1.1.1等级保护管理体系设计
1.1.1.1设计等级保护的方针与政策
根据国家安全等级保护对安全管理体系建设的要求,为了对信息系统正常运行提供安全管理保障。结合信息安全规划和评估服务中安全管理评估的结果,协助XX国土资源厅对安全管理和执行过程通过安全策略、管理制度、操作规范等文件方式加以固化。
下面的方案对信息安全管理体系分别从策略、运作和组织三个方面阐述
●安全策略——包括总体安全方针和各种指导策略、技术标准、管理标准等,是信息
安全的最核心问题,是整个信息安全建设的依据;
●安全运作——整个信息安全框架的执行环节。通过明确安全运作的制度和各部分管
理制度,保证安全框架的有效性。
●安全组织——主要是人员、组织和流程的管理,是实现信息安全的落实手段;
通过前面的安全需求分析,发现XX国土资源厅目前的整体策略体系不够完整,没有将XX国土资源厅高层领导对于信息安全的重视体现在正式的、成文的、可操作的策略和规定上,特别是没有一个最高的信息安全最高方针文件给出全面的、具体的、可操作的指导。
本次项目,建议由XX国土资源厅组织相关人员,协助制定信息安全总体方针。
最高方针应当明确信息安全的目的,方针保证的内容,适用性、目标、遵循的法律、策略细化的要点、相应人员的基本职责和回顾机制等。最高方针是建立策略体系,指导安全工作的基础。
1.1.1.2设计等级保护安全组织与人员管理
1.1.1.
2.1设计等级保护安全组织
从宏观上讲《中华人民共和国计算机信息系统安全保护条例》第十三条规定:“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作”。从微观上讲《计算机信息系统安全保护条例》第四条明确规定:“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术
等重要领域的计算机信息系统的安全。”切实保护信息系统的安全更是维护国家利益的需要,还必须从根本上认识到,这是法律所赋予的责任,是必须履行的责任。
本项目中,旨在帮助XX国土资源厅建立起安全组织,并协助XX国土资源厅制定安全组织有关管理规定。
安全组织的运行应独立于信息系统的运行,是一个综合性的组织。
●信息安全组织应当由单位安全负责人领导,不隶属于计算机运行或计算机应用部门。该
安全组织是本单位的常设工作职能机构,其具体工作应当由专门的安全负责人负责,●安全组织的成员类型主要有:硬件、软件、系统分析、人事、保卫等本单位应用业务,
以及其他所需要的业务技术专家等人员,人员角色可以重叠,最好不要一人兼全职。●该组织一般有着双重的组织联系:接受当地公安机关计算机安全监察部门的管理、指导,
以及与本业务系统上下级安全管理工作联系。
◆制定基本安全防范措施:
●在政府主管部门的管理指导下,由与系统有关的各方面的专家,定期或适时进行风险分
析,根据本单位的实际情况和需要,确定计算机信息系统的安全等级管理总体目标,提出相应的对策并监督实施,使得重庆劳动保障信息系统的应用发展建设,能够与计算机安全保护工作同步前进。
◆安全组织的基本标准:
●由主管领导负责的逐级计算机安全防范责任制,各级的职责划分明确,并能有效地开展
工作。
●明确计算机使用部门或岗位的安全责任制。
●有专职或兼职的安全员,各部门或机构应确立计算机委员会、安全组织等逐级的安全管
理机制,安全组织人员构成要合理,并能切实发挥职能作用。
●有健全的安全管理规章制度。按照国家有关法律法规的规定,建立、完善各项计算机安
全管理规章制度,并落到实处。
●在职工中普及安全知识,提高信息安全意识,对重点岗位的职工进行专门的培训和考核,
持证上岗。
●定期进行计算机信息系统风险分析,并对信息安全实行等级保护制度,本着保障安全、
有利于工作和节约的原则,制定安全政策。
●在实体安全、信息安全、运行安全和网络安全等方面采取必要的安全措施。
●对本部门计算机信息系统安全保护工作有档案记录和应急计划。
●严格执行计算机信息系统案件上报制度,对信息系统安全隐患能及时发现并及时采取整
改措施。
●对信息系统安全保护工作定期总结评比,奖惩严明。
1.1.1.
2.2安全等级保护运维组织架构
安全监管体系中一个重要组成部分就是安全运维组织。安全服务团队经过标准安全运维服务培训,结合自身丰富的安全运维服务经验,组建了国内最强大的安全服务外包团队。依据国际化标准优化安全组织体系,针对行业组织特点、网络规模为客户设计最合理的安全运维组织架构。
作为政府的运行环境,建议的安全监管系统的管理结构如下图所示:
图:安全运维组织结构图
安全运维组织由四个小组构成:安全专家组、监控运维组、安全支持组、安全协调
组。
安全专家组:主要由XX国土资源厅内部及外部经验丰富的网络安全专家、各类系统安全专家、数据库安全专家、应用系统安全专家、防病毒安全专家以及信息安全专家等构成;是安全监控管理运维组的重要支撑与技术顾问;负责各类疑难复杂安全事件的分析与处理。专家级成员对自己所负责的领域非常精通,能够快速定位、分析、处理各类突发事件。
监控运维组:主要由一定数量的安全运维工程师组成,分为几组轮流值班工作,为业主方提供5*8或者7*24*365天的在线监控,其主要职责包括:
a)集中一屏式监控:通过监控台实时监控来自各安全设备的各类安全事件、警报信息。
对经过平台智能分析处理后的安全报警事件,进行简单分析处理,对于重要安全事
件,提交安全事件工单,通知相应专家处理,避免发生安全事故或者事件影响扩大。
b)事件处理:通过监控操作平台对实时入侵安全事件进行分析,并阻断、瓦解攻击。
c)安全应急电话处理:实时接听、记录进入呼叫中心的应急电话,并且结合监控平台
的安全知识库第一时间解决处理安全事件。对于无法解决的问题提交给对应的安全
专家处理,处理结果自动添加进入安全知识库。
d)安全报告生成与分发:根据业务安全需要定期通过安全监管平台生成所需的安全报
告,为企业、客户安全决策提供依据;
e)定期分发安全通告信息;
安全支持组:主要是业主方IT管理维护人员,网络管理人员、系统管理人员、应用管理人员、数据库维护管理人员、设备供应商的技术支持人员等;安全监控运维组人员在监控过程中如果发现一些问题应该及时与在现场的安全支持组人员联系,双方配合实现信息安全事件的实时监控、跟踪、发现、处理和响应。
安全协调组:工单管理员主要负责安全事件工单的监控、派发、资源协调等工作,保证安全事件得到及时妥善处理。外部协调员主要负责与国土资源部信息安全部门、国内与国际CERT组织的沟通与协调;及时在一些重大安全问题和事件上与相关组织交换信息。
1.1.1.
