企業(yè)信息安全規(guī)劃課件

目錄XX信息安全規(guī)劃信息安全目標(biāo)框架及設(shè)計目標(biāo)信息安全目標(biāo)體系XX目錄XX應(yīng)用系統(tǒng)信息化建設(shè)目標(biāo)IT安全信息安全管理信息安全技術(shù)支持類運營類決策類專業(yè)類信息化藍圖分類之（五）IT安全IT治理IT組織機構(gòu)IT人員IT流程和制度IT運維企業(yè)服務(wù)平臺企業(yè)服務(wù)總線（ESB）業(yè)務(wù)流程管理（BPM）基礎(chǔ)設(shè)施平臺數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全與管理網(wǎng)絡(luò)與鏈路桌面終端應(yīng)用系統(tǒng)信息化建設(shè)目標(biāo)IT安全信息安全信息安全支持類運營類決XX集團信息安全體系框架及設(shè)計目標(biāo)基于XX集團信息化安全的現(xiàn)狀和設(shè)計原則，提出信息安全未來建設(shè)目標(biāo)制定和實施符合國家《信息系統(tǒng)安全等級保護基本要求》以及XX集團信息系統(tǒng)現(xiàn)狀的安全管理策略和規(guī)范在信息中心設(shè)置信息安全崗位，并完善職責(zé)規(guī)范制定明確的信息安全策略，定期進行安全風(fēng)險評估和審核，并制定持續(xù)改進計劃對關(guān)鍵的安全技術(shù)平臺防病毒、防火墻、入侵檢測系統(tǒng)實現(xiàn)，統(tǒng)一的安全產(chǎn)品選型、統(tǒng)一的安全產(chǎn)品部署、統(tǒng)一的安全策略發(fā)布統(tǒng)一的內(nèi)部基礎(chǔ)網(wǎng)絡(luò)規(guī)劃，對不同安全要求的內(nèi)網(wǎng)接入進行訪問控制管理建設(shè)滿足業(yè)務(wù)需求的信息系統(tǒng)災(zāi)難恢復(fù)能力安全技術(shù)安全管理安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理物理層面安全控制網(wǎng)絡(luò)層面安全控制主機層面安全控制應(yīng)用層面安全控制數(shù)據(jù)層面安全控制XX集團信息安全體系框架及設(shè)計目標(biāo)基于XX集團信息化安全的現(xiàn)信息安全管理對象與原則介紹安全管理的職責(zé)分離原則對于一些涉及敏感數(shù)據(jù)處理的計算機系統(tǒng)安全管理而言，以下工作應(yīng)分開進行：系統(tǒng)的操作和系統(tǒng)的開發(fā)相分離。這樣系統(tǒng)的開發(fā)者即使知道系統(tǒng)有那些安全漏洞也沒有機會利用；機密資料的接受和傳送相分離。這樣任何一方都無法對資料進行篡改；安全管理和系統(tǒng)管理相分離。這樣可使制定安全措施的人并不能親自實施這些安全措施而對其起到制約的作用；系統(tǒng)操作和備份管理相分離。結(jié)合日志管理，以實現(xiàn)對數(shù)據(jù)處理過程的監(jiān)督；除要符合中國的安全規(guī)范外，還要符合國際的規(guī)范，如ISO27001、ISO17799等。郵件系統(tǒng)要避免出現(xiàn)列入黑名單的情況。安全管理的多人負責(zé)原則、任期有限原則多人負責(zé)原則：出于相互監(jiān)督和相互備份的考慮，如只有單人負責(zé)，則若發(fā)生安全問題時此人不在崗就不能處理，或者他本人有安全問題時，很難察覺。任期有限原則：出于監(jiān)督的目的，負責(zé)系統(tǒng)安全和系統(tǒng)管理的人員要有一定的輪換制度，以防止由單人長期負責(zé)一個系統(tǒng)的安全而造成的漏洞。安全管理對象安全管理的對象是整個系統(tǒng)而不是系統(tǒng)中的某個或某些元素。系統(tǒng)的所有構(gòu)成要素都是管理的對象，從系統(tǒng)內(nèi)部看，安全管理涉及計算機、網(wǎng)絡(luò)、操作、人事和信息資源；從外部環(huán)境看，安全管理涉及法律、道德、文化傳統(tǒng)和社會制度等方面的內(nèi)容信息安全管理對象與原則介紹安全管理的職責(zé)分離原則對于信息安全管理是一個持續(xù)性的閉環(huán)過程評估風(fēng)險決策支持實施控制評測安全管理信息安全管理信息安全管理可定義為具有四個主要階段的持續(xù)過程：評估風(fēng)險：識別組織的風(fēng)險并區(qū)分其嚴重程度。這些風(fēng)險可能與特定的IT系統(tǒng)和資產(chǎn)相關(guān)或無關(guān)；決策支持：根據(jù)定義的成本-收益分析過程確定并選擇控制解決方案；實施控制：部署并操作全面的控制解決方案以降低信息安全風(fēng)險；衡量評測：確定并報告已部署的控制措施的有效性，以將風(fēng)險管理至可接受的級別。信息安全管理是一個持續(xù)性的閉環(huán)過程評估風(fēng)險決策支持實施控制評為保障信息安全制度的執(zhí)行和落實，必需明確信息安全職能，建立相應(yīng)的信息安全組織對標(biāo)國家《信息系統(tǒng)安全等級保護基本要求》，當(dāng)前XX基本建立相應(yīng)信息安全的組織和職能應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)；應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)。崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批；應(yīng)針對關(guān)鍵活動建立審批流程，并由批準(zhǔn)人簽字確認。應(yīng)加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通。定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況?，F(xiàn)狀設(shè)置了明確的信息安全崗位職責(zé)，但未設(shè)專人進行日常的運行監(jiān)管。目前相關(guān)管理人員配置不夠，部分崗位無專職人員。信息中心對XX網(wǎng)絡(luò)安全接入與資源訪問建立了明確的審批流程。目前信息安全工作僅限于信息人員內(nèi)部，缺乏與其他業(yè)務(wù)部門的合作與溝通。XX未制定信息安全內(nèi)部審計、管理評審及有效性度量有關(guān)制度，未成立安全內(nèi)部審核小組。安全組織職能要求描述非常薄弱比較薄弱較好非常好一般為保障信息安全制度的執(zhí)行和落實，必需明確信息安全職能，建立相信息安全現(xiàn)狀評估——安全管理差距概述現(xiàn)狀總體評價：XX已經(jīng)編制信息安全管理規(guī)范，并已于2009年啟動推廣；XX信息系統(tǒng)建設(shè)和運維的安全管理力度相對薄弱；安全管理人員配置不夠；相關(guān)流程和制度的執(zhí)行有待改善。主要存在的問題：初步改進建議：目前XX內(nèi)部已建立專職的信息安全組織和人員，但從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例不夠。XX信息系統(tǒng)建設(shè)和運維的安全管理力度相對薄弱；安全管理人員配置不夠，相關(guān)流程和制度的執(zhí)行有待改善。信息安全內(nèi)部審計、管理評審及有效性度量等有關(guān)制度需進行完善。進一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例。進一步加強信息系統(tǒng)相關(guān)安全管理人員配置，按照相關(guān)崗位要求配置專人進行管理。盡快完善相關(guān)管理制度。