信息系统安全管理架构

最新推荐文章于 2024-05-03 01:33:41 发布
最新推荐文章于 2024-05-03 01:33:41 发布
阅读量1.1w 收藏 11
点赞数
文章标签: 网络 防火墙 工作 文档 活动 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsr/article/details/16386
版权
 

建立我院信息安全管理体系构架

 

随着我院生产技术平台完全建立在网络之上和信息化建设的逐步升级,从整体上说已经开始将自己的日常业务完全转移到电子平台上,由此导致的“网络依赖性”已经使得我院的企业级网络信息安全成为全院关注的焦点,这其中最为显著的标志,就是从去年开始陡然增多的网络黑客的恶性破坏和、尼姆达病毒侵害事件和服务器崩溃事件等。众所周知,在信息高速发展的今天,我院CAD集成应用软件和MIS管理不断采用联网技术将信息技术集成在一起。随着通过IntranetInternet的数据访问的不断增加,企业不断面临着更多的来自网络的安全威胁。这时,企业如果不能及时消除安全隐患、保护企业的设计信息以及其它敏感数据,不但会给企业带来巨大的经济损失,还会对企业的信誉造成不良的影响。可以说网络在给企业设计手段和管理方法注入活力的同时,也给网络安全保护带来了巨大挑战:如何安全的使网络连续运行,如何保护重要信息免受黑客、意外事故、竞争者和内部不满人员的破坏,如何安全快速的连接外部网络环境,生产设计管理平稳的在网络体系中进行,已经成为企业信息主管必须考虑的问题。

 

信息安全管理体系的三要素是:人、制度和技术;其中技术是基础,只有在技术有效时,制度和人才是关键,信息安全管理体系从用户的角度看更强调七分管理、三分技术,在实际运行中三要素就象一个三角支架,三条腿一样长,系统才能保持平衡

 

发达国家经过多年的研究,已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即: British Standard 7799信息安全管理体系(ISO/IEC 17799指出的安全管理的内容:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。面对如此庞大的管理技术体系,企业如何有效地建立自己的信息安全管理体系,从而真正达到信息安全的基本目标呢?从信息安全管理三要素看:计算机网络与信息安全=信息安全技术+信息安全管理体系(技术++制度)。在技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现:在管理层面,则通过构架信息安全管理体系(落实制度和人员培训)来实现。

 

British Standard 7799的信息管理过程是:

·确定信息安全管理方针和信息安全管理体系的范围

·进行风险分析

·根据风险分析,建立信息安全管理体系(制度和技术体系)

·建立业务持续计划并实施安全管理体系

 

设计院应根据自身的状况组织适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架,同时建立各种与信息安全管理框架相一致的相关文档、文件,并进行严格管理,对在具体实施的过程中出现的各种信息安全事件和安全状况进行严格的纪录,并建立严格的回馈流程和制度。

 

1确定信息安全管理方针和信息安全管理体系的范围

信息安全策略是企业理念及对保护企业关键数据和确保生产设计系统安全运行的寄予的厚望表征,它们通过精心编写、有效交流和实施得力的策略来帮助院消除由不当使用系统、软件、电子邮件系统和Internet带来的风险。信息安全政策是组织信息安全的最高方针,应该简单明了、通俗易懂并直指主题,避免将组织内所有层面的安全方针全部揉在一个政策中,使人不知所云。必须形成书面文件,广泛散发到组织内所有员工手中,并要对所有相关员工进行信息安全政策的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。 信息安全策略在企业实施网络安全措施中具有主导作用,只有针对自身特点制定合理的安全策略,才能使企业的安全措施行之有效、有据可依,取得预期的效果。良好、合理的安全策略将帮助用户评估网络风险、制定安全目标、确定合理可行的安全级别以及选择和部署安全解决方案。

 

设计院应该具备的信息安全管理方针:

·设计院拥有系统和数据,确保信息仅可让授权获取的人士访问、确保信息和处理方法的准确和完善、确保授权人需要时可以获取信息和相应的资产;

