- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PAGE
PAGE 1
信息化项目安全及应急保障方案
一、信息系统安全设计方案
7.5.1.1、项目背景概述
1.项目建设背景
近年来随着信息化建设的加快,业务和信息化也结合越来越紧密,在给政务服务带来巨大便捷的同时,也给信息安全管理带来了严峻的挑战,因此,必须提高信息安全集中监管的能力和水平,从而减少业务应用信息系统的运营风险。
依据国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等相关标准,结合大连市信息化建设的实际情况,开展信息系统安全等级保护建设。
2.项目范围
根据国家标准化管理委员会发布的中华人民共和国国家标准《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)中对信息系统安全共划分5个等级:
第一级:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
第二级:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
第三级:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
第四级:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
根据本次项目工程建设要求以及上级单位和网安办对网络系统安全要求,按照第三级安全监督保护级的要求进行建设。
3.方案概述
3.1方案设计目标
通过详细设计方案设计工作实现以下目标:
1、使安全体系的设计可以符合政务服务实际安全需求,指导解决政务服务人员、制度和技术各个方面的信息安全问题,符合政务服务特点的整体信息安全保障体系。
2、指导政务服务进行整体等级保护建设工作,促进安全体系的建设,成功通过国家权威测评机构测评,最终通过公安部的备案认可。两个目标在本质上是一致的,符合等级保护政策是外在动力,提升政务服务信息安全管理水平是内在需求,都是在为安全保护体系的建设做好规划和设计工作。
3.2方案设计依据
本方案根据国家提出的等级保护管理办法和实施指南,针对信息系统的特点和安全建设需求,进行全面的安全保障规划,设计中重点参考的政策和标准包括以下两个部分:
信息系统安全等级保护标准和规范
本方案重点参考以下的的政策和标准:
指导思想
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)
等级保护
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 25058-2010信息系统安全等级保护实施指南
GB/T 25070-2010信息系统等级保护安全设计技术要求
系统定级
GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南
技术方面
GB/T 20270-2006 信息安全技术网络基础安全技术要求
GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术操作系统安全技术要求
GB/T 20273-2006 信息安全技术数据库管理系统通用安全技术要求
GA/T671-2006信息安全技术?终端计算机系统安全等级技术要求
GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
管理方面
ISO/IEC 27001 信息系统安全管理体系标准
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
方案设计
信息系统等级保护安全建设技术方案设计规范
方案架构
IATF 信息保障技术框架
其他信息安全标准和规范
ISO/IEC 15408(CC):《信息技术安全评估准则》。该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。
GB/T 18336:等同采用ISO 15408
ISO/IEC 17799/BS7799-1:《信息安全管理体系实施指南》。这是目前世界上最权威的信息安全管理操作指南,对信息安全工作具有重要指导意义。
ISO/IEC 13335,第一部
您可能关注的文档
- 软件外包项目售后与运维服务方案.doc
- 小学生全国普通话推广宣传主题班会ppt课件(优质ppt).pptx
- 2024幼儿园普通话推广幼儿园推普周PPT课件(优质ppt).pptx
- 幼儿园网络安全主题宣传教育ppt课件(优质ppt).pptx
- 新生儿呛奶知识学习孕妈育儿知识讲座ppt课件(优质ppt).pptx
- 小学如何讲普通话推广普通话主题教案PPT(优质ppt).pptx
- 新生儿低钙血症病例讨论医院病例分享会ppt课件(优质ppt).pptx
- 大学生网络安全教育PPT课件(优质ppt).pptx
- 幼儿园推广普通话幼儿园2024年推普周ppt课件(优质ppt).pptx
- 新生儿眼睛的护理知识ppt课件(优质ppt).pptx
文档评论(0)