信息安全現(xiàn)狀評估——安全管理差距概述現(xiàn)狀總體評價：XX已經(jīng)編信息安全現(xiàn)狀評估——安全技術(shù)差距概述現(xiàn)狀總體評價：通過實施第一期SOC平臺對集團總部已經(jīng)部署的所有安全設(shè)施進行集中管控。后續(xù)將逐步推進SOC平臺到各下屬公司，通過在各下屬公司分節(jié)點部署數(shù)據(jù)采集引擎的方法，將節(jié)點數(shù)據(jù)逐步匯聚到集團SOC平臺中。對關(guān)鍵系統(tǒng)實施災(zāi)難恢復(fù)方案，備份方式主要采取數(shù)據(jù)異地容災(zāi)備份。XXSOC平臺在應(yīng)用過程中缺乏專人進行系統(tǒng)的運行、維護以及系統(tǒng)相關(guān)問題的管理。主要存在的問題：初步改進建議：XXSOC平臺在應(yīng)用過程中缺乏專人進行系統(tǒng)的運行、維護以及系統(tǒng)相關(guān)問題的管理。進一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例。進一步加強信息安全系統(tǒng)建設(shè)和運維的安全管理力度，相關(guān)安全管理人員按照相關(guān)要求盡快配置到位。信息安全現(xiàn)狀評估——安全技術(shù)差距概述現(xiàn)狀總體評價：通過實施第XX信息化安全的現(xiàn)狀評價總結(jié)非常薄弱比較薄弱較好非常好一般名稱內(nèi)容評估分數(shù)安全管理XX已編制信息安全管理規(guī)范，并于2009年啟動推廣。XX信息系統(tǒng)建設(shè)和運維的安全管理力度相對薄弱。安全管理人員配置不夠，相關(guān)流程和制度的執(zhí)行有待改善。XX的信息安全內(nèi)部審計、管理評審及有效性度量等方面有待加強。安全技術(shù)通過第一期SOC平臺對集團總部的所有安全設(shè)施進行集中管控。后續(xù)逐步推進SOC平臺到各下屬公司，通過在各下屬公司分節(jié)點部署數(shù)據(jù)采集引擎的方法，將節(jié)點數(shù)據(jù)逐步匯聚到集團SOC平臺中。需進一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例。需進一步加強信息安全系統(tǒng)建設(shè)和運維的安全管理力度，相關(guān)安全管理人員按照相關(guān)要求盡快配置到位。XX信息化安全的現(xiàn)狀評價總結(jié)非常薄弱比較薄弱較好非常好一般名XX集團信息安全設(shè)計原則外部標(biāo)準(zhǔn)公司需求可實施性覆蓋度方案的設(shè)計要滿足國資委信息化評測標(biāo)準(zhǔn)（安全部分）、公安部信息安全規(guī)定、電監(jiān)會的信息安全要求、XX集團公司的安全規(guī)范等信息化安全方面的規(guī)定或標(biāo)準(zhǔn)信息化安全方案的制定應(yīng)充分考慮XX集團信息化應(yīng)用的現(xiàn)狀及發(fā)展方向，與應(yīng)用系統(tǒng)分布及基礎(chǔ)架構(gòu)相匹配的安全方案才能保障信息化的安全可靠運行在方案設(shè)計時，需要充分考慮實施中的風(fēng)險，以及實施的周期和成本，對潛在的風(fēng)險必須做充分的分析并給出相應(yīng)的解決對策全覆蓋的安全體系，對象范圍覆蓋最終用戶、服務(wù)器端以及信息網(wǎng)絡(luò)，在企業(yè)內(nèi)部做到信息安全死角為零可管理性安全平臺設(shè)計應(yīng)充分考慮到后期運營層面與管理層面的平衡性XX集團信息安全設(shè)計原則外部標(biāo)準(zhǔn)公司需求可實施性覆蓋度方案的國家通過出臺《信息系統(tǒng)安全等級保護基本要求》，明確了信息安全管理的規(guī)范框架管理制度制定和發(fā)布評審和修訂崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員錄用人員離崗人員考核安全意識教育和培訓(xùn)外部人員訪問管理系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案等級測試安全服務(wù)商選擇環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和安全中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理安全技術(shù)安全管理國資委的央企信息化評價，重點考察信息安全參考的標(biāo)準(zhǔn)和認證情況，信息技術(shù)安全機制建設(shè)情況，采取的安全措施信息化安全事故情況，與此框架相吻合 國家通過出臺《信息系統(tǒng)安全等級保護基本要求》，明確了信息安全目錄XX集團信息化藍圖架構(gòu)信息安全規(guī)劃信息安全目標(biāo)框架及設(shè)計目標(biāo)信息安全目標(biāo)體系XX容災(zāi)體系目錄XX集團信息化藍圖架構(gòu)管理制度制定信息安全工作的總體方針和安全策略，說明集團安全工作的總體目標(biāo)、范圍、原則和安全框架等應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程制定和發(fā)布應(yīng)指定或授權(quán)專門的部門或人員負責(zé)安全管理制度的制定應(yīng)組織相關(guān)人員對制定的安全管理制度進行論證和審定應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中評審和修訂應(yīng)定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂信息安全目標(biāo)體系-XX安全管理制度安全技術(shù)安全管理管理制度信息安全目標(biāo)體系-XX安全管理制度安全技術(shù)安全管理溝通和合作應(yīng)加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通與保持合作單位、公安機關(guān)、電信公司的合作與溝通

審核和檢查安全管理員應(yīng)負責(zé)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況崗位設(shè)置應(yīng)設(shè)立專職的安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)人員配備應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等授權(quán)和審批應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批應(yīng)針對關(guān)鍵活動建立審批流程，并由批準(zhǔn)人簽字確認信息安全目標(biāo)體系-XX安全管理機構(gòu)安全技術(shù)安全管理溝通和合作崗位設(shè)置信息安全目標(biāo)體系-XX安全管理機構(gòu)安全技術(shù)安全意識教育和培訓(xùn)應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)外部人員訪問管理應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案人員錄用應(yīng)規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進行審查，對其所具有的技術(shù)技能進行考核應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議人員離崗應(yīng)規