社會秩序、經(jīng)濟建設和公共利益造成嚴重損害。5.第五級為?？乇Ｗo級,適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別嚴重損害。定級要素與安全保護等級的關系受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級1.2.2.2S1系統(tǒng)等級化要求與定義1.2.2.2.1系統(tǒng)描述1.2.2.2.2等級化定義業(yè)務信息安全保護等級矩陣表 系統(tǒng)服務安全保護等級矩陣表 信息安全等級:第二級1.

11、3建設目標1.3.1近期目標(2014年在現(xiàn)代信息安全保障中,技術和管理是兩個不可或缺的實現(xiàn)手段,這其中,管理手段尤其重要,起著決定性的作用。因此,本規(guī)劃的首要目標是建立完善的信息安全管理體系,將信息安全納入風險管理范疇,通過獨立審計發(fā)現(xiàn)風險使信息安全管理從被動防御向主動發(fā)現(xiàn)發(fā)展。本目標是建立在ISO27001信息安全管理體系基礎上,對于內(nèi)部審計和管理評審ISO27001給出了明確的要求。內(nèi)部審計的實質,就是驗證組織信息安全管理體系的有效性,看其是否符合標準規(guī)范的要求,是否符合組織既定的安全需求。管理評審是組織的最高管理者的基本職責,通常都需要最高管理者主持專門的會議,讓各職能部門領導、管理者

12、代表、體系推行小組成員共同參加,對各類評審輸入信息進行分析討論,最終形成對ISMS持續(xù)改進的決策。1.3.2中期目標(2015年技術保障是信息安全保障手段必不可少的,技術保障是為了完善技術保障措施,依據(jù)風險評估報告所描述之風險,根據(jù)XXX信息化發(fā)展狀況建立3年內(nèi)的信息安全技術保障體系。完成建設后使XXX信息系統(tǒng)能夠建立積極防御,綜合防范,尋求業(yè)務與安全的平衡建設,確保XXX業(yè)務系統(tǒng)能夠在可管理、可監(jiān)視、可預見的狀態(tài)下運行。1.3.3遠期目標(2016年遠期目標是對未來XXX所屬信息技術系統(tǒng)能夠在一個統(tǒng)一、有序、可管理狀態(tài)下執(zhí)行業(yè)務。應用所產(chǎn)生的信息安全保障手段的實現(xiàn)。2安全保障需求概要設計2.

13、1設計思路本次評估是XXX第一次基于信息系統(tǒng)建立的風險識別工作,在風險評估中發(fā)現(xiàn),XXX最大的風險主要來源于內(nèi)部的管理問題和對已有信息系統(tǒng)以及未來信息系統(tǒng)本身的缺陷和瑕疵。在本次設計中重點通過管-控-糾-改四個方面,管:建立有效的信息安全管理體系;控:通過靜態(tài)的技術控制和動態(tài)的過程控制相結合,形成有效防御;糾:通過檢測機制,如:評估、審計、檢測、預警等手段多層次、多角度識別安全問題,及時建立有效的控制機制;改:持續(xù)改進是形成信息安全狀態(tài)維持的一種重要機制。2.1.1信息安全頂層設計思想在信息化發(fā)展的今天,任何信息網(wǎng)絡災難事件的發(fā)生,都會給社會帶來很大風險。因此在信息化對經(jīng)濟建設的融合、滲透、催

14、化和倍增的背景下,加強信息安全的全局對策建設是非常必要的。如何保障信息系統(tǒng)和服務的不中斷,使信息系統(tǒng)所支撐的業(yè)務正常運轉,這就需要進行信息安全頂層設計和全局對策。信息安全頂層設計總體規(guī)劃包含四個要點:1、做好信息安全的等級保護制度的落實。信息安全等級保護制度是在信息系統(tǒng)可能面臨的風險和信息系統(tǒng)投入之間尋找到一個科學的平衡點。包括資金、人力、資源的各種投入都要形成一種優(yōu)化配置狀態(tài)。在資金不足的狀態(tài)下,解決重點、難點的安全問題。2、建立健全的信息安全保障體系信息安全保障體系的建立分為技術保障體系、管理保障、過程保障和人員保障體系。信息安全技術保障體系的建立有4個要點:縱深防御工作。如:信息安全域的

15、科學劃分;要做好安全邊界的防護和控制,物理隔離和邏輯隔離;信息安全設施在縱深多級的合理部署。動態(tài)防護策略。在各環(huán)節(jié)部署有效的對策,對外界的攻擊要有檢測、預警、監(jiān)控、診斷、抑制、恢復和容災的動態(tài)機制,在整個的動態(tài)防御流程中,保證信息系統(tǒng)和服務的正常運營?；诿艽a技術的網(wǎng)絡信任體系建設。包括身份認證、授權管理、責任認定等環(huán)節(jié),通過規(guī)范操作,保證身份和行為的可信性和可核查性。強化信息系統(tǒng)內(nèi)部審計(內(nèi)控機制。內(nèi)部安全事件的數(shù)量已經(jīng)超過外部病毒、黑客攻擊等安全事件,內(nèi)部安全事件包括誤操作、違規(guī)操作和違法操作(內(nèi)部人員和外部人員互相勾結,違法泄漏公司機密等。信息系統(tǒng)內(nèi)部審計有事后審計、事中審計和事前審計。

