企业IT信息安全规划

安全技术
人员录用 应规范人员录用过程，对被录用人员的身份、背景和 专业资格等进行审查，对其所具有的技术技能进行考 核 应与从事关键岗位的人员签署保密协议 人员离岗 应规范人员离岗过程，及时终止离岗员工的所有访问 权限 应取回各种身份证件、钥匙、徽章等以及机构提供的 软硬件设备 应办理严格的调离手续 人员考核 应定期对各个岗位的人员进行安全技能及安全认知的 考核 安全意识教育和培训 应对各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训 应告知人员相关的安全责任和惩戒措施，并对违反违 背安全策略和规定的人员进行惩戒 应制定安全教育和培训计划，对信息安全基础知识、 岗位操作规程等进行培训 外部人员访问管理 应确保在外部人员访问受控区域前得到授权或审批， 批准后由专人全程陪同或监督，并登记备案

安全管理的多人负责原则、任期有限原则 多人负责原则：


出于相互监督和相互备份的考虑，如只有单人负责， 则若发生安全问题时此人不在岗就不能处理，或者他 本人有安全问题时，很难察觉。 出于监督的目的，负责系统安全和系统管理的人员要 有一定的轮换制度，以防止由单人长期负责一个系统 的安全而造成的漏洞。
沟通和合作 应加强各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通 与保持合作单位、公安机关、电信公司的合作与沟通 审核和检查 安全管理员应负责定期进行安全检查，检查内容包括 系统日常运行、系统漏洞和数据备份等情况
CE v6.0
13
安全管理
信息安全目标体系-集团人员安全管理
安全管理制度
• 管理制度 • 制定和发布 • 评审和修订
安全管理
安全技术
安全管理机构
• 岗位设置 • 人员配备 • 授权和审批 • 沟通和合作 • 审核和检查
人员安全管理
• 人员录用 • 人员离岗 • 人员考核 • 安全意识教育和 培训 • 外部人员访问管 理
系统建设管理
• 系统定级 • 安全方案设计 • 产品采购和使用 • 自行软件开发 • 外包软件开发 • 工程实施 • 测试验收 • 系统交付 • 系统备案 • 等级测试 • 安全服务商选择
信息中心对XX网络安全接入与资源 访问建立了明确的审批流程。
沟通和合作
目前信息安全工作仅限于信息人员 内部，缺乏与其他业务部门的合作 与沟通。
审核和检查
定期进行安全检查，检查内容包括系统日常运 行、系统漏洞和数据备份等情况。
XX未制定信息安全内部审计、管理 评审及有效性度量有关制度，未成 立安全内部审核小组。
人员配备
目前相关管理人员配置不够，部分 岗位无专职人员。
授权和审批
应根据各个部门和岗位的职责明确授权审批部门 及批准人，对系统投入运行、网络系统接入和重 要资源的访问等关键活动进行审批； 应针对关 键活动建立审批流程，并由批准人签字确认。 应加强各类管理人员之间、组织内部机构之间以 及信息安全职能部门内部的合作与沟通。
非常薄弱 比较薄弱 一般 较好 非常好
CE v6.0
5
信息安全现状评估——安全管理
差距概述
现状总体评价：XX已经编制信息安全管理规范，并已于2009年启动推广；XX信息系统建设和运维的安 全管理力度相对薄弱；安全管理人员配置不够；相关流程和制度的执行有待改善。
主要存在的问题：
• 目前XX内部已建立专职的信息安全组织和人员 ，但从事信息安全相关工作人员的信息安全从 业资质认证的覆盖比例不够。 • XX信息系统建设和运维的安全管理力度相对薄 弱；安全管理人员配置不够，相关流程和制度 的执行有待改善。 • 信息安全内部审计、管理评审及有效性度量等 有关制度需进行完善。
初步改进建议： • 进一步提高从事信息安全相关工作人员的信息 安全从业资质认证的覆盖比例。 • 进一步加强信息系统相关安全管理人员配置， 按照相关岗位要求配置专人进行管理。 • 尽快完善相关管理制度。
CE v6.0
6
信息安全现状评估——安全技术
差距概述 • 现状总体评价：通过实施第一期SOC平台对集团总部已经部署的所有安全设施进行集中管控。后续将 逐步推进SOC平台到各下属公司，通过在各下属公司分节点部署数据采集引擎的方法，将节点数据逐 步汇聚到集团SOC平台中。对关键系统实施灾难恢复方案，备份方式主要采取数据异地容灾备份。 XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。 主要存在的问题： • XXSOC平台在应用过程中缺乏专人进行系统的 运行、维护以及系统相关问题的管理。
目录