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備應(yīng)辦理嚴格的調(diào)離手續(xù)人員考核應(yīng)定期對各個崗位的人員進行安全技能及安全認知的考核信息安全目標(biāo)體系-集團人員安全管理安全技術(shù)安全管理安全意識教育和培訓(xùn)人員錄用信息安全目標(biāo)體系-集團人員安全管理系統(tǒng)交付應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點應(yīng)對負責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔安全服務(wù)商選擇應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同外包軟件開發(fā)應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門測試驗收應(yīng)對系統(tǒng)進行安全性測試驗收在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細記錄測試驗收結(jié)果，并形成測試驗收報告應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認工程實施應(yīng)指定或授權(quán)專門的部門或人員負責(zé)工程實施過程的管理應(yīng)制定詳細的工程實施方案，控制工程實施過程信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（1）安全技術(shù)安全管理系統(tǒng)交付外包軟件開發(fā)信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（1）安系統(tǒng)定級應(yīng)明確信息系統(tǒng)的邊界和安全保護等級應(yīng)以書面的形式說明信息系統(tǒng)確定為某個安全保護等級的方法和理由應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)安全方案設(shè)計應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施應(yīng)以書面形式描述對系統(tǒng)的安全保護要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案應(yīng)對安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施產(chǎn)品采購和使用應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求應(yīng)指定或授權(quán)專門的部門負責(zé)產(chǎn)品的采購自行軟件開發(fā)應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負責(zé)保管信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（2）安全技術(shù)安全管理安全方案設(shè)計自行軟件開發(fā)系統(tǒng)定級產(chǎn)品采購和使用信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（2）介質(zhì)管理應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理應(yīng)對介質(zhì)歸檔和查詢等過程進行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標(biāo)識管理密碼管理應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品環(huán)境管理應(yīng)指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理應(yīng)配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定應(yīng)加強對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用信息安全目標(biāo)體系-系統(tǒng)運維管理（1）安全技術(shù)安全管理介質(zhì)管理環(huán)境管理信息安全目標(biāo)體系-系統(tǒng)運維管理（1）安全技設(shè)備管理應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進行維護管理應(yīng)建立基于申報、審批和專人負責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理應(yīng)對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點變更管理應(yīng)確認系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案系統(tǒng)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，審批后方可實施變更，并在實施后向相關(guān)人員通告信息安全目標(biāo)體系-系統(tǒng)運維管理（2）惡意代碼防范管理應(yīng)提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行病毒檢查應(yīng)指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定安全技術(shù)安全管理設(shè)備管理信息安全目標(biāo)體系-系統(tǒng)運維管理（2）惡意代碼防范管網(wǎng)絡(luò)安全管理應(yīng)指定人員對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進行定期備份應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)信息安全目標(biāo)體系-系統(tǒng)運維管理（3）系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應(yīng)首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定應(yīng)依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作應(yīng)定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為安全技術(shù)安全管理網(wǎng)絡(luò)安全管理信息安全目標(biāo)體系-系統(tǒng)運維管理（3）系統(tǒng)安全管備份與恢復(fù)管理應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等應(yīng)根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法應(yīng)急預(yù)案管理應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次信息安全目標(biāo)體系-系統(tǒng)運維管理（4）安全事件處置應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點應(yīng)制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)應(yīng)根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機安全事件進行等級劃分應(yīng)記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生安全技術(shù)安全管理備份與恢復(fù)管理信息安全目標(biāo)體系-系統(tǒng)運維管理（4）安全事件目錄XX集團信息化藍圖架構(gòu)信息安全規(guī)劃信息安全目標(biāo)框架及設(shè)計目標(biāo)信息安全目標(biāo)體系XX容災(zāi)體系目錄XX集團信息化藍圖架構(gòu)容災(zāi)建設(shè)時需要充分考慮實用性、可擴展性、規(guī)范性、可操作性和兼容性容災(zāi)是確保信息和信息系統(tǒng)安全的一項重要措施，其建設(shè)過程中應(yīng)充分考慮以下因素：實用性立足依托現(xiàn)有數(shù)據(jù)中心及機房，適當(dāng)考慮再建或其他方案。