企業(yè)信息安全總體規(guī)劃方案

XXXXX企業(yè)信息安全建設(shè)規(guī)劃提議書YYYY科技有限企業(yè)201X年XX月

目錄第1章 綜述 31.1 概述 31.2 現(xiàn)實(shí)狀況分析 41.3 設(shè)計(jì)目標(biāo) 8第2章 信息安全總體規(guī)劃 102.1設(shè)計(jì)目標(biāo)、依據(jù)及標(biāo)準(zhǔn) 102.1.1設(shè)計(jì)目標(biāo) 102.1.2設(shè)計(jì)依據(jù) 102.1.3設(shè)計(jì)標(biāo)準(zhǔn) 112.2總體信息安全規(guī)劃方案 122.2.1信息安全管理體系 122.2.2分階段建設(shè)策略 18第3章 分階段安全建設(shè)規(guī)劃 203.1 規(guī)劃標(biāo)準(zhǔn) 203.2 安全基礎(chǔ)框架設(shè)計(jì) 21第4章 早期規(guī)劃 234.1 建設(shè)目標(biāo) 234.2 建立信息安全管理體系 234.3 建立安全管理組織 25第5章 中期規(guī)劃 285.1 建設(shè)目標(biāo) 285.2 建立基礎(chǔ)保障體系 285.3 建立監(jiān)控審計(jì)體系 285.4 建立應(yīng)急響應(yīng)體系 305.5 建立災(zāi)難備份與恢復(fù)體系 34第6章 三期規(guī)劃 376.1 建設(shè)目標(biāo) 376.2 建立服務(wù)保障體系 376.3 保持和改進(jìn)ISMS 38第7章 總結(jié) 397.1 綜述 397.2 效果預(yù)期 397.3 后期 39綜述概述信息技術(shù)革命和經(jīng)濟(jì)全球化發(fā)展，使企業(yè)間競(jìng)爭(zhēng)已經(jīng)轉(zhuǎn)為技術(shù)和信息競(jìng)爭(zhēng)，伴隨企業(yè)業(yè)務(wù)快速增加、企業(yè)信息系統(tǒng)規(guī)模不停擴(kuò)大，企業(yè)對(duì)信息技術(shù)依賴性也越來越強(qiáng)，企業(yè)是否能長(zhǎng)久生存、企業(yè)業(yè)務(wù)是否能高效運(yùn)作也越來越依賴于是否有一個(gè)穩(wěn)定、安全信息系統(tǒng)和數(shù)據(jù)資產(chǎn)。所以，確保信息系統(tǒng)穩(wěn)定、安全運(yùn)行，確保企業(yè)知識(shí)資產(chǎn)安全，已經(jīng)成為當(dāng)代企業(yè)發(fā)展創(chuàng)新必定要求，信息安全能力已成為企業(yè)關(guān)鍵競(jìng)爭(zhēng)力主要部分。企業(yè)高度重視客戶及生產(chǎn)信息，生產(chǎn)資料，設(shè)計(jì)文檔，知識(shí)產(chǎn)權(quán)之安全防護(hù)。而終端，服務(wù)器作為信息數(shù)據(jù)載體，是信息安全防護(hù)首要目標(biāo)。與此同時(shí)，伴隨企業(yè)業(yè)務(wù)領(lǐng)域擴(kuò)展和規(guī)?？焖贁U(kuò)張，為了滿足企業(yè)發(fā)展和業(yè)務(wù)需要，企業(yè)IT生產(chǎn)和支撐支撐系統(tǒng)也進(jìn)行了對(duì)應(yīng)規(guī)模建設(shè)和擴(kuò)展，為了滿足生產(chǎn)高速發(fā)展，市場(chǎng)大力擴(kuò)張，企業(yè)決定在近期進(jìn)行信息安全系統(tǒng)系統(tǒng)調(diào)研建設(shè)，所以伴隨IT系統(tǒng)規(guī)模擴(kuò)大和應(yīng)用復(fù)雜化，相關(guān)信息安全風(fēng)險(xiǎn)也隨之而來，比如病毒、蠕蟲、垃圾郵件、間諜軟件、流氓軟件、數(shù)據(jù)截獲、嗅探、監(jiān)聽、肆意泛濫，內(nèi)部機(jī)密數(shù)據(jù)泄漏、辦公系統(tǒng)受到影響等等，所以為了確保企業(yè)業(yè)務(wù)正常運(yùn)行、制卡系統(tǒng)高效安全運(yùn)行，不因各種安全威脅破壞而中止，信息安全建設(shè)不可或缺，信息安全建設(shè)必定應(yīng)該和當(dāng)前信息化建設(shè)進(jìn)行統(tǒng)一全局考慮，應(yīng)該在相關(guān)主要信息化建設(shè)中進(jìn)行安全前置考慮和規(guī)劃，防止安全防護(hù)方法遺漏，安全防護(hù)滯后造成重大安全事件發(fā)生。。此次企業(yè)信息安全體系建設(shè)規(guī)劃主要考慮采取各種被證實(shí)是行之有效各種信息安全產(chǎn)品和技術(shù)，幫助企業(yè)建設(shè)一個(gè)主動(dòng)、高效、全方面信息安全防御體系，降低信息安全風(fēng)險(xiǎn)，愈加好為企業(yè)生產(chǎn)和運(yùn)行服務(wù)?，F(xiàn)實(shí)狀況分析現(xiàn)在企業(yè)已經(jīng)在前期進(jìn)行了部分信息安全建設(shè)，包含終端上一部分防病毒，網(wǎng)絡(luò)邊界處基本防火墻等安全軟件和設(shè)備，在很大程度上已經(jīng)對(duì)外部威脅能有一個(gè)基本防護(hù)能力，不過如今安全威脅和攻擊伎倆日新月異，層出不窮，各種高危零日漏洞不停被攻擊者挖掘出來，攻擊目標(biāo)越來越有針對(duì)性，現(xiàn)在企業(yè)所面臨全球安全威脅展現(xiàn)以下幾個(gè)新趨勢(shì)：惡意攻擊數(shù)量快速增加，攻擊伎倆不停豐富，最新未知威脅防不勝防：怎樣防范未知威脅，抵抗不一樣攻擊伎倆和攻擊路徑帶來信息安全沖擊?高級(jí)、有針對(duì)性高危連續(xù)性攻擊APT已蔓延至各類規(guī)模企業(yè)：怎樣阻止不一樣攻擊伎倆？不但僅是防病毒！需要服務(wù)器，終端，網(wǎng)絡(luò)，數(shù)據(jù)等各方面多層次防護(hù)，增加威脅防范能力復(fù)雜混亂應(yīng)用與外接設(shè)備環(huán)境：怎樣確保應(yīng)用和設(shè)備準(zhǔn)入控制？繁瑣枯燥系統(tǒng)維護(hù)和安全管理：怎樣更有效利用有限信息人力資源？工具帶來新問題：怎樣確保安全策略強(qiáng)制要求，統(tǒng)一管理和實(shí)施效果？終端接入不受控：怎樣確保終端滿足制訂終端安全策略-終端準(zhǔn)入控制網(wǎng)頁(yè)式攻擊(Web-basedAttack)已成為最主流攻擊手法：怎樣確保訪問可靠網(wǎng)站？?jī)?nèi)外部有意無意信息泄露將嚴(yán)重影響企業(yè)聲譽(yù)和重大經(jīng)濟(jì)損失從現(xiàn)在大多數(shù)企業(yè)信息安全建設(shè)來看，針對(duì)以上現(xiàn)在主流新形勢(shì)信息威脅，企業(yè)在安全建設(shè)上還面臨安全防護(hù)需要深入依靠國(guó)際先進(jìn)技術(shù)增強(qiáng)主動(dòng)防御，縱深防御能力，現(xiàn)在大多數(shù)企業(yè)在安全防護(hù)上還有以下欠缺：1.2.1現(xiàn)在信息安全存在問題在信息系統(tǒng)安全評(píng)定中我們對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)掃描、安全管理等等方面進(jìn)行了安全評(píng)定，發(fā)覺主要有以下問題：網(wǎng)絡(luò)設(shè)備安全：訪問控制問題網(wǎng)絡(luò)設(shè)備安全漏洞設(shè)備配置安全系統(tǒng)安全：補(bǔ)丁問題運(yùn)行服務(wù)問題安全策略問題弱口令問題默認(rèn)共享問題防病毒情況應(yīng)用安全：exchange郵件系統(tǒng)版本問題apache、iis、weblogic安全配置問題serv-U版本問題radmin遠(yuǎn)程管理安全問題數(shù)據(jù)安全：數(shù)據(jù)庫(kù)補(bǔ)丁問題Oracle數(shù)據(jù)庫(kù)默認(rèn)帳號(hào)問題Oracle數(shù)據(jù)庫(kù)弱口令問題Oracle數(shù)據(jù)庫(kù)默認(rèn)配置問題Mssql數(shù)據(jù)庫(kù)默認(rèn)有威脅存放過程問題網(wǎng)絡(luò)區(qū)域安全：市局政務(wù)外網(wǎng)安全方法完善市局與分局訪問控制問題分局政務(wù)外網(wǎng)安全方法加強(qiáng)安全管理：沒有建立安全管理組織沒有制訂總體安全策略沒有落實(shí)各個(gè)部門信息安全責(zé)任人缺乏安全管理文檔經(jīng)過安全評(píng)定中安全修復(fù)過程，我們對(duì)上述大部分安全問題進(jìn)行了修補(bǔ)，不過依然存在殘余風(fēng)險(xiǎn)，主要是數(shù)據(jù)安全（已安排升級(jí)計(jì)劃）、網(wǎng)絡(luò)區(qū)域安全和安全管理方面問題。