16、信息系統(tǒng)內(nèi)部審計的發(fā)展方向是審計點前移,即從事后審計向事中審計甚至事前審計轉化。3、信息安全系統(tǒng)的風險評估工作風險評估包括檢查評估、自評估和委托評估。檢查評估是從領導層強制執(zhí)行的檢查,由國家機關的官方檢測,自評估和委托評估則是業(yè)主自己發(fā)起的,評估的目的是發(fā)現(xiàn)問題和及時糾正,以強化系統(tǒng)的安全保障。4、及時應對網(wǎng)絡突發(fā)事件和災難,做好系統(tǒng)應急和災備工作。網(wǎng)絡突發(fā)事件一般包括電子威脅類、物理威脅類和內(nèi)容威脅類等幾類。電子威脅類包括大規(guī)模病毒擴散等,物理威脅類包括地震、水災等,內(nèi)容威脅類事件則可能導致社會的不穩(wěn)定,甚至會影響到國家的穩(wěn)定。建立應急預案和災備對策,對系統(tǒng)目標、規(guī)劃、對策、組織、保障、培訓

17、等進行分級分類演練。2.1.2信息安全頂層設計內(nèi)涵信息安全頂層設計是組織自身對信息安全的需求,制定的一個切實可行的安全體系。它涵蓋信息系統(tǒng)的基礎安全服務和架構、安全運維、安全治理、風險管理和合規(guī)等各個子系統(tǒng)。由于組織信息安全建設需求的不同,各組織的信息安全頂層設計存在著較大的差異,因而直接照搬其它組織信息安全頂層設計的方法并不可行。另外,信息安全頂層設計涉及組織的業(yè)務流程和組織架構以及安全合規(guī)等問題,不是簡單的安全產(chǎn)品的堆砌?？梢哉f,信息安全頂層設計的設計和建設是一個極其復雜的系統(tǒng)工程,不是單一產(chǎn)品和技術平臺可以解決的。在信息安全頂層設計的規(guī)劃和建設中,組織還應該認識到,信息系統(tǒng)中信息的交互和

18、安全風險是并生共存的。信息安全頂層設計的規(guī)劃和建設并不能實現(xiàn)絕對的信息安全,除非切斷所有的信息流動和共享,然而這將導致信息系統(tǒng)失去其存在的意義。2.1.3信息安全設計模型信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中,通過對信息系統(tǒng)的風險分析,制定并執(zhí)行相應的安全保障策略,從技術、管理、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性、完整性和可用性,降低安全風險到可接受的程度,從而保障系統(tǒng)實現(xiàn)組織機構的使命。該標準給出了信息系統(tǒng)安全保障的基本概念和模型,并建立了信息系統(tǒng)安全保障框架。該標準詳細給出了信息系統(tǒng)安全保障的一般模型,包括安全保障上下文、信息系統(tǒng)安全保障評估、信息系統(tǒng)保護輪廓和信

19、息系統(tǒng)安全目標的生成、信息系統(tǒng)安全保障描述材料;信息系統(tǒng)安全保障評估和評估結果,包括信息系統(tǒng)保護輪廓和信息系統(tǒng)安全目標的要求、評估對象的要求、評估結果的聲明等。(如圖 圖信息系統(tǒng)安全保障的基本概念和模型2.1.4信息安全應滿足的基本要素隨著協(xié)作業(yè)務模式、高明的犯罪攻擊以及越來越復雜的IT基礎設施的出現(xiàn),現(xiàn)有的從戰(zhàn)術上獨立實施的安全技術已經(jīng)不足以應對新的風險。應對方式應跨躍多個信息安全技術領域,從戰(zhàn)略的高度端到端的管理風險:人員和身份識別:保障合法用戶在允許的時間訪問合適的資源人員和身份識別子系統(tǒng)是整個信息安全系統(tǒng)的基礎,它一方面提供了有效的訪問控制能力,另一方面實現(xiàn)了基于人員和身份的管理。獲得

20、授權的用戶可以訪問基礎設施,數(shù)據(jù),信息和服務。同時,其訪問范圍受到了其身份和權限的控制。人員和身份的識別可以采取多種方式進行,包括物理身份證或邏輯令牌或用戶標識符等。數(shù)據(jù)和信息:保障數(shù)據(jù)在傳輸及整個生命周期中的安全數(shù)據(jù)和信息子系統(tǒng)主要負責對分布在組織各個信息系統(tǒng)中的數(shù)據(jù)和信息進行安全防護。數(shù)據(jù)和信息是組織的核心資產(chǎn),信息系統(tǒng)中的數(shù)據(jù)和信息在存儲、轉移、使用、傳輸、交換等過程中,都有可能受到安全威脅。數(shù)據(jù)和信息子系統(tǒng)通過對資產(chǎn)進行分類統(tǒng)計、分配屬性、設定強制訪問策略、審計、加密等措施實現(xiàn)對數(shù)據(jù)和信息的保護。應用和流程:保障應用和業(yè)務服務的安全應用和流程子系統(tǒng)負責對組織業(yè)務應用的整個生命周期進行安

21、全防護,它涵蓋了從應用的設計開發(fā)、實施到使用的整個過程,使應用在其整個生命周期中獲得有效的控制和安全的保護。另外組織的應用和業(yè)務安全還需要考慮行業(yè)或地區(qū)法律法規(guī)的遵從等內(nèi)容。網(wǎng)絡、服務器和終端:保障信息系統(tǒng)基礎架構的安全網(wǎng)絡、服務器和終端子系統(tǒng)主要面向組織信息系統(tǒng)的基礎架構,它通過對存在于基礎架構中安全隱患的主動監(jiān)控和控制,避免或減少技術設施帶來的風險,確保上層應用系統(tǒng)的安全和穩(wěn)定。該子系統(tǒng)一般會通過部署相應的安全防護產(chǎn)品,結合安全監(jiān)控、安全管理、應急響應預案等安全措施,來達到預期安全防護的目的。物理基礎架構:保障信息系統(tǒng)有關物理設施和環(huán)境的安全物理基礎架構子系統(tǒng)負責保護企業(yè)信息系統(tǒng)的物理基礎

