目 录
- 概述 5
1.1. 引言 5
1.2. 背景 5
1.2.1. XXXX行业行业相关要求 5
1.2.2. 国家等级保护要求 6
1.2.3. 三个体系自身业务要求 7
1.3. 三个体系规划目标 7
1.3.1. 安全技术和安全运维体系规划目标 7
1.3.2. 安全管理体系规划目标 8
1.4. 技术及运维体系规划参考模型及标准 10
1.4.1. 参考模型 10
1.4.2. 参考标准 12
1.5. 管理体系规划参考模型及标准 12
1.5.1. 国家信息安全标准、指南 12
1.5.2. 国际信息安全标准 13
1.5.3. 行业规范 13 - 技术体系建设规划 14
2.1. 技术保障体系规划 14
2.1.1. 设计原则 14
2.1.2. 技术路线 14
2.2. 信息安全保障技术体系规划 15
2.2.1. 安全域划分及网络改造 15
2.2.2. 现有信息技术体系描述 24
2.3. 技术体系规划主要内容 29
2.3.1. 网络安全域改造建设规划 29
2.3.2. 网络安全设备建设规划 32
2.3.3. CA认证体系建设 40
2.3.4. 数据安全保障 42
2.3.5. 终端安全管理 45
2.3.6. 备份与恢复 46
2.3.7. 安全运营中心建设 47
2.3.8. 周期性风险评估及风险管理 48
2.4. 技术体系建设实施规划 49
2.4.1. 安全建设阶段 49
2.4.2. 建设项目规划 50 - 运维体系建设规划 51
3.1. 风险评估及安全加固 51
3.1.1. 风险评估 51
3.1.2. 安全加固 51
3.2. 信息安全运维体系建设规划 51
3.2.1. 机房安全规划 51
3.2.2. 资产和设备安全 52
3.2.3. 网络和系统安全管理 55
3.2.4. 监控管理和安全管理中心 60
3.2.5. 备份与恢复 61
3.2.6. 恶意代码防范 62
3.2.7. 变更管理 63
3.2.8. 信息安全事件管理 64
3.2.9. 密码管理 67
3.3. 运维体系建设实施规划 68
3.3.1. 安全建设阶段 68
3.3.2. 建设项目规划 68 - 管理体系建设规划 70
4.1. 体系建设 70
4.1.1. 建设思路 70
4.1.2. 规划内容 71
4.2. 信息安全管理体系现状 72
4.2.1. 现状 72
4.2.2. 问题 74
4.3. 管理体系建设规划 75
4.3.1. 信息安全最高方针 75
4.3.2. 风险管理 76
4.3.3. 组织与人员安全 76
4.3.4. 信息资产管理 79
4.3.5. 网络安全管理 91
4.3.6. 桌面安全管理 93
4.3.7. 服务器管理 93
4.3.8. 第三方安全管理 95
4.3.9. 系统开发维护安全管理 97
4.3.10. 业务连续性管理 98
4.3.11. 项目安全建设管理 100
4.3.12. 物理环境安全 102
4.4. 管理体系建设规划 103
4.4.1. 项目规划 103
4.4.2. 总结 104
麻雀虽小五脏俱全