本著此項原則可以提高已有投資的利用率、縮短災(zāi)備方案的實施時間并降低人員維護成本。可擴展性具備良好的擴展能力以適應(yīng)未來的業(yè)務(wù)發(fā)展需要。XX集團的災(zāi)備恢復(fù)計劃的設(shè)計將滿足XX集團業(yè)務(wù)中、長期的發(fā)展需要?；诮陙順I(yè)務(wù)的快速發(fā)展及對未來業(yè)務(wù)增長的預(yù)測，系統(tǒng)設(shè)計充分考慮前瞻性和可擴充性。規(guī)范性滿足國家相關(guān)災(zāi)備管理規(guī)范、標(biāo)準(zhǔn)的要求。依托XX集團在現(xiàn)有信息安全的基礎(chǔ)上建立符合發(fā)電行業(yè)特色的集團信息安全標(biāo)準(zhǔn)，作為集團一，二，三級單位的遵從標(biāo)準(zhǔn)。可操作性使用業(yè)界成熟和實用的各種備份與恢復(fù)技術(shù)，保障XX集團業(yè)務(wù)數(shù)據(jù)及基礎(chǔ)設(shè)施在災(zāi)難后的迅速恢復(fù)。使用成熟的數(shù)據(jù)備份介質(zhì)且應(yīng)保障其容易使用，如磁帶、磁盤陣列等。兼容性采用開放的技術(shù)標(biāo)準(zhǔn)和協(xié)議，允許系統(tǒng)中兼容不同廠商的產(chǎn)品，降低成本，而且，隨著業(yè)務(wù)應(yīng)用系統(tǒng)的功能逐漸擴充和數(shù)據(jù)量的增加，可以更加容易地實現(xiàn)容災(zāi)系統(tǒng)的擴充。安全技術(shù)安全管理容災(zāi)建設(shè)時需要充分考慮實用性、可擴展性、規(guī)范性、可操作性和兼容災(zāi)是保障數(shù)據(jù)安全的重要方式，容災(zāi)的實現(xiàn)方式主要有數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級恢復(fù)時間投資持續(xù)可用業(yè)務(wù)級快速恢復(fù)應(yīng)用級可以恢復(fù)數(shù)據(jù)級分小時天周容災(zāi)方式業(yè)務(wù)恢復(fù)速度恢復(fù)難度技術(shù)難度運維成本投資數(shù)據(jù)級較慢RTO>24小時高較低較低較低應(yīng)用級較快RTO<12小時較低較高較高較高業(yè)務(wù)級持續(xù)可用RTO<0.5小時低高高高數(shù)據(jù)級容災(zāi)是僅將生產(chǎn)中心的數(shù)據(jù)完整地復(fù)制到容災(zāi)中心的容災(zāi)方式。數(shù)據(jù)級容災(zāi)是異地容災(zāi)的最低級形式，也是最基本的方式，是實現(xiàn)更高級容災(zāi)方式的基礎(chǔ)，但僅可以保證數(shù)據(jù)是可用的，若技術(shù)策略選擇得當(dāng)，可以保證業(yè)務(wù)數(shù)據(jù)的完整性。應(yīng)用級容災(zāi)是指在數(shù)據(jù)級容災(zāi)實現(xiàn)數(shù)據(jù)可用的基礎(chǔ)上，進一步實現(xiàn)應(yīng)用的可用性，確保業(yè)務(wù)可以快速恢復(fù)。容災(zāi)系統(tǒng)的應(yīng)用不改變原有的業(yè)務(wù)處理邏輯，是對生產(chǎn)中心系統(tǒng)的基本復(fù)制。業(yè)務(wù)級容災(zāi)是生產(chǎn)中心與容災(zāi)中心對業(yè)務(wù)請求同時進行處理的容災(zāi)方式，能夠確保業(yè)務(wù)持續(xù)可用，但投資很高。通常容災(zāi)的恢復(fù)目標(biāo)根據(jù)恢復(fù)的時間和恢復(fù)的數(shù)據(jù)量可定義分為兩種，分別為恢復(fù)時間目標(biāo)RTO和恢復(fù)點目標(biāo)RPO。根據(jù)RTO的指標(biāo)，容災(zāi)方式可分為數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級。安全技術(shù)安全管理容災(zāi)是保障數(shù)據(jù)安全的重要方式，容災(zāi)的實現(xiàn)方式主要有數(shù)據(jù)級、應(yīng)RPO：RPO(RecoveryPointObjective)是指災(zāi)難發(fā)生后，容災(zāi)系統(tǒng)能把數(shù)據(jù)恢復(fù)到災(zāi)難發(fā)生前時間點的數(shù)據(jù)，它是衡量企業(yè)在災(zāi)難發(fā)生后會丟失多少數(shù)據(jù)的指標(biāo)。RPO可簡單的描述為企業(yè)能容忍的最大數(shù)據(jù)丟失量。此外，容災(zāi)還要考慮系統(tǒng)的數(shù)據(jù)丟失量RPO的功能：由于實現(xiàn)“零數(shù)據(jù)丟失”需要的巨大的基礎(chǔ)架構(gòu)、帶寬和軟件成本，這就使“零數(shù)據(jù)丟失”只能夠用于極度昂貴數(shù)據(jù)，而不能用于所有的情況。所以企業(yè)需要確切地確定它能夠承擔(dān)在一次災(zāi)難中丟失多少數(shù)據(jù)。RPO就是用來幫助企業(yè)分析和評估數(shù)據(jù)丟失量的工具/指標(biāo)。時間數(shù)據(jù)備份點數(shù)據(jù)按照固點的頻率進行備份在這個時間段內(nèi)丟失的數(shù)據(jù)就是企業(yè)所能容忍的最大數(shù)據(jù)丟失量主服務(wù)器備份服務(wù)器確定RPO的步驟：1、到所要考察的數(shù)據(jù)系統(tǒng)的用戶以及這些領(lǐng)域的管理層去，詢問在災(zāi)難發(fā)生的時候他們能夠承受的數(shù)據(jù)丟失量。2、在選擇數(shù)據(jù)備份系統(tǒng)的時候，基于軟件的復(fù)制系統(tǒng)、基于硬件的鏡像、BusinessContinuanceVolume（BCV）和其他記錄工具，以及無數(shù)基于磁帶的系統(tǒng)都是可選的。3、混合使用或者匹配使用這些類型的系統(tǒng)，以創(chuàng)建能夠滿足從幾分鐘到多個小時RPO的要求。還可以將其中的許多方案應(yīng)用到單個的數(shù)據(jù)系統(tǒng)上，以處理有不同RPO要求的不同系統(tǒng)。