22、設施和環(huán)境。物理基礎設施和環(huán)境的損壞將極大的影響企業(yè)信息系統(tǒng)及其業(yè)務的連續(xù)性。該子系統(tǒng)涉及到的內(nèi)容可能包括物理訪問控制設施和環(huán)境被破壞,關鍵物理設施的損壞或丟失等。物理基礎架構安全子系統(tǒng)通常需要通過一個有效、集中的監(jiān)控系統(tǒng),實現(xiàn)對有關資源的集中管理和監(jiān)控,包括:物理設施、員工、客戶、公用場所甚至天氣情況等。在信息安全的理論體系中,這五個層次不是孤立的,它們是相輔相成的。組織在設計信息安全系統(tǒng)時必須全面考慮信息安全體系的各個層次,并結合自身具體情況進行有所側重的規(guī)劃和設計。只有通過對以上安全子系統(tǒng)的深入分析,才能建立起一個強大的安全矩陣,有效的應對各種安全風險和威脅。2.2管理保障設計信息安全管

23、理體系是信息安全保障體系的一個重要組成部分。信息安全管理體系框架是從管理的層面出發(fā),按照多層防護的思想,為實現(xiàn)信息安全戰(zhàn)略而搭建的。信息安全管理體系由幾下幾部分組成:安全政策,標準管理規(guī)定信息安全政策與標準是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規(guī)定,是安全意識培養(yǎng)的內(nèi)容來源,是組織管理控制和審計的依據(jù),是技術方案必須遵從的基礎要求。安全意識培養(yǎng)宣傳教育員工在信息安全方面的自我約束、自我控制,是信息安全管理體系的一個重要層次。安全意識培養(yǎng)是信息安全管理控制的基礎,實際工作中大部分的信息安全控制需要依靠員工的主觀能動性。安全組織管理控制通過完善的組織架構,明確不

24、同安全組織、不同安全角色的定位和職責以及相互關系,對信息安全風險進行控制管理。這里包含了“管理”和“監(jiān)控”兩方面的含義,特別是對專職的信息安全管理部門而言,“監(jiān)控”是極其重要的職責。管理控制的落實需要通過標準、安全意識培養(yǎng)和審計工作進行保障和監(jiān)督,同時它又是信息安全標準、安全意識培養(yǎng)和審計工作開展的重要對象。審計監(jiān)督審計監(jiān)督是XXX內(nèi)部風險控制的重要組成部分。內(nèi)部審計是組織內(nèi)部控制的一種自我監(jiān)督機制。信息安全審計一般是在信息安全管理控制的基礎上,由組織內(nèi)部相對獨立的專職部門對信息安全管理控制的效果進行監(jiān)督。風險評估發(fā)現(xiàn)問題信息安全風險評估的目標是了解支撐XXX關鍵業(yè)務運作的信息系統(tǒng)的安全狀況,

25、評估核心信息資產(chǎn)所面臨的風險,發(fā)現(xiàn)信息安全實踐中的薄弱環(huán)節(jié)和改進機會,明確信息系統(tǒng)的安全需求,提出信息安全控制措施改進方案。2.3技術保障設計XXX信息系統(tǒng)安全技術解決方案是在理解安全管理的要求,用最小的投入得到最大的回報,同時也為安全運維管理提供了易于操作的平臺。在對安全技術規(guī)劃實施時,需要考慮以下內(nèi)容:整體安全性的規(guī)劃。對于不同的安全功能機制加以整合以達到統(tǒng)一控管及互補的目的。考慮對其它同時進行的項目的影響。從基礎的、負面影響最小的安全措施入手。具有未來的擴充性,不致因容量問題而須改變整體架構。安全措施的設計與實施應當根據(jù)信息資產(chǎn)所面臨的風險所定。安全措施的設計應以達到安全保護目的為原則而

26、非最大限度的投入。信息安全技術按照其所在的信息系統(tǒng)層次可以分為物理安全技術,基礎架構安全(網(wǎng)絡、主機和終端,應用安全技術,數(shù)據(jù)安全技術,身份和訪問管理五大種類。安全技術體系的建立原則是要建設與管理制度相對應的安全架構設計。2.4過程控制保障設計過程控制保障是在信息系統(tǒng)生命周期的五個階段建立有效保障,從而從根本上管理和控制信息安全問題。 信息安全問題應該從計劃組織階段開始重視,在信息系統(tǒng)生命周期每個階段建立有效的安全控制和管理。2.5人員要求設計要使IA達到目的首先從最高管理許諾開始,這種許諾是基于對已經(jīng)意識到的威脅的認識程度。這種承諾必須繼之以建立有效的IA策略和程序、指定角色和責任、資源的義