所以當(dāng)前信息安全存在問題，主要表現(xiàn)在以下幾個(gè)方面：1.在政務(wù)外網(wǎng)中，市局建立了基本安全體系，不過還需要深入完善，例如政務(wù)外網(wǎng)總出口有單點(diǎn)故障隱患、門戶網(wǎng)站有被撰改隱患。另外分局并沒有實(shí)施任何防護(hù)方法，存在被黑客入侵安全隱患；2.在政務(wù)內(nèi)網(wǎng)中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴(kuò)散可能。另外，假如黑客入侵了分局政務(wù)內(nèi)網(wǎng)后，可能深入向市局進(jìn)行滲透攻擊。3.原有信息安全組織沒有實(shí)施起來，沒有制訂安全總體策略；沒有落實(shí)信息安全責(zé)任人。造成信息安全管理沒有能夠自上而下下發(fā)策略和制度，信息安全管理沒有落到實(shí)處。4.經(jīng)過安全評(píng)定，建立了基本安全管理制度；不過這些安全管理制度還沒有落實(shí)到日常工作中，而且可能在實(shí)際操作中依照實(shí)際情況做一些修改。5.沒有成立安全應(yīng)急小組，沒有對(duì)應(yīng)應(yīng)急事件預(yù)案；缺乏安全事件應(yīng)急處理流程與規(guī)范，也沒有對(duì)安全事件處理過程做統(tǒng)計(jì)歸檔。6.沒有建立數(shù)據(jù)備份與恢復(fù)制度；應(yīng)該對(duì)備份數(shù)據(jù)做恢復(fù)演練，確保備份數(shù)據(jù)有效性和可用性，在出現(xiàn)數(shù)據(jù)故障時(shí)候能夠及時(shí)進(jìn)行恢復(fù)操作。7.現(xiàn)在市局與分局之間政務(wù)內(nèi)網(wǎng)是租用天威網(wǎng)絡(luò)而沒有其它備用線路。萬一租用天威網(wǎng)絡(luò)發(fā)生故障將可能造成市局與分局之間政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中止。經(jīng)過信息安全風(fēng)險(xiǎn)評(píng)定，對(duì)發(fā)覺關(guān)于操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面漏洞，而且因?yàn)楫?dāng)初信息安全管理中并沒有規(guī)范安全管理制度，也是出現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等漏洞原因之一。為了達(dá)成對(duì)安全風(fēng)險(xiǎn)長(zhǎng)久有效管理，我們提議建設(shè)ISMS（信息安全管理體系），對(duì)安全風(fēng)險(xiǎn)經(jīng)過PDCA模型，輸出為可管理安全風(fēng)險(xiǎn)。1.2.2常見信息系統(tǒng)面臨風(fēng)險(xiǎn)和威脅大致以下：依照現(xiàn)在安全威脅，企業(yè)信息安全方面臨問題是信息安全僅作為后臺(tái)數(shù)據(jù)保障前端業(yè)務(wù)應(yīng)用和后端數(shù)據(jù)庫(kù)信息安全等級(jí)不高信息安全只是建立在簡(jiǎn)單“封、堵”上，不利提升工作效率和協(xié)同辦公所以，對(duì)于企業(yè)來說，在新IT環(huán)境下，需要就以下安全考慮，依照合理規(guī)劃進(jìn)行分期建設(shè)。業(yè)務(wù)模式正在發(fā)生改變，生產(chǎn)、研發(fā)等系統(tǒng)實(shí)施，信息安全應(yīng)全方面面向應(yīng)用，信息安全須前置，以適應(yīng)業(yè)務(wù)安全要求。用戶終端多樣化也應(yīng)保持足夠安全。數(shù)據(jù)集中化管控和網(wǎng)絡(luò)融合后所需安全要求。數(shù)據(jù)中心業(yè)務(wù)分區(qū)模塊化管理及災(zāi)備應(yīng)急機(jī)制設(shè)計(jì)目標(biāo)為企業(yè)設(shè)計(jì)完善信息安全管理體系，增強(qiáng)企業(yè)信息系統(tǒng)抵抗安全風(fēng)險(xiǎn)能力，為企業(yè)生產(chǎn)及銷售業(yè)務(wù)健康發(fā)展提供強(qiáng)大保障。經(jīng)過對(duì)企業(yè)各IT系統(tǒng)風(fēng)險(xiǎn)分析，了解企業(yè)信息系統(tǒng)安全現(xiàn)實(shí)狀況和存在各種安全風(fēng)險(xiǎn)，明確未來安全建設(shè)需求。完成安全管理體系規(guī)劃設(shè)計(jì)，涵蓋安全管理各個(gè)方面，設(shè)計(jì)合理建設(shè)流程，滿足中長(zhǎng)久安全管理要求。提供以下安全管理項(xiàng)目：人員管理規(guī)劃制訂和建設(shè)流程規(guī)劃安全運(yùn)維管理及資產(chǎn)管理完成安全技術(shù)體系規(guī)劃設(shè)計(jì)，設(shè)計(jì)有前瞻性安全處理方案，在進(jìn)行成本/效益分析基礎(chǔ)上，選取主流安全技術(shù)和產(chǎn)品，建設(shè)主動(dòng)、全方面、高效技術(shù)防御體系，將企業(yè)面臨各種風(fēng)險(xiǎn)控制在能夠接收范圍之內(nèi)。針對(duì)整體安全規(guī)劃計(jì)劃，在接下來幾年內(nèi)分期建設(shè)，最終滿足以下安全防護(hù)需求：網(wǎng)絡(luò)邊界安全防護(hù)安全管理策略關(guān)鍵業(yè)務(wù)服務(wù)器系統(tǒng)加固，入侵防護(hù)，關(guān)鍵文件監(jiān)控和系統(tǒng)防護(hù)網(wǎng)絡(luò)和服務(wù)器安全防護(hù)及安全基線檢驗(yàn)與漏洞檢測(cè)增強(qiáng)終端綜合安全防護(hù)強(qiáng)化內(nèi)部人員上網(wǎng)行為管理建設(shè)機(jī)密數(shù)據(jù)防泄漏和數(shù)據(jù)加密，磁盤加密網(wǎng)絡(luò)信任和加密技術(shù)防護(hù)建設(shè)，強(qiáng)化容災(zāi)和備份管理加強(qiáng)企業(yè)內(nèi)部IT控制與審計(jì)，確保IT與法律、法規(guī)，上級(jí)監(jiān)管單位要求相符合，比如：需要滿足國(guó)家信息系統(tǒng)安全系統(tǒng)安全檢驗(yàn)要求需要滿足國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》信息安全總體規(guī)劃2.1設(shè)計(jì)目標(biāo)、依據(jù)及標(biāo)準(zhǔn)2.1.1設(shè)計(jì)目標(biāo)電子政務(wù)網(wǎng)是深圳市電子政務(wù)業(yè)務(wù)承載和表現(xiàn)，是電子政務(wù)主要應(yīng)用，存放著主要數(shù)據(jù)資源，流動(dòng)著經(jīng)濟(jì)建設(shè)和社會(huì)生活中主要數(shù)據(jù)信息。所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理幾方面，加強(qiáng)安全保障體系建設(shè)，為電子政務(wù)應(yīng)用提供安全可靠運(yùn)行環(huán)境。2.1.2設(shè)計(jì)依據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見》《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見》《電子政務(wù)總體框架》《電子政務(wù)信息安全保障技術(shù)框架》《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》《信息安全等級(jí)保護(hù)管理方法》《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)定準(zhǔn)則》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》《計(jì)算機(jī)場(chǎng)地安全要求》《計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》同時(shí)在評(píng)定其信息資產(chǎn)價(jià)值等級(jí)時(shí)，也將參考ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等國(guó)際標(biāo)準(zhǔn)。