信息系统安全规划方案

信息系统安全规划建议书

目录

1........................................................................................................................................................ 总论

3

1.1.项目背景 (3)

1.2.项目目标 (3)

1.3.依据及原则 (3)

1.3.1.原则 (3)

1.3.2.依据 (4)

1.4.项目范围 (5)

2.总体需求 (6)

3.项目建议 (6)

3.1.信息系统安全现状评估与分析 (6)

3.1.1.评估目的 (6)

3.1.2.评估内容及方法 (7)

3.1.3.实施过程 (11)

3.2.信息系统安全建设规划方案设计 (17)

3.2.1.设计目标 (17)

3.2.2.主要工作 (18)

3.2.3.所需资源 (20)

3.2.4.阶段成果 (20)

4.附录 (20)

4.1. 项目实施内容列表及报价清单 (20)

1.总论

1.1.项目背景

******************（以下简称“********”）隶属***********，主要工作职责是根据…………………………………………………………的授权，负责………………；负责…………………………等工作。

********作为*********部门，在印前，需要对………………………………。在整个…………业务流程中信息系统起了关键的作用。

1.2.项目目标

以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导，结合********信息系统安全现状及未来发展趋势，建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估，积极采取各种安全管理和安全技术防护措施，落实信息安全等级保护相关要求，提高信息系统安全防护能力。

从技术与管理上提高********网络与信息系统安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止企业信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信息系统安全稳定运行，确保业务数据安全。

1.3.依据及原则

1.3.1.原则

以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务、信息系统，在方案设计中遵循以下的原则：

➢适度安全原则

从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，同时综合成本，针对信息系统的实际风险，提供对应的保护强度，并按照保

护强度进行安全防护系统的设计和建设，从而有效控制成本。

➢重点保护原则

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

➢技术管理并重原则

把技术措施和管理措施有效结合起来，加强********信息系统的整体安全性。

➢标准性原则

信息安全建设是非常复杂的过程，在规划、设计信息安全系统时，单纯依赖经验是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析。

同时，在规划、设计********信息安全保护体系时应考虑与其他标准的符合性，在方案中的技术部分将参考IATF安全体系框架进行设计，在管理方面同时参考27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性。

➢动态调整原则

信息安全问题不是静态的，它总是随着********的安全组织策略、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施。

➢成熟性原则

本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的。

➢科学性原则

在对********信息系统进行安全评估的基础上，对其面临的威胁、弱点和风险进行了客观评价，因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决********信息网络中存在的安全问题，满足特性需求。

1.3.

2.依据

1.3.

2.1.政策文件

➢关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知（中

办[2003]27号文件）

➢关于印发《信息安全等级保护工作的实施意见》的通知（公通字[2004]66号文件）

➢关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号文件）➢《信息安全等级保护管理办法》（公通字[2007]43号）

➢《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）

➢《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)

1.3.

2.2.标准规范

➢计算机信息系统安全保护等级划分准则（GB/T 17859-1999）

➢信息安全技术信息系统安全等级保护实施指南

➢信息安全技术信息系统安全保护等级定级指南（GB/T 22240-2008）

➢信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008）

➢信息安全技术信息系统安全等级保护测评要求

➢信息安全技术信息系统安全等级保护测评过程指南

➢信息安全技术信息系统等级保护安全设计技术要求

1.4.项目范围

按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。依据《信息系统安全等级保护基本要求》（以下简称《基本要求》），落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

根据********现状和********规划，确定本项目主要建设内容包括：网络结构调整、物理安全建设、主机及应用系统安全建设、数据存储与备份安全建设、终端安全建设、运行及优化等。