2.3人员管理
人员管理这里指的是对所有XX国土资源厅和与XX国土资源厅发生关系的人员的管理制度,可以分为本行人员与第三方人员分别进行管理。
人员管理
在策略与制度建立的同时,在组织机构上和人员配备上必须进行相应调整,并建立完善的机构与人员相关制度。同时按照《信息系统安全等级保护基
本要求》人员管理和组织策略管理要求,并参照公安部等级保护条例的要
求,设计实际可行的人员相关制度。
●第三方人员管理
“第三方”通常是指软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商,实习生,临时工等。实际访问,如对办公室、机房的物理访问:
临时来访的第三方,指因业务洽谈、参观、交流、提供短期和不频繁的技术支持服务而临时来访的第三方组织或个人。非临时来访的第三方,指因从事合作开发、参与项目工程、提供技术支持、售后服务、服务外包或顾问服务等,必须在移动办公和工作的信息访问,如对信息系统、主机、网络设备、数据库的访问。维护服务商类包括软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商等,主要是工程建设和运行维护期间的对移动网络信息系统的访问。除了在本地访问,也会有远程访问。建议出台维护服务商的管理办法对于这两种短期和长期的实际物理访问,应出台不同的管理规定,负责接待的部门和接待人对第三方来访的安全负责,并对访问机房等敏感区域持谨慎态度。
1.1.1.3设计等级保护系统安全策略
XX国土资源厅的业务发展中,信息系统的作用毋庸置疑。随之带来的信息安全问题也同样占有重要的地位。要解决好信息安全问题的首要任务就是——制订完整的、切合实际的、具有前瞻性的信息安全策略,并能够落实执行。
信息安全涉及信息系统的各个方面,又是一发展极为迅速的领域,单独一个标准、一个纲要是不能解决全部问题的。因此需要制订一个安全策略系列,策略系列在总体纲要的指导下,各自解决一部分问题。
本次项目由XX国土资源厅组织相关人员撰写,协助建立和完善信息安全策略系列,包括:
● 安全风险管理策略
● 业务连续性管理策略
● 信息资产分级分类策略
● 安全培训与教育策略
● 安全审计策略
1.1.1.3.1安全风险管理策略
XX国土资源厅的安全风险管理的策略需要描述以下三方面:
1、资产分析:编制各项信息资产清单,选择合适的资产分类方式对资产进行分类管理,针对类别对资产进行重要性分析,并对资产进行定性赋值分析;
2、安全评估:对信息系统面临的威胁应针对分类资产进行较为详细的分析,给出威胁分析列表;除通过人工检查和工具扫描的方式对信息系统的脆弱性进行分析外,还应在条件许可的情况下,进行渗透测试,给出系统脆弱性的评估列表,应至少采用定性的风险分析方法对安全风险进行评估,并能够依据风险评估结果选择安全措施。
3、选择和实施风险控制措施:对于评估的结果分析,制订文档化的安全风险分析和评估活动程序规范风险管理活动
同时对三个方面的有机结合的描述。
1.1.1.3.2业务连续性管理策略
XX国土资源厅的业务连续性策略用于规范一系列连续性计划。包括:紧急响应流程、备份与恢复、日常维护与危机处理机制等设计。
●通过备份与恢复、日常维护与危机处理机制,指导备份和恢复活动;
●对安全事件进行分类、分级,建立安全事件的报告制度;
●建立安全弱点和可疑事件的报告制度;
●制定应急计划,规范机构各部门紧急事件处理行为
1.1.1.3.3信息资产分级分类策略
对于以信息为核心资产的信息系统,对其分级的主要策略是按照信息重要程度划分原则,重要性确定的因素是当信息不可用或丢失时对国家安全、社会公共利益,公民、法人和其他组织的合法权益的危害程度
对于分级信息在分区域保护原则基础上,对于其中某些应用由于其处理、存储或传输的信息的性质,或者由于其对机构完成任务使命关键性质,需要得到重点的安全保护。等级保护应集中资源首先确保重点应用安全,安全等级需求高的重要应用应优先实施等级保护。
策略中需要描述信息重要程度划分原则,重要性确定等内容。
1.1.1.3.4安全培训与教育策略
XX国土资源厅各部门工作的普通员工凡是能够接触主要服务系统的工作人员。为了确保信息安全,对所有的职工,从信息主管到一般的工作人员都要加强信息安全意识,需要对信息主管和普通工作人员的安全培训课程。
为了规范安全教育培训活动,需要制定培训策略。
教育培训服务策略需要描述:
●教育培训计划
●具体的一些培训课程
●制订信息安全人员考核标准
1.1.1.3.5安全审计策略
信息安全工作是一个持续的、长期的工作,XX国土资源厅的信息安全审计策略是通过定期的安全漏洞检测和定期对设备系统的配置和日志进行分析,以维持整体信息系统在安全基线之上。
审计策略需要描述以下内容:
●审计计划(自审还是外包服务)
●审计对象
●审计报告要求
1.1.1.4等级保护系统运维管理
1.1.1.4.1等级保护物理环境安全管理
根据国家对计算机机房环境、技术、场地安全等的要求,如国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》,依照公安部的系统安全等级保护的实施指南,对XX国土资源厅信息系统的
运行环境(如楼房,机房等)、网络环境等实施相应等级的安全保障措施。
●同时关键或敏感的信息处理设备应放置在安全的区域,由安全防御带、适当的安全
屏障和准入管制手段加以保护,以防它们物理上被非法进入、毁坏或干扰。
●建立机房进出管理制度,并将其流程化、制度化和文档化,落实机房进出登记表登
记制度,包括但不限于:外来人员进出时间、人员姓名、访问原因等内容;查看是
否具有电子门禁系统,电子记录文档是否有时间、人员等信息
●建立机房安全管理制度,内容包括但不限于机房物理访问、机房物理访问、物品带
进、带出机房、机房环境安全
●建立机房物理环境的机房基础设施(如空调、供电设备等)进行定期维护登记制度。
●建立机房办公环境管理文档,查看其内容是否对工作人员离开座位后的保密行为
(如清理桌面文件和屏幕锁定等)、人员调离办公室后的行为等方面进行规定;
●建立机房基础设施维护记录,查看是否记录维护日期、维护人、维护设备、故障原
因、维护结果等方面内容。
1.1.1.4.2等级保护介质管理
对于信息资源,有必要对其载体进行必要的保护,以降低数据被非法存取、遗失或破坏的风险,同时应考虑设备的位置。要求有特别的管制手段来保护对设备的非法使用,并对诸如电源和电缆基础设施等辅助设备进行保护。
介质管理内容包括:
●应存放在加锁的柜中,防止被盗、被毁以及信息的非法泄漏;
●采用目录结构记录介质的归档,对存档介质的目录清单半年盘点一次。
●介质应储存在安全的环境中防止损坏。
●对于需要送出维修或销毁的介质,应首先处理介质中的数据,防止信息的非法泄漏
●建立介质管理记录,包括但不限于:记录介质的存储、归档、借用等情况,介质的
存放环境、使用、维护和销毁等方面;存放重要数据和软件的各类记录介质,如纸
介质、磁介质、半导体介质和光介质等,
1.1.1.4.3等级保护工程建设管理
XX国土资源厅的信息安全项目立项之前必须以业务需求出发整体分析信息系统的安全需求。制订清晰的信息系统的安全详细设计方案,可以包括安全产品、安全服务、安全咨询等各项内容。
1)安全详细设计方案可能包括(但不限于)以下内容:
●系统需求分析;
●安全和系统组件的性能和功能要求;
●安全和系统组件的选择和实施规范;
●安全和系统组件的部署和配置要求等等;
2) 工程项目合同签订之后,在项目执行期中,本行应确立专门的部门或人员对工程实
施跟进和全程监管。
工程项目实施完毕,必须对实施完毕的系统进行测试和验收,并给出详细的验收报告。项目管理者应确保新系统的接收要求文档化。
对安全系统测试(但不限于)以下几个方面:
●对组成系统的所有部件进行安全性测试;
●对系统进行集成性安全测试;
●对业务应用进行安全测试等。
1.1.1.5IT运维系统管理建设
IT安全运维体系的建设,要结合具体的安全产品、技术手段,建议参考ISO20000 /ITILV3最佳实践,整合优化现有的运维流程,从而将操作和流程紧密结合,实现有效的评估、监控、审计、维护、检测和响应,构建主动的运维防御体系。
安全运维体系从逻辑上可以分为两个层面:
从纵向来说,主要是加强技术管理的建设,目的是填补空白点,强化和完善对资源,数据,操作,性能,安全等方面的技术管理内容,并通过集中管理平台,集中管理IT基础