·员工同意不对院数据或院版权软件进行非授权复制、同意精心选择口令并不泄露口令、同意只以授权方式访问系统和数据、承认院拥有为安全目的而监控系统使用的权力,保证企业的名誉决不受到损害,是否遵守安全策略应作为每个员工业绩考评的一个组成部分;

·维护技术资源、知识产权和信息的价值;

·避免对信息、业务程序和财产造成破坏,籍以确保整个企业持续运营。

确定信息安全管理体系的范围:即在组织内选定在多大范围内构架信息安全管理体系。企业现有的组织结构是定义信息安全管理体系范围需要考虑的最重要的方面。

 

2进行风险分析

信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。

最低0.47元/天 解锁文章
xsr
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
3信息安全防护体系
ChaselWang的博客
02-26 2928
一、伊朗核设施瘫痪事件 震网病毒让世人惊讶的是攻击目标精准或者说明确,即针对德国西门子公司的S|IMATIC Win CC系统。这是一款数据采集与监视控制(SCADA)系统,被伊朗广泛使用于国防基础工业设施中。 病毒并不以刺探情报为目的,而是按照设计者的设想,定向破坏离心机等要害目标。 病毒传播渗透精巧,是一个精确制导的网络导弹,攻击目标明确,针对行业专用软件,使用全新的0 day漏洞(尚无补丁和防范对策)。总之,安全威胁无处不在,网络攻击无所不能。 二、信息安全防护手段的发展三阶段 1、信息保密阶段 保
安全架构体系概括】
weixin_46411728的博客
06-18 599
看到一个公众号,发现里面的内容和自己的日常工作相关,才发现自己做的安全管理工作竟然可以这么成体系,只是没有好好梳理过,这次正好对着公众号,看看自己做的工作都属于什么领域。安全架构底层包含:网络安全、终端安全、应用安全、系统安全、数据安全
信息安全系统的组成框架
huaqianzkh的专栏
03-10 637
信息系统安全系统框架通常由技术体系、组织机构体系和管理体系共同构建。 从实现技术上来看,信息安全系统涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。 (1)基础安全设备包括密码芯片、加密卡、身份识别卡等,此外还涵盖运用到物理安全的物理环境保障技术,建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全,通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。 (2)计算机网络安全指信息在网
2024年最全网络安全人士必知的35个安全框架及模型_大模型安全框架
最新发布
2401_84264244的博客
05-03 582
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
系统架构师主题整理之:信息系统安全体系结构设计
wwwyuewww的专栏
03-21 4665
信息系统安全涉及方方面面,是对整个系统的安全而言,要全面规划,并且在系统的整个生命周期都要覆盖。所以,要用全面整体的思想来研究、设计、实践系统的安全保障体系,这是一种全面整体的安全观。 整体上来讲,包括两部分,即理论加实践。理论层面,设计体系架构,形成整体框架,在框架中展开、细化、完善,形成可指导实践的方法论。实践层面,面对应用场景,根据具体业务特点,远景规划,使命及目标战略等,结合业务需求,给出具体应用措施。 实际生活中,在信息系统的建设、使用、维护中,可能存在重技术轻管理的思想,重设备轻人员的现象
网络与信息安全管理组织机构设置及工作职责.docx
04-04
企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全相关工作; 企业网络与信息安全管理组织架构:包括主管部门、配合部门, 网络与信息安全管理机构职责
系统架构设计笔记(89)—— 网络安全体系
读万卷书,行万里路
10-02 2767
