等级保护管理体系设计

  • 格式:docx
  • 大小:140.37 KB
  • 文档页数:17

1.1.1等级保护管理体系设计1.1.1.1设计等级保护的方针与政策根据国家安全等级保护对安全管理体系建设的要求,为了对信息系统正常运行提供安全管理保障。

结合信息安全规划和评估服务中安全管理评估的结果,协助XX国土资源厅对安全管理和执行过程通过安全策略、管理制度、操作规范等文件方式加以固化。

下面的方案对信息安全管理体系分别从策略、运作和组织三个方面阐述●安全策略——包括总体安全方针和各种指导策略、技术标准、管理标准等,是信息安全的最核心问题,是整个信息安全建设的依据;●安全运作——整个信息安全框架的执行环节。

通过明确安全运作的制度和各部分管理制度,保证安全框架的有效性。

●安全组织——主要是人员、组织和流程的管理,是实现信息安全的落实手段;通过前面的安全需求分析,发现XX国土资源厅目前的整体策略体系不够完整,没有将XX国土资源厅高层领导对于信息安全的重视体现在正式的、成文的、可操作的策略和规定上,特别是没有一个最高的信息安全最高方针文件给出全面的、具体的、可操作的指导。

本次项目,建议由XX国土资源厅组织相关人员,协助制定信息安全总体方针。

最高方针应当明确信息安全的目的,方针保证的内容,适用性、目标、遵循的法律、策略细化的要点、相应人员的基本职责和回顾机制等。

最高方针是建立策略体系,指导安全工作的基础。

1.1.1.2设计等级保护安全组织与人员管理1.1.1.2.1设计等级保护安全组织从宏观上讲《中华人民共和国计算机信息系统安全保护条例》第十三条规定:“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作”。

从微观上讲《计算机信息系统安全保护条例》第四条明确规定:“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

”切实保护信息系统的安全更是维护国家利益的需要,还必须从根本上认识到,这是法律所赋予的责任,是必须履行的责任。

本项目中,旨在帮助XX国土资源厅建立起安全组织,并协助XX国土资源厅制定安全组织有关管理规定。

安全组织的运行应独立于信息系统的运行,是一个综合性的组织。

●信息安全组织应当由单位安全负责人领导,不隶属于计算机运行或计算机应用部门。

该安全组织是本单位的常设工作职能机构,其具体工作应当由专门的安全负责人负责,●安全组织的成员类型主要有:硬件、软件、系统分析、人事、保卫等本单位应用业务,以及其他所需要的业务技术专家等人员,人员角色可以重叠,最好不要一人兼全职。

●该组织一般有着双重的组织联系:接受当地公安机关计算机安全监察部门的管理、指导,以及与本业务系统上下级安全管理工作联系。

◆制定基本安全防范措施:●在政府主管部门的管理指导下,由与系统有关的各方面的专家,定期或适时进行风险分析,根据本单位的实际情况和需要,确定计算机信息系统的安全等级管理总体目标,提出相应的对策并监督实施,使得重庆劳动保障信息系统的应用发展建设,能够与计算机安全保护工作同步前进。

◆安全组织的基本标准:●由主管领导负责的逐级计算机安全防范责任制,各级的职责划分明确,并能有效地开展工作。

●明确计算机使用部门或岗位的安全责任制。

●有专职或兼职的安全员,各部门或机构应确立计算机委员会、安全组织等逐级的安全管理机制,安全组织人员构成要合理,并能切实发挥职能作用。

●有健全的安全管理规章制度。

按照国家有关法律法规的规定,建立、完善各项计算机安全管理规章制度,并落到实处。

●在职工中普及安全知识,提高信息安全意识,对重点岗位的职工进行专门的培训和考核,持证上岗。

●定期进行计算机信息系统风险分析,并对信息安全实行等级保护制度,本着保障安全、有利于工作和节约的原则,制定安全政策。

●在实体安全、信息安全、运行安全和网络安全等方面采取必要的安全措施。

●对本部门计算机信息系统安全保护工作有档案记录和应急计划。

●严格执行计算机信息系统案件上报制度,对信息系统安全隐患能及时发现并及时采取整改措施。

●对信息系统安全保护工作定期总结评比,奖惩严明。

1.1.1.2.2安全等级保护运维组织架构安全监管体系中一个重要组成部分就是安全运维组织。

安全服务团队经过标准安全运维服务培训,结合自身丰富的安全运维服务经验,组建了国内最强大的安全服务外包团队。

依据国际化标准优化安全组织体系,针对行业组织特点、网络规模为客户设计最合理的安全运维组织架构。

作为政府的运行环境,建议的安全监管系统的管理结构如下图所示:图:安全运维组织结构图安全运维组织由四个小组构成:安全专家组、监控运维组、安全支持组、安全协调组。

安全专家组:主要由XX国土资源厅内部及外部经验丰富的网络安全专家、各类系统安全专家、数据库安全专家、应用系统安全专家、防病毒安全专家以及信息安全专家等构成;是安全监控管理运维组的重要支撑与技术顾问;负责各类疑难复杂安全事件的分析与处理。

专家级成员对自己所负责的领域非常精通,能够快速定位、分析、处理各类突发事件。

监控运维组:主要由一定数量的安全运维工程师组成,分为几组轮流值班工作,为业主方提供5*8或者7*24*365天的在线监控,其主要职责包括:a)集中一屏式监控:通过监控台实时监控来自各安全设备的各类安全事件、警报信息。

