2021年度企业IT信息安全规划讲义.ppt

应用系统
信息化建设目标
IT安全
信息安全
管理
信息安全
技术
支持类
运营类
决策类
专业类
信息化蓝图分类之（五）IT安全
IT治理
IT组织
机构
IT人员
IT流程和制度
IT运维
企业服务平台
企业服务总线（ESB）
业务流程管理（BPM）
基础设施平台
数据中心
基础架构
安全与管理
网络与链路
桌面终端
1
企业IT信息安全规划
2021/1/5
XX集团信息安全体系框架及设计目标
基于XX集团信息化安全的现状和设计原则，提出信息安全未来建设目标
制定和实施符合国家《信息系统安全等级保护基本要求》以及XX集团信息系统现状的安全管理策略和规范
在信息中心设置信息安全岗位，并完善职责规范
制定明确的信息安全策略，定期进行安全风险评估和审核，并制定持续改进计划
对关键的安全技术平台防病毒、防火墙、入侵检测系统实现，统一的安全产品选型、统一的安全产品部署、统一的安全策略发布
统一的内部基础网络规划，对不同安全要求的内网接入进行访问控制管理
建设满足业务需求的信息系统灾难恢复能力
安全技术
安全管理
安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
物理层面安全控制
网络层面安全控制
主机层面安全控制
应用层面安全控制
数据层面安全控制
2
企业IT信息安全规划
2021/1/5
信息安全管理对象与原则介绍
安全管理的职责分离原则
对于一些涉及敏感数据处理的计算机系统安全管理而言，以下工作应分开进行：
系统的操作和系统的开发相分离。这样系统的开发者即使知道系统有那些安全漏洞也没有机会利用；
机密资料的接受和传送相分离。这样任何一方都无法对资料进行篡改；
安全管理和系统管理相分离。这样可使制定安全措施的人并不能亲自实施这些安全措施而对其起到制约的作用；
系统操作和备份管理相分离。结合日志管理，以实现对数据处理过程的监督；
除要符合中国的安全规范外，还要符合国际的规范，如ISO27001、ISO17799等。邮件系统要避免出现列入黑名单的情况。
安全管理的多人负责原则、任期有限原则
多人负责原则：
出于相互监督和相互备份的考虑，如只有单人负责，则若发生安全问题时此人不在岗就不能处理，或者他本人有安全问题时，很难察觉。
任期有限原则：
出于监督的目的，负责系统安全和系统管理的人员要有一定的轮换制度，以防止由单人长期负责一个系统的安全而造成的漏洞。
安全管理对象
安全管理的对象是整个系统而不是系统中的某个或某些元素。系统的所有构成要素都是管理的对象，从系统内部看，安全管理涉及计算机、网络、操作、人事和信息资源；从外部环境看，安全管理涉及法律、道德、文化传统和社会制度等方面的内容
3
企业IT信息安全规划
2021/1/5
信息安全管理是一个持续性的闭环过程
评估风险
决策支持
实施控制
评测
安全管理
信息安全管理
信息安全管理可定义为具有四个主要阶段的持续过程：
评估风险：识别组织的风险并区分其严重程度。 这些风险可能与特定的IT系统和资产相关或无关；
决策支持：根据定义的成本-收益分析过程确定并选择控制解决方案；
实施控制：部署并操作全面的控制解决方案以降低信息安全风险；
衡量评测：确定并报告已部署的控制措施的有效性，以将风险管理至可接受的级别。
4
企业IT信息安全规划
2021/1/5
为保障信息安全制度的执行和落实，必需明确信息安全职能，建立相应的信息安全组织
对标国家《信息系统安全等级保护基本要求》，当前XX基本建立相应信息安全的组织和职能
应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。
岗位设置
人员配备
授权和审批
沟通和合作
审核和检查
应配备一定数量的系统管理员、网络管理员、安全管理员等；安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批； 应针对关键活动建立审批流程，并由批准人签字确认。
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。
定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。
现状
设置了明确的信息安全岗位职责，但未设专人进行日常的运行监管。
目前相关管理人员配置不够，部分岗位无专职人员。
信息中心对XX网络安全接入与资源访问建立了明确的审批流程。
目前信息安全工作仅限于