XX集团信息化蓝图架构 信息安全规划


信息安全目标框架及设计目标
信息安全目标体系 XX容灾体系
CE v6.0
0
信息化蓝图分类之（五）IT安全
信息化建设目标
IT治理
IT组织 机构
应用系统
决策类
IT安全
运营类
IT人员 支持类 专业类 IT流程和 制度
信息安全 管理
企业服务平台
业务流程管理（BPM） IT运维 数据中心 基础架构 企业服务总线（ESB）
安全管理
•XX信息系统建设和运维的安全管理力度相对薄弱。 •安全管理人员配置不够，相关流程和制度的执行有待改善。 •XX的信息安全内部审计、管理评审及有效性度量等方面有待 加强。 •通过第一期SOC平台对集团总部的所有安全设施进行集中管 控。 •后续逐步推进SOC平台到各下属公司，通过在各下属公司分 节点部署数据采集引擎的方法，将节点数据逐步汇聚到集团 SOC平台中。 •需进一步提高从事信息安全相关工作人员的信息安全从业资 质认证的覆盖比例。 •需进一步加强信息安全系统建设和运维的安全管理力度，相 关安全管理人员按照相关要求尽快配置到位。
来自百度文库
系统的操作和系统的开发相分离。这 样系统的开发者即使知道系统有那些 安全漏洞也没有机会利用； 机密资料的接受和传送相分离。这样 任何一方都无法对资料进行篡改； 安全管理和系统管理相分离。这样可 使制定安全措施的人并不能亲自实施 这些安全措施而对其起到制约的作 用； 系统操作和备份管理相分离。结合日 志管理，以实现对数据处理过程的监 督； 除要符合中国的安全规范外，还要符 合国际的规范，如ISO27001、 ISO17799等。邮件系统要避免出现 列入黑名单的情况。
初步改进建议：
• 进一步提高从事信息安全相关工作人员的信息安 全从业资质认证的覆盖比例。 • 进一步加强信息安全系统建设和运维的安全管理 力度，相关安全管理人员按照相关要求尽快配置 到位。
CE v6.0
7
XX信息化安全的现状评价总结
名称 内容
•XX已编制信息安全管理规范，并于2009年启动推广。
评估分数
CE v6.0
10
目录

XX集团信息化蓝图架构 信息安全规划


信息安全目标框架及设计目标
信息安全目标体系 XX容灾体系
CE v6.0
11
安全管理
信息安全目标体系-XX安全管理制度
安全技术
管理制度
制定信息安全工作的总体方针和安全策略，说明集团 安全工作的总体目标、范围、原则和安全框架等 应对安全管理活动中重要的管理内容建立安全管理制 度 应对安全管理人员或操作人员执行的重要管理操作建 立操作规程
数据层面安全 控制
2
信息安全管理对象与原则介绍
安全管理对象

安全管理的职责分离原则
对于一些涉及敏感数据处理的计算机 系统安全管理而言，以下工作应分开 进行：

安全管理的对象是整个系统而不是系统中的某个或某些 元素。系统的所有构成要素都是管理的对象，从系统内 部看，安全管理涉及计算机、网络、操作、人事和信息 资源；从外部环境看，安全管理涉及法律、道德、文化 传统和社会制度等方面的内容
制定和发布
应指定或授权专门的部门或人员负责安全管理制度的 制定 应组织相关人员对制定的安全管理制度进行论证和审 定 应将安全管理制度以某种方式发布到相关人员手中
评审和修订
应定期对安全管理制度进行评审，对存在不足或需要 改进的安全管理制度进行修订
CE v6.0
12
安全管理
信息安全目标体系-XX安全管理机构
信息安全 技术
基础设施平台
安全与管理 网络与链路 桌面终端
CE v6.0
1
XX集团信息安全体系框架及设计目标
基于XX集团信息化安全的现状和设计原则，提出信息安全未来建设目标
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
安全管理
•对关键的安全技术平台防病毒、防 火墙、入侵检测系统实现，统一的安 全产品选型、统一的安全产品部署、 统一的安全策略发布 •统一的内部基础网络规划，对不同 安全要求的内网接入进行访问控制管 理 •建设满足业务需求的信息系统灾难 恢复能力 物理层面安全 控制
CE v6.0
•制定和实施符合国家《信息系统安 全等级保护基本要求》以及XX集团 信息系统现状的安全管理策略和规 范 •在信息中心设置信息安全岗位，并 完善职责规范 •制定明确的信息安全策略，定期进 行安全风险评估和审核，并制定持 续改进计划
安全技术
网络层面安全 控制
主机层面安全 控制
应用层面安全 控制
CE v6.0
评测
评估风险