架构和应用系统,共享信息,减少安全事件的产生,提高持续性运作。
从横向来说,主要是加强运维流程管理的建设,对贯穿各项技术管理内容的IT运维流程进行梳理和固化,主要是建立并完善安全事件监控系统以及安全事件管理,安全问题管理,变更管理,配置管理等服务支持流程。
安全运行维护是一个较大的范畴,包括以下几个方面:
●物理环境管理
根据国家对计算机机房环境、技术、场地安全等的要求,如国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》,依照公安部的系统安全等级保护的实施指南,对XX国土资源厅信息系统的运行环境(如楼房,机房等)、网络环境等实施相应等级的安全保障措施。
●资源管理
对于信息资源,需要对其载体进行必要的保护,以降低数据被非法存取、遗失或破坏的
风险,同时应考虑设备的位置。要求有特别的管制手段来保护对设备的非法使用,并对诸如电源和电缆基础设施等辅助设备进行保护
●设备使用管理
应用和安全安全属于专用的安全设备面需要制定相应的规范,以保证设备正常有效的使用,这些管理规范可以让设备提供商结合XX国土资源厅的实际情况协助制定。
包括防火墙、IDS、防病毒、应用系统等都需要制定相关管理文件。
●用户管理
在用户方面,要求机构根据安全需求,明确指定各系统信息管理人员,配备一定数量的安全管理人员;同时对特权用户和超级用户做出界定,为安全运维管理和安全事件追踪做出记录依据。
●访问控制策略管理
XX国土资源厅需要根据业务需求和信息系统安全考虑确定网络和系统的区域,因此需要制定完整的网络结构图,并且对访问控制策略进行存档管理
●病毒防护管理
XX国土资源厅需要对病毒进行统一的防护管理,根据所使用的病毒防护产品,提出病毒防护管理的检查、记录、定期升级、汇报等的基本要求。
【备注】:详见附件2:信息系统运维建设规划方案
1.1.1.6集中安全管理平台
1.1.1.6.1安全管理平台需求与架构
在信息安全形势日益严峻的今天,信息安全已经不是一个新鲜的词汇。为了保障企业网络的安全畅通,企业和公司一般都在自己的信息网络中配置了防火墙、防病毒、入侵检测等一系列安全系统设备,相当多的企业也已相继开展和实施了一些安全工程和安全服务工作,包括风险评估、安全加固等措施,建立了安全组织,规划了安全架构。
然而,随着各项安全工作的深入开展,也发现了许多问题亟待解决。主要问题突出表现
为:
1)各种安全设备间缺少信息层互通能力,各自为政。降低了系统整体的运作效率,增
加了安全事件的发现时间和响应时间,总是在安全事件出现后被动处理和补救。
2)事件分析能力不足,事件的检测和报告停留在较为“原始”的数据上,无法提供更
为“信息化”、“知识化”的报告。使许多安全事件得不到挖掘,总犯同样或类似
的错误,同时对安全管理员的技能要求居高不下,增加了企业的成本。
3)许多安全产品的管理能力不足,无法做到大规模部署下的整体监管。从而造成整体
系统产生的数据“条块分割”,不能反映整体大网的安全运行状况和威胁情况。
4)由于安全管理能力不足,安全的制度不能落实每个角落,产生的数据无法为企业最
高管理层提供准确的决策依据,从而安全体系的建设发展具有相对的盲目性,安全
的对策总是过时。
控制台
控制台提供一个图形化的界面,使得所有安全管理与监控的安全配置都可以在一个平台上实现。控制台功能包括分析、报告、计数与配置等,为安全专家对紧急事件实时分析提供全套的分析和处理工具。
事件收集器
事件收集器可以利用各种信息采集方式(SNMP/SMTP/FTP/Webtrends/
SYSLOG/TCP/UDP等)对各种安全设备、网络设备、系统和应用程序进行日志和报警的收集和整理活动,所收集的各类安全事件进行能分析、过滤,并按照标准格式进行事件关联分析。
安全知识库
知识库存储重要的安全事件、分析报告和安全知识等,同时知识库也提供事件处理流程等信息。
安全知识的共享是安全水平提高的必要基础,安全网络监控管理平台建立完善的、多数据来源的安全知识库,安全知识库的数据和来源包括:
●发现的安全漏洞:可以将目前发现的漏洞导入。每一个漏洞都包含名称、描
述、风险级别、演变过程、受影响系统、危害、详细的解决办法和操作步骤
等内容。该漏洞库还提供漏洞信息在线自动更新的功能。系统能自动下载更
新数据,从而在有新的漏洞被发现时,漏洞信息库能得到及时更新。
●安全通告:来自产品供应商提供不定期的安全通告,以最快速度向用户提供
最新安全问题和病毒信息,这些通告也可导入知识库。组织自身安全公告通
知可通过安全监管平台向全公司发布;
●案例:所有事件处理表单和处理结果都进入知识库。
●安全知识:供应商提供的一些安全知识可以导入信息库。
●产品资料:产品相关的datasheet、白皮书、用户手册等可以导入知识库。
1.1.1.6.2系统管理子系统建设
XX国土资源信息系统管理是安全管理中心中实现对系统内各类软硬件资产进行管理和维护的子系统。需要管理的资产包括:应用服务器、数据库服务器、办公终端、安全网关等等。同时,对业务访问用户、业务人操作员、维护人员、管理人员的身份进行统一的管理,并对系统异常行为做出应急处理。实现的主要功能包括:
●用户身份管理
对XX国土资源信息系统的远程业务访问用户、业务操作人员、系统管理人员、安全管理人员、审计管理人员等主体的身份进行统一登记,并将与主体相关的属性信息、证书、密钥等安全属性与用户标识进行绑定,从而生成代表主体身份和所拥有权限的令牌。当这些主体访问征管业务系统,或者登录内网应用服务器、数据库管理系统、网络设备、终端进行维护和操作时,必须出具代表该主体身份的令牌。
●资源配置管理
目前XX国土资源信息系统越来越复杂,信息资产的数量越来越多,对这些资产及其活动状态的跟踪任务越来越繁重。通过统一的资源配置管理一方面可即时了解信息系统资产的配置情况,另一方面能有效降低管理员的工作强度,提供工作效率。资源配置管理通过采集信息系统中各类软硬件资产信息,包括软件安装和配置、硬件资源、网络状态、软硬件运行状态等信息,并上报这些信息到安全管理中心的系统管理子系统,为系统管理员系统维护和应急处理提供支持。
●应急处理
实时监控信息系统内的软硬件变更、安全事件等情况,当发现异常时可根据预案采取应急处理措施,将安全风险可能造成的影响减小到可接受的程度内。
1.1.1.6.3安全管理子系统建设
子系统功能
XX国土资源信息系统中部署了大量的安全机制和安全产品,其安全策略是由安全管理子系统进行统一配置和分发。主要功能包括:主体和客体标识配置、用户授权管理、策略配置、安全策略的生成和分发、安全策略变更处理等等。针对信息系统,将进行以下方面的配置。
1、标记管理
标记管理是实施强制访问控制机制的基础,也是第二级信息系统核心功能之一。它是通过安全管理中心中的安全管理子系统,对信息系统内的所有主、客体(包括用户、进程、文件、数据等)进行统一标记,为强制访问控制的实施提供控制依据。
通过安全管理子系统,标记管理包括:
1)主体标记管理
对访问信息系统的主体,配置安全级别和安全范畴。主体包括以下类型:
互联网上的远程业务访问用户;
办公内网的业务操作人员;
管理者;
系统管理人员;
安全管理人员;
安全审计人员等等。
2)客体标记管理
对XX国土资源信息系统中与主体相对的客体设置安全标记。客体包括以下类型:
文件;
目录;
进程;
注册表;
国土资源应用系统;
数据库管理系统;
内网应用服务器设备;
业务终端设备;
网络设备等等。
2、授权及安全策略管理
安全管理子系统根据信息系统安全策略,针对XX国土资源信息系统中的访问要求,以及主体(用户、进程等)对客体(文件、数据、进程等)的访问权限,生成自主访问控制和强制访问控制权限表,其中定义了特定客体的打开、读、写、执行、更改等权限所对应的主体(如用户、进程等)。授权管理具体包括:
1)内网应用服务器授权,限定哪些主体可以访问服务器;
2)业务终端授权,限定哪些主体可以访问业务终端;
3)本地访问授权,限定主体登陆业务终端或内网应用服务器后能对哪些客体访问
4)网络访问授权,限定主体对网络上的其他资源的连接权限,控制主体非法接入网
络或主机;
5)互联网远程访问授权,对互联网纳税人员进行许可授权,限定其可访问的资源; 安全策略设计
