原创力文档- 1、本文档共29页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
;;XX集团信息安全体系框架及设计目标;信息安全管理对象与原则介绍;信息安全管理是一个持续性的闭环过程;为保障信息安全制度的执行和落实,必需明确信息安全职能,建立相应的信息安全组织;信息安全现状评估——安全管理;信息安全现状评估——安全技术;.0;XX集团信息安全设计原则;国家通过出台《信息系统安全等级保护基本要求》,明确了信息安全管理的规范框架;目录
XX集团信息化蓝图架构
信息安全规划
信息安全目标框架及设计目标信息安全目标体系
XX容灾体系;管理制度
√制定信息安全工作的总体方针和安全策略,说明集团安全工作的总体目标、范围、原则和安全框架等
√应对安全管理活动中重要的管理内容建立安全管理制度
√应对安全管理人员或操作人员执行的重要管理操作建立操作规程
制定和发布
√应指定或授权专门的部门或人员负责安全管理制度的制定
√应组织相关人员对制定的安全管理制度进行论证和审定
√应将安全管理制度以某种方式发布到相关人员手中
评审和修订
√应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订;沟通和合作
√应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通
√与保持合作单位、公安机关、电信公司的合作与沟通;安全意识教育和培训
√应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训
√应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒
√应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训
外部人员访问管理
√应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案;系统交付
√应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点
√应对负责系统运行维护的技术人员进行相应的技能培训
√应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档
安全服务商选择
√应确保安全服务商的选择符合国家的有关规定
√应与选定的安全服务商签订与安全相关的协议,明确约定相关责任
???应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同;系统定级
√应明确信息系统的边界和安全保护等级
√应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由
√应确保信息系统的定级结果经过相关部门的批准;介质管理
√应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理
√应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点
√应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏
√应根据所承载数据和软件的重要程度对介质进行分类和标识管理
密码管理
√应使用符合国家密码管理规定的密码技术和产品;设备管理
√应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理
√应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理
√应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作
√应确保信息处理设备必须经过审批才能带离机房或办公地点
变更管理
√应确认系统中要发生的重要变更,并制定相应的变更方案
√系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告;网络安全管理
√应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作
√应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;备份与恢复管理
√应识别需要定期备份的重要业务信息、系统数据及软件系统等
√应规定备份信息的备份方式、备份频度、存储介质、保存期等
√应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法
应急预案管理
√应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容
√应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;目录
XX集团信息化蓝图架构
信息安全规划
信息安全目标框架及设计目标信息安全目标体系
XX容灾体系;容灾建设时需要充分考虑实用性、可扩展性、规范性、可操作性和兼容性;容灾是保障数据安全的重要方式,容灾的实现方式主要有数据级、应用级和业务级;此外,容灾还要考虑系统的数据丢失量;XX集团容灾方案的需求分析;依据XX集团对容灾的需求以及XX集团数据中心设计目标,提出的容灾解决
文档评论(0)