RPO：RPO(RecoveryPointObject明確容災(zāi)級別（業(yè)務(wù)級、應(yīng)用級、數(shù)據(jù)級容災(zāi)）在主中心發(fā)生災(zāi)難時，能夠順利完成到異地的業(yè)務(wù)切換切換時間在DRP/BCP規(guī)定的時間范圍內(nèi)(RTO-RECOVERYTIMEOBJECTIVE)因災(zāi)難丟失的數(shù)據(jù)只限于DRP規(guī)定的時間范圍(RPO-RECOVERYPOINTOBJECTIVE)異地備份和復(fù)制數(shù)據(jù)以及系統(tǒng)的可用性備份站點的數(shù)據(jù)和系統(tǒng)可以作為數(shù)據(jù)挖掘和容災(zāi)演練、系統(tǒng)開發(fā)等工作網(wǎng)絡(luò)切換時間在規(guī)定的時間范圍內(nèi)XX集團容災(zāi)方案的需求分析審計考慮公司形象考慮SLA考慮業(yè)務(wù)損失考慮業(yè)務(wù)持續(xù)考慮花費成本宕機時間平衡點根據(jù)以下幾個要素進行容災(zāi)方案的需求分析：安全技術(shù)安全管理明確容災(zāi)級別（業(yè)務(wù)級、應(yīng)用級、數(shù)據(jù)級容災(zāi)）XX集團容災(zāi)方案的依據(jù)XX集團對容災(zāi)的需求以及XX集團數(shù)據(jù)中心設(shè)計目標(biāo)，提出的容災(zāi)解決方案XX集團本部數(shù)據(jù)中心遠程數(shù)據(jù)中心數(shù)據(jù)同步應(yīng)用系統(tǒng)數(shù)據(jù)數(shù)據(jù)應(yīng)用系統(tǒng)異地災(zāi)備建議達到的級別：根據(jù)目前的容災(zāi)現(xiàn)狀，結(jié)合前期的調(diào)研情況及凱捷在容災(zāi)領(lǐng)域的國內(nèi)外最佳實踐，建議在未來3年內(nèi)達到應(yīng)用級容災(zāi)的建設(shè)要求。容災(zāi)中心的選址：根據(jù)基礎(chǔ)架構(gòu)一級和二級數(shù)據(jù)中心的目標(biāo)體系，建議XX集團未來選取某遠程二級數(shù)據(jù)中心作為災(zāi)備中心。災(zāi)備模式：建議XX集團一級數(shù)據(jù)中心采用主備中心備份模式。安全技術(shù)安全管理依據(jù)XX集團對容災(zāi)的需求以及XX集團數(shù)據(jù)中心設(shè)計目標(biāo)，提出的業(yè)務(wù)連續(xù)性等級應(yīng)用系統(tǒng)起步階段發(fā)展階段突破階段理想RPO理想RTO實際RPO實際RTO一級EAM系統(tǒng)應(yīng)用級(應(yīng)急)+數(shù)據(jù)級應(yīng)用級云計算動態(tài)資源調(diào)度0030m1h人力資源管理系統(tǒng)電子商務(wù)財務(wù)集中核算平臺OA外主頁CA認證系統(tǒng)統(tǒng)一用戶與訪問平臺DNS服務(wù)器二級綜合數(shù)據(jù)庫數(shù)據(jù)級應(yīng)用級1h2h2h4h水電在線檢測實時監(jiān)管系統(tǒng)虛擬資源自動化供應(yīng)平臺公文交換4h印章服務(wù)器檔案系統(tǒng)北信源預(yù)算應(yīng)用2h內(nèi)主頁三級郵件系統(tǒng)數(shù)據(jù)級數(shù)據(jù)級8h16h8h16h運維管理平臺目標(biāo)容災(zāi)范圍應(yīng)急容災(zāi)范圍XX集團容災(zāi)范圍及建議等級業(yè)務(wù)連續(xù)性等級應(yīng)用系統(tǒng)起步發(fā)展突破理想理想實際實際一級EAM經(jīng)常不斷地學(xué)習(xí),你就什么都知道。你知道得越多,你就越有力量StudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe學(xué)習(xí)總結(jié)經(jīng)常不斷地學(xué)習(xí),你就什么都知道。你知道得越多,你就越有力量學(xué)結(jié)束語當(dāng)你盡了自己的最大努力時，失敗也是偉大的，所以不要放棄，堅持就是正確的。WhenYouDoYourBest,FailureIsGreat,SoDon'TGiveUp,StickToTheEnd演講人：XXXXXX

時間：XX年XX月XX日

結(jié)束語目錄XX信息安全規(guī)劃信息安全目標(biāo)框架及設(shè)計目標(biāo)信息安全目標(biāo)體系XX目錄XX應(yīng)用系統(tǒng)信息化建設(shè)目標(biāo)IT安全信息安全管理信息安全技術(shù)支持類運營類決策類專業(yè)類信息化藍圖分類之（五）IT安全IT治理IT組織機構(gòu)IT人員IT流程和制度IT運維企業(yè)服務(wù)平臺企業(yè)服務(wù)總線（ESB）業(yè)務(wù)流程管理（BPM）基礎(chǔ)設(shè)施平臺數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全與管理網(wǎng)絡(luò)與鏈路桌面終端應(yīng)用系統(tǒng)信息化建設(shè)目標(biāo)IT安全信息安全信息安全支持類運營類決XX集團信息安全體系框架及設(shè)計目標(biāo)基于XX集團信息化安全的現(xiàn)狀和設(shè)計原則，提出信息安全未來建設(shè)目標(biāo)制定和實施符合國家《信息系統(tǒng)安全等級保護基本要求》以及XX集團信息系統(tǒng)現(xiàn)狀的安全管理策略和規(guī)范在信息中心設(shè)置信息安全崗位，并完善職責(zé)規(guī)范制定明確的信息安全策略，定期進行安全風(fēng)險評估和審核，并制定持續(xù)改進計劃對關(guān)鍵的安全技術(shù)平臺防病毒、防火墻、入侵檢測系統(tǒng)實現(xiàn)，統(tǒng)一的安全產(chǎn)品選型、統(tǒng)一的安全產(chǎn)品部署、統(tǒng)一的安全策略發(fā)布統(tǒng)一的內(nèi)部基礎(chǔ)網(wǎng)絡(luò)規(guī)劃，對不同安全要求的內(nèi)網(wǎng)接入進行訪問控制管理建設(shè)滿足業(yè)務(wù)需求的信息系統(tǒng)災(zāi)難恢復(fù)能力安全技術(shù)安全管理安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理物理層面安全控制網(wǎng)絡(luò)層面安全控制主機層面安全控制應(yīng)用層面安全控制數(shù)據(jù)層面安全控制XX集團信息安全體系框架及設(shè)計目標(biāo)基于XX集團信息化安全的現(xiàn)信息安全管理對象與原則介紹安全管理的職責(zé)分離原則對于一些涉及敏感數(shù)據(jù)處理的計算機系統(tǒng)安全管理而言，以下工作應(yīng)分開進行：系統(tǒng)的操作和系統(tǒng)的開發(fā)相分離。這樣系統(tǒng)的開發(fā)者即使知道系統(tǒng)有那些安全漏洞也沒有機會利用；機密資料的接受和傳送相分離。這樣任何一方都無法對資料進行篡改；安全管理和系統(tǒng)管理相分離。這樣可使制定安全措施的人并不能親自實施這些安全措施而對其起到制約的作用；系統(tǒng)操作和備份管理相分離。結(jié)合日志管理，以實現(xiàn)對數(shù)據(jù)處理過程的監(jiān)督；除要符合中國的安全規(guī)范外，還要符合國際的規(guī)范，如ISO27001、ISO17799等。郵件系統(tǒng)要避免出現(xiàn)列入黑名單的情況。安全管理的多人負責(zé)原則、任期有限原則多人負責(zé)原則：出于相互監(jiān)督和相互備份的考慮，如只有單人負責(zé)，則若發(fā)生安全問題時此人不在崗就不能處理，或者他本人有安全問題時，很難察覺。任期有限原則：出于監(jiān)督的目的，負責(zé)系統(tǒng)安全和系統(tǒng)管理的人員要有一定的輪換制度，以防止由單人長期負責(zé)一個系統(tǒng)的安全而造成的漏洞。安全管理對象安全管理的對象是整個系統(tǒng)而不是系統(tǒng)中的某個或某些元素。