根据XX国土资源信息系统的主、客体定义,以及中间业务流程的分析,确定主要主体对客体的访问控制策略如下表所示:
根据国土资源信息系统的主、客体定义,以及中间业务流程的分析,确定主体对客体的访问控制策略如下:
1.1.1.6.4审计管理子系统建设
XX国土资源信息系统的规模越来越庞大、越来越复杂,其中包含各种网络设备、应用服务器、数据库服务器、业务终端、业务系统、安全设备等等。管理这些设备和系统的审计日志对审计管理员来说是一项十分繁重的任务。有必要通过审计管理子系统对整个信息系统的审计日志进行统一的收集和处理。
审计日志包括:针对XX国土资源信息系统各种访问,包括终端用户身份鉴别、服务器管理身份鉴别、文件读写、程序调用、服务的开启等操作,网络访问行为,以及对XX国土资源信息系统中各类主体的操作行为等等。审计管理子系统采集或接收这些审计记录,并存储在审计服务器中。
同时,审计管理子系统还能够对收集到的原始审计信息进行深度分析,并通过信息格式归一化、信息内容归并、访问信息关联等手段,深入分析信息系统可能存在的安全风险,并进行报警,使系统管理人员能够采取有效的补救手段,更好地保障信息系统的健康运行。
1.1.1.7建议设置运维中心
根据政府行业信息安全建设的实践经验,在XX国土资源厅目前IT基础架构设备与软件种类与数量较多,并处于逐步增加,业务系统较复杂、较重要,对业务系统连续性要求较高
的情况下,建议设置运维中心,设置专人负责进行信息系统安全运维保障工作。
在工作实践中划分数据安全等级,保证核心数据和核心系统安全。做到职责分开,本着从小到大,以实用为主的原则进行安全制度建设。信息系统安全保障中心要严格控制人员的操作安全权限,实行必要的安全管制。
信息中心的工作是担负全局的信息化规划建设,各个处室、各个业务的信息化需求都汇总到信息中心,由信息中心统一组织进行规划建设。
信息系统安全保障中心统一管理信息系统的安全工作,运维中心主要负责信息系统的运营维护工作。
全面风险管理体系建设 方案 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
我们侧重从企业整体层面制定风险战略、完善内控体系、设计风险管理流程和组织职能等。我们帮助企业搭建风险管理的综合架构,建立风险管理的长效机制,从根本上提升风险管理的效率和效果。 全面风险管理体系建设将帮助企业达到以下目标: ·从企业战略出发,统一风险度量,建立风险预警机制和应对策略 ·明确风险管理职责,将所有风险的管理责任落实到企业的各个层面 ·形成风险信息的收集、分析、报告系统,为风险的实时有效监控和应对提供依据 ·避免企业重大损失,支持企业战略目标的实现 ·使所有企业利益相关人了解企业的风险,满足股东以及监管机构的要求 ·形成一套自我运行、自我完善的风险管理机制 · 风险评估 系统辨识客户企业面临的风险,将辨识出的风险进行定性和定量的分析,评价风险对企业目标的影响。 ·统一的风险语言 ·确定风险列表和坐标图
·确定企业风险管理的重点 ·明确风险的价值 · 风险管理诊断 评估企业风险管理体系的整体水平,诊断对于重大风险管理的应对手段,把握企业了解当前的风险管理现状,提出改进的建议方案。 ·评估核心风险的管理状况 ·满足合规的要求 ·找出风险管理现状与最佳管理实践之间的差距 · 风险战略设计 根据企业的发展战略,结合企业自身的管理能力,明确风险管理目标,并针对不同的风险,引入量化分析工具,确定风险偏好和承受度,设计保证战略目标实现的风险管理战略。 ·确定风险管理指导方针 ·确定风险偏好及风险承受度 ·确定企业整体风险模型 ·确定风险预警体系 · 风险文化建设 统一企业的风险意识和风险语言,培养企业员工的风险责任感,建设与企业风险战略相符合的风险文化。 ·普及风险管理知识 ·强化全员风险意识
信息安全等级保护(二级)建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)
2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)
八、环境保护管理体系与措施
目录 一、环境保护措施制定指导思想 二、环境保护目标 三、环境保护保证体系 四、环境保护技术措施 五、施工环境保护具体措施
环境保护是我国的一项基本国策,针对本标段自然地理环境特点,施工现场环保工作,应严格按照《环境保护法》的要求,重点考虑,全面规划,因地制宜,积极维护当地自然环境和居民的生活劳动环境,最大限度地减少施工对自然生态的破坏,保护环境,本工程地处即有居民小区,环境保护要求较高,因此在工程施工中对环境保护提出了更高的要求。在施工时制定专项环境保护措施,做到全面规划,合理布局,切实作足作好环境保护,为工程修建一条绿色环保通道。 一、环境保护措施制定指导思想 在本工程的施工全过程中,我们将全面运行ISO14000环境保护体系标准,系统的采用和实施一系列环境保护管理手段,以期得到最优化的结果。我们在建设施工的全过程中,根据客观存在的粉尘、污水、噪声和固体废物等环境因素,实施全过程污染预防控制,尽可能的减少或防止不利的环境影响。预防为主,加强宣传,全面规划,合理布局,改进工艺,节约资源,为企业争取最佳经济效益和环境效益。 二、环境保护目标 环境保护目标:确保国家、地方有关环保法律法规标准和业主的要求得到有效识别和贯彻执行。 环境方针:遵纪守法,提高素质;健全制度,加强预防和报告;强化教育,持续改进。改善工作环境,提高职工满意度。 三、环境保护保证体系 1、建立健全环境保护管理机构 项目全面环境管理领导小组 组长:项目经理 副组长:总工程师 技术负责人 成员:质检员、施工员、各班组组长 2、建立健全环境保护保证体系 制定环境保护制度,加强环境保护基础工作,加强监督检查,落实各项工作责任制,形成环境保护保证体系,实现环保目标。环境保护管理逻辑框图见图 2.;环境保护责任保证体系见图 3.;环境保护体系框图见表 4.。 四、环境保护技术措施
安全管理体系建设方案 沈阳赛宝科技服务有限公 2018年7月19日
目录 1概述 (1) 1.1简介 (1) 1.2目标 (1) 2安全管理体系框架图 (2) 3安全管理制度体系 (2) 3.1安全方针政策 (2) 3.2安全管理制度 (2) 3.3技术标准、规范 (3) 3.4流程、表单及记录 (4)
1概述 1.1简介 安全管理体系建设包含:安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统运维安全管理等各个方面,依据相关的安全准则,结合企业自身及网络系统的构成特点,确定具体的各方面的制度。 1.2目标 安全管理机构:包括职能部门岗位设置;系统管理员、网络管理员、安全管理员的人员配备;授权和审批;管理人员、内部机构和职能部门间的沟通和合作;定期的安全审核和安全检查。 安全管理制度:包括安全策略、安全制度、操作规程等的管理制度;管理制度的制定和发布;管理制度的评审和修订。 人员安全管理:包括人员录用;人员离岗;人员考核;安全意识教育和培训;外部人员访问管理。 系统建设管理:包括系统定级;安全方案设计;产品采购和使用;自行软件开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评;安全服务商选择。 系统运维管理:包括机房环境管理;信息资产管理;介质管理;设备管理;监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理;密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理。
2安全管理体系框架图 安全管理制度体系层次图: 3安全管理制度体系 3.1安全方针政策 最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。 3.2安全管理制度 各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。 安全管理制度要求见下图,在建立制度的时候可以参考:
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
