企业IT信息安全规划

企业IT信息安全规划企业IT信息安全规划第1页应用系统信息化建设目标IT安全信息安全管理信息安全技术支持类运行类决议类专业类信息化蓝图分类之（五）IT安全IT治理IT组织机构IT人员IT流程和制度IT运维企业服务平台企业服务总线（ESB）业务流程管理（BPM）基础设施平台数据中心基础架构安全与管理网络与链路桌面终端企业IT信息安全规划第2页XX集团信息安全体系框架及设计目标基于XX集团信息化安全现实状况和设计标准，提出信息安全未来建设目标制订和实施符合国家《信息系统安全等级保护基础要求》以及XX集团信息系统现实状况安全管理策略和规范在信息中心设置信息安全岗位，并完善职责规范制订明确信息安全策略，定时进行安全风险评定和审核，并制订连续改进计划对关键安全技术平台防病毒、防火墙、入侵检测系统实现，统一安全产品选型、统一安全产品布署、统一安全策略公布统一内部基础网络规划，对不一样安全要求内网接入进行访问控制管理建设满足业务需求信息系统灾难恢复能力安全技术安全管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理层面安全控制网络层面安全控制主机层面安全控制应用层面安全控制数据层面安全控制企业IT信息安全规划第3页信息安全管理对象与标准介绍安全管理职责分离标准对于一些包括敏感数据处理计算机系统安全管理而言，以下工作应分开进行：系统操作和系统开发相分离。这么系统开发者即使知道系统有那些安全漏洞也没有机会利用；机密资料接收和传送相分离。这么任何一方都无法对资料进行篡改；安全管理和系统管理相分离。这么可使制订安全办法人并不能亲自实施这些安全办法而对其起到制约作用；系统操作和备份管理相分离。结合日志管理，以实现对数据处理过程监督；除要符合中国安全规范外，还要符合国际规范，如ISO27001、ISO17799等。邮件系统要防止出现列入黑名单情况。安全管理多人负责标准、任期有限标准多人负责标准：出于相互监督和相互备份考虑，如只有单人负责，则若发生安全问题时此人不在岗就不能处理，或者他本人有安全问题时，极难觉察。任期有限标准：出于监督目标，负责系统安全和系统管理人员要有一定轮换制度，以预防由单人长久负责一个系统安全而造成漏洞。安全管理对象安全管理对象是整个系统而不是系统中某个或一些元素。系统全部组成要素都是管理对象，从系统内部看，安全管理包括计算机、网络、操作、人事和信息资源；从外部环境看，安全管理包括法律、道德、文化传统和社会制度等方面内容企业IT信息安全规划第4页信息安全管理是一个连续性闭环过程评定风险决议支持实施控制评测安全管理信息安全管理信息安全管理可定义为含有四个主要阶段连续过程：评定风险：识别组织风险并区分其严重程度。这些风险可能与特定IT系统和资产相关或无关；决议支持：依据定义成本-收益分析过程确定并选择控制处理方案；实施控制：布署并操作全方面控制处理方案以降低信息安全风险；衡量评测：确定并汇报已布署控制办法有效性，以将风险管理至可接收等级。企业IT信息安全规划第5页为保障信息安全制度执行和落实，必需明确信息安全职能，建立对应信息安全组织对标国家《信息系统安全等级保护基础要求》，当前XX基础建立对应信息安全组织和职能应设置安全主管、安全管理各个方面责任人岗位，并定义各责任人职责；应设置系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位职责。岗位设置人员配置授权和审批沟通和合作审核和检验应配置一定数量系统管理员、网络管理员、安全管理员等；安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。应依据各个部门和岗位职责明确授权审批部门及同意人，对系统投入运行、网络系统接入和主要资源访问等关键活动进行审批；应针对关键活动建立审批流程，并由同意人签字确认。应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部合作与沟通。定时进行安全检验，检验内容包含系统日常运行、系统漏洞和数据备份等情况。现实状况设置了明确信息安全岗位职责，但未设专员进行日常运行监管。当前相关管理人员配置不够，个别岗位无专职人员。信息中心对XX网络安全接入与资源访问建立了明确审批流程。