搜索
CEv6.00目录XX集团信息化蓝图架构信息安全规划信息安全目标框架及设计目标信息安全目标体系XX容灾体系CEv6.01应用系统信息化建设目标IT安全信息安全管理信息安全技术支持类运营类决策类专业类信息化蓝图分类之(五)IT安全IT治理IT组织机构IT人员IT流程和制度IT运维企业服务平台企业服务总线(ESB)业务流程管理(BPM)基础设施平台数据中心基础架构安全与管理网络与链路桌面终端CEv6.02XX集团信息安全体系框架及设计目标基于XX集团信息化安全的现状和设计原则,提出信息安全未来建设目标•制定和实施符合国家《信息系统安全等级保护基本要求》以及XX集团信息系统现状的安全管理策略和规范•在信息中心设置信息安全岗位,并完善职责规范•制定明确的信息安全策略,定期进行安全风险评估和审核,并制定持续改进计划•对关键的安全技术平台防病毒、防火墙、入侵检测系统实现,统一的安全产品选型、统一的安全产品部署、统一的安全策略发布•统一的内部基础网络规划,对不同安全要求的内网接入进行访问控制管理•建设满足业务需求的信息系统灾难恢复能力安全技术安全管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理层面安全控制网络层面安全控制主机层面安全控制应用层面安全控制数据层面安全控制CEv6.03信息安全管理对象与原则介绍安全管理的职责分离原则对于一些涉及敏感数据处理的计算机系统安全管理而言,以下工作应分开进行:系统的操作和系统的开发相分离。这样系统的开发者即使知道系统有那些安全漏洞也没有机会利用;机密资料的接受和传送相分离。这样任何一方都无法对资料进行篡改;安全管理和系统管理相分离。这样可使制定安全措施的人并不能亲自实施这些安全措施而对其起到制约的作用;系统操作和备份管理相分离。结合日志管理,以实现对数据处理过程的监督;除要符合中国的安全规范外,还要符合国际的规范,如ISO27001、ISO17799等。邮件系统要避免出现列入黑名单的情况。安全管理的多人负责原则、任期有限原则多人负责原则:出于相互监督和相互备份的考虑,如只有单人负责,则若发生安全问题时此人不在岗就不能处理,或者他本人有安全问题时,很难察觉。任期有限原则:出于监督的目的,负责系统安全和系统管理的人员要有一定的轮换制度,以防止由单人长期负责一个系统的安全而造成的漏洞。安全管理对象安全管理的对象是整个系统而不是系统中的某个或某些元素。系统的所有构成要素都是管理的对象,从系统内部看,安全管理涉及计算机、网络、操作、人事和信息资源;从外部环境看,安全管理涉及法律、道德、文化传统和社会制度等方面的内容CEv6.04信息安全管理是一个持续性的闭环过程评估风险决策支持实施控制评测安全管理信息安全管理信息安全管理可定义为具有四个主要阶段的持续过程:评估风险:识别组织的风险并区分其严重程度。这些风险可能与特定的IT系统和资产相关或无关;决策支持:根据定义的成本-收益分析过程确定并选择控制解决方案;实施控制:部署并操作全面的控制解决方案以降低信息安全风险;衡量评测:确定并报告已部署的控制措施的有效性,以将风险管理至可接受的级别。CEv6.05为保障信息安全制度的执行和落实,必需明确信息安全职能,建立相应的信息安全组织对标国家《信息系统安全等级保护基本要求》,当前XX基本建立相应信息安全的组织和职能应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。岗位设置人员配备授权和审批沟通和合作审核和检查应配备一定数量的系统管理员、网络管理员、安全管理员等;安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;应针对关键活动建立审批流程,并由批准人签字确认。应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。现状设置了明确的信息安全岗位职责,但未设专人进行日常的运行监管。目前相关管理人员配置不够,部分岗位无专职人员。信息中心对XX网络安全接入与资源访问建立了明确的审批流程。目前信息安全工作仅限于信息人员内部,缺乏与其他业务部门的合作与沟通。XX未制定信息安全内部审计、管理评审及有效性度量有关制度,未成立安全内部审核小组。安全组织职能要求描述非常薄弱比较薄弱较好非常好一般CEv6.06信息安全现状评估——安全管理差距概述现状总体评价:XX已经编制信息安全管理规范,并已于2009年启动推广;XX信息系统建设和运维的安全管理力度相对薄弱;安全管理人员配置不够;相关流程和制度的执行有待改善。主要存在的问题:初步改进建议:•目前XX内部已建立专职的信息安全组织和人员,但从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例不够。•XX信息系统建设和运维的安全管理力度相对薄弱;安全管理人员配置不够,相关流程和制度的执行有待改善。•信息安全内部审计、管理评审及有效性度量等有关制度需进行完善。•进一步提高从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例。•进一步加强信息系统相关安全管理人员配置,按照相关岗位要求配置专人进行管理。•尽快完善相关管理制度。CEv6.07信息安全现状评估——安全技术差距概述•现状总体评价:通过实施第一期SOC平台对集团总部已经部署的所有安全设施进行集中管控。后续将逐步推进SOC平台到各下属公司,通过在各下属公司分节点部署数据采集引擎的方法,将节点数据逐步汇聚到集团SOC平台中。对关键系统实施灾难恢复方案,备份方式主要采取数据异地容灾备份。XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。主要存在的问题:初步改进建议:•XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。•进一步提高从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例。