安全管理
实施控制

决策支持

CE v6.0
4
为保障信息安全制度的执行和落实，必需明确信息安全职能，建立相应的信息安 全组织
对标国家《信息系统安全等级保护基本要求》，当前XX基本建立相应信息安全的组织和职能
安全组织职能 岗位设置 要求描述 应设立安全主管、安全管理各个方面的负责人岗 位，并定义各负责人的职责；应设立系统管理 员、网络管理员、安全管理员等岗位，并定义各 个工作岗位的职责。 应配备一定数量的系统管理员、网络管理员、安 全管理员等；安全管理员不能兼任网络管理员、 系统管理员、数据库管理员等。 现状 设置了明确的信息安全岗位职责， 但未设专人进行日常的运行监管。
系统运维管理
• 环境管理 • 资产管理 • 介质管理 • 设备管理 • 监控管理和安全中 心 • 网络安全管理 • 系统安全管理 • 恶意代码防范 • 密码管理 • 变更管理 • 备份与恢复管理 • 安全事件处置 • 应急预案管理
国资委的央企信息化评价，重点考察信息安全参考的标准和认证情况，信息技术安全机 制建设情况，采取的安全措施信息化安全事故情况 ，与此框架相吻合
非常薄弱 比较薄弱 一般 较好 非常好
安全技术
CE v6.0
8
XX集团信息安全设计原则
外部标准
方案的设计要满足国资委信息化评测标准 （安全部分）、公安部信息安全规定、电 监会的信息安全要求、XX集团公司的安全规范等信息化安全方面的规定或标准
公司需求
信息化安全方案的制定应充分考虑XX集团信息化应用的现状及发展方向，与应用 系统分布及基础架构相匹配的安全方案才能保障信息化的安全可靠运行

任期有限原则：

CE v6.0
3
信息安全管理是一个持续性的闭环过程
信息安全管理 信息安全管理可定义为具有四个主要阶段的持 续过程：

评估风险：识别组织的风险并区分其严 重程度。 这些风险可能与特定的IT系统 和资产相关或无关； 决策支持：根据定义的成本-收益分析 过程确定并选择控制解决方案； 实施控制：部署并操作全面的控制解决 方案以降低信息安全风险； 衡量评测：确定并报告已部署的控制措 施的有效性，以将风险管理至可接受的 级别。
在方案设计时，需要充分考虑实施中的风险，以及实施的周期和成本，对潜在的风 险必须做充分的分析并给出相应的解决对策
可实施性
覆盖度
全覆盖的安全体系，对象范围覆盖最终用户、服务器端以及信息网络，在企业内部做 到信息安全死角为零
可管理性
安全平台设计应充分考虑到后期运营层面与管理层面的平衡性
CE v6.0
9
国家通过出台《信息系统安全等级保护基本要求》，明确了信息安 全管理的规范框架
安全技术
岗位设置 应设立专职的安全主管、安全管理各个方面的负责人 岗位，并定义各负责人的职责 应设立系统管理员、网络管理员、安全管理员等岗 位，并定义各个工作岗位的职责 人员配备 应配备一定数量的系统管理员、网络管理员、安全管 理员等 安全管理员不能兼任网络管理员、系统管理员、数据 库管理员等 授权和审批 应根据各个部门和岗位的职责明确授权审批部门及批 准人，对系统投入运行、网络系统接入和重要资源的 访问等关键活动进行审批 应针对关键活动建立审批流程，并由批准人签字确认