当前信息安全工作仅限于信息人员内部，缺乏与其它业务部门合作与沟通。XX未制订信息安全内部审计、管理评审及有效性度量相关制度，未成立安全内部审核小组。安全组织职能要求描述非常微弱比较微弱很好非常好普通企业IT信息安全规划第6页信息安全现实状况评定——安全管理差距概述现实状况总体评价：XX已经编制信息安全管理规范，并已于年开启推广；XX信息系统建设和运维安全管理力度相对微弱；安全管理人员配置不够；相关流程和制度执行有待改进。主要存在问题：初步改进提议：当前XX内部已建立专职信息安全组织和人员，但从事信息安全相关工作人员信息安全从业资质认证覆盖百分比不够。XX信息系统建设和运维安全管理力度相对微弱；安全管理人员配置不够，相关流程和制度执行有待改进。信息安全内部审计、管理评审及有效性度量等相关制度需进行完善。深入提升从事信息安全相关工作人员信息安全从业资质认证覆盖百分比。深入加强信息系统相关安全管理人员配置，按摄影关岗位要求配置专员进行管理。尽快完善相关管理制度。企业IT信息安全规划第7页信息安全现实状况评定——安全技术差距概述现实状况总体评价：经过实施第一期SOC平台对集团总部已经布署全部安全设施进行集中管控。后续将逐步推进SOC平台到各下属企业，经过在各下属企业分节点布署数据采集引擎方法，将节点数据逐步汇聚到集团SOC平台中。对关键系统实施灾难恢复方案，备份方式主要采取数据异地容灾备份。XXSOC平台在应用过程中缺乏专员进行系统运行、维护以及系统相关问题管理。主要存在问题：初步改进提议：XXSOC平台在应用过程中缺乏专员进行系统运行、维护以及系统相关问题管理。深入提升从事信息安全相关工作人员信息安全从业资质认证覆盖百分比。深入加强信息安全系统建设和运维安全管理力度，相关安全管理人员按摄影关要求尽快配置到位。企业IT信息安全规划第8页XX信息化安全现实状况评价总结非常微弱比较微弱很好非常好普通名称内容评定分数安全管理XX已编制信息安全管理规范，并于开启推广。XX信息系统建设和运维安全管理力度相对微弱。安全管理人员配置不够，相关流程和制度执行有待改进。XX信息安全内部审计、管理评审及有效性度量等方面有待加强。安全技术经过第一期SOC平台对集团总部全部安全设施进行集中管控。后续逐步推进SOC平台到各下属企业，经过在各下属企业分节点布署数据采集引擎方法，将节点数据逐步汇聚到集团SOC平台中。需深入提升从事信息安全相关工作人员信息安全从业资质认证覆盖百分比。需深入加强信息安全系统建设和运维安全管理力度，相关安全管理人员按摄影关要求尽快配置到位。企业IT信息安全规划第9页XX集团信息安全设计标准外部标准企业需求可实施性覆盖度方案设计要满足国资委信息化评测标准（安全个别）、公安部信息安全要求、电监会信息安全要求、XX集团企业安全规范等信息化安全方面要求或标准信息化安全方案制订应充分考虑XX集团信息化应用现实状况及发展方向，与应用系统分布及基础架构相匹配安全方案才能保障信息化安全可靠运行在方案设计时，需要充分考虑实施中风险，以及实施周期和成本，对潜在风险必须做充分分析并给出对应处理对策全覆盖安全体系，对象范围覆盖最终用户、服务器端以及信息网络，在企业内部做到信息安全死角为零可管理性安全平台设计应充分考虑到后期运行层面与管理层面平衡性企业IT信息安全规划第10页国家经过出台《信息系统安全等级保护基础要求》，明确了信息安全管理规范框架管理制度制订和公布评审和修订岗位设置人员配置授权和审批沟通和合作审核和检验人员录用人员离岗人员考评安全意识教育和培训外部人员访问管理系统定级安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付系统立案等级测试安全服务商选择环境管理资产管理介质管理设备管理监控管理和安全中心网络安全管理系统安全管理恶意代码防范密码管理变更管理备份与恢复管理安全事件处置应急预案管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全技术安全管理国资委央企信息化评价，重点考查信息安全参考标准和认证情况，信息技术安全机制建设情况，采取安全办法信息化安全事故情况，与此框架相吻合 