電子政務(wù)網(wǎng)將依據(jù)信息價(jià)值保密性影響、信息價(jià)值完整性影響、信息價(jià)值可用性影響等多個(gè)方面，來對(duì)信息資產(chǎn)價(jià)值等級(jí)進(jìn)行劃分為五級(jí)，第一級(jí)為最低級(jí)，第五級(jí)為最高級(jí)。2.1.3設(shè)計(jì)標(biāo)準(zhǔn)電子政務(wù)網(wǎng)安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵照以下標(biāo)準(zhǔn)：需求、風(fēng)險(xiǎn)、代價(jià)平衡標(biāo)準(zhǔn)：對(duì)任何信息系統(tǒng)，絕對(duì)安全難以達(dá)成，也不一定是必要，安全保障體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)關(guān)系，做到安全性與可用性相容，做到技術(shù)上可實(shí)現(xiàn)，組織上可執(zhí)行。分級(jí)保護(hù)標(biāo)準(zhǔn)：以應(yīng)用為主導(dǎo)，科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)安全等級(jí)，并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理，確保服務(wù)有效性和快捷性。最小特權(quán)標(biāo)準(zhǔn)：整個(gè)系統(tǒng)中任何主體和客體不應(yīng)具備超出執(zhí)行任務(wù)所需權(quán)力以外權(quán)力。標(biāo)準(zhǔn)化與一致性標(biāo)準(zhǔn)：電子政務(wù)網(wǎng)是一個(gè)龐大系統(tǒng)工程，其安全保障體系設(shè)計(jì)必須遵照一系列標(biāo)準(zhǔn)，這么才能確保各個(gè)分系統(tǒng)一致性，使整個(gè)電子政務(wù)網(wǎng)安全地互聯(lián)互通、信息共享。多重保護(hù)標(biāo)準(zhǔn)：任何安全方法都不是絕對(duì)安全，都可能被攻破。不過建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層被攻破時(shí)，其余層仍可保護(hù)系統(tǒng)安全。整體性和統(tǒng)一性標(biāo)準(zhǔn)：一個(gè)大型網(wǎng)絡(luò)系統(tǒng)各個(gè)步驟，包含設(shè)備、軟件、數(shù)據(jù)、人員等，在網(wǎng)絡(luò)安全中地位和影響作用，只有從系統(tǒng)整體角度去統(tǒng)一對(duì)待、分析，才可能實(shí)現(xiàn)有效、可行安全保護(hù)。技術(shù)與管理相結(jié)合標(biāo)準(zhǔn)：電子政務(wù)網(wǎng)是一個(gè)復(fù)雜系統(tǒng)工程，包括人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。所以在考慮安全保障體系時(shí)，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。統(tǒng)籌規(guī)劃，分步實(shí)施標(biāo)準(zhǔn)：因?yàn)檎咭蟆⒎?wù)需求不明朗，環(huán)境、時(shí)間改變，安全防護(hù)與攻擊伎倆進(jìn)步，在一個(gè)比較全方面安全體系下，能夠依照網(wǎng)絡(luò)實(shí)際需要，先建立基本安全保障體系，確?；尽⒈仨毎踩浴０殡S今后網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度改變，調(diào)整或增強(qiáng)安全防護(hù)力度，確保整個(gè)網(wǎng)絡(luò)最根本安全需求。動(dòng)態(tài)發(fā)展標(biāo)準(zhǔn)：要依照網(wǎng)絡(luò)安全改變不停調(diào)整安全方法，適應(yīng)新網(wǎng)絡(luò)環(huán)境，滿足新網(wǎng)絡(luò)安全需求。易操作性標(biāo)準(zhǔn)：安全方法需要人去完成，假如方法過于復(fù)雜，對(duì)人要求過高，本身就降低了安全性；其次，方法采取不能影響系統(tǒng)正常運(yùn)行。適應(yīng)性及靈活性標(biāo)準(zhǔn)：安全方法必須能伴隨系統(tǒng)性能及安全需求改變而改變，要輕易適應(yīng)、輕易修改和升級(jí)。恪守關(guān)于法規(guī)：在安全支撐平臺(tái)設(shè)計(jì)和設(shè)備選型過程中，包括到密碼產(chǎn)品銷售應(yīng)符合國(guó)家關(guān)于法律法規(guī)要求，包括到其余安全產(chǎn)品銷售應(yīng)具備主管部門銷售許可證。同時(shí)安全產(chǎn)品應(yīng)具備良好升級(jí)及售后維護(hù)。2.2總體信息安全規(guī)劃方案總體目標(biāo)經(jīng)過建立建設(shè)ISMS（信息安全管理體系），達(dá)成對(duì)安全風(fēng)險(xiǎn)長(zhǎng)久有效管理，而且對(duì)于存在安全風(fēng)險(xiǎn)/安全需求經(jīng)過適適用于ISMSPDCA（Plan-Do-Check-Act）模型，輸出為可管理安全風(fēng)險(xiǎn)。處理問題 當(dāng)前信息安全經(jīng)過了一次完整信息安全評(píng)定，而且進(jìn)行了對(duì)應(yīng)安全修復(fù)后，信息安全風(fēng)險(xiǎn)已經(jīng)得到了比較有效管理，不過還是存在部分遺留風(fēng)險(xiǎn)，以及其它一些可預(yù)見風(fēng)險(xiǎn)。在這里將會(huì)對(duì)這些安全問題進(jìn)行處理。2.2.1信息安全管理體系為了達(dá)成對(duì)信息安全進(jìn)行管理，我們能夠經(jīng)過建立ISMS（信息安全管理體系），然后經(jīng)過向ISMS輸入信息安全要求和期望經(jīng)過必需活動(dòng)和過程產(chǎn)生滿足需求和期望信息安全輸出（比如可管理信息安全）。策劃建立ISMS：依照組織整體方針和目標(biāo)建立安全方針目標(biāo)目標(biāo)以及與管理風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)過程和程序以取得結(jié)果。實(shí)施和運(yùn)行ISMS：實(shí)施和運(yùn)行安全方針控制過程和程序。檢驗(yàn)監(jiān)視和評(píng)審ISMS：適用時(shí)依照安全方針目標(biāo)和慣有經(jīng)驗(yàn)評(píng)定和測(cè)量過程業(yè)績(jī)向管理層匯報(bào)結(jié)果進(jìn)行評(píng)審。保持和改進(jìn)ISMS：依照管理評(píng)審結(jié)果采取糾正和預(yù)防方法以連續(xù)改進(jìn)ISMS。針對(duì)當(dāng)前信息安全問題，我們能夠視為是對(duì)信息安全需求和期望，所以我們能夠把這些信息安全需求，提交到ISMS（信息安全管理體系）過程中，進(jìn)行處理。對(duì)于未來出現(xiàn)信息安全問題，也能夠提交到ISMS（信息安全管理體系）過程中，進(jìn)行處理，并最終輸出可被管理信息安全。所以對(duì)于信息安全總體規(guī)劃是：首先建立ISMS（信息安全管理體系），然后經(jīng)過ISMS過程PDCA模式處理當(dāng)前信息安全問題。對(duì)于當(dāng)前存在信息安全問題，我們能夠經(jīng)過下面四個(gè)階段來處理：策劃建立ISMS：建立信息安全管理系統(tǒng)，包含建立安全管理組織、制訂總體安全策略。而且依照當(dāng)前信息安全問題，提出安全處理方案。實(shí)施和運(yùn)行ISMS：依照當(dāng)前信息安全問題安全處理方案進(jìn)行實(shí)施，妥善處理這些信息安全問題。檢驗(yàn)監(jiān)視和評(píng)審ISMS：經(jīng)過專業(yè)安全評(píng)定來檢驗(yàn)信息安全問題是否得到了有效管理。保持和改進(jìn)ISMS：依照安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)定結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。2.2.1.1策劃建立ISMS建立信息安全管理系統(tǒng)，包含建立安全管理組織、制訂總體信息安全策略、落實(shí)各個(gè)部門信息安全責(zé)任人、信息安全培訓(xùn)等等。