企业IT信息安全规划.ppt

目录 XX集团信息化蓝图架构 信息安全规划 信息安全目标框架及设计目标 信息安全目标体系 XX容灾体系 应用系统 信息化建设目标 IT安全 信息安全 管理 信息安全 技术 支持类 运营类 决策类 专业类 信息化蓝图分类之（五）IT安全 IT治理 IT组织 机构 IT人员 IT流程和制度 IT运维 企业服务平台 企业服务总线（ESB） 业务流程管理（BPM） 基础设施平台 数据中心 基础架构 安全与管理 网络与链路 桌面终端 XX集团信息安全体系框架及设计目标 基于XX集团信息化安全的现状和设计原则，提出信息安全未来建设目标 制定和实施符合国家《信息系统安全等级保护基本要求》以及XX集团信息系统现状的安全管理策略和规范 在信息中心设置信息安全岗位，并完善职责规范 制定明确的信息安全策略，定期进行安全风险评估和审核，并制定持续改进计划 对关键的安全技术平台防病毒、防火墙、入侵检测系统实现，统一的安全产品选型、统一的安全产品部署、统一的安全策略发布 统一的内部基础网络规划，对不同安全要求的内网接入进行访问控制管理 建设满足业务需求的信息系统灾难恢复能力 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 物理层面安全控制 网络层面安全控制 主机层面安全控制 应用层面安全控制 数据层面安全控制 信息安全管理对象与原则介绍 安全管理的职责分离原则 对于一些涉及敏感数据处理的计算机系统安全管理而言，以下工作应分开进行： 系统的操作和系统的开发相分离。这样系统的开发者即使知道系统有那些安全漏洞也没有机会利用； 机密资料的接受和传送相分离。这样任何一方都无法对资料进行篡改； 安全管理和系统管理相分离。这样可使制定安全措施的人并不能亲自实施这些安全措施而对其起到制约的作用； 系统操作和备份管理相分离。结合日志管理，以实现对数据处理过程的监督； 除要符合中国的安全规范外，还要符合国际的规范，如ISO27001、ISO17799等。邮件系统要避免出现列入黑名单的情况。 安全管理的多人负责原则、任期有限原则 多人负责原则： 出于相互监督和相互备份的考虑，如只有单人负责，则若发生安全问题时此人不在岗就不能处理，或者他本人有安全问题时，很难察觉。 任期有限原则： 出于监督的目的，负责系统安全和系统管理的人员要有一定的轮换制度，以防止由单人长期负责一个系统的安全而造成的漏洞。 安全管理对象 安全管理的对象是整个系统而不是系统中的某个或某些元素。系统的所有构成要素都是管理的对象，从系统内部看，安全管理涉及计算机、网络、操作、人事和信息资源；从外部环境看，安全管理涉及法律、道德、文化传统和社会制度等方面的内容 信息安全管理是一个持续性的闭环过程 信息安全管理 信息安全管理可定义为具有四个主要阶段的持续过程： 评估风险：识别组织的风险并区分其严重程度。 这些风险可能与特定的IT系统和资产相关或无关； 决策支持：根据定义的成本-收益分析过程确定并选择控制解决方案； 实施控制：部署并操作全面的控制解决方案以降低信息安全风险； 衡量评测：确定并报告已部署的控制措施的有效性，以将风险管理至可接受的级别。 为保障信息安全制度的执行和落实，必需明确信息安全职能，建立相应的信息安全组织 对标国家《信息系统安全等级保护基本要求》，当前XX基本建立相应信息安全的组织和职能 信息安全现状评估——安全管理 差距概述 现状总体评价：XX已经编制信息安全管理规范，并已于2009年启动推广；XX信息系统建设和运维的安全管理力度相对薄弱；安全管理人员配置不够；相关流程和制度的执行有待改善。 主要存在的问题： 初步改进建议： 目前XX内部已建立专职的信息安全组织和人员，但从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例不够。 XX信息系统建设和运维的安全管理力度相对薄弱；安全管理人员配置不够，相关流程和制度的执行有待改善。 信息安全内部审计、管理评审及有效性度量等有关制度需进行完善。 进一步提高从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例。 进一步加强信息系统相关安全管理人员配置，按照相关岗位要求配置专人进行管理。 尽快完善相关管理制度。 信息安全现状评估——安全技术 差距概述 现状总体评价：通过实施第一期SOC平台对集团总部已经部署的所有安全设施进行集中管控。后续将逐步推进SOC平台到各下属公司，通过在各下属公司分节点部署数据采集引擎的方法，将节点数据逐步汇聚到集团SOC平台中。对关键系统实施灾难恢复方案，备份方式主要采取数据异地容灾备份。XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。 主要存在的问题： 初步改进建议： XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。 进一步提高从