系統(tǒng)的所有構(gòu)成要素都是管理的對象，從系統(tǒng)內(nèi)部看，安全管理涉及計算機、網(wǎng)絡(luò)、操作、人事和信息資源；從外部環(huán)境看，安全管理涉及法律、道德、文化傳統(tǒng)和社會制度等方面的內(nèi)容信息安全管理對象與原則介紹安全管理的職責(zé)分離原則對于信息安全管理是一個持續(xù)性的閉環(huán)過程評估風(fēng)險決策支持實施控制評測安全管理信息安全管理信息安全管理可定義為具有四個主要階段的持續(xù)過程：評估風(fēng)險：識別組織的風(fēng)險并區(qū)分其嚴重程度。這些風(fēng)險可能與特定的IT系統(tǒng)和資產(chǎn)相關(guān)或無關(guān)；決策支持：根據(jù)定義的成本-收益分析過程確定并選擇控制解決方案；實施控制：部署并操作全面的控制解決方案以降低信息安全風(fēng)險；衡量評測：確定并報告已部署的控制措施的有效性，以將風(fēng)險管理至可接受的級別。信息安全管理是一個持續(xù)性的閉環(huán)過程評估風(fēng)險決策支持實施控制評為保障信息安全制度的執(zhí)行和落實，必需明確信息安全職能，建立相應(yīng)的信息安全組織對標(biāo)國家《信息系統(tǒng)安全等級保護基本要求》，當(dāng)前XX基本建立相應(yīng)信息安全的組織和職能應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)；應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)。崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批；應(yīng)針對關(guān)鍵活動建立審批流程，并由批準(zhǔn)人簽字確認。應(yīng)加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通。定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況?，F(xiàn)狀設(shè)置了明確的信息安全崗位職責(zé)，但未設(shè)專人進行日常的運行監(jiān)管。目前相關(guān)管理人員配置不夠，部分崗位無專職人員。信息中心對XX網(wǎng)絡(luò)安全接入與資源訪問建立了明確的審批流程。目前信息安全工作僅限于信息人員內(nèi)部，缺乏與其他業(yè)務(wù)部門的合作與溝通。XX未制定信息安全內(nèi)部審計、管理評審及有效性度量有關(guān)制度，未成立安全內(nèi)部審核小組。安全組織職能要求描述非常薄弱比較薄弱較好非常好一般為保障信息安全制度的執(zhí)行和落實，必需明確信息安全職能，建立相信息安全現(xiàn)狀評估——安全管理差距概述現(xiàn)狀總體評價：XX已經(jīng)編制信息安全管理規(guī)范，并已于2009年啟動推廣；XX信息系統(tǒng)建設(shè)和運維的安全管理力度相對薄弱；安全管理人員配置不夠；相關(guān)流程和制度的執(zhí)行有待改善。主要存在的問題：初步改進建議：目前XX內(nèi)部已建立專職的信息安全組織和人員，但從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例不夠。XX信息系統(tǒng)建設(shè)和運維的安全管理力度相對薄弱；安全管理人員配置不夠，相關(guān)流程和制度的執(zhí)行有待改善。信息安全內(nèi)部審計、管理評審及有效性度量等有關(guān)制度需進行完善。進一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例。進一步加強信息系統(tǒng)相關(guān)安全管理人員配置，按照相關(guān)崗位要求配置專人進行管理。盡快完善相關(guān)管理制度。信息安全現(xiàn)狀評估——安全管理差距概述現(xiàn)狀總體評價：XX已經(jīng)編信息安全現(xiàn)狀評估——安全技術(shù)差距概述現(xiàn)狀總體評價：通過實施第一期SOC平臺對集團總部已經(jīng)部署的所有安全設(shè)施進行集中管控。后續(xù)將逐步推進SOC平臺到各下屬公司，通過在各下屬公司分節(jié)點部署數(shù)據(jù)采集引擎的方法，將節(jié)點數(shù)據(jù)逐步匯聚到集團SOC平臺中。對關(guān)鍵系統(tǒng)實施災(zāi)難恢復(fù)方案，備份方式主要采取數(shù)據(jù)異地容災(zāi)備份。XXSOC平臺在應(yīng)用過程中缺乏專人進行系統(tǒng)的運行、維護以及系統(tǒng)相關(guān)問題的管理。主要存在的問題：初步改進建議：XXSOC平臺在應(yīng)用過程中缺乏專人進行系統(tǒng)的運行、維護以及系統(tǒng)相關(guān)問題的管理。進一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例。進一步加強信息安全系統(tǒng)建設(shè)和運維的安全管理力度，相關(guān)安全管理人員按照相關(guān)要求盡快配置到位。信息安全現(xiàn)狀評估——安全技術(shù)差距概述現(xiàn)狀總體評價：通過實施第XX信息化安全的現(xiàn)狀評價總結(jié)非常薄弱比較薄弱較好非常好一般名稱內(nèi)容評估分數(shù)安全管理XX已編制信息安全管理規(guī)范，并于2009年啟動推廣。XX信息系統(tǒng)建設(shè)和運維的安全管理力度相對薄弱。安全管理人員配置不夠，相關(guān)流程和制度的執(zhí)行有待改善。XX的信息安全內(nèi)部審計、管理評審及有效性度量等方面有待加強。安全技術(shù)通過第一期SOC平臺對集團總部的所有安全設(shè)施進行集中管控。后續(xù)逐步推進SOC平臺到各下屬公司，通過在各下屬公司分節(jié)點部署數(shù)據(jù)采集引擎的方法，將節(jié)點數(shù)據(jù)逐步匯聚到集團SOC平臺中。需進一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認證的覆蓋比例。需進一步加強信息安全系統(tǒng)建設(shè)和運維的安全管理力度，相關(guān)安全管理人員按照相關(guān)要求盡快配置到位。XX信息化安全的現(xiàn)狀評價總結(jié)非常薄弱比較薄弱較好非常好一般名XX集團信息安全設(shè)計原則外部標(biāo)準(zhǔn)公司需求可實施性覆蓋度方案的設(shè)計要滿足國資委信息化評測標(biāo)準(zhǔn)（安全部分）、公安部信息安全規(guī)定、電監(jiān)會的信息安全要求、XX集團公司的安全規(guī)范等信息化安全方面的規(guī)定或標(biāo)準(zhǔn)信息化安全方案的制定應(yīng)充分考慮XX集團信息化應(yīng)用的現(xiàn)狀及發(fā)展方向，與應(yīng)用系統(tǒng)分布及基礎(chǔ)架構(gòu)相匹配的安全方案才能保障信息化的安全可靠運行在方案設(shè)計時，需要充分考慮實施中的風(fēng)險，以及實施的周期和成本，對潛在的風(fēng)險必須做充分的分析并給出相應(yīng)的解決對策全覆蓋的安全體系，對象范圍覆蓋最終用戶、服務(wù)器端以及信息網(wǎng)絡(luò)，在企業(yè)內(nèi)部做到信息安全死角為零可管理性安全平臺設(shè)計應(yīng)充分考慮到后期運營層面與管理層面的平衡性XX集團信息安全設(shè)計原則外部標(biāo)準(zhǔn)公司需求可實施性覆蓋度方案的國家通過出臺《信息系統(tǒng)安全等級保護基本要求》，明確了信息安全管理的規(guī)范框架管理制度制定和發(fā)布評審和修訂崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員錄用人員離崗人員考核安全意識教育和培訓(xùn)外部人員訪問管理系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案等級測試安全服務(wù)商選擇環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和安全中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理安全技術(shù)安全管理國資委的央企信息化評價，重點考察信息安全參考的標(biāo)準(zhǔn)和認證情況，信息技術(shù)安全機制建設(shè)情況，采取的安全措施信息化安全事故情況，與此框架相吻合 