而且依照當(dāng)前信息安全問題，提出安全處理方案。2.2.1.1.1建立信息安全管理系統(tǒng)信息安全風(fēng)險(xiǎn)管理表現(xiàn)在信息安全保障體系技術(shù)、組織和管理等方面。在信息安全保障體系中，技術(shù)是工具，組織是運(yùn)作，管理是指導(dǎo)，它們緊密配合，共同實(shí)現(xiàn)信息安全保障目標(biāo)。信息安全保障體系技術(shù)、組織和管理等方面都存在著相關(guān)風(fēng)險(xiǎn)，需要采取信息安全風(fēng)險(xiǎn)管理方法加以控制。因?yàn)楫?dāng)前市安全管理組織并沒有真正運(yùn)作起來，所以沒有在一個(gè)高度上來制訂信息安全策略，所以沒有落實(shí)各個(gè)部門信息安全責(zé)任人，沒有對(duì)各個(gè)部門信息安全人員職責(zé)進(jìn)行定義；也沒有制訂安全管理文檔；造成安全管理沒有落到實(shí)處。另外需要對(duì)網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使他們具備基本網(wǎng)絡(luò)安全知識(shí)。2.2.1.1.2依照安全問題提出處理方案針對(duì)以下兩個(gè)問題，經(jīng)過建立信息安全管理系統(tǒng)來處理，見《2.2.1.1.1建立信息安全管理系統(tǒng)》原有信息安全組織沒有實(shí)施起來，沒有制訂安全總體策略；沒有落實(shí)信息安全責(zé)任人。造成信息安全管理沒有能夠自上而下下發(fā)策略和制度，信息安全管理沒有落到實(shí)處。經(jīng)過安全評(píng)定，建立了基本安全管理制度；不過這些安全管理制度還沒有落實(shí)到日常工作中，而且可能在實(shí)際操作中依照實(shí)際情況做一些修改?；A(chǔ)保障體系針對(duì)以下兩個(gè)問題，經(jīng)過建立基礎(chǔ)保障體系來處理，同時(shí)依照這些基礎(chǔ)安全設(shè)備建立信息監(jiān)控與審計(jì)體系。在政務(wù)外網(wǎng)中，市局建立了基本安全體系，不過還需要深入完善，比如政務(wù)外網(wǎng)總出口有單點(diǎn)故障隱患、門戶網(wǎng)站有被撰改隱患。另外分局并沒有實(shí)施任何防護(hù)方法，存在被黑客入侵安全隱患；在政務(wù)內(nèi)網(wǎng)中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴(kuò)散可能。另外，假如黑客入侵了分局政務(wù)內(nèi)網(wǎng)后，可能深入向市局進(jìn)行滲透攻擊。建設(shè)信息安全基礎(chǔ)保障體系，是一項(xiàng)復(fù)雜、綜合系統(tǒng)工程，是堅(jiān)持主動(dòng)防御、綜合防范方針詳細(xì)表現(xiàn)?，F(xiàn)在電子政務(wù)基礎(chǔ)保障體系已經(jīng)初具規(guī)模，不過還存在個(gè)別問題，需要深入完善。監(jiān)控審計(jì)體系監(jiān)控審計(jì)體系設(shè)計(jì)實(shí)現(xiàn)，能完成對(duì)電子政務(wù)網(wǎng)全部網(wǎng)上行為監(jiān)控。經(jīng)過此體系監(jiān)控到數(shù)據(jù)能對(duì)電子政務(wù)網(wǎng)絡(luò)使用率、數(shù)據(jù)流量、應(yīng)用提供百分比、安全事件統(tǒng)計(jì)、網(wǎng)絡(luò)設(shè)備動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員網(wǎng)上行為統(tǒng)計(jì)、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等這些情況有較全方面了解。應(yīng)急響應(yīng)體系針對(duì)下面這個(gè)問題，經(jīng)過建立應(yīng)急響應(yīng)體系來處理。沒有成立安全應(yīng)急小組，沒有對(duì)應(yīng)應(yīng)急事件預(yù)案；缺乏安全事件應(yīng)急處理流程與規(guī)范，也沒有對(duì)安全事件處理過程做統(tǒng)計(jì)歸檔。電子政務(wù)網(wǎng)絡(luò)承載了大量政務(wù)網(wǎng)絡(luò)應(yīng)用，所以網(wǎng)絡(luò)系統(tǒng)應(yīng)急響應(yīng)功效變得愈加關(guān)鍵，需要建立一個(gè)應(yīng)急響應(yīng)體系。它主要功效是采取足夠主動(dòng)方法處理各類安全事件。安全事件能夠被許多不一樣事件觸發(fā)并破壞單個(gè)電子政務(wù)系統(tǒng)或整個(gè)網(wǎng)絡(luò)可用性，完整性、數(shù)據(jù)保密性。所以需要尤其重視響應(yīng)、處理安全事件，因?yàn)榘踩录赡軒碇卮笃茐?。那些引發(fā)或可能引發(fā)當(dāng)?shù)匦》秶茐陌踩珕栴}應(yīng)該就地處理，以防止加重整個(gè)政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。災(zāi)難備份與恢復(fù)體系針對(duì)下面這個(gè)個(gè)問題，經(jīng)過建立災(zāi)難備份與恢復(fù)體系來處理。沒有建立數(shù)據(jù)備份與恢復(fù)制度；應(yīng)該對(duì)備份數(shù)據(jù)做恢復(fù)演練，確保備份數(shù)據(jù)有效性和可用性，在出現(xiàn)數(shù)據(jù)故障時(shí)候能夠及時(shí)進(jìn)行恢復(fù)操作。現(xiàn)在市局與分局之間政務(wù)內(nèi)網(wǎng)是租用天威網(wǎng)絡(luò)而沒有其它備用線路。萬一租用天威網(wǎng)絡(luò)發(fā)生故障將可能造成市局與分局之間政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中止。為了確保深圳市政務(wù)網(wǎng)正常運(yùn)行，抵抗包含地震、火災(zāi)、水災(zāi)等自然災(zāi)難，以及戰(zhàn)爭(zhēng)、恐怖攻擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料突發(fā)事件造成損害，所以應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系。在這個(gè)體系里主要包含下面三個(gè)部分：政務(wù)內(nèi)網(wǎng)線路冗余備份、主機(jī)服務(wù)器系統(tǒng)備份與恢復(fù)、數(shù)據(jù)庫(kù)系統(tǒng)備份與恢復(fù)。2.2.1.2實(shí)施和運(yùn)行ISMS在上面策劃建立ISMS過程中，我們提出了依照當(dāng)前信息安全問題處理處理方案，包含：建立基礎(chǔ)保障體系建立信息監(jiān)控與審計(jì)體系建立應(yīng)急服務(wù)體系建立災(zāi)難備份與恢復(fù)體系上述四個(gè)安全體系將在這個(gè)階段進(jìn)行實(shí)施。2.2.1.3檢驗(yàn)監(jiān)視和評(píng)審ISMS經(jīng)過專業(yè)安全評(píng)定來檢驗(yàn)信息安全問題是否得到了有效管理。同時(shí)建立服務(wù)與保障體系來保障系統(tǒng)正常運(yùn)行。服務(wù)保障是指保護(hù)和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、可控性、不可否定性等特征。服務(wù)保障體系則包含：風(fēng)險(xiǎn)評(píng)定、軟硬件升級(jí)、設(shè)備安全巡檢、設(shè)備日常維護(hù)等等。2.2.1.4保持和改進(jìn)ISMS依照安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)定結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。總結(jié)從其它組織或組織本身安全經(jīng)驗(yàn)得到教訓(xùn)。確保改進(jìn)活動(dòng)達(dá)成了預(yù)期目標(biāo)。2.2.2分階段建設(shè)策略安全風(fēng)險(xiǎn)長(zhǎng)久存在，并不停改變，這造成安全保障建設(shè)沒方法一步到位。所以必須對(duì)安全保障建設(shè)分階段實(shí)施。