公司信息系统安全保障体系规划方案.docVIP

信息系统安全保障体系规划方案 V1.5 文档信息 文档名称 XXXXXXXXXXXX信息系统安全保障体系规划方案 保密级别 商业秘密 文档编号 制作人 制作日期 复审人 复审日期 复审日期 分发控制 读者 文档权限 与文档的主要关系 创建、修改、读取 负责编制、修改、审核本技术方案 XXXXXXXXXXXX 阅读 版本控制 时间 版本 说明 修改人 V1.0 文档初始化 V1.5 修改完善 目 录 1. 概述 5 1.1. 引言 5 1.2. 背景 5 1.2.1. XXXX行业行业相关要求 5 1.2.2. 国家等级保护要求 6 1.2.3. 三个体系自身业务要求 7 1.3. 三个体系规划目标 7 1.3.1. 安全技术和安全运维体系规划目标 7 1.3.2. 安全管理体系规划目标 8 1.4. 技术及运维体系规划参考模型及标准 10 1.4.1. 参考模型 10 1.4.2. 参考标准 12 1.5. 管理体系规划参考模型及标准 12 1.5.1. 国家信息安全标准、指南 12 1.5.2. 国际信息安全标准 13 1.5.3. 行业规范 13 2. 技术体系建设规划 14 2.1. 技术保障体系规划 14 2.1.1. 设计原则 14 2.1.2. 技术路线 14 2.2. 信息安全保障技术体系规划 15 2.2.1. 安全域划分及网络改造 15 2.2.2. 现有信息技术体系描述 24 2.3. 技术体系规划主要内容 29 2.3.1. 网络安全域改造建设规划 29 2.3.2. 网络安全设备建设规划 32 2.3.3. CA认证体系建设 40 2.3.4. 数据安全保障 42 2.3.5. 终端安全管理 45 2.3.6. 备份与恢复 46 2.3.7. 安全运营中心建设 47 2.3.8. 周期性风险评估及风险管理 48 2.4. 技术体系建设实施规划 49 2.4.1. 安全建设阶段 49 2.4.2. 建设项目规划 50 3. 运维体系建设规划 51 3.1. 风险评估及安全加固 51 3.1.1. 风险评估 51 3.1.2. 安全加固 51 3.2. 信息安全运维体系建设规划 51 3.2.1. 机房安全规划 51 3.2.2. 资产和设备安全 52 3.2.3. 网络和系统安全管理 55 3.2.4. 监控管理和安全管理中心 60 3.2.5. 备份与恢复 61 3.2.6. 恶意代码防范 62 3.2.7. 变更管理 63 3.2.8. 信息安全事件管理 64 3.2.9. 密码管理 67 3.3. 运维体系建设实施规划 68 3.3.1. 安全建设阶段 68 3.3.2. 建设项目规划 68 4. 管理体系建设规划 70 4.1. 体系建设 70 4.1.1. 建设思路 70 4.1.2. 规划内容 71 4.2. 信息安全管理体系现状 72 4.2.1. 现状 72 4.2.2. 问题 74 4.3. 管理体系建设规划 75 4.3.1. 信息安全最高方针 75 4.3.2. 风险管理 76 4.3.3. 组织与人员安全 76 4.3.4. 信息资产管理 79 4.3.5. 网络安全管理 91 4.3.6. 桌面安全管理 93 4.3.7. 服务器管理 93 4.3.8. 第三方安全管理 95 4.3.9. 系统开发维护安全管理 97 4.3.10. 业务连续性管理 98 4.3.11. 项目安全建设管理 100 4.3.12. 物理环境安全 102 4.4. 管理体系建设规划 103 4.4.1. 项目规划 103 4.4.2. 总结 104 概述 引言 本文档基于对XXXX公司（以下简称“XXXX公司工业”）信息安全风险评估总体规划的分析，提出XXXX公司工业信息安全技术工作的总体规划、目标以及基本原则，并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。 本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划，是信息安全保障体系的主体。 背景 XXXX行业行业相关要求 国家XXXX行业总局一直以来十分重视信息安全管理工作，先后下发了涉及保密计算机运行、等级保护定级等多个文件，在2008年下发了147号文《XXXX行业行业信息安全保障体系建设指南》，指南从技术、管理、运维三个方面对安全保障提出了建议，如下图所示。 图 1_1行业信息安全保障体系框架 国家等级保护要求 等级保护工作作为我国信息安全保障工作中的一项基本制度，对提高基础网络和重要信息系统安全防护水平有着重要作用，国家XXXX行业专卖局在2008年8月下发了国烟办综[2008]358号文《国家XXXX行业专卖局