27、務關鍵人員的培訓(用戶和系統(tǒng)管理者和強制的人員義務。這些步驟包括建立物理安全和人員安全的度量以便控制和監(jiān)控對IT環(huán)境的設施和關鍵要素的訪問。策略和程序培訓和意識系統(tǒng)安全管理物理安全、人員安全設施對策3通用安全設計通用安全設計是建立在宏觀角度上的綜合性設計,設計首先將各個系統(tǒng)所產(chǎn)生的共同問題及宏觀問題統(tǒng)一解決,有效的降低在安全建設中的重復建設和管理真空的問題。在通用設計中重點針對組織信息安全管理體系和風險管理過程的控制元素;從系統(tǒng)生命周期考慮信息安全問題。3.1管理保障3.1.1風險管理體系設計XXX信息安全系統(tǒng)建設中,最重要的保障機制是設置安全管理機構,并設置由主管領導擔任組長的信息安全管理領

28、導小組,負責XXX信息系統(tǒng)安全管理的領導與指導工作。具體職責包括:審定XXX信息安全技術發(fā)展規(guī)劃;審批信息安全方針、政策,分配信息安全管理職責;確認風險評估,審批信息安全預算計劃及設施的購置;審批重大信息安全項目的開發(fā)和實施方案;聽取信息安全管理職能部門的工作匯報,對與信息安全管理有關的重大事項進行決策;協(xié)調信息安全管理隊伍與各部門之間的關系。3.1.1.1信息安全管理組織結構系統(tǒng)需要有一個安全管理實體,即安全管理機構,在領導小組指揮下,具體落實領導的決策,了解與匯報執(zhí)行情況,提出改進建議,真正體現(xiàn)管理的戰(zhàn)斗力。安全管理部門應建立清晰實用的管理和技術持續(xù)性方案,不斷評估和更新該方案;根據(jù)清楚的

29、程序進行信息安全審計,向信息安全管理領導小組匯報信息系統(tǒng)存在的問題并提出改進的建議;制定清晰的方針政策和詳細的操作指南;安全管理部門應組織專業(yè)人士定期(平均為一年一到兩次對系統(tǒng)安全進行風險評估,從保密性、完整性、可用性和可維護性四個基本方面進行評測和優(yōu)化,將相應的風險降低到可接受的程度,實現(xiàn)信息安全的成本效益。 圖3-1信息安全組織管理結構圖(見附件3 3.1.1.2信息安全方針與策略組織必須建立良好的信息安全方針和策略,并指導XXX總體的信息安全工作的開展。需要在一個組織機構明確的前提下建立信息系統(tǒng)的綜合安全目標,并形成文件(如:信息安全管理手冊。在信息安全方針的指引下要建立定期的管理評審,

30、每年至少一次。3.1.1.3資產(chǎn)管理資產(chǎn)清單幫助確保進行了有效的資產(chǎn)保護,并且其它的業(yè)務目的,例如出于健康和安全、保險或者金融(資產(chǎn)管理原因,也可能要用到資產(chǎn)清單。編寫資產(chǎn)清單的過程是風險評估的一個重要方面。XXX要能夠確定其資產(chǎn)、資產(chǎn)的相對價值和這些資產(chǎn)的重要性。根據(jù)該信息,組織可以提供與資產(chǎn)價值及其重要性相符的安全保護等級。應當為每個信息系統(tǒng)的重要資產(chǎn)都建立并保有一份資產(chǎn)清單。對于每種資產(chǎn),都要清楚地進行確認,其所有權和安全等級劃分,以及資產(chǎn)目前所處位置(當需要恢復損失和毀壞的信息時,這點就非常重要都應當?shù)玫脚鷾什⒂涗浽诎浮?詳見資產(chǎn)調查表清單3.1.1.4人力資源管理3.1.1.4.1人

31、員錄用3.1.1.4.2人員離崗3.1.1.4.3人員考核3.1.1.4.4安全意識教育和培訓3.1.1.4.5外部人員訪問管理3.1.1.5物理與環(huán)境安全3.1.1.6通信與操作管理參加技術保障第4部分3.1.1.7訪問控制參加技術保障第4部分3.1.1.8信息系統(tǒng)的獲取、開發(fā)與維護參見3.3過程保障3.1.1.9業(yè)務連續(xù)性管理3.1.1.10符合性3.1.1.11風險評估管理3.1.1.11.1風險評估計劃3.1.1.11.1.1設計目標信息安全風險評估的目標是了解支撐XXX關鍵業(yè)務運作的信息系統(tǒng)的安全狀況,評估核心信息資產(chǎn)所面臨的風險,發(fā)現(xiàn)信息安全實踐中的薄弱環(huán)節(jié)和改進機會,明確信息系統(tǒng)

32、的安全需求,提出信息安全控制措施改進方案。3.1.1.11.1.2設計原則3.1.1.11.1.3信息系統(tǒng)風險評估實施指南(詳見XXX風險評估和風險管理程序3.1.1.12風險管理實施3.1.1.12.1信息安全風險管理過程信息安全風險管理過程由確定范疇、風險評估、風險處置、風險接受、風險溝通以及風險監(jiān)視和評審組成。如圖所示,信息安全風險管理過程可能循環(huán)進行風險評估和/或風險處置活動。風險評估的循環(huán)方法能夠使得每一次循環(huán)更加深入和具體。循環(huán)方法可以在確保高風險被準確識別和在識別控制措施上花費最小的時間和精力之間尋找平衡。首先確定范疇。然后進行風險評估。如果風險評估為進行有效決策的提供了充分的信