环境保护管理体系与措施 1、环境保护机构及目标 (1)成立以项目经理任组长的环境保护领导小组,配各一定的环境保护设施和技术人员,认真学习环境保护知识,共同搞好环境保护工作。 (2)采取各种有效措施,对容易引起环境污染的各种渠道严格控制。 2、环境保护措施 (1)一般措施 ①重视环保工作 编制实施性施工组织设计时,把环保工作作为施工组织设计的重要组成部分,并认真贯彻执行。 ②加强环保教育 组织职工学习环保知识,强化环保意识,使大家认识到环境保护工作的重要性和必要性。 ③贯彻环保法规 认真贯彻各级政府的有关环境保护方针、政策法令,结合设计文件和工程特点,及时提报有关环保设计,切实按批准的文件组织实施。 ④强化环保管理 定期进行环保检查,及时处理违章事宜,主动联系环保机构,请示汇报环保工作,做到文明施工。 ⑤美化施工场地
场地废料、土石方废方处理,应按设计要求按工程师指定地点处理,防止水土流失。保持排水通道畅通,工地干净卫生。施工中还应尽量减少对周围绿化环境的影响和破坏。 ⑥消除施工污染 施工废水、生活污水不得污染水源、道路,采用污水处理池进行处理。工地垃圾及时运往指定地点深埋,清洗集料机具或含有沉淀油污的操作用水采用过滤的方法或沉淀池处理,使生态环境受损减到最低程度。 ⑦工程车辆通行时,及时向当地交通部门办理手续,征得同意后,方能上路,拉运土方的车辆采用密闭式自卸车,以防土块洒落,污染路面。 ⑧队建设施工中及时、经常与当地政府、环保部门联系,征求他们的意见,作好环境保护工作。 (2)水环境保护措施 ①施工废水、生活污水经污水处理池进行处理,不得直接排入污水管道。 ②清洗骨料的水和其它施工废水,采取沉淀池处理达到排放标准后方可排放,避免污染周围环境。 ③施工机械的废油废水,采用隔油池等有效措施加以处理,不得超标排放。 ④生活污水采取二级生化或化粪池等措施进行净化处理,经检查符合标准后方准排放。 (3)大气环境及粉尘的防护措施
1安全管理体系总体设计案 1.1安全组织结构 省农垦总局总医院安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织结构图如下所示: 图8-1安全组织结构图 1.1.1信息安全领导小组职责 信息安全领导小组是由省农垦总局总医院主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准省农垦总局总医院安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下:
(一)确定网络与信息安全工作的总体向、目标、总体原则和安全工作法; (二)审查并批准政府的信息安全策略和安全责任; (三)分配和指导安全管理总体职责与工作; (四)在网络与信息面临重大安全风险时,监督控制可能发生的重大变化; (五)对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信 息系统更改等)进行决策; (六)指挥、协调、督促并审查重大安全事件的处理,并协调改进措施; (七)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安 全管理措施出台等; (八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。 1.1.2信息安全工作组职责 信息安全工作组是信息安全工作的日常执行机构,设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下: (一)贯彻执行和解释信息安全领导小组的决议; (二)贯彻执行和解释主管机构下发的信息安全策略; (三)负责组织和协调各类信息安全规划、案、实施、测试和验收评审会议; (四)负责落实和执行各类信息安全具体工作,并对具体落实情况进行总结和汇报;
我们侧重从企业整体层面制定风险战略、完善内控体系、设计风险管理流程和组织职能等。我们帮助企业搭建风险管理的综合架构,建立风险管理的长效机制,从根本上提升风险管理的效率和效果。 全面风险管理体系建设将帮助企业达到以下目标: ·从企业战略出发,统一风险度量,建立风险预警机制和应对策略 ·明确风险管理职责,将所有风险的管理责任落实到企业的各个层面 ·形成风险信息的收集、分析、报告系统,为风险的实时有效监控和应对提供依据 ·避免企业重大损失,支持企业战略目标的实现 ·使所有企业利益相关人了解企业的风险,满足股东以及监管机构的要求 ·形成一套自我运行、自我完善的风险管理机制 · 风险评估 系统辨识客户企业面临的风险,将辨识出的风险进行定性和定量的分析,评价风险对企业目标的影响。 ·统一的风险语言 ·确定风险列表和坐标图 ·确定企业风险管理的重点 ·明确风险的价值 · 风险管理诊断 评估企业风险管理体系的整体水平,诊断对于重大风险管理的应对手段,把握企业了解当前的风险管理现状,提出改进的建议方案。 ·评估核心风险的管理状况 ·满足合规的要求 ·找出风险管理现状与最佳管理实践之间的差距 · 风险战略设计 根据企业的发展战略,结合企业自身的管理能力,明确风险管理目标,并针对不同的风险,引入量化分析工具,确定风险偏好和承受度,设计保证战略目标实现的风险管理战略。·确定风险管理指导方针 ·确定风险偏好及风险承受度 ·确定企业整体风险模型 ·确定风险预警体系
风险文化建设 统一企业的风险意识和风险语言,培养企业员工的风险责任感,建设与企业风险战略相符合的风险文化。 ·普及风险管理知识 ·强化全员风险意识 ·建立道德诚信准则 · 风险管理规划 帮助企业制订全面风险管理体系建设的总体规划,建立一套长效机制并协助客户将总体规划分解落实,明晰每步的工作内容和里程碑。 ·明确全面风险管理的最终目标 ·确定预期效果与评估标准 ·确定实施的步骤 ·确定组织方式 ·确定资源配置方案 · 风险流程设计 基于企业现有的内控流程,结合已评估出的风险,找出流程中的关键风险控制点,梳理并细化具体控制内容,修改制度,增加监控指标,强化业务和管理流程中的内部风险控制。·协助业务和管理流程再造 ·公司整体内部控制系统的建设和维护 ·优化重大投资决策、财务报告、衍生产品交易流程 ·建立突发事件、危机管理系统 ·制定风险管理手册 · 组织职能设计 在企业内部管理职能的基础上,融合风险管理对岗位职责的要求,设计企业不同层面的风险管理组织职能方案和相应的职责要求、人员能力框架,补充和完善关键的考核内容和激励机制,构成风险管理有效运行的保障架构。 ·协助认定董事会、管理层、风险管理部门和审计部门的风险管理职责、权限 ·明确风险管理部门的工作流程 ·明确风险管理部门与其他部门的分工协调
目录 1 项目背景 (4) 2 建设目标 (6) 3 信息安全等级保护综合管理系统 (7) 3.1 信息安全等级保护综合管理系统概述 (7) 3.2 系统架构 (11) 3.3 系统功能 (15) 3.3.1 定级备案管理 (15) 3.3.2 建设整改管理 (18) 3.3.3 等级测评管理 (19) 3.3.4 安全检查管理 (21) 3.3.5 风险评估管理 (22) 3.3.6 风险评估测评 (23) 3.3.7 风险评估管理 (25) 3.3.8 日常办公管理 (26) 3.3.9 统计分析 (27) 3.3.10 基础数据管理 (28) 3.3.11 分级管理 (31) 3.3.12 系统接口 (31) 3.4 系统安全性 (33) 3.5 系统部署 (35) 3.6 系统配置要求 (35)
4 网安全管理系统 (36) 4.1 网安全管理系统概述 (36) 4.2 产品架构 (37) 4.2.1 终端监控引擎 (38) 4.2.2 总控中心 (38) 4.2.3 管理控制台 (39) 4.2.4 系统数据库 (39) 4.3 产品功能 (39) 4.3.1 终端运维管理 (39) 4.3.2 终端安全加固 (41) 4.3.3 终端安全审计 (43) 4.3.4 网络准入控制 (44) 4.3.5 移动存储管理 (45) 4.4 产品性能 (46) 4.4.1 终端引擎性能 (46) 4.4.2 总控性能 (46) 4.4.3 产品性能指标 (47) 4.5 产品规 (47) 4.6 产品部署 (48) 5 控管理平台(堡垒主机) (51) 5.1 堡垒主机概述 (51) 5.2 产品功能 (51)