对经过平台智能分析处理后的安全报警事件,进行简单分析处理,对于重要安全事件,提交安全事件工单,通知相应专家处理,避免发生安全事故或者事件影响扩大。

b)事件处理:通过监控操作平台对实时入侵安全事件进行分析,并阻断、瓦解攻击。

c)安全应急电话处理:实时接听、记录进入呼叫中心的应急电话,并且结合监控平台的安全知识库第一时间解决处理安全事件。

对于无法解决的问题提交给对应的安全专家处理,处理结果自动添加进入安全知识库。

d)安全报告生成与分发:根据业务安全需要定期通过安全监管平台生成所需的安全报告,为企业、客户安全决策提供依据;e)定期分发安全通告信息;安全支持组:主要是业主方IT管理维护人员,网络管理人员、系统管理人员、应用管理人员、数据库维护管理人员、设备供应商的技术支持人员等;安全监控运维组人员在监控过程中如果发现一些问题应该及时与在现场的安全支持组人员联系,双方配合实现信息安全事件的实时监控、跟踪、发现、处理和响应。

安全协调组:工单管理员主要负责安全事件工单的监控、派发、资源协调等工作,保证安全事件得到及时妥善处理。

外部协调员主要负责与国土资源部信息安全部门、国内与国际CERT组织的沟通与协调;及时在一些重大安全问题和事件上与相关组织交换信息。

1.1.1.2.3人员管理人员管理这里指的是对所有XX国土资源厅和与XX国土资源厅发生关系的人员的管理制度,可以分为本行人员与第三方人员分别进行管理。

人员管理在策略与制度建立的同时,在组织机构上和人员配备上必须进行相应调整,并建立完善的机构与人员相关制度。

同时按照《信息系统安全等级保护基本要求》人员管理和组织策略管理要求,并参照公安部等级保护条例的要求,设计实际可行的人员相关制度。

●第三方人员管理“第三方”通常是指软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商,实习生,临时工等。

实际访问,如对办公室、机房的物理访问:临时来访的第三方,指因业务洽谈、参观、交流、提供短期和不频繁的技术支持服务而临时来访的第三方组织或个人。

非临时来访的第三方,指因从事合作开发、参与项目工程、提供技术支持、售后服务、服务外包或顾问服务等,必须在移动办公和工作的信息访问,如对信息系统、主机、网络设备、数据库的访问。

维护服务商类包括软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商等,主要是工程建设和运行维护期间的对移动网络信息系统的访问。

除了在本地访问,也会有远程访问。

建议出台维护服务商的管理办法对于这两种短期和长期的实际物理访问,应出台不同的管理规定,负责接待的部门和接待人对第三方来访的安全负责,并对访问机房等敏感区域持谨慎态度。

1.1.1.3设计等级保护系统安全策略XX国土资源厅的业务发展中,信息系统的作用毋庸置疑。

随之带来的信息安全问题也同样占有重要的地位。

要解决好信息安全问题的首要任务就是——制订完整的、切合实际的、具有前瞻性的信息安全策略,并能够落实执行。

信息安全涉及信息系统的各个方面,又是一发展极为迅速的领域,单独一个标准、一个纲要是不能解决全部问题的。

因此需要制订一个安全策略系列,策略系列在总体纲要的指导下,各自解决一部分问题。

本次项目由XX国土资源厅组织相关人员撰写,协助建立和完善信息安全策略系列,包括:●安全风险管理策略●业务连续性管理策略●信息资产分级分类策略●安全培训与教育策略●安全审计策略1.1.1.3.1安全风险管理策略XX国土资源厅的安全风险管理的策略需要描述以下三方面:1、资产分析:编制各项信息资产清单,选择合适的资产分类方式对资产进行分类管理,针对类别对资产进行重要性分析,并对资产进行定性赋值分析;2、安全评估:对信息系统面临的威胁应针对分类资产进行较为详细的分析,给出威胁分析列表;除通过人工检查和工具扫描的方式对信息系统的脆弱性进行分析外,还应在条件许可的情况下,进行渗透测试,给出系统脆弱性的评估列表,应至少采用定性的风险分析方法对安全风险进行评估,并能够依据风险评估结果选择安全措施。

3、选择和实施风险控制措施:对于评估的结果分析,制订文档化的安全风险分析和评估活动程序规范风险管理活动同时对三个方面的有机结合的描述。

1.1.1.3.2业务连续性管理策略XX国土资源厅的业务连续性策略用于规范一系列连续性计划。

包括:紧急响应流程、备份与恢复、日常维护与危机处理机制等设计。

●通过备份与恢复、日常维护与危机处理机制,指导备份和恢复活动;●对安全事件进行分类、分级,建立安全事件的报告制度;●建立安全弱点和可疑事件的报告制度;●制定应急计划,规范机构各部门紧急事件处理行为1.1.1.3.3信息资产分级分类策略对于以信息为核心资产的信息系统,对其分级的主要策略是按照信息重要程度划分原则,重要性确定的因素是当信息不可用或丢失时对国家安全、社会公共利益,公民、法人和其他组织的合法权益的危害程度对于分级信息在分区域保护原则基础上,对于其中某些应用由于其处理、存储或传输的信息的性质,或者由于其对机构完成任务使命关键性质,需要得到重点的安全保护。

等级保护应集中资源首先确保重点应用安全,安全等级需求高的重要应用应优先实施等级保护。

策略中需要描述信息重要程度划分原则,重要性确定等内容。

1.1.1.3.4安全培训与教育策略XX国土资源厅各部门工作的普通员工凡是能够接触主要服务系统的工作人员。

为了确保信息安全,对所有的职工,从信息主管到一般的工作人员都要加强信息安全意识,需要对信息主管和普通工作人员的安全培训课程。