项目[整体安全架构设计方案]

第1章       综述... 3

1.1      概述... 3

1.2      现状分析... 4

1.3      设计目标... 8

第2章       信息安全总体规划... 10

2.1设计目标、依据及原则... 10

2.1.1设计目标... 10

2.1.2设计依据... 10

2.1.3设计原则... 11

2.2总体信息安全规划方案... 12

2.2.1信息安全管理体系... 12

2.2.2分阶段建设策略... 18

第3章       分阶段安全建设规划... 20

3.1      规划原则... 20

3.2      安全基础框架设计... 21

第4章       初期规划... 23

4.1      建设目标... 23

4.2      建立信息安全管理体系... 23

4.3      建立安全管理组织... 25

4.4     进度和效果

第5章       中期规划... 28

5.1      建设目标... 28

5.2      建立基础保障体系... 28

5.3      建立监控审计体系... 28

5.4      建立应急响应体系... 30

5.5      建立灾难备份与恢复体系... 34

5.4     进度和效果

第6章       三期规划... 37

6.1      建设目标... 37

6.2      建立服务保障体系... 37

6.3      保持和改进ISMS. 38

6.4     进度和效果

第7章       总结... 39

7.1      综述... 39

7.2      效果预期... 39

7.3      后期... 39

 

1.1 概述

 

信息技术革命和经济全球化的发展，使企业间的竞争已经转为技术和信息的竞争，随着企业的业务的快速增长、企业信息系统规模的不断扩大，企业对信息技术的依赖性也越来越强，企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此，确保信息系统稳定、安全的运行，保证企业知识资产的安全，已经成为现代企业发展创新的必然要求，信息安全能力已成为企业核心竞争力的重要部分。

企业高度重视客户及生产信息，生产资料，设计文档，知识产权之安全防护。而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。

与此同时，随着企业业务领域的扩展和规模的快速扩张，为了满足企业发展和业务需要，企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展，为了满足生产的高速发展，市场的大力扩张，企业决定在近期进行信息安全系统系统的调研建设，因此随着IT系统规模的扩大和应用的复杂化，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此为了保证企业业务正常运营、制卡系统的高效安全的运行，不因各种安全威胁的破坏而中断，信息安全建设不可或缺，信息安全建设必然应该和当前的信息化建设进行统一全局考虑， 应该在相关的重要信息化建设中进行安全前置的考虑和规划，避免安全防护措施的遗漏，安全防护的滞后造成的重大安全事件的发生。。

本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术，帮助企业建设一个主动、高效、全面的信息安全防御体系，降低信息安全风险，更好的为企业生产和运营服务。

 

1.2 现状分析

 

根据目前业务架构，假设所有的数据输入和输出都是恶意的；从各个数据输入点进行安全分析；建立以下威胁模型:

 

备注：

先整体，然后细分业务方案。

 

整体方案其中分阶段的内容，示例：

1.讨论[ppt]：

• 分析背景和需求

• 确定目标

• 选择实施策略(达到目的的方式)，建立模型(根据需求的各个属性定义)

• 确定周期和资源  [N个方案] 

• 结果输出：方案文档，代码，产品说明和使用等

 

2.方案建立

2.1 概述：

• 整体行业背景[包含整体的威胁]

• 现状分析

2.2 介绍：

• 要做的东西简单介绍说明[哪些功能，重要性，改变哪些, 目的]；例如：

 

• 架构图和流程图；例如：

• 设计核心原则[每个部分分开介绍]；例如：

 

3.安全验证：对整个过程进行测试是否符合预期设计，保留文档作为后续迭代开发、增量开发时的参考依据

4.总结