企业IT信息安全规划第11页目录XX集团信息化蓝图架构信息安全规划信息安全目标框架及设计目标信息安全目标体系XX容灾体系企业IT信息安全规划第12页管理制度制订信息安全工作总体方针和安全策略，说明集团安全工作总体目标、范围、标准和安全框架等应对安全管理活动中主要管理内容建立安全管理制度应对安全管理人员或操作人员执行主要管理操作建立操作规程制订和公布应指定或授权专门部门或人员负责安全管理制度制订应组织相关人员对制订安全管理制度进行论证和审定应将安全管理制度以某种方式公布到相关人员手中评审和修订应定时对安全管理制度进行评审，对存在不足或需要改进安全管理制度进行修订信息安全目标体系-XX安全管理制度安全技术安全管理企业IT信息安全规划第13页沟通和合作应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部合作与沟通与保持合作单位、公安机关、电信企业合作与沟通

审核和检验安全管理员应负责定时进行安全检验，检验内容包含系统日常运行、系统漏洞和数据备份等情况岗位设置应设置专职安全主管、安全管理各个方面责任人岗位，并定义各责任人职责应设置系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位职责人员配置应配置一定数量系统管理员、网络管理员、安全管理员等安全管理员不能兼任网络管理员、系统管理员、数据库管理员等授权和审批应依据各个部门和岗位职责明确授权审批部门及同意人，对系统投入运行、网络系统接入和主要资源访问等关键活动进行审批应针对关键活动建立审批流程，并由同意人签字确认信息安全目标体系-XX安全管理机构安全技术安全管理企业IT信息安全规划第14页安全意识教育和培训应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训应通知人员相关安全责任和惩戒办法，并对违反违反安全策略和要求人员进行惩戒应制订安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训外部人员访问管理应确保在外部人员访问受控区域前得到授权或审批，同意后由专员全程陪同或监督，并登记立案人员录用应规范人员录用过程，对被录用人员身份、背景和专业资格等进行审查，对其所含有技术技能进行考评应与从事关键岗位人员签署保密协议人员离岗应规范人员离岗过程，及时终止离岗员工全部访问权限应取回各种身份证件、钥匙、徽章等以及机构提供软硬件设备应办理严格调离手续人员考评应定时对各个岗位人员进行安全技能及安全认知考评信息安全目标体系-集团人员安全管理安全技术安全管理企业IT信息安全规划第15页系统交付应制订系统交付清单，并依据交付清单对所交接设备、软件和文档等进行清点应对负责系统运行维护技术人员进行对应技能培训应确保提供系统建设过程中文档和指导用户进行系统运行维护文档安全服务商选择应确保安全服务商选择符合国家相关要求应与选定安全服务商签署与安全相关协议，明确约定相关责任应确保选定安全服务商提供技术支持和服务承诺，必要与其签署服务协议外包软件开发应依据开发要求检测软件质量应确保提供软件设计相关文档和使用指南应在软件安装之前检测软件包中可能存在恶意代码应要求开发单位提供软件源代码，并审查软件中可能存在后门测试验收应对系统进行安全性测试验收在测试验收前应依据设计方案或协议要求等制订测试验收方案，在测试验收过程中应详细统计测试验收结果，并形成测试验收汇报应组织相关部门和相关人员对系统测试验收汇报进行审定，并签字确认工程实施应指定或授权专门部门或人员负责工程实施过程管理应制订详细工程实施方案，控制工程实施过程信息安全目标体系-系统建设管理（1）安全技术安全管理企业IT信息安全规划第16页系统定级应明确信息系统边界和安全保护等级应以书面形式说明信息系统确定为某个安全保护等级方法和理由应确保信息系统定级结果经过相关部门同意安全方案设计应依据系统安全保护等级选择基础安全办法，依据风险分析结果补充和调整安全办法应以书面形式描述对系统安全保护要求、策略和办法等内容，形成系统安全方案应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用详细设计方案应组织相关部门和相关安全技术教授对安全设计方案合理性和正确性进行论证和审定，而且经过同意