学校信息系统安全管理方案设计.docxVIP

学校信息系统安全管理方案设计 天融信安全顾问根据XXX现有的组织机构框架，借鉴已有的信息安全管理制度，并依据其他类似大型项目的丰富经验，采用先进成熟的理念，帮助明确信息安全工作在整个信息化工作中的地位、目标、原则以及策略，并协助XXX梳理安全组织架构和安全职责、完善安全策略，真正形成一套切实可行，具有指导意义且符合实际需求的信息安全管理体系，包括安全策略、安全标准规范、安全管理制度和日常管理操作规程等。 建立安全管理制度及策略体系的目的 帮助XXX对信息安全管理制度体系进行重新规划，重点是确定信息安全工作要求和指标的总体方针，完善信息安全管理规章制度、办法和操作流程，制定安全操作的技术标准和规范等，加强安全管理制度的执行力度，约束和指导信息系统各层管理和使用人员的操作行为，以确保整个网络系统的安全管理处于较高的水平。 设计原则 1）参考国家等级保护要求。 2）安全策略重点保护物理和环境安全、信息资产分类管理、变更管理、业务连续管理、安全事故管理、审查评估。 3）没有绝对的安全。信息安全工作应该以风险管理为基础，在安全、效率和成本之间均衡考虑。 4）应参照业界的做法，充分考虑到行业标准以及国内的管理和法制环境来XXX。 5）对保密信息的访问应遵循工作相关性原则、最小授权原则和审批、受控原则。 安全方针 信息安全方针应由XXX信息安全主管领导组织制定、下达和指导执行。 根据设计原则和业务系统的特征制定总体安全方针： 1、保障业务系统安全，就是业务系统不受不受黑客、非授权人员等攻击、渗透和篡改，保证可靠、及时的发布XXX为公众和其他国家机关提供的服务。确保业务系统在IT中实现的过程中的安全保障，涉及到业务系统业务管理安全、业务操作完整性、业务数据安全性等等。 2、保障系统安全，也就是保障整个IT系统的安全性。 3、满足法律法规要求。 信息安全策略框架 总体策略 在总体安全方针的指导下，制订四个层面的总体安全策略： 第一、业务安全策略。建立和制定科学、合理的内部控制机制和业务流程。 XXX业务管理制度参照了行业标准和国家法律法规，明确了XXX相关业务的管理控制要求。业务安全总体策略就是在此基础之上制定更加科学合理的内部控制机制。在明确内部控制要求和建立内部控制机制后，需要制定业务的流程，保障业务的顺利进行，这需要涉及到业务管理安全、业务事务完整性等方面。该部分由各业务部门加以落实。 第二、应用系统安全策略。保证内部控制制度、流程的实现；保证业务信息和数据整个生命周期的安全。 首先是通过应用系统的实现将制定的内部控制制度进行落实，将业务流程加以实现，同时要保证该过程确实将这些要求落实。其次，保证实现后的业务系统能够对业务处理的信息和数据在整个生命周期中的保密性、完整性、抗抵赖性。保障XXX重要信息的真实性和完整性。该部分由各业务部门和信息化部门共同加以落实。 第三、基础设施安全策略。保证数据库、操作系统、业务中间件、网络等支撑业务应用的IT基础设施安全。 业务和应用系统不是孤立存在的，是在IT环境中运行的，所以IT支撑环境的安全直接影响着整个业务的安全性。IT支撑环境安全策略就是保证数据库、操作系统、业务中间件、网络等支撑业务应用的IT基础设施安全。该部分由信息化部门加以落实。 第四、运行维护安全策略。监控业务与系统的有效运行。 前面三个方面只是强调了如何实现整个业务系统，如何保证业务系统的安全性，但是如何保证业务系统确实按照内控和既定业务流程在正常的运行，如何建立运行过程安全性的评价机制。这些需通过运行管理安全来实现。运行管理安全策略是：监控业务和系统的有效运行。该部分由信息化部门加以落实。 服务交付物 安全管理咨询，不仅限于如下安全管理制度： 层次 分类 编制内容 备注 框架性安全管理制度 安全体系 安全管理体系框架 XXX安全管理体系框架 安全技术体系框架 XXX安全技术体系框架 安全策略 信息安全策略 XXX信息安全策略 信息安全风险管理规范 XXX信息安全风险管理 信息安全检查规范 XXX信息安全检查 具体安全管理制度 组织框架 安全管理机构 XXX信息安全管理机构 岗位职责 XXX信息安全岗岗位职责 人员管理 人员考核 XXX信息安全岗岗位人员培训考核 外部人员访问管理 XXX第三方人员管理 系统XXX管理 系统定级制度 XXX信息系统定级与等级保护管理 安全方案设计 XXX系统安全规划工作计划 工程实施 XXX安全项目和工程实施管理 系统运维管理 日常运维 XXX信息系统日常运行维护管理 环境管理 XXX机房安全管理 XXX办公环境信息安全管理 资产管理 XXX资产安全管理 介质管理 XXX介质管理 设备管理 XXX设备安全管理 监控管理和安全管理中心 XXX日志审计 网络安全管理 XXX网络安全管理 系统安全管理 XXX