环境保护管理体系与措施 针对本工程自然环境特点按照国家和当地政府的要求,施工现场环境保护、水土保持工作,做到全面规划因地制宜,严格按照《环境保护法》要求,维护施工地域内的自然环境和居民清洁适宜的生活、工作环境、化害为利,最大限度地减少施工对自然生态的破坏,保护环境,防止水土流失。为此,制定如下措施: 一、管理目标: 保护生态环境、防止水土流失、防止施工污染和扰民、保障人民身体健康,保护城市优美环境。 二、环境保护管理体系及框图 项目部由综合部管施工环境保护、水土保持工作。进场后主动与地方政府环境保护机构建立联系,了解地方环保法规,了解对土建施工环境保护的具体要求,签订有关协议,制定报审具体办法。结合设计文件和工程实际,及时提出有关环境保护、水土保持的方案,按批准后的文件组织实施,见环境保护管理体系框图。 严格履行合同中对施工环境保护、水土保持方面的承诺,任何时候都接受业主、监理工程师及地方政府环保机构工作人员的检查,执行其对环保水保工作的要求。
环境保护管理体系框图
三、环境保护管理措施 环境保护是我国的一项基本国策,与当地政府联合协调。控制施工污染,减少粉尘及噪音污染,为生态平衡创造良好的生态环境。 1、建立健全环境保护体系 成立以项目经理任组长的环境保护领导小组,配备一定量的环保实施和技术人员,认真学习环保知识,共同搞好环保工作。 2、制定防止和减轻污水、大气污染措施 施工废水、生活污水不得排入农田、耕地、饮用水源和灌溉渠道;清理场地废料和处理土石方工程的弃方,不影响排灌系统和农田水利的安全。 3、保护生态环境措施 (1)保护环境卫生,尽量保护原有植被。 (2)种植草木将在适当的条件下进行,在临时住房周围及临时便道两侧,进行植树、种草、美化环境。 4、开工前对全体职工进行环保知识教育,环境保护技术措施、技术交底,加强环保意识和以明确环保工作的重大意义。积极主动地参与环保工作,自觉遵守国家和当地环保各项规章制度。 5、项目经理部建立环保管理工作机构,制定环保工作计划和措施,自觉接受环保部门、地方政府对工地环保工作
安全风险分级管控体系建设实施方案 编制: 审核: 批准: 建设集团股份有限公司 二0一七年六月
目录 1.适用范围------------------------------------------------------------------------------ 5 2.编制依据------------------------------------------------------------------------------ 5 3.总体要求、目标与原则--------------------------------------------------------------- 5 3.1总体要求 ------------------------------------------------------------------------- 5 3.2工作目标 ------------------------------------------------------------------------- 6 3.3基本原则 ------------------------------------------------------------------------- 6 4.职责分工------------------------------------------------------------------------------ 6 4.1领导小组 ------------------------------------------------------------------------- 6 4.2工作职责 ------------------------------------------------------------------------- 6 5.术语和定义 --------------------------------------------------------------------------- 7 5.1风险 ------------------------------------------------------------------------------ 7 5.2危险源---------------------------------------------------------------------------- 7 5.3风险点---------------------------------------------------------------------------- 8 5.4风险辨识 ------------------------------------------------------------------------- 8 5.5风险评估/评价------------------------------------------------------------------- 8 5.6风险分级 ------------------------------------------------------------------------- 8 5.7风险管控 ------------------------------------------------------------------------- 9 5.8风险信息 ------------------------------------------------------------------------- 9 5.9重大风险 ----------------------------------------------------------------------- 10 5.10重大危险源 ------------------------------------------------------------------- 10 6.风险点识别方法 -------------------------------------------------------------------- 10 6.1 风险点识别范围的划分要求--------------------------------------------------- 10 6.2 风险点识别方法 --------------------------------------------------------------- 10 7.风险评价方法----------------------------------------------------------------------- 10 8.风险控制措施策划------------------------------------------------------------------ 11 9.风险分级管控考核方法------------------------------------------------------------- 12 10.风险点识别及分级管控记录使用要求 -------------------------------------------- 12 附件: -------------------------------------------------------------------------------- 12
山东省电力集团公司信息系统等级保护建设方案 二零零九年八月
版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有,受到有关产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。 文档信息 文档名称山东省电力集团公司信息系统等级保护建设方案 文档管理编号INSL-SDDL-BLT-2009-FA 保密级别商密文档版本号V3.0 制作人郭骞制作日期2009年6月复审人余勇复审日期2009年6月扩散范围国家电网公司信息网络安全实验室 山东省电力集团公司 扩散批准人林为民 版本变更记录 时间版本说明修改人 2009-8V1.0 创建文档郭骞 2009-8V2.0 修改文档俞庚申 2009-8V3.0 文档复审定稿余勇 适用性声明 本报告由国网电力科学研究院/国网信息网络安全实验室撰写,适用于山东省电力集团公司信息系统等级保护项目。