33、息,以確定將風險降低到可接受級別所需活動,則風險評估任務結束,開始進行風險處置。如果信息不夠充分,則進行另外一個修訂范疇和風險評估的循環(huán),也可能是整個范圍內(nèi)的部分內(nèi)容進行循環(huán)。3.1.1.12.2信息安全風險處置3.1.1.12.3信息安全風險的接受3.1.1.12.4信息安全風險的溝通3.1.1.12.5信息安全監(jiān)視和評審監(jiān)視和評審風險因子3.1.1.12.6風險管理監(jiān)視、評審和改進3.1.2系統(tǒng)安全審計設計3.1.2.1設計目標信息安全審計是指XXX為驗證所有信息安全政策、標準、程序及其他相關規(guī)章制度的正確實施和檢查信息系統(tǒng)符合安全實施標準的情況,以及檢驗安全運行效果,信息安全控制措施是否

34、得當所進行的系統(tǒng)的、獨立的檢查和評價,是XXX信息安全保障體系的一種自我保證手段。3.1.2.2設計原則信息安全審計需要保證相對的獨立性,因此需要由獨立的內(nèi)部審計部門來負責。信息安全審計的具體工作主要是評價信息安全工作的開展情況,某些情況下也會使用信息安全監(jiān)控工具。XXX開展信息安全審計工作的目的是:避免違背有關法律法規(guī)或合同約定事宜及其他安全要求的規(guī)定,確保XXX信息安全管理體系符合安全方針和標準要求,作為自我保障和改進機制的一部分,在保證信息安全管理體系持續(xù)有效運作的同時,不斷的改進和完善。在信息安全管理體系中,信息安全審計在保障管理控制措施有效執(zhí)行的同時還需要驗證這些措施是否能有效實現(xiàn)信

35、息安全工作目標。3.1.2.3信息安全審計監(jiān)督體系3.1.2.4信息安全年度審計計劃3.1.2.4.1建立內(nèi)審程序3.1.2.4.2審計目的3.1.2.4.3審計范圍XXX所屬信息系統(tǒng),依據(jù)信息安全決策小組統(tǒng)一規(guī)劃要求,按審計周期確定3.1.2.5職責分工3.1.2.5.1主管部門XXX信息資產(chǎn)部職責:全面執(zhí)行內(nèi)審工作,并協(xié)調審計人員與各部門的工作3.1.2.5.2相關部門XXX所屬各部門職責:協(xié)助審計小組完成內(nèi)審計劃3.1.2.5.3控制程序和要求3.1.2.5.4成立審計小組3.1.2.5.5文件審計3.1.2.5.6現(xiàn)場審計3.1.2.5.7編寫審計報告3.1.2.5.8討論糾正措施3.

36、1.2.5.9跟蹤驗證3.2技術保障在規(guī)劃、建設、使用、維護整個XXX系統(tǒng)項目的過程中,技術保障設計將主要遵循統(tǒng)一規(guī)劃、分步實施、立足現(xiàn)狀、節(jié)省投資、科學規(guī)范、嚴格管理的原則進行安全體系的整體設計和實施,并充分考慮到先進性、現(xiàn)實性、持續(xù)性和可擴展性。主要標準參照依據(jù)為國家等級保護信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)等級保護安全設計技術要求,設計原則為以下幾方面:1等級標準性原則構建XXX信息系統(tǒng)這樣龐大的系統(tǒng),必須堅持遵循相關的標準。本方案從設計到產(chǎn)品選型都遵循國家等級保護二級和三級相關標準。2需求、風險、代價平衡的原則對任一網(wǎng)絡,絕對安全難以達到,也不一定是必要的。應對一個網(wǎng)絡進行實際分析

37、(包括任務、性能、結構、可靠性、可用性、可維護性等,并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規(guī)范和措施,確定安全策略。3綜合性、整體性原則安全模塊和設備的引入應該體現(xiàn)系統(tǒng)運行和管理的統(tǒng)一性。一個完整的系統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個環(huán)節(jié),必須提高整個系統(tǒng)的安全性以及系統(tǒng)中各個部分之間的嚴密的安全邏輯關聯(lián)的強度,以保證組成系統(tǒng)的各個部分協(xié)調一致地運行。4易操作性原則安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。5設備的先進性與成熟性安全設備的選擇,既要考慮其先進性,還要考慮其成熟性。先進意味著技術、性能方面的優(yōu)越,而成熟

38、性表示可靠與可用。6無縫接入安全設備的安裝、運行,應不改變網(wǎng)絡原有的拓撲結構,對網(wǎng)絡內(nèi)的用戶應是透明的,不可見的。同時,安全設備的運行應該不會對網(wǎng)絡傳輸造成通信“瓶頸”。7可管理性與擴展性安全設備應易于管理,而且支持通過現(xiàn)有網(wǎng)絡對網(wǎng)上的安全設備進行安全的統(tǒng)一管理、控制,能夠在網(wǎng)上監(jiān)控設備的運行狀況,進行實時的安全審計。8保護原有投資的原則在進行XXX運營分系統(tǒng)信息安全體系建設時,應充分考慮原有投資,要充分利用XXX運營分系統(tǒng)已有的建設基礎,規(guī)劃其XXX系統(tǒng)的整體安全體系和災難恢復系統(tǒng)。9綜合治理XXX系統(tǒng)是企業(yè)大環(huán)境下一個系統(tǒng)工程,信息網(wǎng)絡的安全同樣也絕不僅僅是一個技術問題,各種安全技術應該與