國家通過出臺《信息系統(tǒng)安全等級保護基本要求》，明確了信息安全目錄XX集團信息化藍圖架構(gòu)信息安全規(guī)劃信息安全目標(biāo)框架及設(shè)計目標(biāo)信息安全目標(biāo)體系XX容災(zāi)體系目錄XX集團信息化藍圖架構(gòu)管理制度制定信息安全工作的總體方針和安全策略，說明集團安全工作的總體目標(biāo)、范圍、原則和安全框架等應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程制定和發(fā)布應(yīng)指定或授權(quán)專門的部門或人員負責(zé)安全管理制度的制定應(yīng)組織相關(guān)人員對制定的安全管理制度進行論證和審定應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中評審和修訂應(yīng)定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂信息安全目標(biāo)體系-XX安全管理制度安全技術(shù)安全管理管理制度信息安全目標(biāo)體系-XX安全管理制度安全技術(shù)安全管理溝通和合作應(yīng)加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通與保持合作單位、公安機關(guān)、電信公司的合作與溝通

審核和檢查安全管理員應(yīng)負責(zé)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況崗位設(shè)置應(yīng)設(shè)立專職的安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)人員配備應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等授權(quán)和審批應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批應(yīng)針對關(guān)鍵活動建立審批流程，并由批準(zhǔn)人簽字確認信息安全目標(biāo)體系-XX安全管理機構(gòu)安全技術(shù)安全管理溝通和合作崗位設(shè)置信息安全目標(biāo)體系-XX安全管理機構(gòu)安全技術(shù)安全意識教育和培訓(xùn)應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)外部人員訪問管理應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案人員錄用應(yīng)規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進行審查，對其所具有的技術(shù)技能進行考核應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議人員離崗應(yīng)規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備應(yīng)辦理嚴格的調(diào)離手續(xù)人員考核應(yīng)定期對各個崗位的人員進行安全技能及安全認知的考核信息安全目標(biāo)體系-集團人員安全管理安全技術(shù)安全管理安全意識教育和培訓(xùn)人員錄用信息安全目標(biāo)體系-集團人員安全管理系統(tǒng)交付應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點應(yīng)對負責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔安全服務(wù)商選擇應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同外包軟件開發(fā)應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門測試驗收應(yīng)對系統(tǒng)進行安全性測試驗收在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細記錄測試驗收結(jié)果，并形成測試驗收報告應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認工程實施應(yīng)指定或授權(quán)專門的部門或人員負責(zé)工程實施過程的管理應(yīng)制定詳細的工程實施方案，控制工程實施過程信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（1）安全技術(shù)安全管理系統(tǒng)交付外包軟件開發(fā)信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（1）安系統(tǒng)定級應(yīng)明確信息系統(tǒng)的邊界和安全保護等級應(yīng)以書面的形式說明信息系統(tǒng)確定為某個安全保護等級的方法和理由應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)安全方案設(shè)計應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施應(yīng)以書面形式描述對系統(tǒng)的安全保護要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案應(yīng)對安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施產(chǎn)品采購和使用應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求應(yīng)指定或授權(quán)專門的部門負責(zé)產(chǎn)品的采購自行軟件開發(fā)應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負責(zé)保管信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（2）安全技術(shù)安全管理安全方案設(shè)計自行軟件開發(fā)系統(tǒng)定級產(chǎn)品采購和使用信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理（2）介質(zhì)管理應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理應(yīng)對介質(zhì)歸檔和查詢等過程進行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標(biāo)