版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
面向电子政务的
信息平安管理体系建设上海市信息中心陆国樑2005年5月12日一、我国电子政务开展框架1、电子政务网络架构我国电子政务网络架构分为内网、外网、互联网网路平安策略涉密内网与政务外网采用物理隔离政务外网与互联网采用逻辑隔离2、电子政务应用架构在涉密内网中提供面向政府公务员的信息资源系统、公文管理系统、业务应用系统、决策支持系统在政务外网中提供面向政务机关之间的业务协同系统、资源共享系统在互联网政府门户网站提供面向社会公众的信息发布系统和面向企业的业务应用系统3、信息资源的开发利用面向政府内部的涉密信息效劳严格按流程在授权人范围内进行信息的传递面向政府之间的共享信息效劳按授权的访问控制在指定范围内进行信息共享与交换面向社会公众的信息效劳提供政务公开、行政审批等方面的信息效劳二、电子政务信息平安风险分析1、电子政务信息平安管理的目标确保对信息“机密性、完整性、可用性〞的保护确保政务信息的保密性、保证身份正确识别确保政务流程平安、明确责任和用户权限的控制确保政务业务连续运转、维护政府形象2、电子政务系统常见的平安威胁〔1〕非人为的平安威胁自然灾害〔洪水、地震、台风、火灾等〕信息技术的局限性、漏洞和缺陷〔2〕人为的平安威胁内部人员的平安威胁:恶意破坏、无意损坏外部人员的平安威胁:主动攻击、被动攻击〔3〕信息泄漏的风险案例通过网络传播〔拨号、在可连接互联网的电脑上处理内部非公开信息〕通过介质扩散〔磁盘、胶片等〕无意中传播〔信息发布、对外交流〕通过电波扩散〔电磁泄漏〕传输中被窃取〔搭线窃听〕介质输出扩散〔打印〕非授权访问〔多人使用设备、身份冒用〕通过笔记本电脑接入〔或私接设备〕利用系统漏洞进行攻击〔病毒等〕3、系统风险分析线路窃听非法访问业务数据导入时窃取病毒人员犯罪〔1〕机密性威胁〔2〕完整性威胁传输过程中篡改数据病毒业务数据导入时修改数据库数据非法修改采用不可信系统〔3〕可用性威胁阻断通信线路攻击中心数据库DNS无法使用病毒三、实施有效的信息平安策略1、机构管理平安〔1〕建立平安保密管理组织机构〔2〕制定平安保密管理制度〔3〕实施人员平安管理培训与教育2、物理环境平安〔1〕环境平安〔2〕设备平安〔3〕介质平安3、信息资产平安〔1〕身份鉴别〔2〕访问控制〔3〕信息传输保密〔4〕电磁泄露防护〔5〕平安审计〔6〕入侵检测〔7〕划分平安域4、系统运行平安〔1〕病毒的防治〔2〕信息备份与恢复〔3〕平安监管系统〔4〕应急响应系统四、构建有效的信息平安管理体系按照GB/T19000-2000质量管理体系和ISO/IEC17799、BS7799-2:2000标准,我们提出了报国家认可委备案的?信息平安管理体系标准?〔2004〕?信息平安管理体系标准?(2004)
十大控制目标〔1〕信息平安方针〔2〕组织的信息平安〔3〕资产分类与控制〔4〕人事平安〔5〕设备与环境平安〔6〕通信和运作管理〔7〕访问控制〔8〕系统开发与维护〔9〕业务连续性管理〔10〕符合性要求构建信息平安管理体系的四大环节P、建立信息平安管理体系D、实施和运行信息平安管理体系C、监督和评审信息平安管理体系A、维护并改进信息平安管理体系1、建立信息平安管理体系〔1〕确定信息平安管理体系的范围〔2〕建立信息平安方针〔3〕明确风险管理的步骤〔4〕风险识别〔5〕风险评估〔6〕识别并评价风险处理的方法〔7〕选择处理风险的控制目标和控制措施包括10个控制方面、36项控制目标和127项控制措施〔8〕适用性声明〔9〕获得管理层的批准2、实施和运行信息平安管理体系〔1〕形成风险处理方案〔2〕实施风险处理方案〔3〕实施控制措施〔4〕进行培训和教育〔5〕运行控制〔6〕管理资源〔7〕检测和应对平安事故3、监督和评审信息平安管理体系〔1〕启动监督程序和控制措施〔2〕定期进行信息平安管理体系有效性的评审〔3〕评审可接受风险认可的程度〔4〕定期进行信息平安管理体系的内部审核〔5〕记录对管理体系有效性或产生影响的行动和事件4、维护并改进信息平安管理体系〔1〕实施已明确的改进措施〔2〕利用在平安事故中的经验教训〔3〕与所有相关方交流结果并取得一致同意〔4〕确保改进措施到达预期目标建立信息平安管理体系文件的四个层次1、方针文件2、程序文件3、作业指导性文件4、记录根据?