高校安全服务专项方案.docxVIP

高校信息系统

安全服务方案

V1.0（初稿）

概述

需求分析

伴随高校网络安全事件不停增加，安全意识不停提升，怎样有效地选择安全方法，怎样使安全产品发挥应有作用，怎样快速经济地提升系统安全情况成为用户关心问题。大家已不再满足于单纯地购置安全产品，开始寻求全方面、系统处理方法。在这种环镜下，安全服务逐步被大家接收，成为贯穿安全工作各个阶段、渗透各个方面关键方法。

IT安全服务是信息系统安全体系中不可或缺一部分，是整个IT环境成熟度一个衡量指标，当整个产业IT基础设施建设到一定程度后，在规避安全风险，控制安全成本及商业连续性保降需求压力之下，就需要开始考虑怎样制订符合本身安全策略并使之和业务结合，这就是安全服务产生基础。完整安全服务不仅能帮助用户处理现有安全问题，还能够帮助她们估计未来趋势，计划安全长久发展。

为响应国家信息安全等级保护要求和高校本身对信息安全重视，全方面了解本身信息安全隐患，从物理、网络、系统、应用及管理儿个层面分析可能存在风险，判定高校本身所面临网络安全态势，以态势计划系统下一步建设，特进行此次安全服务项目。

项目建设目标

经过本服务了解高校本身信息系统从物理层到应用层所存在安全漏洞、风险隐患。经过对信息系统安全分析，掌握目前系统安全态势。建立起一套实时有效信息安全服务体系，能依据安全要求不停发展，升级和完善相关安全防护功效。

具体来讲，本项安全服务能帮用户处理以下多个方面问题：

完善安全管理制度

建立信息安全管理框架

了解本身信息安全情况

指导未来信息安全建设和投入

加固信息系统

任务安保期间信息系统安全保障

安全服务相关标准

相关标准和规范

在整个服务过程中，我们将参考最新和最权威信息安全标准，作为安全服务基础标准。这些安全标准包含：

GB17859-1999《计算机信息系统安全保护等级划分准则》

GB/T22239-《信息系统安全等级保护基础要求》

GB/T28448-《信息系统安全等级保护测评要求》

GB/T18336《信息技术-安全技术-信息技术安全性评定准则》

CVE:通用脆弱性标准。CVE是个行业标准，为每个漏洞和弱点确定了惟一名称和标准化描述，能够成为评价对应入侵检测和漏洞扫描等工具产品和数据库基准。

IS027001:Codeofpracticeforinformationsecuritymanagement,信息安全管理纲要

IS013335:Informationtechnology-GuidelinesforthemanagementofITSecurity，信息技术－安全技术－IT安全管理指南

安全服务

安全管理制度梳理服务

以信息系统安全等级保护管理要求为依据，结合高校本身管理要求，对高校现有安全管理制度进行梳理，帮助用户建全安全管理制度，交付用户安全管理制度提议汇报。

安全管理制度

安全管理制度是安全管理体系关键，依据国家等级保护政策要求，分五个步骤（落实安全责任、管理现实状况分析、制度安全策略和制度、落实安全管理方法、安全自检和调整）实现安全管理制度建设。

落实信息安全责任制

明确领导机构和责任部门，包含设置或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，依据责任分工，分别设置安全管理机构和岗位，明确每个岗位责任和人文，落实安全管理责任制。

信息系统安全管理现实状况分析

经过开展信息系统安全管理现实状况分析，查找信息系统安全管理建设整改需要处理问题，明确信息系统安全管理建设整改需求。

依据等级保护基础要求标准，采取对照检验、风险评定、等级测评等方法，分析判定现在采取安全管理方法和等级保护标准要求之间差距，分析系统已发生时间或事故，分析安全管理方面存在问题，形成安全管理建设整改需求并论证。

制订安全管理策略和制度

依据安全管理需求，确定安全管理目标和安全策略，针对信息系统各类管理活动，制订人员安全管理制度，明确人员录用、离岗、考评、培训等管理内容；制订系统建设管理制度，明确系统定级立案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；制订系统运维管理制度，明确机房环境安全、存放介质安全、设备设施安全、安全监控、恶意代码防范、备份和恢复、应急预案等管理内容；制度定时检验制度，明确检验内容、方法、要求等，检验各项制度、方法落实情况，并不停完善。规范安全管理人员或操作人员操作规程等，形成安全管理体系。

安全管理体系组成：

安全管理体系

安全管理方针和安全策略

面向中高层管理层

各类安全管理制度

面向安全管理人员

各类安全操作规程

面向安全技术人员

各类操作统计表格

面向一线运维人员

落实安全管理方法

人员安全管理：包含人员录入、离岗、考评、教育培训等内容。规范人