•进一步加强信息安全系统建设和运维的安全管理力度,相关安全管理人员按照相关要求尽快配置到位。CEv6.08XX信息化安全的现状评价总结非常薄弱比较薄弱较好非常好一般名称内容评估分数安全管理•XX已编制信息安全管理规范,并于2009年启动推广。•XX信息系统建设和运维的安全管理力度相对薄弱。•安全管理人员配置不够,相关流程和制度的执行有待改善。•XX的信息安全内部审计、管理评审及有效性度量等方面有待加强。安全技术•通过第一期SOC平台对集团总部的所有安全设施进行集中管控。•后续逐步推进SOC平台到各下属公司,通过在各下属公司分节点部署数据采集引擎的方法,将节点数据逐步汇聚到集团SOC平台中。•需进一步提高从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例。•需进一步加强信息安全系统建设和运维的安全管理力度,相关安全管理人员按照相关要求尽快配置到位。CEv6.09XX集团信息安全设计原则外部标准公司需求可实施性覆盖度方案的设计要满足国资委信息化评测标准(安全部分)、公安部信息安全规定、电监会的信息安全要求、XX集团公司的安全规范等信息化安全方面的规定或标准信息化安全方案的制定应充分考虑XX集团信息化应用的现状及发展方向,与应用系统分布及基础架构相匹配的安全方案才能保障信息化的安全可靠运行在方案设计时,需要充分考虑实施中的风险,以及实施的周期和成本,对潜在的风险必须做充分的分析并给出相应的解决对策全覆盖的安全体系,对象范围覆盖最终用户、服务器端以及信息网络,在企业内部做到信息安全死角为零可管理性安全平台设计应充分考虑到后期运营层面与管理层面的平衡性CEv6.010国家通过出台《信息系统安全等级保护基本要求》,明确了信息安全管理的规范框架•管理制度•制定和发布•评审和修订•岗位设置•人员配备•授权和审批•沟通和合作•审核和检查•人员录用•人员离岗•人员考核•安全意识教育和培训•外部人员访问管理•系统定级•安全方案设计•产品采购和使用•自行软件开发•外包软件开发•工程实施•测试验收•系统交付•系统备案•等级测试•安全服务商选择•环境管理•资产管理•介质管理•设备管理•监控管理和安全中心•网络安全管理•系统安全管理•恶意代码防范•密码管理•变更管理•备份与恢复管理•安全事件处置•应急预案管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全技术安全管理国资委的央企信息化评价,重点考察信息安全参考的标准和认证情况,信息技术安全机制建设情况,采取的安全措施信息化安全事故情况,与此框架相吻合CEv6.011目录XX集团信息化蓝图架构信息安全规划信息安全目标框架及设计目标信息安全目标体系XX容灾体系CEv6.012管理制度制定信息安全工作的总体方针和安全策略,说明集团安全工作的总体目标、范围、原则和安全框架等应对安全管理活动中重要的管理内容建立安全管理制度应对安全管理人员或操作人员执行的重要管理操作建立操作规程制定和发布应指定或授权专门的部门或人员负责安全管理制度的制定应组织相关人员对制定的安全管理制度进行论证和审定应将安全管理制度以某种方式发布到相关人员手中评审和修订应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订信息安全目标体系-XX安全管理制度安全技术安全管理CEv6.013沟通和合作应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通与保持合作单位、公安机关、电信公司的合作与沟通审核和检查安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况岗位设置应设立专职的安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责人员配备应配备一定数量的系统管理员、网络管理员、安全管理员等安全管理员不能兼任网络管理员、系统管理员、数据库管理员等授权和审批应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批应针对关键活动建立审批流程,并由批准人签字确认信息安全目标体系-XX安全管理机构安全技术安全管理CEv6.014安全意识教育和培训应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训外部人员访问管理应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案人员录用应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核应与从事关键岗位的人员签署保密协议人员离岗应规范人员离岗过程,及时终止离岗员工的所有访问权限应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备应办理严格的调离手续人员考核应定期对各个岗位的人员进行安全技能及安全认知的考核信息安全目标体系-集团人员安全管理安全技术安全管理CEv6.015系统交付应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点应对负责系统运行维护的技术人员进行相应的技能培训应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档安全服务商选择应确保安全服务商的选择符合国家的有关规定应与选定的安全服务商签订与安全相关的协议,明确约定相关责任应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同外包软件开发应根据开发要求检测软件质量应确保提供软件设计的相关文档和使用指南应在软件安装之前检测软件包中可能存在的恶意代码应要求开发单位提供软件源代码,并审查软件中可能存在的后门测试验收应对系统进行安全性测试验收在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过