等级保护整改方案模板(独创版本).doc

密级:商密
文档编号:等级保护整改方案-03
项目代号:
中国××股份
信息安全专项咨询项目
等级保护整改方案
北京信息安全技术有限公司
2009年9月
保密申明
这份文件包含了来自××星辰的可靠、权威的信息,这些信息是作为××股份正在实施的信息安全专项咨询项目实施专用,接受这份计划书表示同意对其内容保密并且未经××公司书面请求和书面认可,不得复制,泄露或散布这份文件。如果你不是有意接受者,请注意对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。
文档信息表
文档基本信息
项目名称
中国××股份信息安全专项咨询项目
文档名称
××股份信息安全专项咨询项目风险评估报告
文档版本

是否为正式交付件
是
文档创建日期
2009-8-17
当前修订日期
2009-9-13
保密级别
商密
文档审批要求
是
文档审阅信息
审阅人
项目角色
审阅时间
审阅意见
高级咨询顾问
2009-9-11
文档批准信息
批准人
项目角色
批准时间
批准意见
项目经理
2009-9-13
文档修订信息
版本
修正章节
日期
作者
变更记录

全部
2009-9-11
程威、赵毅
创建文档
目录
保密申明 2
文档信息表 3
1 概述 6
概述 6
主要内容 6
目标读者 6
2 系统识别定级 7
业务信息受到破坏时所侵害客体的确定 7
信息受到破坏后对侵害客体的侵害程度 7
系统定级 8
3 现状概述 9
ERP系统 9
资金系统 11
OA系统 12
4 安全管理 13
安全管理制度 13
现状的不足 13
管理制度 14
整改方案 14
安全管理机构 15
现状的不足 15
整改方案 15
人员安全管理 16
现状的不足 16
整改方案 17
系统建设管理 17
现状的不足 17
整改方案 18
系统运维管理 19
现状的不足 19
整改方案 21
5 安全技术 23
物理安全 23
现状的不足 23
整改方案 23
网络安全 23
现状的不足 23
整改方案 24
主机安全 25
现状的不足 25
整改方案 26
应用安全 27
现状的不足 27
整改方案 27
数据安全及备份恢复 28
现状描述 28
6 整改方案总结 28
管理制度的建设和修订 28
管理机构和人员的设置 30
人员安全技能培训 30
技术修补 30
日常安全管理控制 31
成熟产品的使用 32
概述
概述
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
主要内容
本文档主要描述了××集团2级系统的现状,包括OA系统、ERP系统、资金系统和集团网络,依照《信息安全技术信息系统安全等级保护基本要求》和系统现状进行了比对,分析出系统的不足,为达到系统安全等级2级的要求提出整改方案。
通过此方案的实施提高××集团信息系统的安全防护水平。
目标读者
本文档的目标读者是××集团公司与信息安全相关的决策人员、规划人员、管理人员和执行人员。
系统识别定级
业务信息受到破坏时所侵害客体的确定
OA系统主要包含:信息发布系统、协同办公系统、邮件系统。属于××集团内部员工的专有信息。
ERP业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。具体即侵害了××集团的合法利益。侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对××集团合法权益造成影响和损害,可以表现为:工作职能受到严重影响,业务能力显著下降,造成公司决策失误等不良影响。
资金业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。具体就是侵害了×