信息安全等级保护之管理要求→系统建设管理→安全方案设计

 1447浏览

一、要求内容 

a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; 

b)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划; 

c)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件; 

d)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施; 

e)应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 

二、实施建议 

当完成等级保护系统定级之后,需要按照等级规定的要求完善当前的控制措施,这就需要制定安全建设的方案,通过前期的风险评估和差距分析可以了解到企业内部距离等保要求的差距,然后根据差距和来制定安全需求,通过对安全需求的重要性和紧迫性等要素的分析制定有步骤的符合企业的实际情况的安全方案,通常可以是3-5年的规划。 

三、常见问题 

无。 

四、实施难点 

前期现状调研、风险评估和差距分析工作的成功与否是决定最后设计安全方案是否合理和完善的前提和基础,应当重视前期工作执行的有效性。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,系统建设负责人,总体安全策略文档,安全技术框架,安全管理策略文档,总体建设规划书,详细设计方案,专家论证文档,维护记录。 

实施 

a)应访谈安全主管,询问是否授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责; 

b)应访谈系统建设负责人,询问是否制定近期和远期的安全建设工作计划,是否根据系统的安全级别选择基本安全措施,是否依据风险分析的结果补充和调整安全措施,做过哪些调整; 

c)应访谈系统建设负责人,询问是否根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等; 

d)应访谈系统建设负责人,询问是否组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定,并经过管理部门的批准;

e)应访谈系统建设负责人,询问是否根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件,维护周期多长; 

f)应检查系统的安全建设工作计划,查看文件是否明确了系统的近期安全建设计划和远期安全建设计划; 

g)应检查系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件,查看各个文件是否有机构管理层的批准; 

h)应检查专家论证文档,查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见; 

i)应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本,查看记录日期与维护周期是否一致。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中有对系统建设规划和需求提出的要求: 

5.8.1.1 系统规划要求 对系统规划要求,不同安全等级至少应满足以下要求的一项或多项: 

a)系统建设和发展计划:组织机构信息系统的管理者应对信息系统的建设和改造,以及近期和远期的发展制定工作计划,并应得到组织机构管理层的批准。 

b)信息系统安全策略规划:在a)的基础上,应制定安全策略规划并得到组织机构管理层的批准;安全策略规划主要包括信息系统的总体安全策略、安全保障体系的安全技术框架和安全管理策略等;能够为信息系统安全保障体系的规划、建设和改造提供依据,使管理者和使用者都了解信息系统安全防护的基本原则和策略,知道应采用的各种技术和管理措施对抗各种威胁。 

c)信息系统安全建设规划:在b)的基础上,在安全策略规划的指导下,制定安全建设和安全改造的规划,并应得到组织机构管理层的批准;在统一规划引导下,通过调整网络结构、添加保护措施和改造应用系统等,达到信息安全保障系统建设的要求,保证信息系统的正常运行和组织机构的业务稳定发展。 

5.8.1.2 系统需求的提出 对系统需求的提出,不同安全等级至少应满足以下要求的一项或多项: 

a)业务应用的需求:信息系统应用部门或业务部门需要开发新的业务应用系统或更改已运行的业务应用系统时,应分析该新业务将会产生的经济效益和社会效益,确定其重要性,并以书面形式提出申请。 

b)系统安全的需求:在a)的基础上,信息系统的安全管理职能部门应根据信息系统的安全状况和存在隐患的分析,以及信息安全评估结果等提出加强系统安全的具体需求,并以书面形式提出申请。安全需求的分析和说明包括(但不限于)以下内容: 组织机构的业务特点和需求; 威胁、脆弱性和风险的说明; 安全的要求和保护目标。 

c)系统规划的需求:在b)的基础上,信息系统的管理者应根据信息系统安全建设规划的要求,提出当前应进行安全建设和安全改造的具体需求,并以书面形式提出申请。

流行热度:超过1447次围观
生产日期:2014-10-30 03:42:52
上次围观:2016-09-18 09:54:39
转载时必须以链接形式注明原始出处及本声明。