工程實(shí)施漸進(jìn)性、逐步性，依照先后緩急，初步將安全實(shí)施計(jì)劃分為以下四個(gè)階段：第一階段：策劃建立ISMS建立信息安全管理系統(tǒng)建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人依照當(dāng)前信息安全問題制訂處理方案第二階段：實(shí)施和運(yùn)行ISMS依照當(dāng)前信息安全問題處理方案進(jìn)行安全實(shí)施，包含：建立基礎(chǔ)保障體系建立監(jiān)控審計(jì)體系建立應(yīng)急響應(yīng)體系建立災(zāi)難備份與恢復(fù)體系第三階段：檢驗(yàn)監(jiān)視和評(píng)審ISMS經(jīng)過建立服務(wù)保障體系中信息風(fēng)險(xiǎn)安全評(píng)定、設(shè)備巡檢等評(píng)審當(dāng)前信息安全問題處理情況第四階段：保持和改進(jìn)ISMS依照安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)定結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。分階段安全建設(shè)規(guī)劃傳統(tǒng)安全設(shè)計(jì)理念基本上仍處于忙于封堵現(xiàn)有系統(tǒng)漏洞階段，有些人形象稱之為“修修補(bǔ)補(bǔ)”或“圍、追、堵、截”，基于這么設(shè)計(jì)理念建成安全體系只能是局部、被動(dòng)安全，而無法提供整體、主動(dòng)安全；同時(shí)也缺乏有效管理和監(jiān)控伎倆，使得信息安全情況令人擔(dān)憂，表現(xiàn)在病毒、蠕蟲層出不窮、系統(tǒng)漏洞眾多，另外經(jīng)過很多國(guó)際權(quán)威機(jī)構(gòu)調(diào)查，內(nèi)部發(fā)生安全事件占全部安全事件70％甚至更多，比如內(nèi)部誤用和嗅探、攻擊等濫用行為，都因?yàn)槿狈τ行ПO(jiān)控和管理而不能及時(shí)發(fā)覺，也給網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)；安全是一個(gè)整體，任何一部分微弱都會(huì)使得整體安全防御能力大打折扣，不但使得組織重金建設(shè)邊界安全防御體系失去作用，同時(shí)還會(huì)嚴(yán)重影響組織業(yè)務(wù)正常運(yùn)行，從經(jīng)濟(jì)、法律、聲譽(yù)等多方面對(duì)企業(yè)造成負(fù)面影響。新安全形勢(shì)下需要新思維和新處理方案。安全是一個(gè)整體、動(dòng)態(tài)過程，需要全方面深入考慮，那種頭痛醫(yī)頭、腳痛醫(yī)腳方法已無法滿足用戶日益復(fù)雜安全需求，要處理這些問題，歸根結(jié)底取決于信息安全保障體系建設(shè)。“企業(yè)面正確是一個(gè)以信息為關(guān)鍵世界”信息是企業(yè)關(guān)鍵，規(guī)劃開始前，這一點(diǎn)必須要有清楚認(rèn)識(shí)，我們能夠從三個(gè)層面來看：基礎(chǔ)架構(gòu)層面：包含終端、服務(wù)器、存放、網(wǎng)絡(luò)在內(nèi)基礎(chǔ)設(shè)施，乃至數(shù)據(jù)中心和容災(zāi)中心，這些都是信息數(shù)據(jù)產(chǎn)生、存放、傳輸、處理載體，圍繞信息處理和流轉(zhuǎn)所搭建基礎(chǔ)設(shè)施，同時(shí)也是IT系統(tǒng)和管理人員為確保信息和數(shù)據(jù)安全、可用最基礎(chǔ)和主要管理對(duì)象；信息為關(guān)鍵層面：信息和數(shù)據(jù)是整個(gè)企業(yè)業(yè)務(wù)運(yùn)行中最為關(guān)鍵部分，全部業(yè)務(wù)運(yùn)轉(zhuǎn)都圍繞著信息而進(jìn)行，而信息保障、安全存放流轉(zhuǎn)都是信息保護(hù)所關(guān)注重點(diǎn)；安全治理層面：為了保障信息安全，不能僅僅停留在單獨(dú)建設(shè)分散安全上，最終安全目標(biāo)是要實(shí)現(xiàn)安全治理，安全目標(biāo)則是為企業(yè)定制打造所需技術(shù)運(yùn)維、技術(shù)管理體系，幫助企業(yè)提升整體安全管理水平。規(guī)劃標(biāo)準(zhǔn)IT管理基礎(chǔ)、關(guān)鍵和重點(diǎn)內(nèi)容，應(yīng)該有對(duì)應(yīng)信息安全建設(shè)和保障內(nèi)容與之配套，所以以信息為關(guān)鍵IT管理視角，也一樣是當(dāng)前進(jìn)行信息安全規(guī)劃出發(fā)點(diǎn)。為此，我們規(guī)劃企業(yè)整體安全時(shí)候，應(yīng)遵照以下標(biāo)準(zhǔn)：整體規(guī)劃，應(yīng)對(duì)改變安全建設(shè)規(guī)劃要有相對(duì)完整和全方面框架結(jié)構(gòu)，能應(yīng)對(duì)當(dāng)前安全威脅改變趨勢(shì)。立足現(xiàn)有，提升能力在現(xiàn)有IT建設(shè)基礎(chǔ)上，完善安全基礎(chǔ)架構(gòu)建設(shè)，經(jīng)過優(yōu)化和調(diào)整挖掘潛力，提升整體安全保障能力。著眼信息，重點(diǎn)防范以安全治理為工作目標(biāo)，著重提升安全整體水平，對(duì)現(xiàn)在企業(yè)和主管部門關(guān)注，以及法律法規(guī)要求內(nèi)容進(jìn)行重點(diǎn)關(guān)注。安全基礎(chǔ)框架設(shè)計(jì)明確了此次規(guī)劃目標(biāo)，我們就能夠深入確立一個(gè)針對(duì)企業(yè)信息安全建設(shè)工作框架安全工作總體框架上述總體框架中，經(jīng)過基礎(chǔ)架構(gòu)安全、信息安全、安全治理三個(gè)層次工作內(nèi)容，來達(dá)成我們總體規(guī)劃目標(biāo)；經(jīng)過技術(shù)、管理、運(yùn)維三大支撐體系為支柱，實(shí)現(xiàn)企業(yè)在安全體系建設(shè)、法規(guī)遵從與落實(shí)、安全風(fēng)險(xiǎn)管控和安全高效管理四個(gè)信息安全主體目標(biāo)不停治理和改進(jìn)。早期規(guī)劃建設(shè)目標(biāo)建立信息安全管理體系建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人依照當(dāng)前信息安全問題制訂處理方案建立信息安全管理體系信息安全管理系統(tǒng)規(guī)范，詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）要求，指出實(shí)施組織需遵照某一風(fēng)險(xiǎn)評(píng)定來判定最適宜控制對(duì)象，并對(duì)自己需求采取適當(dāng)控制。下面將介紹應(yīng)該怎樣建立信息安全管理體系步驟，以下列圖所表示：

圖1建立信息安全管理體系步驟1)定義信息安全策略

信息安全策略是組織信息安全最高方針，需要依照內(nèi)各個(gè)部門實(shí)際情況，分別制訂不一樣信息安全策略。比如，開發(fā)部、數(shù)據(jù)部、系統(tǒng)都分別有一個(gè)信息安全策略，適適用于其部門內(nèi)全部員工。信息安全策略應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書面文件，發(fā)給內(nèi)全部組員。同時(shí)要對(duì)全部相關(guān)員工進(jìn)行信息安全策略培訓(xùn)，對(duì)信息安全負(fù)有特殊責(zé)任人員要進(jìn)行特殊培訓(xùn)，以使信息安全方針真正植根于內(nèi)全部員工腦海并落實(shí)到實(shí)際工作中。 在安全管理文檔制訂中，我們對(duì)以下文檔進(jìn)行了定義：《安全管理文檔--業(yè)務(wù)系統(tǒng)軟件安全技術(shù)標(biāo)準(zhǔn)》《安全管理文檔--網(wǎng)絡(luò)信息公布制度》《安全管理文檔--通用網(wǎng)絡(luò)服務(wù)安全標(biāo)準(zhǔn)》《安全管理文檔--網(wǎng)絡(luò)連接策略和標(biāo)準(zhǔn)》《安全管理文檔--郵件系統(tǒng)安全管理標(biāo)準(zhǔn)》《安全管理文檔--用戶單位用戶帳號(hào)和口令管理規(guī)程》《安全管理文檔--信息管理人員安全手冊(cè)》《安全管理文檔--用戶單位信息系統(tǒng)安全策略》《安全管理文檔--機(jī)房管理制度》《安全管理文檔--系統(tǒng)管理員手冊(cè)》《安全管理文檔--安全事件處理流程》《安全管理文檔--病毒防治管理要求》《安全管理文檔--網(wǎng)絡(luò)管理員手冊(cè)》《安全管理文檔--備份和恢復(fù)管理制度》(2)定義ISMS（信息安全管理系統(tǒng)）范圍ISMS（信息安全管理系統(tǒng)）范圍確定需要重點(diǎn)進(jìn)行信息安全管理領(lǐng)域，需要依照自己實(shí)際情況，在整個(gè)范圍內(nèi)、或者在個(gè)別部門或領(lǐng)域構(gòu)架ISMS。