后，才能正式实施产品采购和使用应确保安全产品采购和使用符合国家相关要求应确保密码产品采购和使用符合国家密码主管部门要求应指定或授权专门部门负责产品采购自行软件开发应确保开发环境与实际运行环境物理分开应制订软件开发管理制度，明确说明开发过程控制方法和人员行为准则应确保提供软件设计相关文档和使用指南，并由专员负责保管信息安全目标体系-系统建设管理（2）安全技术安全管理安全方案设计自行软件开发企业IT信息安全规划第17页介质管理应确保介质存放在安全环境中，对各类介质进行控制和保护，并实施存放环境专员管理应对介质归档和查询等过程进行统计，并依据存档介质目录清单定时盘点应对需要送出维修或销毁介质，首先去除其中敏感数据，预防信息非法泄漏应依据所承载数据和软件主要程度对介质进行分类和标识管理密码管理应使用符合国家密码管理要求密码技术和产品环境管理应指定专门部门或人员定时对机房供配电、空调、温湿度控制等设施进行维护管理应配置机房安全管理人员，对机房出入、服务器开机或关机等工作进行管理应建立机房安全管理制度，对相关机房物理访问物品带进、带出机房和机房环境安全等方面管理作出要求应加强对办公环境保密性管理，包含工作人员调离办公室应马上交还该办公室钥匙和不在办公区接待来访人员等资产管理应编制与信息系统相关资产清单，包含资产责任部门、主要程度和所处位置等内容应建立资产安全管理制度，要求信息系统资产管理责任人员或责任部门，并规范资产管理和使用信息安全目标体系-系统运维管理（1）安全技术安全管理企业IT信息安全规划第18页设备管理应对信息系统相关各种设备（包含备份和冗余设备）、线路等指定专门部门或人员定时进行维护管理应建立基于申报、审批和专员负责设备安全管理制度，对信息系统各种软硬件设备选型、采购、发放和领用等过程进行规范化管理应对终端计算机、工作站、便携机、系统和网络等设备操作和使用进行规范化管理，按操作规程实现关键设备（包含备份和冗余设备）开启/停顿、加电/断电等操作应确保信息处理设备必须经过审批才能带离机房或办公地点变更管理应确认系统中要发生主要变更，并制订对应变更方案系统发生主要变更前，应向主管领导申请，审批后方可实施变更，并在实施后向相关人员通告信息安全目标体系-系统运维管理（2）恶意代码防范管理应提升全部用户防病毒意识，通知及时升级防病毒软件，在读取移动存放设备上数据以及网络上接收文件或邮件之前，先进行病毒检验，对外来计算机或存放设备接入网络系统之前也应进行病毒检验应指定专员对网络和主机进行恶意代码检测并保留检测统计应对防恶意代码软件授权使用、恶意代码库升级、定时汇报等作出明确要求安全技术安全管理企业IT信息安全规划第19页网络安全管理应指定人员对网络进行管理，负责运行日志、网络监控统计日常维护和报警信息分析和处理工作应建立网络安全管理制度，对网络安全配置、日志保留时间、安全策略、升级与打补丁、口令更新周期等方面作出要求应依据厂家提供软件升级版本对网络设备进行更新，并在更新前对现有主要文件进行备份应定时对网络系统进行漏洞扫描，对发觉网络系统安全漏洞进行及时修补应对网络设备配置文件进行定时备份应确保全部与外部系统连接均得到授权和同意信息安全目标体系-系统运维管理（3）系统安全管理应依据业务需求和系统安全分析确定系统访问控制策略应定时进行漏洞扫描，对发觉系统安全漏洞及时进行修补应安装系统最新补丁程序，在安装系统补丁前，应首先在测试环境中测试经过，并对主要文件进行备份后，方可实施系统补丁程序安装应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出要求应依据操作手册对系统进行维护，详细统计操作日志，包含主要日常操作、运行维护统计、参数设置和修改等内容，禁止进行未经授权操作应定时对运行日志和审计数据进行分析，方便及时发觉异常行为安全技术安全管理企业IT信息安全规划第20页备份与恢复管理应识别需要定时备份主要业务信息、系统数据及软件系统等应要求备份信息备份方式、备份频度、存放介质、保留期等应依据数据主要性及其对系统运行影响，制订数据备份策略和恢复策略，备份策略指明备份数据放置场所、文件命名规则、介质替换频率和数据离站运输方法应急预案管理应在统一应急预案框架下制订不一样事件应急预案，应急预案框架应包含开启应急预案条件、应急处