39、運行管理機制、人員的思想教育與技術培訓、安全法律法規(guī)建設相結合,從社會系統(tǒng)工程的角度綜合考慮。3.2.1物理安全通用設計3.2.2網(wǎng)絡安全通用設計3.2.3系統(tǒng)安全通用設計3.2.4應用安全通用設計3.2.5數(shù)據(jù)安全通用設計3.3過程保障3.3.1需求分析通用控制3.3.1.1設計目標需求分析是解決“做什么”的問題,是定義“做”的范圍和尺度,是將用戶要求我們做什么,變成我們書面承諾為用戶做什么的過程。需求分析結果應確保所有的風險承擔者都明白其含義,并形成文檔,從而作為下一步工作的基礎。本設計目的是為XXX在信息系統(tǒng)規(guī)劃前能夠統(tǒng)一定義安全性,事先建立好安全防護手段,降低安全風險出現(xiàn)的幾率。3.3

40、.1.2設計原則信息安全需求來自于業(yè)務需求,根據(jù)ISSE信息系統(tǒng)安全過程控制控制原則,建立設計方案。3.3.1.3建設方案3.3.2開發(fā)采購通用控制3.3.2.1設計目標開發(fā)采購過程是目前XXX面臨的重要問題,由于很多情況下沒有自主采購權,并且在采購過程中缺乏和乙方的直接溝通,因此建立有效的預防性控制措施和糾正性控制措施勢在必行。3.3.2.2設計原則信息系統(tǒng)開發(fā)采購過程的建設是建立在國家標準信息安全等級保護要求基礎上。3.3.2.3建設方案3.3.3實施交付通用控制3.3.3.1設計目標實施交付控制的目的是為了在交付過程中能夠有效識別系統(tǒng)在正式執(zhí)行業(yè)務前可能出現(xiàn)的安全風險,本階段發(fā)現(xiàn)的問題可

41、通過修改設計、廠家現(xiàn)場解決或者修改維護策略進行補償。3.3.3.2設計原則本設計是在ITIL基礎上結合ISO/IEC27001:2005相關要求執(zhí)行控制3.3.3.3建設方案3.3.4運行維護通用控制3.3.4.1設計目標隨著數(shù)據(jù)大集中進程的日益加快,大型數(shù)據(jù)中心的規(guī)模擴大迅速投入大量如服務器類、網(wǎng)絡類、安全類等IT基礎設施;同時,信息網(wǎng)絡技術的應用層次不斷深入,應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展,像類似于業(yè)務系統(tǒng)癱瘓,篡改信息或失竊之類的重大安全事故,都意味著巨大損失,根據(jù)美國FBI機構統(tǒng)計:在計算機網(wǎng)絡、基礎設施、存儲數(shù)據(jù)遭受多種攻擊和破壞中,有大概占80%的比例是

42、來自內(nèi)部人員所為,其發(fā)生頻率遠遠高于外部黑客攻擊。而對于目前大型數(shù)據(jù)中心來說,隨著機房規(guī)模擴大,應用系統(tǒng)增加,運維人員數(shù)量增多,則意味著其發(fā)生的操作風險機率也在不斷加大?？v觀當前市場上IT服務、安全管理產(chǎn)品,維護主體還是IT運維人員,只在權限方面有限制外,對于IT運維人員本身所帶來的潛在操作風險卻沒有涉及如何防范,主要還是基于信任或責任基礎上,對于管理來講存在很大風險。目前,已經(jīng)越來越多的相關法令法規(guī)出臺,如美國薩班斯(Sarbanes Oxley法案,最新發(fā)布的巴塞爾新資本協(xié)議,信息安全管理體系ISO27000的總體思路、我國頒布的安全等級保護技術要求要求企業(yè),特別是一些關鍵行業(yè)企事業(yè)單位,

43、如金融、電力、政府等行業(yè)單位,建立起有效的內(nèi)部審計制度,IT操作行為審計成為內(nèi)部審計重中之重。實現(xiàn)網(wǎng)內(nèi)行為審計,控制與防范風險,是目前行業(yè)所關注的核心問題。其實現(xiàn)目標:對內(nèi)部運維管理人員實現(xiàn)有效監(jiān)管;其監(jiān)管的核心:一是“審計”,二是“控制”。審計:全面覆蓋一般運維管理各種途徑,全面審計、錄像與回放操作;其操作行為:可定為人、時間、事件以及操作行為內(nèi)容;其作用:可威懾違規(guī)人員,防范風險,明確責任,確保系統(tǒng)安全穩(wěn)定?？刂?包含“訪問控制”與“訪問集中”。訪問控制:即對未經(jīng)授權網(wǎng)絡訪問連接進行阻斷并報警,保障運維安全、防范意外風險;訪問集中:通過代理方式確定網(wǎng)絡訪問通道唯一性,實現(xiàn)所有運維過程強制集

44、中化管理,規(guī)范運維人員操作行為與操作習慣。3.3.4.2設計原則統(tǒng)一管理建立安全運維管理體系,需要組織指定管理人員負責安全運維管理體系的運行,該管理人員根據(jù)組織的業(yè)務需求和客戶需要,對開發(fā)、實施和改進服務管理能力實施統(tǒng)一管理。管理人員根據(jù)運維對象分配角色,確定組織結構并實施組織優(yōu)化。流程化建立安全運維管理體系,需要組織識別的服務管理流程,以及服務管理流程之間的接口、流程活動協(xié)調的方式。建立文件化的安全運維管理策略和計劃,提供審計證據(jù)。預警平臺建立安全運維管理體系,需建立預警平臺,以監(jiān)視、測量、審計運維服務對象、運維服務過程以及運維服務管理體系?？冃Э己私踩\維管理體系,需要建立績效考核制度