在本階段，應(yīng)將劃分成不一樣信息安全控制領(lǐng)域，以易于對(duì)有不一樣需求領(lǐng)域進(jìn)行適當(dāng)信息安全管理。(3)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)定信息安全風(fēng)險(xiǎn)評(píng)定復(fù)雜程度將取決于風(fēng)險(xiǎn)復(fù)雜程度和受保護(hù)資產(chǎn)敏感程度，所采取評(píng)定方法應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)保護(hù)需求相一致。風(fēng)險(xiǎn)評(píng)定主要對(duì)ISMS范圍內(nèi)信息資產(chǎn)進(jìn)行判定和估價(jià)，然后對(duì)信息資產(chǎn)面正確各種威脅和脆弱性進(jìn)行評(píng)定，同時(shí)對(duì)已存在或規(guī)劃安全管制方法進(jìn)行判定。風(fēng)險(xiǎn)評(píng)定主要依賴于信息和系統(tǒng)性質(zhì)、使用信息目標(biāo)、所采取系統(tǒng)環(huán)境等原因，在進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)定時(shí)，需要將直接后果和潛在后果一并考慮。(4)信息安全風(fēng)險(xiǎn)管理依照風(fēng)險(xiǎn)評(píng)定結(jié)果進(jìn)行對(duì)應(yīng)風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包含以下幾個(gè)方法：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取方法降低風(fēng)險(xiǎn)；防止風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很輕易防止，比如經(jīng)過采取不一樣技術(shù)、更改操作流程、采取簡(jiǎn)單技術(shù)方法等；轉(zhuǎn)嫁風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或防止、且被第三方（被轉(zhuǎn)嫁方）接收時(shí)才被采取。通慣用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)產(chǎn)生重大影響風(fēng)險(xiǎn)。接收風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和防止風(fēng)險(xiǎn)方法后，出于實(shí)際和經(jīng)濟(jì)方面原因，只要進(jìn)行運(yùn)行，就必定存在并必須接收風(fēng)險(xiǎn)。(5)確定管制目標(biāo)和選擇管制方法。

管制目標(biāo)確實(shí)定和管制方法選擇標(biāo)準(zhǔn)是費(fèi)用不超出風(fēng)險(xiǎn)所造成損失。因?yàn)樾畔踩且粋€(gè)動(dòng)態(tài)系統(tǒng)工程，應(yīng)實(shí)時(shí)對(duì)選擇管制目標(biāo)和管制方法加以校驗(yàn)和調(diào)整，以適應(yīng)改變了情況，使信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理保護(hù)。(6)準(zhǔn)備信息安全適用性申明。信息安全適用性申明統(tǒng)計(jì)了內(nèi)相關(guān)風(fēng)險(xiǎn)管制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取各種控制方法。信息安全適用性申明準(zhǔn)備，首先是為了向內(nèi)員工申明面對(duì)信息安全風(fēng)險(xiǎn)態(tài)度，在更大程度上則是為了向外界表明態(tài)度和作為，以表明已經(jīng)全方面、系統(tǒng)地審閱了其信息安全系統(tǒng)，并將全部有必要管制風(fēng)險(xiǎn)控制在能夠被接收范圍內(nèi)。建立安全管理組織當(dāng)前信息中心成立安全領(lǐng)導(dǎo)小組，負(fù)責(zé)制訂安全策略、落實(shí)信息安全責(zé)任，并下發(fā)到下面幾個(gè)部門。不過，這個(gè)組織結(jié)構(gòu)并沒有實(shí)施起來，實(shí)際上是各個(gè)部門信息安全策略和安全管理或者沒有實(shí)施，或者不全方面；而且相關(guān)信息安全責(zé)任也沒有明確定義。能夠說信息安全體系并沒有建立起來。所以，我們提議設(shè)置一個(gè)首席安全官來代替原來安全領(lǐng)導(dǎo)小組，負(fù)責(zé)對(duì)信息安全制訂總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全方法在執(zhí)行情況、設(shè)置各個(gè)部門信息安全責(zé)任人，落實(shí)信息安全責(zé)任。以下是各個(gè)責(zé)任人職責(zé)定義：ＣＳＯ：首席安全官負(fù)責(zé)對(duì)信息安全制訂總體安全策略，監(jiān)督和協(xié)調(diào)各項(xiàng)安全方法在執(zhí)行情況，并確定安全工作標(biāo)準(zhǔn)和主動(dòng)性，包含開發(fā)部、數(shù)據(jù)部、系統(tǒng)部等部門。系統(tǒng)運(yùn)維管理員：系統(tǒng)運(yùn)維部門管理人員對(duì)整個(gè)系統(tǒng)運(yùn)維部門進(jìn)行管理。系統(tǒng)管理員：系統(tǒng)權(quán)限管理員對(duì)全部系統(tǒng)進(jìn)行管理、建設(shè)、維護(hù)相關(guān)人員，需要有廣泛知識(shí)面，豐富理論和實(shí)際操作經(jīng)驗(yàn)。網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)設(shè)備管理員全部網(wǎng)絡(luò)設(shè)備、安全設(shè)備維護(hù)人員，需要有豐富理論和實(shí)際操作經(jīng)驗(yàn)。數(shù)據(jù)庫(kù)管理員：網(wǎng)絡(luò)設(shè)備管理員全部應(yīng)用數(shù)據(jù)庫(kù)管理和維護(hù)人員，需要有豐富理論和實(shí)際操作經(jīng)驗(yàn)。文檔管理員：資料管理員統(tǒng)計(jì)各類設(shè)備、系統(tǒng)操作，維護(hù)、整理相關(guān)文檔，以及日志備份等相關(guān)信息。機(jī)房管理員：設(shè)備物理安全保障員統(tǒng)計(jì)機(jī)房進(jìn)出相關(guān)統(tǒng)計(jì)，包含系統(tǒng)管理員、系統(tǒng)用戶以及文檔管理員相關(guān)統(tǒng)計(jì)；對(duì)計(jì)算機(jī)硬件進(jìn)行檢修、維護(hù)；對(duì)物理環(huán)境維護(hù)等。開發(fā)管理員：軟件安全保障員監(jiān)督軟件開發(fā)工作安全性方法實(shí)施情況，制訂軟件開發(fā)安全標(biāo)準(zhǔn)。安全應(yīng)急小組：安全事件緊急響應(yīng)小組應(yīng)急響應(yīng)中心組長(zhǎng)由系統(tǒng)運(yùn)維部主管擔(dān)任，組員包含：系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫(kù)管理員。中期規(guī)劃建設(shè)目標(biāo)依照當(dāng)前信息安全問題處理方案進(jìn)行安全實(shí)施，包含：建立基礎(chǔ)保障體系建立監(jiān)控審計(jì)體系建立應(yīng)急響應(yīng)體系建立災(zāi)難備份與恢復(fù)體系建立基礎(chǔ)保障體系經(jīng)過拓?fù)鋱D描述安全現(xiàn)實(shí)狀況。建立監(jiān)控審計(jì)體系建設(shè)電子政務(wù)審計(jì)監(jiān)控體系就是要建設(shè)完整責(zé)任認(rèn)定體系和健全授權(quán)管理體系，從技術(shù)上加強(qiáng)了電子政務(wù)安全管理，從而確保了電子政務(wù)安全性。