返回
信息安全规划设计模板

信息安全规划设计模板

ID:33147178

大小:188.82 KB

页数:43页

时间:2019-02-21

信息安全规划设计模板_第1页
信息安全规划设计模板_第2页
信息安全规划设计模板_第3页
信息安全规划设计模板_第4页
信息安全规划设计模板_第5页
资源描述:

《信息安全规划设计模板》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息系统安全规划方案樊山2014/1/26本文件中出现的全部内容,除另有特别注明,版权均属樊山所有。任何个人、机构未经樊山的书面授权许可,不得以任何方式复制引用文件的任何片断。樊山负责对本文档的解释。第42页/共43页目录1概述31.1背景31.1.1简介31.1.2实施依据31.2需求分析31.2.1系统风险综述31.2.2系统等级化保护需求91.3建设目标101.3.1近期目标(2014年)101.3.2中期目标(2015年)111.3.3远期目标(2016年)112安全保障需求概要设计122.1设计思路122.1.1信息安全顶层设计

2、思想122.1.2信息安全顶层设计内涵132.1.3信息安全设计模型142.1.4信息安全应满足的基本要素142.2管理保障设计162.3技术保障设计172.4过程控制保障设计172.5人员要求设计173通用安全设计193.1管理保障193.1.1风险管理体系设计193.1.2系统安全审计设计233.2技术保障253.2.1物理安全通用设计263.2.2网络安全通用设计26第42页/共43页3.2.3系统安全通用设计263.2.4应用安全通用设计263.2.5数据安全通用设计263.3过程保障273.3.1需求分析通用控制273.3.2开

3、发采购通用控制273.3.3实施交付通用控制273.3.4运行维护通用控制283.3.5废弃通用控制333.4人员要求343.4.1人员角色与职责通用设计343.4.2具体角色353.4.3岗位设置原则364层面间安全设计384.1S1系统安全设计384.1.1网络规划拓扑384.1.2入侵检测系统部署384.1.3数据库审计系统384.1.4内网安全风险管理与审计系统384.1.5堡垒机系统385工程实施建议395.1第一期工程实施建议395.2第二期工程实施建议405.3第三期工程实施建议405.4工程预算40附件1等级保护定级流程及

4、矩阵41附件2岗位职责分离表42第42页/共43页1概述1.1背景1.1.1简介1.1.2实施依据本次规划设计是基于国际、国家通行标准的基础之上,主要采用标准如下:ISO/IEC27001:2005信息安全管理体系要求;GB/T20984-2007信息安全技术-信息安全风险评估规范;ISO/IEC27005:2008信息安全技术-信息安全风险管理。GB/T22239—2008信息安全技术-信息系统安全等级保护基本要求GB/T22240-2008信息安全技术-信息系统安全等级保护定级指南GB/T20274:2008信息安全技术信息系统安全保

5、障评估框架公通字(66号文)关于印发《关于信息安全等级保护工作的实施意见》的通知1.2需求分析1.2.1系统风险综述1.2.1.1管理风险综述1.2.1.1.1概述XXX管理风险评估是建立在ISO/IEC27001:2005《信息技术-信息安全管理体系-要求》基础上133个控制点的符合性识别和控制。其中不适用24项,不符合57项,详见图:第42页/共43页图管理风险统计图分类极高高中低一般统计信息安全方针112信息安全组织1337资产管理112人力资源安全11物理与环境安全1315通信与操作管理14712访问控制235111系统获取、开发

6、与维护437信息安全事件管理112符合性549统计424281158第42页/共43页1.1.1.1.1信息安全方针控制目标不符合项不可接受风险说明ISO/IEC27001:2005附件A的控制项组织控制技术控制系统测试可能/建议/要求优先级注释备注A5安全策略     A.5.1信息安全策略     A.5.1.1信息安全策略文档X   高 NoA.5.1.2信息安全策略评审X   中管理审查记录No1.1.1.1.2信息安全组织控制目标不符合项不可接受风险说明1.1.1.1.3资产管理控制目标不符合项风险可接受说明1.1.1.1.4人

7、力资源安全控制目标第42页/共43页不符合项不可接受风险说明说明:由于本次评估未包含人力资源安全内容,故本控制目标为不适用项。1.1.1.1.1物理与环境安全控制目标不符合项不可接受风险说明1.1.1.1.2通信与操作管理控制目标不符合项不可接受风险说明1.1.1.1.3访问控制控制目标不符合项不可接受风险说明1.1.1.1.4系统获取、开发与维护控制目标不符合项第42页/共43页不可接受风险说明1.1.1.1.1信息安全事件管理控制目标不符合项不可接受风险说明1.1.1.1.2业务连续性管理控制目标不符合项不可接受风险说明1.1.1.1

8、.3符合性控制目标不符合项不可接受风险说明1.1.1.2技术风险综述1.1.1.2.1概述XXX技术风险评估是建立在国家信息安全等级保护相关要求标准之上,将从物理安全、网络安全、系统安全、应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。