45、,定期檢查員工績效,獎勵工作富有成效員工,懲戒違法法律法規(guī)、以及工作規(guī)范的員工,尤其違法信息安全規(guī)定的員工。風險評估建立安全運維管理體系,需要識別、評估、管理問題和風險,以及風險處理達成既定目標的方法。3.3.4.3建設方案3.3.4.3.1安全巡檢3.3.4.3.1.1巡檢內(nèi)容3.3.4.3.1.2巡檢流程3.3.4.3.2安全運維管理3.3.4.3.2.1變更管理3.3.4.3.2.1.1變更內(nèi)容:3.3.4.3.2.1.2變更流程:3.3.4.3.2.2安全加固3.3.4.3.2.2.1加固內(nèi)容:3.3.4.3.2.2.2加固周期:3.3.4.3.2.2.3加固流程:3.3.4.3.3安

46、全事件處置3.3.4.3.3.1計算機病毒事件處置3.3.4.3.3.2服務器安全事件處置3.3.4.3.3.3網(wǎng)絡安全事件處置3.3.4.3.3.4信息安全預警3.3.4.3.3.4.1信息安全預警的必要性信息安全預警是指信息網(wǎng)絡的預警,隨著網(wǎng)絡威脅趨勢在不斷變化,以應用為目標或載體的威脅日益增多。近年來,網(wǎng)絡入侵攻擊、網(wǎng)上竊密事件日益頻繁。網(wǎng)絡信息安全威脅多以竊取、濫用、假冒、欺詐、篡改、阻塞、致癱等新一代惡意代碼形式為主。據(jù)統(tǒng)計網(wǎng)絡惡意代碼每年增長量竟達到12.8倍,復合式病毒泛濫,在線信息劫持頻繁發(fā)生,僵尸網(wǎng)絡不斷擴大,被植入木馬和諜報的IP 地址數(shù)量猛增,網(wǎng)頁篡改大量增加。我國網(wǎng)絡信

47、息安全威脅也面臨著前所未有的嚴峻形勢,一場新的高技術對抗將在新的高度上展開。以下是某安全研究中心提供的資料,顯示了當前信息安全領域面臨的形勢:每天上報掛馬數(shù)據(jù)量:50.80萬條數(shù)據(jù);每天上報掛馬數(shù)據(jù)大小:90150MB;新病毒樣本(去除重復和變種:100個;每天能夠捕獲的新網(wǎng)馬樣本(去除重復和變種:1000個。建立信息安全及安全預警已迫在眉睫,從技術、管理上,解決信息安全控制與維護中的實際問題,是我們目前亟待解決的問題。3.3.4.3.3.4.2范圍3.3.4.3.3.4.3發(fā)布方式3.3.4.3.4應急響應3.3.4.3.4.1范圍1、安全事件應急響應:安全事件是指計算機和網(wǎng)絡設備系統(tǒng)的硬件

48、、軟件、數(shù)據(jù)因病毒感染或惡意攻擊等安全原因遭到破壞、更改、泄漏,造成信息系統(tǒng)不能正常訪問,或已經(jīng)發(fā)現(xiàn)的有可能造成上述現(xiàn)象的安全隱患,如非授權訪問、信息泄密、系統(tǒng)性能嚴重下降、網(wǎng)絡擁塞、病毒爆發(fā)等。當出現(xiàn)以上安全事件時,服務方必須及時進行響應。2、完善響應流程:建立應急響應體系,完善應急響應流程,快速對安全事件進行準確定位,及時響應處理,快速恢復系統(tǒng)運行,降低安全事件造成的損失和影響。3、制訂和完善重要信息安全設備和安全系統(tǒng)的應急響應預案:制定和完善重要信息系統(tǒng)的應急響應預案,根據(jù)應急預案,按照應急響應流程,組織相關人員進行應急演練,達到提高應急處理速度,多方協(xié)調聯(lián)動能力,熟悉應急流程的目的。每

49、年至少組織一次安全應急演練。3.3.4.3.4.2過程階段控制點數(shù)量控制手段準備階段4跟蹤并通告最新的安全威脅;完善被保護資產(chǎn)的安全防御設施,提高安全事件的監(jiān)測和控制能力;制定業(yè)務連續(xù)性計劃和災害恢復計劃;加強系統(tǒng)的風險管理,把握被保護系統(tǒng)的安全狀況;完善應急響應的策略和流程并且加強宣傳工作;維護應急響應的技術工具和各種資源庫;加強應急響應技術人員對工具和流程操作的培訓。檢測階段31.事件發(fā)生與否的確認;2.評估事件影響范圍;3.現(xiàn)場取樣,收集事件證據(jù);4.向處理事件的上級部門匯報。抑制階段31.關掉已受害的系統(tǒng);2.斷開網(wǎng)絡;3.修改防火墻或路由器的過濾規(guī)則;4.封鎖或刪除被攻破的登錄賬號;

50、5.關閉可被攻擊利用的服務功能。根除階段31.系統(tǒng)異常行為分析2.日志審計3.入侵監(jiān)測4.安全風險評估恢復階段1把所有被破壞的資產(chǎn)徹底地還原到正常運作狀態(tài)。(恢復被破壞系統(tǒng)需要建立在災害恢復計劃的基礎上總結階段11、形成事件處理的最終報告;2、檢查應急響應過程中存在的問題,重新評估和修改事件響應過程;3、評估應急響應人員在相互溝通和事件處理上存在的缺陷,以促進事后進行有針對性的培訓。3.3.4.3.4.3事件應急預案和應急演練方案為了保證信息網(wǎng)絡系統(tǒng)安全及減少信息系統(tǒng)發(fā)生嚴重故障時對地鐵三號線運營產(chǎn)生的影響,根據(jù)XXX信息系統(tǒng)、人員組織情況制訂適合的安全應急預案。配備多重保險系統(tǒng),做到以多種技