一、審計(jì)監(jiān)控體系為電子政務(wù)建立了一個(gè)完整責(zé)任認(rèn)定體系1)在信任體系中對(duì)正當(dāng)操作行為責(zé)任認(rèn)定責(zé)任認(rèn)定體系設(shè)計(jì)定位就是全部操作者都是不可信任，這就決定了責(zé)任認(rèn)定在這里所處地位：起到完善信任體系中痕跡保留以及事后追查作用，是和身份認(rèn)證、授權(quán)管理并列確保網(wǎng)絡(luò)內(nèi)網(wǎng)安全三大主要方法。在信任體系中責(zé)任認(rèn)定，傳統(tǒng)伎倆是經(jīng)過查閱應(yīng)用程序操作日志、經(jīng)過調(diào)用數(shù)據(jù)庫(kù)操作日志、經(jīng)過審計(jì)其余設(shè)備操作日志來反應(yīng)正當(dāng)操作行為和非法行為責(zé)任認(rèn)定問題。這部分責(zé)任認(rèn)定體系是整個(gè)完整責(zé)任認(rèn)定體系中一部分。它不能處理全部責(zé)任認(rèn)定問題。相反地，因?yàn)楦鳟a(chǎn)品缺乏有效協(xié)調(diào)性，統(tǒng)計(jì)信息無法互通，所以在很大程度上，這部分分散、凌亂信息在工作中極難被有效使用，一直是整個(gè)信息安全建設(shè)中一個(gè)軟肋。2)對(duì)網(wǎng)絡(luò)中非法操作行為責(zé)任認(rèn)定對(duì)于非法操作責(zé)任認(rèn)定，現(xiàn)有伎倆是經(jīng)過審計(jì)監(jiān)管技術(shù)來實(shí)現(xiàn)責(zé)任認(rèn)定。因?yàn)檫@部分責(zé)任認(rèn)定針對(duì)性強(qiáng)，目標(biāo)明確，又有響應(yīng)實(shí)時(shí)、警告及時(shí)等特點(diǎn)，所以在電子政務(wù)建設(shè)中越來越被重視。它作用與審計(jì)機(jī)關(guān)在國(guó)家經(jīng)濟(jì)體系中審計(jì)行為有著非常類似共性--一樣是對(duì)非法操作行為進(jìn)行審計(jì)。所不一樣是，審計(jì)機(jī)關(guān)是對(duì)非法經(jīng)濟(jì)行為進(jìn)行審計(jì)，而信息安全強(qiáng)審計(jì)是對(duì)電子政務(wù)網(wǎng)絡(luò)中非法操作行為進(jìn)行審計(jì)。他作用已經(jīng)決定了它是責(zé)任認(rèn)定體系中最主要一個(gè)組成部分，對(duì)整個(gè)責(zé)任認(rèn)定體系起著決定性作用。3)以強(qiáng)審計(jì)為關(guān)鍵建立完整責(zé)任認(rèn)定體系要處理一個(gè)完整責(zé)任認(rèn)定體系，我們不但要考慮到對(duì)正當(dāng)操作行為責(zé)任認(rèn)定，更要考慮到對(duì)非法操作行為責(zé)任認(rèn)定。同時(shí)我們又要兼顧網(wǎng)絡(luò)中各個(gè)設(shè)備審計(jì)信息全方面搜集，以及對(duì)審計(jì)數(shù)據(jù)集中化管理以及分析。以強(qiáng)審計(jì)為關(guān)鍵責(zé)任認(rèn)定體系，我們經(jīng)過對(duì)網(wǎng)絡(luò)組成要素審計(jì)，經(jīng)過對(duì)應(yīng)用系統(tǒng)審計(jì)，經(jīng)過對(duì)安全產(chǎn)品審計(jì)，經(jīng)過對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)中全部資源審計(jì)。構(gòu)建了一個(gè)完整責(zé)任認(rèn)定體系。同時(shí)，因?yàn)閺?qiáng)審計(jì)系統(tǒng)強(qiáng)大審計(jì)分析功效，能夠及時(shí)有效反應(yīng)責(zé)任認(rèn)定數(shù)據(jù)。確保了責(zé)任認(rèn)定體系強(qiáng)有力、完整等特征。二、健全授權(quán)管理體系在授權(quán)管理中，對(duì)網(wǎng)絡(luò)資源授權(quán)管理是非常主要問題。不處理這個(gè)問題，就無法建立起完整授權(quán)管理體系。審計(jì)監(jiān)控體系從根本上對(duì)全網(wǎng)進(jìn)行授權(quán)監(jiān)督管理。主要有以下內(nèi)容：1)網(wǎng)絡(luò)連接授權(quán)管理必須確保全部連接入網(wǎng)絡(luò)計(jì)算機(jī)都是正當(dāng)；任何非法接入企圖都是能夠得到有效控制和管理；網(wǎng)絡(luò)內(nèi)各主機(jī)之間訪問和連接都是得到授權(quán)并能夠控制；全部能夠連入外網(wǎng)計(jì)算機(jī)訪問外網(wǎng)權(quán)限都是有限、受控和經(jīng)過授權(quán)。2)主機(jī)授權(quán)管理對(duì)網(wǎng)絡(luò)內(nèi)用戶使用光驅(qū)(含刻錄光驅(qū))、軟驅(qū)、USB口授以權(quán)限并統(tǒng)一輸入輸出通道，從而確保數(shù)據(jù)進(jìn)出安全性。對(duì)主機(jī)中主要文件資源使用實(shí)施嚴(yán)格授權(quán)管理。對(duì)于有統(tǒng)一出口網(wǎng)絡(luò)或者物理隔離于公網(wǎng)網(wǎng)絡(luò)經(jīng)過撥號(hào)上網(wǎng)(包含ADSL撥號(hào)、MODEM撥號(hào)、GPRS撥號(hào)、手機(jī)撥號(hào)等)方式存在很多安全隱患，必須嚴(yán)格授權(quán)與限制。3)數(shù)據(jù)庫(kù)授權(quán)管理對(duì)操作者向數(shù)據(jù)庫(kù)中字符、段訪問進(jìn)行授權(quán)。4)服務(wù)器授權(quán)管理對(duì)主要文件進(jìn)行授權(quán)管理；對(duì)終端訪問服務(wù)器進(jìn)行授權(quán)管理；5)對(duì)網(wǎng)絡(luò)打印機(jī)權(quán)限分配、控制與管理對(duì)網(wǎng)絡(luò)打印機(jī)進(jìn)行權(quán)限分配；對(duì)網(wǎng)絡(luò)打印機(jī)進(jìn)行訪問控制；經(jīng)過審計(jì)監(jiān)控體系完成對(duì)網(wǎng)絡(luò)資源授權(quán)管理既是構(gòu)建完善授權(quán)管理基礎(chǔ)設(shè)施主要組成部分，同時(shí)也是建立健全責(zé)任認(rèn)定體系必要前提。建立應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)體系建立主要有三個(gè)方面，成立安全應(yīng)急小組，制訂安全應(yīng)急預(yù)案，安全應(yīng)急過程文檔歸檔。安全應(yīng)急小組成立安全應(yīng)急小組，應(yīng)急響應(yīng)中心組長(zhǎng)由系統(tǒng)運(yùn)維部主管擔(dān)任，組員包含：系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫(kù)管理員。系統(tǒng)運(yùn)維系統(tǒng)運(yùn)維部門主管系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫(kù)管理員應(yīng)急響應(yīng)小組職能：對(duì)網(wǎng)絡(luò)安全問題能主動(dòng)預(yù)防、及時(shí)發(fā)覺、快速響應(yīng)、確保及時(shí)恢復(fù)。應(yīng)急響應(yīng)小組組員職責(zé)：組長(zhǎng)：協(xié)調(diào)應(yīng)急響應(yīng)小組其它組員工作，協(xié)調(diào)與其它部門接口關(guān)系，組織應(yīng)急計(jì)劃評(píng)審、組織各類安全問題交流等。系統(tǒng)管理員：操作系統(tǒng)和應(yīng)用系統(tǒng)備份與恢復(fù)，系統(tǒng)安全配置，系統(tǒng)層安全事件處理。網(wǎng)絡(luò)管理員：維護(hù)網(wǎng)絡(luò)正常運(yùn)行，網(wǎng)絡(luò)安全配置和維護(hù)，網(wǎng)絡(luò)層安全事件處理。數(shù)據(jù)庫(kù)管理員：數(shù)據(jù)庫(kù)備份與恢復(fù)，維護(hù)應(yīng)用系統(tǒng)數(shù)據(jù)，出現(xiàn)安全事故時(shí)配合系統(tǒng)管理員和網(wǎng)絡(luò)管理員處理安全事件以及恢復(fù)應(yīng)用系統(tǒng)數(shù)據(jù)。