識管理密碼管理應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品環(huán)境管理應(yīng)指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理應(yīng)配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定應(yīng)加強對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用信息安全目標(biāo)體系-系統(tǒng)運維管理（1）安全技術(shù)安全管理介質(zhì)管理環(huán)境管理信息安全目標(biāo)體系-系統(tǒng)運維管理（1）安全技設(shè)備管理應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進行維護管理應(yīng)建立基于申報、審批和專人負責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理應(yīng)對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點變更管理應(yīng)確認系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案系統(tǒng)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，審批后方可實施變更，并在實施后向相關(guān)人員通告信息安全目標(biāo)體系-系統(tǒng)運維管理（2）惡意代碼防范管理應(yīng)提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行病毒檢查應(yīng)指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定安全技術(shù)安全管理設(shè)備管理信息安全目標(biāo)體系-系統(tǒng)運維管理（2）惡意代碼防范管網(wǎng)絡(luò)安全管理應(yīng)指定人員對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進行定期備份應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)信息安全目標(biāo)體系-系統(tǒng)運維管理（3）系統(tǒng)安全管理應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應(yīng)首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定應(yīng)依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作應(yīng)定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為安全技術(shù)安全管理網(wǎng)絡(luò)安全管理信息安全目標(biāo)體系-系統(tǒng)運維管理（3）系統(tǒng)安全管備份與恢復(fù)管理應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等應(yīng)根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法應(yīng)急預(yù)案管理應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次信息安全目標(biāo)體系-系統(tǒng)運維管理（4）安全事件處置應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點應(yīng)制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)應(yīng)根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機安全事件進行等級劃分應(yīng)記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生安全技術(shù)安全管理備份與恢復(fù)管理信息安全目標(biāo)體系-系統(tǒng)運維管理（4）安全事件目錄XX集團信息化藍圖架構(gòu)信息安全規(guī)劃信息安全目標(biāo)框架及設(shè)計目標(biāo)信息安全目標(biāo)體系XX容災(zāi)體系目錄XX集團信息化藍圖架構(gòu)容災(zāi)建設(shè)時需要充分考慮實用性、可擴展性、規(guī)范性、可操作性和兼容性容災(zāi)是確保信息和信息系統(tǒng)安全的一項重要措施，其建設(shè)過程中應(yīng)充分考慮以下因素：實用性立足依托現(xiàn)有數(shù)據(jù)中心及機房，適當(dāng)考慮再建或其他方案。本著此項原則可以提高已有投資的利用率、縮短災(zāi)備方案的實施時間并降低人員維護成本?？蓴U展性具備良好的擴展能力以適應(yīng)未來的業(yè)務(wù)發(fā)展需要。XX集團的災(zāi)備恢復(fù)計劃的設(shè)計將滿足XX集團業(yè)務(wù)中、長期的發(fā)展需要?；诮陙順I(yè)務(wù)的快速發(fā)展及對未來業(yè)務(wù)增長的預(yù)測，系統(tǒng)設(shè)計充分考慮前瞻性和可擴充性。規(guī)范性滿足國家相關(guān)災(zāi)備管理規(guī)范、標(biāo)準(zhǔn)的要求。依托XX集團在現(xiàn)有信息安全的基礎(chǔ)上建立符合發(fā)電行業(yè)特色的集團信息安全標(biāo)準(zhǔn)，作為集團一，二，三級單位的遵從標(biāo)準(zhǔn)?？刹僮餍允褂脴I(yè)界成熟和實用的各種備份與恢復(fù)技術(shù)，保障XX集團業(yè)務(wù)數(shù)據(jù)及基礎(chǔ)設(shè)施在災(zāi)難后的迅速恢復(fù)。使用成熟的數(shù)據(jù)備份介質(zhì)且應(yīng)保障其容易使用，如磁帶、磁盤陣列等。兼容性采用開放的技術(shù)標(biāo)準(zhǔn)和協(xié)議，允許系統(tǒng)中兼容不同廠商的產(chǎn)品，降低成本，而且，隨著業(yè)務(wù)應(yīng)用系統(tǒng)的功能逐漸擴充和數(shù)據(jù)量的增加，可以更加容易地實現(xiàn)容災(zāi)系統(tǒng)的擴充。安全技術(shù)安全管理容災(zāi)建設(shè)時需要充分考慮實用性、可擴展性、規(guī)范性、可操作性和兼容災(zāi)是保障數(shù)據(jù)安全的重要方式，容災(zāi)的實現(xiàn)方式主要有數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級恢復(fù)時間投資持續(xù)可用業(yè)務(wù)級快速恢復(fù)應(yīng)用級可以恢復(fù)數(shù)據(jù)級分小時天周容災(zāi)方式業(yè)務(wù)恢復(fù)速度恢復(fù)難度技術(shù)難度運維成本投資數(shù)據(jù)級較慢RTO>24小時高較低較低較低應(yīng)用級較快RTO<12小時較低較高較高較高業(yè)務(wù)級持續(xù)可用RTO<0.5小時低高高高數(shù)據(jù)級容災(zāi)是僅將生產(chǎn)中心的數(shù)據(jù)完整地復(fù)制到容災(zāi)中心的容災(zāi)方式。數(shù)據(jù)級容災(zāi)是異地容災(zāi)的最低級形式，也