目录 1.项目概述 (1) 1.1目标与范围 (1) 1.2方案设计 (2) 1.3参照标准 (2) 2.等保现状及建设总目标 (2) 2.1等级保护现状............................................................. 错误!未定义书签。 2.1.1国家电网公司等保评测结果.............................. 错误!未定义书签。 2.1.2公安部等保测评结果.......................................... 错误!未定义书签。 2.2等级保护建设总体目标 (2) 3.安全域及网络边界防护 (3) 3.1信息网络现状 (3) 3.2安全域划分方法 (4) 3.3安全域边界 (5) 3.3.1二级系统边界 (5) 3.3.2三级系统边界 (6) 3.4安全域的实现形式 (7) 3.5安全域划分及边界防护 (8) 3.5.1安全域的划分 (8) 4.信息安全管理建设 (11) 4.1建设目标 (11) 4.2安全管理机构建设..................................................... 错误!未定义书签。 4.3安全管理制度完善..................................................... 错误!未定义书签。 5.二级系统域建设 (12) 5.1概述与建设目标 (12) 5.2网络安全 (13) 5.2.1网络安全建设目标 (13) 5.2.2地市公司建设方案 (13) 5.3主机安全 (19) 5.3.1主机安全建设目标 (19)
安全管理体系 总则 一、 公司概况: 公司依托政府的大力支持,以高素质的管理团队、高水平的技术支持、高效率的服务质量,以让“北京的冬天绿起来、美起来”的梦想为己任,以“务实规范、诚信服务、追求卓越“为理念,从客户需求和利益出发,竭诚服务客 商户,遵纪守法经营,全力打造“华源发”绿领品牌,响应党的十八大提出的建设生态文明、构筑美丽中国的号召,发展国家级绿色生态经济产业,继续向打造具有北方特色的低碳、生态、节能、环保、零排放的国家级“花园型”交易市场迈进,把华源发公司缔造成为享誉绿化行业标杆企业形象。 二、为加强公司各单位、部门及门店的生产、治安、消防安全管理,保护财产及生命财产安全,根据国家法律、法规和有关规定,结合本单位实际情况,制订本制度。? 三、本规定自公布之日起施行。 安全管理目标 严格落实安全法律法规和各项规章制度,加强隐患治理,消灭违章事故,消灭重复事故,确保生产安全。 、贯彻落实安全法律法规和各项规章制度。 、杜绝伤亡事故,重伤事故,减少轻伤事故,死亡及重伤(含交通责任)事故为零。?? 、安全管理人员及特种作业人员要全部经过专业培训,持证上岗要达到 ???。 、生产现场安全达标合格率要达到 ???,生产责任事故为零。?????? 、安全培训教育 ???;新员工入职三级安全教育 ???。 、杜绝火灾事故,电气重大火灾事故为,重大火灾(爆炸)事故为零。 、杜绝机械设备重大事故,重大设备事故为 。 、道路交通重大责任事故为 。 、年、季、月度公司安全指令性工作任务完成率 ???。 ?、杜绝食物中毒事故和重大传染病事故为 。 ?、施工现场达标率为 ???。 ?、产品质量事故率为零。? ?、客户问询答复率 ????。???????????????? ?、相关方投诉接受处理率 ???。??????????? ?、安全隐患整改落实率 ???
A 公司内控体系建设实施方案 附件: A 公司 内部控制体系建设项目实施方案 A公司(以下简称“ A公司”或“贵公司”),委托 B公司(北京)咨询有限公司(以下简称“ B公司”或“我们”),协助执行内部控制体系建设项目。实施方案如下: 一、项目目标 通过本项目的实施,我们将协助贵公司梳理内部管理流程,完善财 务和营运系统的内部控制,并理顺财务系统和营运系统的对接,建立符 合证券监管要求和公司需求的内部控制体系。 我们将在项目实施过程中注重达成下述目标: 1、完成一套标准的内部流程梳理,内容涵盖公司及其子公司的业 务范围; 2、审阅管理制度和流程文件,提出审阅意见; 3、梳理和测试公司现有内控体系的缺陷,编制《内控测评报告》,并推动整改; 4、修订公司相关岗位的内控职责和授权审批体系; 5、根据《企业内部控制基本规范》和《企业内部控制应用指引》,编制《内部控制手册》和《内部控制评价手册》; 6、完成内部控制体系建设和运用的宣贯培训; 二、实施步骤 根据贵公司的业务类型及内控管理情况,我们将按以下步骤实施本项目: 工作内容预计时间阶段成果 前期规划及项目启动 1 周详细工作计划
A 公司内控体系建设实施方案 现状分析和内控测试 6 周内控测评报告 内控体系设计8 周内部控制手册 自我评价体系设计 3 周内部控制评价手册 培训宣贯和实施 3 周根据内控实施进度按公司管理层级 进行的培训 我们的工作内容包括: (1)通过获取资料、管理层沟通等方式了解公司的总体架构、授 权体系、主要管理流程、业务流程、业务流程与财务流程的 衔接等方面的实际情况; (2)与主要业务人员访谈,熟悉公司总部的主要管理流程,并判 断各个流程的重要控制点; (3)执行穿行性测试和控制测试,掌握对各流程文件及管理制度 的实际执行情况,分析具体的内部控制执行状况; (4)鉴别现有内部控制(包括 IT 系统)的缺陷,并提出改善意见; (5)协助公司明确各流程中涉及的各部门的职责和分工,明确各 流程中关键岗位的职责和分工; (6)对实现流程目标所需要的授权体系给出框架性建议; (7)提出制度体系修改完善意见; (8)补充和修订各项流程文件(含控制矩阵和流程图)和操作表 单(包括 IT 信息系统); (9)集结成册,编制管理总部的《内部控制手册》及《内部控制评 价手册》,作为指导公司总部开展内控工作的纲领性文件。
信息系统等级保护建设 指导要求 (三级)
目录 1. 范围............................................................................................................错误!未定义书签。 2. 项目背景....................................................................................................错误!未定义书签。 2.1. 前言................................................................................................错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据 ....................错误!未定义书签。 2.2.1信息安全等级保护有关法规、政策、文件...........................错误!未定义书签。 2.2.2信息安全等级保护技术标准体系及其关系...........................错误!未定义书签。 3. 方案设计要求 (4) 3.1. 方案设计思想 (4) 3.1.1构建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2建立科学实用的全程访问控制机制 (4) 3.1.3加强源头控制,实现基础核心层的纵深防御 (5) 3.1.4面向应用,构建安全应用支撑平台 (6) 3.2. 建设原则 (6) 3.3. 建设内容 (8) 3.3.1信息系统定级整改规划...........................................................错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计(三级)...................错误!未定义书签。 