项目准备总体架构设计项目规划设计.pptVIP

4.2 风险评估实施方法 分为6个阶段11项任务 统一的中国石油信息化工作管理制度体系中，信息安全管理的所处的位置 信息系统等级划分： 信息安全体系的架构模型 5.1.3 项目实施方法——总体规划 * 管理标准 ISO17799 技术标准 ISO13335 控制标准 ISO27001 评估标准 ISO15408 审计标准 COBIT4.0 信息安全保障架构 IATF 密 码 术 备份 与 容灾 标识 与 鉴别 系统 保护 检测 监控 访问 控制 审计 跟踪 数据安全 信息安全技术控制 人 员 第三方访问 系统建设 系统运维 物理环境 信息安全运作控制 信息系统等级划分 信息安全控制 信息安全服务架构 威胁与脆弱性 管理服务 容灾备份服务 安全信息与 事件管理服务 身份及访问控制管理服务 IT基础设施安全架构 网络安全模型 应用安全架构 应用安全开发模型 信息安全技术 信息安全管理 信息安全组织 信息安全意识提升、技能培训和专业教育 信息安全监督检查和改进 响应恢复 运行监控 控制实施 需求分析 信息安全风险管理 信息安全流程 实施细则和 操作规程 管理办法 标准规范 信息安全制度 角色模型 领导角色 协调角色 分析角色 运行角色 信息安全管理架构为推广和落实信息安全控制架构建立了管理环境和流程基础。信息安全控制本身也是信息安全风险管理的成果。 信息安全管理架构是实现信息安全技术架构的保障。信息安全技术架构实现的信息安全基础设施和服务反过来支持信息安全流程的改进和优化。 信息安全控制对信息安全技术提出要求。信息安全技术是信息安全技术控制的物质实现。 风险评估 风险控制 风险定义 风险识别 风险分析 风险评估 风险规避 风险转移 风险降低 风险接受 脆弱性 威胁 风险 资产 价值 保护措施 保护需求 非正式执行 信息系统安全成熟度ISO21827 目前阶段 - 过程前计划 - 过程中检查 基于最终结果的安全控制 计划与跟踪 充分定义 量化控制 持续改进 2010年 - 完善定义规范 - 严格规范执行 基于经过实践验证的详细规范制度 2011年 - 定量度量 - 准确预测 基于可量化的，客观、准确标准 2012年 - 高效、实用 - 自我完善 基于可准确度量持续改进效益 初始阶段 - 基本执行 无明确要求 总体安全方针 边境 环境 设备 信息安全标准与规范 信息安全目标 信息安全保障架构 人 People 技术 Technology 操作 Operation 管理规定 管理办法 信息化工作管理规定 计划管理 实施管理 运维管理 招标管理 验收管理 广域网 邮件系统 视频系统 …… 门户网站系统 信息安全管理办法 上游生产系统 先进计划系统 管道生产系统 ERP系统 数据仓库 信息标准与规范 信息化工作管理流程 管理细则 1.3 中国石油领导高度重视信息安全工作 人 操作 技术 规范层 实施层 架构层 组织 核心 角色 和职责 信 息系 统安全 等级定义 网络 安全 模型 流程架构 信息 安全运作操作框架 应用 安全 开发模型 制度与标准层次结构 信息 安全技术操作框架 信息 安全 服务架构 组 织 机 构 模型 岗位 与职 责模 型 岗位 能力 模型 信息 系统安全 等级定级方法 信息 系统等级 保护要求 信息 系统的安全 等级定级结果 信息系统 的安全行为策略 流程模型 与活动描述 制度与 标准体系 组织的人员 配备和职责 工作流程图 具体制度与标准 网络安全域 划分与防护策略 应用安全 设计模式 安全服务 组件模型 与实现机制 基础设施的 安全部署与配置 应用系统安全 开发规范、工具和方法 安全服务的实施 目标 专家委评审 专门检查 专门防护 核心安全 三级 主管部门审批 每年一次测评检查 独立防护 重点安全 二级 主管部门审批 自定 基础防护 基础安全 一级 实施与管理 保护级（GB17859) 分级保护 等级 安全目标 健全信息安全管理组织 提升信息技术 基础设施的 安全性 建立专业化的 信息安全服务 技术平台 建立信息安全 专业服务团队 建立完善的信息安全风险管理 流程 完善信息安全 制度与标准 信息安全体系 信息基础设施 综合管理系统 专业应用系统 基础