文章目录
1. 安全技术体系架构
教材原文,一段口水话,随便看一下
安全技术体系架构:是对组织机构信息技术系统的安全体系结构的整体描述。
安全技术体系架构框架: 策略的要求和风险评估的结果,参考相关技术体系构架的标准和最佳实践,结合组织机构信息技术系统的具体现状和需求,建立的符合组织机构信息技术系统战略发展规划的信息技术系统整体体系框架。这个框架是组织机构信息技术系统战略管理的具体体现。
- 风险威胁存在的实体:
- 应用
- 存储
- 主机
- 网络
- 物理
2. 信息系统安全体系规划
- 组成:
- 技术体系
- 物理安全
- 系统安全
- 组织机构体系
- 机构:领导决策层、日常管理层、具体执行层
- 岗位:负责安全事务的职位
- 人事:对岗位上在职、待职、离职的员工进行素质教育、业绩考核和安全监管的机构
- 管理体系
- 法律管理
- 制度管理
- 培训管理
- 技术体系
3. 信息系统安全规划框架
【注意】本节,记住二级标题即可,里边的内容大都是tree new bee 的话,看一看就可以了
3.1 其依托企业信息化战略规划
- 信息化战略规划
- 以整个企业的发展目标、发展战略、企业各部门的业务需求为基础
- 结合行业信息化需求分析、环境分析、对信息技术发展趋势的掌握,定义出企业信息化建设的远景、使命、目标和战略
- 规划出企业信息化建设的未来架构
- 为信息化建设的实施提供一幅完整的蓝图,全面系统地指导企业信息化建设的进程
- 信息系统安全规划与企业信息化战略规划的关系:
- 信息系统安全规划依托企业信息化战略规划
- 对信息化战略的实施起到保驾护航的作用
- 二者目标是一致(信息系统安全规划目标更明确)
3.2 其需要围绕技术安全、管理安全、组织安全考虑
- 规划涵盖的内容
- 确定信息系统安全的任务、目标、战略、战略部门、战略人员
- 做出的总体规划
- 物理安全
- 包括:环境设备安全、信息设备安全、网络设备安全、信息资产设备的物理分布安全
- 网络安全
- 包括:网络拓扑结构安全、网络的物理线路安全、网络访问安全(防火墙、入侵检测系统和、VPN 等)
- 系统安全
- 包括:操作系统安全、应用软件安全、应用策略安全
- 运营安全
- 应在控制层面和管理层面保障
- 包括:备份与恢复系统安全、入侵检测功能、加密认证功能、漏洞检查、系统补丁功能、口令管理等
- 人员安全
- 包括:安全管理的组织机构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等
- 物理安全
3.3 信息系统安全规划以信息系统与信息资源的安全保护为核心
吐槽:本小节,教材叨逼叨半天,从第二个逗号开始,就和标题没关系了。更搞的是,第一个逗号前是重复标题内容,第二个逗号前是废话。整理一下随便看看吧:
- 蓝图
- 从信息化建设的蓝图入手
- 知道企业信息化发展策略的总体目标和各阶段的实施目标
- 制定出信息系统安全的发展目标
- 现状
- 对企业的信息化工作现状进行整体的、综合、全面的分析,找出过去工作中的优势与不足
- 需求
- 根据信息化建设的目标提出未来几年的需求
- 这个需求最好可以分解成若干个小的方面,以便于今后的实施与落实
- 措施
- 明确在实施工作阶段的具体措施与方法,提高规划工作的执行力
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