信息平安管理体系标准?编制的体系文件有第一层文件:?信息平安方针和适用性声明文件??信息平安管理手册??风险评估报告??信息平安策略?第二层文件?信息平安管理体系程序文件??管理制度??应急预案?根据?信息平安管理体系标准?编制的体系文件有第三层文件?作业指导书??检查清单、表格?等根据?信息平安管理体系标准?编制的体系文件有第四层文件?记录?作为信息平安管理体系运行结果的证据根据?信息平安管理体系标准?产生的文件有五、信息平安管理体系的
实施与审核认证〔1〕筹划建立信息平安管理体系〔2〕信息平安管理体系文件获得审核方的评审涉密信息系统的建设方案须获得国家保密局的评审〔3〕实施信息平安管理体系的建设实施建设的涉密信息系统须通过国家保密局的平安保密测评〔4〕运行信息平安管理体系通过平安保密测评的涉密信息系统可正式投入使用信息平安管理体系实施与认证过程〔5〕监督和评审信息平安管理体系〔内审、管理评审〕〔6〕维护和改进信息平安管理体系〔7〕申请信息平安管理体系认证〔8〕进行信息平安管理体系的外部审核〔9〕获得信息平安管理体系认证证书信息平安管理体系实施与认证过程监督信息平安管理体系的四个节点1、体系监控2、内部审核3、管理评审4、外部审核改进信息平安管理体系的四种措施1、改进措施2、预防措施3、纠正措施4、风险再评估六、我们的实践2004年初,上海市信息中心、上海质量体系审核中心、上海质量教育培训中心三家单位牵头,在参考了?ISO/IEC17799信息平安管理业务标准?的根底上开始进行了?信息平安管理体系标准?编撰与培训、咨询等工作2004年5月中旬形成了?信息平安管理体系标准?〔1.0版本〕和相应的培训教材2004年7月底完成了?信息平安管理体系标准?〔1.1版本〕的专家评审2004年我们举办了为期六天共两期的?信息平安管理体系标准审核员培训班?,有近40名学员考试合格获得证书,并得到了国家认证认可监督委员会的认可备案同时,我们选择了一家企业根据?信息平安管理体系标准?建立信息平安管理体系的试点工作上海质量体系审核中心作为?信息平安管理标准?审核单位,获得了审核资质的认可备案今年四月份,上海一著名信息技术股份经过上海市信息中心的咨询和上海质量体系审核中心的审核,获得了首张?信息平安体系标准〔2004〕认证证书?在此,我们希望与大家一起,为加快我国与国际信息
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 公司劳务派遣协议书七篇
- 公司协议书大全
- 万能施工安全协议书
- 面部发红发热病因介绍
- 进行性球麻痹病因介绍
- 29化学中考真题汇编《溶液》及答案
- 中考政治第一部分知识闯关能力提升第5课时平等礼貌待人理解宽容他人复习课获
- (范文)卷板机项目立项报告
- (2024)吸痰管项目可行性研究报告写作范本(一)
- 2023年电子陶瓷材料项目融资计划书
- 国开形成性考核00428《高层建筑施工》形考任务(1-10)试题及答案
- 纪检办案安全网络知识试题及答案
- 小区物业群诉应急预案方案
- 《得道多助》比较阅读18篇(历年中考语文文言文阅读试题汇编)(含答案与翻译)(截至2020年)
- 新进教师信息登记表
- 生物质固体成型燃料试验方法
- 用爱心说实话【经典绘本】
- 《小花籽找快乐》课件
- 基建安全风险分级管控实施细则
- 海南省建筑施工现场安全生产管理资料(一册和二册)
- 2023年中国铁路南宁局招聘笔试参考题库附带答案详解
评论
0/150
提交评论