理流程、系统恢复流程、事后教育和培训等内容应对系统相关人员进行应急预案培训，应急预案培训应最少每年举行一次信息安全目标体系-系统运维管理（4）安全事件处置应汇报所发觉安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点应制订安全事件汇报和处置管理制度，明确安全事件类型，要求安全事件现场处理、事件汇报和后期恢复管理职责应依据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生影响，对本系统计算机安全事件进行等级划分应统计并保留全部汇报安全弱点和可疑事件，分析事件原因，监督事态发展，采取办法防止安全事件发生安全技术安全管理企业IT信息安全规划第21页目录XX集团信息化蓝图架构信息安全规划信息安全目标框架及设计目标信息安全目标体系XX容灾体系企业IT信息安全规划第22页容灾建设时需要充分考虑实用性、可扩展性、规范性、可操作性和兼容性容灾是确保信息和信息系统安全一项主要办法，其建设过程中应充分考虑以下原因：实用性立足依靠现有数据中心及机房，适当考虑再建或其它方案。本着此项标准能够提升已经有投资利用率、缩短灾备方案实施时间并降低人员维护成本。可扩展性具备良好扩展能力以适应未来业务发展需要。XX集团灾备恢复计划设计将满足XX集团业务中、长久发展需要。基于多年来业务快速发展及对未来业务增加预测，系统设计充分考虑前瞻性和可扩充性。规范性满足国家相关灾备管理规范、标准要求。依靠XX集团在现有信息安全基础上建立符合发电行业特色集团信息安全标准，作为集团一，二，三级单位遵从标准。可操作性使用业界成熟和实用各种备份与恢复技术，保障XX集团业务数据及基础设施在灾难后快速恢复。使用成熟数据备份介质且应保障其轻易使用，如磁带、磁盘阵列等。兼容性采取开放技术标准和协议，允许系统中兼容不一样厂商产品，降低成本，而且，伴随业务应用系统功效逐步扩充和数据量增加，能够愈加轻易地实现容灾系统扩充。安全技术安全管理企业IT信息安全规划第23页容灾是保障数据安全主要方式，容灾实现方式主要有数据级、应用级和业务级恢复时间投资连续可用业务级快速恢复应用级能够恢复数据级分小时天周容灾方式业务恢复速度恢复难度技术难度运维成本投资数据级较慢RTO>二十四小时高较低较低较低应用级较快RTO<12小时较低较高较高较高业务级连续可用RTO<0.5小时低高高高数据级容灾是仅将生产中心数据完整地复制到容灾中心容灾方式。数据级容灾是异地容灾最低级形式，也是最基础方式，是实现更高级容灾方式基础，但仅能够确保数据是可用，若技术策略选择得当，能够确保业务数据完整性。应用级容灾是指在数据级容灾实现数据可用基础上，深入实现应用可用性，确保业务能够快速恢复。容灾系统应用不改变原有业务处理逻辑，是对生产中心系统基础复制。业务级容灾是生产中心与容灾中心对业务请求同时进行处理容灾方式，能够确保业务连续可用，但投资很高。通常容灾恢复目标依据恢复时间和恢复数据量可定义分为两种，分别为恢复时间目标RTO和恢复点目标RPO。依据RTO指标，容灾方式可分为数据级、应用级和业务级。安全技术安全管理企业IT信息安全规划第24页RPO：RPO(RecoveryPointObjective)是指灾难发生后，容灾系统能把数据恢复到灾难发生前时间点数据，它是衡量企业在灾难发生后会丢失多少数据指标。RPO可简单描述为企业能容忍最大数据丢失量。另外，容灾还要考虑系统数据丢失量RPO功效：因为实现“零数据丢失”需要巨大基础架构、带宽和软件成本，这就使“零数据丢失”只能够用于极度昂贵数据，而不能用于全部情况。所以企业需要确切地确定它能够负担在一次灾难中丢失多少数据。RPO就是用来帮助企业分析和评定数据丢失量工具/指标。时间数据备份点数据按照固点频率进行备份在这个时间段内丢失数据就是企业所能容忍最大数据丢失量主服务器备份服务器确定RPO步骤：1、到所要考查数据系统用户以及这些领域管理层去，问询在灾难发生时候他们能够承受数据丢失量。2、在选择数据备份系统时候，基于软件复制系统、基于硬件镜像、BusinessContinuanceVolume（BCV）和其它统计工具，以及无数基于磁带系统都是可选。3、混合使用或者匹配使用这些类型系统，以创建能够满足从几分钟到多