51、術防范為主,及早消除現(xiàn)行信息網(wǎng)絡系統(tǒng)的危機,確保信息系統(tǒng)正常運行。建立應急處理機構,平時應加強對應急保障預案的演練,不斷深化、細化應急預案,提高應急處理能力。在信息系統(tǒng)遭受嚴重破壞時,迅速啟用應急措施,明確應急指揮中心,維持各部門的正常運作,最大限度縮短對地鐵三號線運營的影響時間。3.3.5廢棄通用控制3.3.5.1設計目標不良的信息系統(tǒng)廢棄過程會造成組織大量的數(shù)據(jù)丟失或者泄露,直接影響到組織的生產(chǎn)和無形資產(chǎn)的損失,本設計目標是在現(xiàn)有的組織架構下通過有序的管理控制對信息系統(tǒng)廢棄過程建立控制約束,降低信息在廢棄階段造成的損失或危害。3.3.5.2設計原則本設計依據(jù)GB/T25058-2010國家

52、信息安全等級保護實施指南建立。3.3.5.3建設方案3.3.5.3.1信息轉移、暫存和清除3.3.5.3.2設備遷移或廢棄3.3.5.3.3存儲介質的清除或銷毀3.4人員要求3.4.1人員角色與職責通用設計3.4.1.1信息安全領導小組信息安全是XXX工作人員必須共用承擔的責任。信息安全領導小組是系統(tǒng)安全工作的最高領導決策機構,負責本單位信息安全工作的宏觀管理。信息安全領導小組負責信息安全總體規(guī)劃與決策,并領導全公司安全建設、運行、維護和管理等工作;信息安全領導小組負責組織落實上層決策,制定本公司決策,并領導信息安全工作,信息安全領導小組的職責是:信息安全領導小組負責領導制定公司系統(tǒng)安全建設的

53、總體規(guī)劃并審議監(jiān)督各部門安全工作規(guī)劃的制定與實施;負責制定信息安全總體策略并審批;負責領導制定全公司與系統(tǒng)安全相關的規(guī)章制度;負責系統(tǒng)安全管理層以上的人員權限授予工作;負責系統(tǒng)重大安全事故查處與匯報工作。3.4.1.2信息安全管理部門在信息安全領導小組的基礎上,信息安全管理應該由本機構信息安全相關的若干管理部門共同完成,例如有信息資產(chǎn)部、車務部、車輛部、維修部、財務部、安技部、計劃部、培訓部、人事部、行政部等。信息資產(chǎn)部對系統(tǒng)及系統(tǒng)安全保障提供技術決策和技術支持,在技術上對系統(tǒng)和系統(tǒng)安全保障承擔管理責任。業(yè)務應用部門對系統(tǒng)的業(yè)務處理以及業(yè)務流程的安全承擔管理責任。安全保衛(wèi)部門對系統(tǒng)的場地以及系

54、統(tǒng)資產(chǎn)的防災、防盜、防破壞等承擔管理責任。行政部門從行政上對信息安全保障執(zhí)行管理工作。各個部門應與信息技術部門協(xié)作,共同對系統(tǒng)的建設和運行維護承擔管理責任。為明確安全職責,應在相關管理部門中指定對信息安全負責的主管,這些主管共同貫徹執(zhí)行系統(tǒng)安全工作的方針政策、規(guī)章制度及有關的技術標準、規(guī)范和方案,并監(jiān)督安全策略的落實。對于信息系統(tǒng)建設和運行維護的具體執(zhí)行,應該有相應的安全管理崗位,定義了相應的安全角色和職責,各具體機構根據(jù)實際情況設置相應安全崗位,具體的安全角色和職責的描述如下。3.4.1.3IT/IS審計部門IS/IT審計部門直接向信息安全領導小組負責,審計工作應該具有獨立性、公正性,每年為

55、三號線分公司建立年度審計計劃并組織實施IT/IS審計工作,推動信息安全管理體系PDCA的動態(tài)運行。3.4.2具體角色3.4.2.1安全管理員3.4.2.2主機系統(tǒng)管理員3.4.2.3網(wǎng)絡管理員3.4.2.4數(shù)據(jù)庫管理員3.4.2.5應用管理員3.4.2.6安全審計員3.4.2.7資產(chǎn)管理員3.4.3崗位設置原則為確保系統(tǒng)的安全,必須加強人事安全管理,提高安全管理人員的技術水平和安全意識,同時在人員崗位的設置方面要遵循以下原則。3.4.3.1多人負責原則對一些有較高密級的與安全有關的活動,都必須有兩人或多人在場。工作人員必須由系統(tǒng)主管領導指派,且忠誠可靠,能勝任工作;工作人員應該認真記錄簽署工作情況,以證明安全工作已得到保障。上述所指與安全有關的活動包括:硬件和軟件的維護;系統(tǒng)軟件的設計、實現(xiàn)和維護;處理保密信息;系統(tǒng)用媒介的發(fā)放與回收;訪問控制用證件的發(fā)放與回收;重要程序和數(shù)據(jù)的刪除和銷毀等。3.4.3.2任期有限原則不能由一人長