安全應(yīng)急預(yù)案制訂安全應(yīng)急預(yù)案過程：（1）預(yù)先定義深圳市各種安全事件經(jīng)過調(diào)研，預(yù)測(cè)可能會(huì)碰到安全事件，將其一一列出定義，并依照其相關(guān)性進(jìn)行分類，對(duì)每一類又按照其發(fā)作范圍和危害程度進(jìn)行分級(jí)。最終制作安全事件一覽表。1）常見安全事件列表：系統(tǒng)瓦解；用戶在奇怪時(shí)間和地點(diǎn)登錄；猜口令企圖；非授權(quán)用戶使用有特權(quán)服務(wù)；系統(tǒng)時(shí)鐘改變；系統(tǒng)不知原因重新開啟；活動(dòng)較少賬號(hào)突然活動(dòng)顯著增加；用大量改變號(hào)碼對(duì)用戶進(jìn)行呼叫；非編程人員利用編譯工具與開發(fā)工具；新或陌生文件；賬號(hào)改變，查明是否有入侵者；文件長(zhǎng)度或數(shù)據(jù)內(nèi)容發(fā)生改變；企圖寫系統(tǒng)，尤其是特權(quán)用戶行為；數(shù)據(jù)被修改或刪除；拒絕服務(wù)；系統(tǒng)性能嚴(yán)重下降，有奇怪進(jìn)程運(yùn)行并占用大量CPU處理時(shí)間；網(wǎng)絡(luò)性能嚴(yán)重下降，用戶反應(yīng)無法正常使用服務(wù)；發(fā)覺有些人在不停強(qiáng)行登錄系統(tǒng)；系統(tǒng)中出現(xiàn)奇怪新用戶帳號(hào)；管理員收到來自其它系統(tǒng)管理員警告信，指出系統(tǒng)可能被威脅等。2）常見安全事件類型：發(fā)覺后門軟件、間諜軟件；計(jì)算機(jī)病毒；程序化入侵；發(fā)覺入侵者；破壞和刪除文件；拒絕服務(wù)攻擊等。3）劃分安全事件級(jí)別?？疾榘踩录l(fā)作范圍：是否是多點(diǎn)事件；在一個(gè)點(diǎn)上有多少臺(tái)計(jì)算機(jī)被影響；檢驗(yàn)涉密信息是否被攻擊；事件入侵點(diǎn)在什么地方，確定攻擊來自方向；安全事件發(fā)生時(shí)間和連續(xù)時(shí)間；處理該安全事件需要什么資源等。考查安全事件危害性：是否造成了損失，確定損失大?。慌袛嘈畔⑹馨l(fā)生是否及其程度；判斷事件是否組成犯罪；分析安全事件采取手法；分析安全事件制造者類型；分析事件潛在危險(xiǎn)。（2） 為安全事件制訂應(yīng)急計(jì)劃（預(yù)案）對(duì)分類分級(jí)安全事件制訂應(yīng)急計(jì)劃，并給予評(píng)審。對(duì)不可預(yù)測(cè)安全事件，也要制訂通用應(yīng)急計(jì)劃。應(yīng)急計(jì)劃包含：a.安全事件序號(hào)、名稱、類別、級(jí)別b.安全事件處理目標(biāo)事件處理目標(biāo)是消除當(dāng)前安全事件造成威脅，防止和降低損失，健全和改進(jìn)信息系統(tǒng)安全方法。c.需要保護(hù)信息將信息劃分密級(jí)，通常分為五級(jí)：公開、內(nèi)部、秘密、機(jī)密、絕密。確定對(duì)哪類密級(jí)信息采取哪類保護(hù)方法。d.設(shè)計(jì)安全事件處理過程針對(duì)本安全事件，設(shè)計(jì)現(xiàn)場(chǎng)處理流程。e.設(shè)計(jì)安全事件處理驗(yàn)證方法設(shè)計(jì)驗(yàn)證安全事件是否排除方法。安全事件處理流程此次風(fēng)險(xiǎn)評(píng)定項(xiàng)目中已經(jīng)定義了安全事件處理流程，所以該流程參見《安全管理文檔—安全事件處理流程》安全應(yīng)急過程文檔安全事件處理完成，系統(tǒng)恢復(fù)正常運(yùn)行后，要對(duì)整個(gè)事故相關(guān)文檔進(jìn)行歸檔，總結(jié)經(jīng)驗(yàn)教訓(xùn)，并形成一個(gè)《安全事件調(diào)查研究匯報(bào)》。匯報(bào)中應(yīng)詳細(xì)描述整個(gè)事件經(jīng)過，統(tǒng)計(jì)緊急響應(yīng)事件起因、處理過程、提議改進(jìn)安全方案等。應(yīng)急響應(yīng)中心人員必須進(jìn)行事后調(diào)查，評(píng)定事件損失，調(diào)查事件原委，追究事件責(zé)任，編寫《安全事件調(diào)查研究匯報(bào)》。應(yīng)急響應(yīng)中心人員對(duì)照事件處理過程，發(fā)覺應(yīng)急計(jì)劃不足，完善應(yīng)急計(jì)劃。對(duì)事件原因進(jìn)行徹底分析，找到確切根源，制訂消除安全事件根源方法，確保同一安全事件不再發(fā)生。建立災(zāi)難備份與恢復(fù)體系政務(wù)內(nèi)網(wǎng)線路冗余經(jīng)過拓?fù)鋱D來表示建立冗余線路基本做法。服務(wù)器系統(tǒng)備份與恢復(fù)備份：系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫(kù)管理員和系統(tǒng)管理員應(yīng)向備份系統(tǒng)管理員提供備份需求，雙方協(xié)商備份策略，諸如備份范圍、備份時(shí)間、備份頻率、保留期限、備份拷貝數(shù)目等。備份系統(tǒng)管理員依照雙方協(xié)商形成備份需求書面文檔，在備份系統(tǒng)上建立對(duì)應(yīng)備份策略，并更新《備份信息匯總表》。在備份系統(tǒng)保護(hù)之下文件系統(tǒng)在做調(diào)整（諸如目錄名稱更換）或者增加、減小備份內(nèi)容時(shí)，應(yīng)該向備份系統(tǒng)管理員提交備份申請(qǐng)表，詳細(xì)描述調(diào)整內(nèi)容。備份系統(tǒng)管理員依照備份申請(qǐng)表要求，在備份系統(tǒng)上調(diào)整備份策略，并更新《備份信息匯總表》。完成備份策略調(diào)整工作后，查對(duì)備份申請(qǐng)表，并歸檔立案。對(duì)于一些先前不在備份策略保護(hù)內(nèi)數(shù)據(jù)，且需要暫時(shí)保護(hù)，系統(tǒng)管理員可向備份系統(tǒng)管理員提交備份申請(qǐng)表，詳細(xì)描述備份需求。備份系統(tǒng)管理員依照備份申請(qǐng)表要求，建立暫時(shí)備份策略對(duì)數(shù)據(jù)進(jìn)行備份。完成備份工作后，跟數(shù)據(jù)庫(kù)/系統(tǒng)管理員查對(duì)備份申請(qǐng)表，并歸檔立案。對(duì)于每日全備份數(shù)據(jù)，在磁帶中保留期限為兩個(gè)星期，過期后磁帶被覆蓋。對(duì)于每七天全備份，每個(gè)星期六或者星期日做一次全備份，備份數(shù)據(jù)保留時(shí)間為三個(gè)月，下一個(gè)星期一、星期二將每七天備份全部磁帶遷移到帶庫(kù)外，異地存放，確保機(jī)房發(fā)生災(zāi)難后，數(shù)據(jù)丟失不超出一個(gè)星期。對(duì)于每個(gè)月全備份，備份數(shù)據(jù)保留時(shí)間為六個(gè)月，做兩份磁帶拷貝，其中一份磁帶留在當(dāng)?shù)?，另外一份磁帶異地存放。在備份策略發(fā)生更變時(shí)，應(yīng)該對(duì)應(yīng)更新《備份信息匯總表》文檔，保持該文檔內(nèi)容與備份系統(tǒng)內(nèi)策略內(nèi)容同時(shí)?；謴?fù)：相關(guān)人員在需要恢復(fù)文件系統(tǒng)類型數(shù)據(jù)時(shí)，應(yīng)該向備份系統(tǒng)管理員提交恢復(fù)申請(qǐng)表，描述需要恢復(fù)數(shù)據(jù)所在主機(jī)、數(shù)據(jù)所在路徑、數(shù)據(jù)大約備份時(shí)間、要求恢復(fù)目標(biāo)地目錄路徑等。備份系統(tǒng)管理員依照恢復(fù)申請(qǐng)表要求，查詢備份系統(tǒng)進(jìn)行恢復(fù)。完成恢復(fù)工作后，通知相關(guān)人員及查對(duì)恢復(fù)申請(qǐng)表，并歸檔立案。數(shù)據(jù)庫(kù)系統(tǒng)備份與恢復(fù)備份：系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫(kù)管理員和系統(tǒng)管理員應(yīng)向備份系統(tǒng)管理員提供備份需求，雙方協(xié)商備份策略，諸如備份范圍、備份時(shí)間、備份頻度、保留期限、備份拷貝數(shù)目等。備份系統(tǒng)管理員依照雙方協(xié)商形成備份需求書面文檔，在備份系統(tǒng)上建立對(duì)應(yīng)備份策略，并更新《備份信息匯總表》。在備份系統(tǒng)保護(hù)之下文件系統(tǒng)在做調(diào)整（諸如目錄名稱更