信息安全规划设计模板

1、信息安全规划设计模板信息系统安全规划方案樊山 2021/1/26本文件中出现的全部内容，除另有特别注明，版权均属樊山 所有。任何个人、机构未经樊山的书面授权许可，不得以任何方 式复制引用文件的任何片断。樊山负责对本文档的解释。目录1概 3 1.1 背景 3简介 3 1.1.2 实 施依据 3 1.2 需求分析 3系统风险综 3 1.2.2 系统等级化保护需 求 9 1.3 建设目标 10近期目标（2021年） 10 1.3.2 中期目标（2021年） 11 1.3.3 远期目标（2021年） 112安全保障需求概要设计 12 2.1 设计思路 12信息安全顶层设计思想 12 2.1.2 信息安

2、全顶层设计内涵 13 2.1.3 信息安全设计模型 14 2.1.4 信息安全应满足的基本要素. 14 2.2 管理保障设计 16 2.3 技术保障设 计 17 2.4 过程控制保 障设计 17 2.5 人员要求设计 17 3通用安全设计 19 3.1 管理保障 19风险管理体系设计 19 3.1.2 系统安全审计设计 23 3.2 技术保障 25物理安全通用设计 26 3.2.2 网络安全通用设计 26第1页/共43页3.2.3 系统安全通用设计 26 3.2.4 应用安全通用设计 26 3.2.5 数据安全通用设计 26 3.3 过程保障 27需求分析通用控制 27 3.3.2 开发采购通

3、用控制 27 3.3.3 实施交付通用控制 27 3.3.4 运行维护通用控制 28 3.3.5 废弃通用控制 33 3.4 人员要求 34人员角色与职责通用设计 34 3.4.2 具体角色 35 3.4.3 岗位设置原 则 364层面间安全设计384.1 S1 系统安全设计 4.1.1 网络规划拓38扑 38 4.1.2 入侵检测系统部署 384.1.3 数据库审计系统38 4.1.4 内网安全风险管理与审计系统38 4.1.5 堡垒机系统5工程实施建38议 39 5.1第一期工程实施建议 39 5.2 第二期工程实施建议 40 5.3 第三期工程实施建议 40 5.4 工程预算 40 附件

4、1 等级保护定级流程及矩阵 41 附件2 岗位职责分离表 42第2页/共43页1 概述背景简介实施依据本次规划设计是基于国际、国家通行标准的基础之上，主要采用标准如下：ISO/IEC 27001： 20 xx信息安全管理体系要求；GB/T 20984-20 xx 信息安全技术-信息安全风险评估规范； ISO/IEC 27005：2021 信息安全技术-信息安全风险管理。 GB/T 222392021信息安全技术-信息系统安全等级保护基本要求 GB/T 22240-2021 信息安全技术-信息系统安全等级保护定级指南 GB/T 20274：2021 信息安全技术信息系统安全保障评估框架公通字（6

5、6号文）关于印发关于信息安全等级保护工作的 实施意见的通知需求分析1.2.1 系统风险综述 1.2.1.1 管理风险综述 1.2.1.1.1 概 述XXX管理风险评估是建立在ISO/IEC 27001： 20 xx信息技术 -信息安全管理体系-要求基础上133个控制点的符合性识别和 控制。其中不适用24项，不符合57项，详见图：第3页/共43页24, 18R, 39%符合不符合不适用57, 43% 图管理风险统计图 分类 信息安全方针 信息安全组织 资产管理 人力资源安全 物理 与环境安全 通信与操作管理 访问控制 系统获取、开发与维护 信息安全事件管理 符合性 统计 极高 高 1 3 1 1 1 4 3 4 1