3.4. 计算环境安全设计 (10) 5.1.1用户身份鉴别...........................................................................错误!未定义书签。 5.1.2强制访问控制...........................................................................错误!未定义书签。 5.1.3系统安全审计 (11) 5.1.4用户数据完整性保护 (11) 5.1.5用户数据机密性保护...............................................................错误!未定义书签。 5.1.6客体安全重用...........................................................................错误!未定义书签。 5.1.7程序可执行保护.......................................................................错误!未定义书签。 3.5. 区域边界安全设计 (11) 5.2.1区域边界访问控制 (11) 5.2.2区域边界包过滤 (14) 5.2.3区域边界安全审计 (14) 5.2.4区域边界完整性保护...............................................................错误!未定义书签。 3.6. 安全通信网络设计 (16) 3.7. 安全管理中心设计........................................................................错误!未定义书签。 4. 物理安全要求............................................................................................错误!未定义书签。 4.1. 信息系统中心机房安全现状........................................................错误!未定义书签。 4.2. 信息系统物理安全方面提出的要求............................................错误!未定义书签。 4.3. 信息系统物理安全建设................................................................错误!未定义书签。 5.3.1环境安全...................................................................................错误!未定义书签。 5.3.2设备安全...................................................................................错误!未定义书签。 5.3.3介质安全...................................................................................错误!未定义书签。 5. 管理安全要求............................................................................................错误!未定义书签。 5.1. 信息系统安全管理的要求............................................................错误!未定义书签。 5.2. 信息系统安全管理建设设计........................................................错误!未定义书签。 6.2.1安全管理建设原则...................................................................错误!未定义书签。
第五章环境保护管理体系与措施 第一节组织机构 一、组织机构 建立以项目经理为负责人的环境保护领导小组和环保体系,明确各部门在施工期间环境保护工作中的职责。 环保领导小组组织机构图
二、工作职责 1、项目经理的环保工作职责 (1)对本工程的环保工作负全部领导责任。 (2)认真领导、贯彻、执行有关的环保法律与法规、施工期环境保护行动计划和业主提出的施工环保要求,领导审定施工方案中各项环保措施,审批本项目环保规定。 (3)领导组织对职工进行施工环保的宣传教育,提前安排环保培训,经常总结推广施工环保先进经验。 (4)负责按规定设置施工环保机构,配齐称职的专、兼职施工环保员,并对施工环保员的工作经常予以支持、督促、检查。 2、环保工程师的环保工作职责 (1)协助项目经理抓好本项目施工环保管理工作。 (2)组织编写施工方案中的环保措施,组织编写项目环保规定。 (3)组织环保法律、法规和环保技术知识的普及教育及专、兼职环保员的培训。 (4)施工过程中执行指导、检查、监督的职责。 3、施工工长的环保工作职责 (1)学习施工方案中的环保措施方案和项目环境规定,并向全体操作人员逐条详细交底。 (2)对施工机械设备、工具和辅助设施等保证达到环保的要求。 (3)负责对所属人员的安全教育,安排好环保培训,坚持环保人员持证上岗。
(4)领导本队定期环保检查,对隐患问题及时制定整改措施并实施。 4、环保员的职责 (1)协助制定、审查、修订项目环保规章制定,并督促职工严格执行。 (2)佩戴标志上岗,检查、督促作业人员做好环保工作。 (3)跟班进行检查,对于违反环保规定的作业及时制止,遇到不听劝阻者,有权先停止其工作,并立即向领导汇报。
安全管理体系与措施 安全管理体系 (一)、安全保证组织机构 针对本工程、本承包人将成立安全生产领导小组,由项目经理任组长,安全组为专职管理部门,下设专职安全员;各施工队设安全生产小分组,由施工队队长任小分组组长,小分组下设专职安全员。建立健全的安全生产组织,监督施工中安全生产,实施施工过程中安全管理职能。 安全管理组织机构图 (二)、人员配置
项目经理部机务安全科设安全组,编制2人,各施工队分别配置l名安全员。 (三)、安全保证检查程序 施工中各施工队安全员在现场进行安全检查,发现问题,及时向项目部汇报,及时解决。 项目部安全领导小组定期对各施工队的工作进行检查,并帮助各施工队解决现场实际问题。 (四)、制定安全方针 安全第一,预防为主。做到思想保证、组织保证和技术保证,确保施工中人身、设备的安全。 (五)、建立健全安全生产保障体系 1、⑴、组织保证体系 ①、认真贯彻执行国家有关安全生产和劳动保护的方针、政策、法令以及上级有关规章制度、指示和决议,并组织检查执行情况。 ②、就工程项目安全生产的重大事项作出决策。 ③、负责制订工程项目的安全生产规划和各项管理制度,并及时研究和解决实施中出现的困难和问题。 ④、定期进行全面的安全生产大检查,召开专门会议,分析安全生产形势,制订包括消除重大安全隐患的预防措施。 ⑤、协助上级主管部门进行对安全伤亡事故的调查、分析和处理。 ⑵、制度保证体系 安全生产的制度保证体系由岗位管理、措施管理、投入和物资管理
以及日常管理等4个方面的制度组成。 ①、岗位管理制度主要包括: a安全生产组织制度(即组织保证体系的人员设置构成);b安全生产责任制度; c安全生产教育培训制度; d安全生产岗位认证制度; e安全生产值班制度; f特种作业人员和外协力量管理制度; g安全生产奖罚制度。 ②、措施管理制度主要包括: a安全技术措施的编制和审批制度; b安全技术措施的实施管理制度; c安全技术措施的总结和评价制度。 ③、投入和物资管理制度主要包括: a安全设备、设施和措施费用的编制和审批制度; b劳动保护用品的购入(添置)、发放与管理制度; c特种劳动防护用品定点使用管理制度。 ④、日常管理制度主要包括: a安全生产检查制度; b安全生产验收制度; c安全生产交接班制度; d安全隐患处理和安全整改工作的备案制度;