ISO 的 OSI /RM 是著名的网络架构模型,但是, OSI /RM 并没有在安全性方面作专门的设计,因此该模型本身的安全性是很弱的。为了改善网络安全状况,提高网络安全强度, ISO 又在 OSI /RM 的基础上提出了一套 OSI 安全架构,用以强化网络安全性。 1 OSI 安全架构 OSI 安全架构是一个面向对象的、多层次的结构,它认为安全网络应用是由安全的服 务实现的,而安全服务又是由安全机制来实现的。 1.1 OSI 安全服务 针对网络系统的技术和环境, OSI 安全架构中对网络安全
信息安全体系结构
热门推荐
weixin_45060745的博客
03-16 1万+
信息安全体系结构是针对信息系统而言的,一般信息系统安全体系结构是系统信息安 全功能定义、设计、实施和验证的基础,该体系结构应该在反映整个信息系统安全策略的基 础上,描述该系统安全组件及其相关组件相互间的逻辑关系和功能分配。这种描述的合理性 和准确性将直接关系信息系统安全策略的实现效果。
公司信息化架构管理办法
05-14
6. **系统架构**:是对具体信息系统或项目的详细设计方案,它遵循总体架构的要求,以业务需求和信息技术需求为导向,实现架构设计的标准化和创新。 7. **遵从性**:分为总体架构遵从和系统架构遵从,前者涉及单位的...
银行信息系统架构_银行_银行;信息系统架构_
09-28
该书深入探讨了银行信息系统的核心架构,旨在帮助读者理解如何构建、管理和优化支撑银行日常运营的信息系统。 在银行业,信息系统架构至关重要,因为它直接决定了银行能否高效、安全地处理大量金融交易和客户数据。...
企业网络与信息安全管理组织架构.docx
10-02
企业网络与信息安全管理组织架构.docx
信息安全整体架构设计.doc
08-17
- 参照ISO17799标准建立信息安全管理体系,根据自身需求进行定制。 综上所述,信息安全整体架构设计是一个多层面、全方位的策略,它涵盖了人员教育、政策制定、技术应用和持续管理等多个方面,以形成一套动态的、...
信息安全设计架构.pptx
01-23
1. **信息安全管理架构**:信息安全管理工作始于明确的安全策略,包括制定安全方针、策略和规章制度。这涉及对业务安全需求的合规性分析,确保所有操作符合法规要求。安全管理体系包括四级文件结构,从方针到记录,...
企业网络与信息安全管理组织架构.doc
06-22
企业网络与信息安全管理组织架构是确保企业数据资产和网络基础设施安全的重要组成部分。这一构架通常由多层级的管理和执行机构组成,旨在建立一个系统化、规范化的安全管理框架,以应对日益复杂的网络安全威胁。 ...
网络安全人士必知的35个安全框架及模型
weixin_51725318的博客
11-04 841
网络安全人士必知的35个安全框架及模型
信息安全要达到哪些目标
weixin_40709965的博客
08-16 1306
信息安全的目标是保障产品里信息资产的保密性,完整性和可用性,简称为CIA。 保密性 保障信息资产不被未授权的用户访问或泄露。 完整性 保障信息资产不会未经授权而被篡改。 可用性 保障已授权用户合法访问信息资产的权利。 安全架构5A方法论 进行产品的安全架构设计或评估,有几个需要重点关注的逻辑模块,他们可以在逻辑上视为安全架构的核心元素。 身份认证:对用户身份进行认证。 授权:授予或拒绝某些客户访问资源的权限。 访问控制:权限的控制措施,以及是否放行的执行者。 可追溯:行程可以对数据的操作进行追溯的操作日志
企业信息安全整体架构
hsabrina的博客
07-14 3788
网络安全中,除了采用上述技术措施之外,加强网络安全管理,制定有关规章制度,对于确保网络安全、可靠地运行,将起到十分有效的作用。安全体系建设中,安全管理是一个非常重要的部分。任何的安全技术保障措施,最终要落实到具体的管理规章制度以及具体的管理人员职责上,并通过管理人员的工作得到实现。...
上下矿井人员信息管理系统:B/S架构与数据库安全开发
上下矿井人员信息管理系统是一种专门针对井工型煤矿,尤其是新建和改扩建矿井设计的信息管理系统,它旨在利用计算机技术实现电子化、信息化和安全化的人员信息管理。该系统的开发围绕着两个核心部分展开:后台数据库...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值