云平台安全等级保护建设项目安全管理体系详细设计

云平台安全等级保护建设项目安全管理体系详细设计天融信根据XX现有的组织机构框架，借鉴已有的信息安全管理制度，并依据其他类似大型项目的丰富经验，采用先进成熟的理念，帮助明确信息安全工作在整个信息化工作中的地位、目标、原则以及策略，并协助XX梳理安全组织架构和安全职责、完善安全策略，真正形成一套切实可行，具有指导意义且符合实际需求的信息安全管理体系，包括安全策略、安全标准规范、安全管理制度和日常管理操作规程等。安全管理建设设计指导思想各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议，要真正构建符合XX自身状况的信息安全管理体系，在建设过程中应当以以下思想作为指导：“信息安全技术、信息安全产品是信息安全管理的基础，信息安全管理是信息安全的关键，人员管理是信息安全管理的核心，信息安全政策是进行信息安全管理的指导原则，信息安全管理体系是实现信息安全管理最为有效的手段”。建立安全管理制度及策略体系的目的帮助XX对信息安全管理制度体系进行重新规划，重点是确定信息安全工作要求和指标的总体方针，完善信息安全管理规章制度、办法和操作流程，制定安全操作的技术标准和规范等，加强安全管理制度的执行力度，约束和指导信息系统各层管理和使用人员的操作行为，以确保整个网络系统的安全管理处于较高的水平。设计原则1）参考国家等级保护要求。2）安全策略重点保护物理和环境安全、信息资产分类管理、变更管理、业务连续管理、安全事故管理、审查评估。3）没有绝对的安全。信息安全工作应该以风险管理为基础，在安全、效率和成本之间均衡考虑。4）应参照业界的做法，充分考虑到行业标准以及国内的管理和法制环境来XX。5）对保密信息的访问应遵循工作相关性原则、最小授权原则和审批、受控原则。安全方针信息安全方针应由XX信息安全主管领导组织制定、下达和指导执行。根据设计原则和业务系统的特征制定总体安全方针：1、保障业务系统安全，就是业务系统不受不受黑客、非授权人员等攻击、渗透和篡改，保证可靠、及时的发布XX为公众和其他国家机关提供的服务。确保业务系统在IT中实现的过程中的安全保障，涉及到业务系统业务管理安全、业务操作完整性、业务数据安全性等等。2、保障系统安全，也就是保障整个IT系统的安全性。3、满足法律法规要求。信息安全策略框架总体策略在总体安全方针的指导下，制订四个层面的总体安全策略：第一、业务安全策略。建立和制定科学、合理的内部控制机制和业务流程。XX业务管理制度参照了行业标准和国家法律法规，明确了XX相关业务的管理控制要求。业务安全总体策略就是在此基础之上制定更加科学合理的内部控制机制。在明确内部控制要求和建立内部控制机制后，需要制定业务的流程，保障业务的顺利进行，这需要涉及到业务管理安全、业务事务完整性等方面。该部分由各业务部门加以落实。第二、应用系统安全策略。保证内部控制制度、流程的实现；保证业务信息和数据整个生命周期的安全。首先是通过应用系统的实现将制定的内部控制制度进行落实，将业务流程加以实现，同时要保证该过程确实将这些要求落实。其次，保证实现后的业务系统能够对业务处理的信息和数据在整个生命周期中的保密性、完整性、抗抵赖性。保障XX重要信息的真实性和完整性。该部分由各业务部门和信息化部门共同加以落实。第三、基础设施安全策略。保证数据库、操作系统、业务中间件、网络等支撑业务应用的IT基础设施安全。业务和应用系统不是孤立存在的，是在IT环境中运行的，所以IT支撑环境的安全直接影响着整个业务的安全性。IT支撑环境安全策略就是保证数据库、操作系统、业务中间件、网络等支撑业务应用的IT基础设施安全。该部分由信息化部门加以落实。第四、运行维护安全策略。监控业务与系统的有效运行。前面三个方面只是强调了如何实现整个业务系统，如何保证业务系统的安全性，但是如何保证业务系统确实按照内控和既定业务流程在正常的运行，如何建立运行过程安全性的评价机制。这些需通过运行管理安全来实现。运行管理安全策略是：监控业务和系统的有效运行。该部分由信息化部门加以落实。安全管理组织机构XX信息系统安全管理组织机构要坚持责任明确、分工负责、统一管理的原则，在集中指挥的管理机制下统筹协调不同层次、不同管理范围的安全管理工作。天融信根据多年安全建设及服务经验，建议XX安全管理组织架构的工作及人员安排如下：XX信息安全管理组织机构具体管理及工作内容包括：信息安全领导小组定义：信息安全管理小组是XX信息系统安全管理的最高管理机构；职责：负责对信息系统的安全管理进行决策和监督；对下级安全部门的领导层进行委任和授权；委任与授权：其最高领导应该由XX主管领导委任与授权。人员组成：信息安全管理小组主要由组长和成员组成。小组职责岗位描述备注组长分管信息安全的XX领导。成员各部门相关负责人和分管信息安全工作的部门负责人工作小组定义：工作小组是信息系统安全管理工作和业务管理的具体执行部门；职责：总体负责信息系统的安全管理，执行具体的日常管理工作，对信息系统的安全进行维护和监督；设立安全主管、安全管理专员等安全管理岗位，明确定义各岗位的具体职责；信息管理部门向信息安全管理委员进行汇报；委任与授权：由信息化管理部门对信息系统的安全管理工作进行委任与授权。小组职责岗位描述备注组长分管信息安全工作的部门负责人系统管理员分管信息安全工作的部门人员安全管理员分管信息安全工作的部门人员审计管理员分管信息安全工作的部门人员具体管理人员包括：安全管理员、系统管理员、审计管理员定义：系统安全管理员、网络安全管理员、信息安全员、信息安全审计员分别为委门户系统的安全管理工作、系统管理工作、审计管理工作的具体执行者；职责：按照制定的安全管理策略，对信息系统的安全进行日常的维护与监督；安全管理员、系统管理员、审计管理员向信息管理部门领导进行汇报；委任与授权：安全管理员、系统管理员、审计管理员由信息化管理部门进行委任与授权；其职责权限应该依循“三权分立，相互监督”、“权限最小化”等原则进行定义和分配。服务交付物安全管理咨询，不仅限于如下安全管理制度：层次分类编制内容备注框架性安全管理制度安全体系安全管理体系框架XX安全管理体系框架安全技术体系框架XX安全技术体系框架安全策略信息安全策略XX信息安全策略信息安全风险管理规范XX信息安全风险管理信息安全检查规范XX信息安全检查具体安全管理制度组织框架安全管理机构XX信息安全管理机构岗位职责XX信息安全岗岗位职责人员管理人员考核XX信息安全岗岗位人员培训考核外部人员访问管理XX第三方人员管理系统XX管理系统定级制度XX信息系统定级与等级保护管理安全方案设计XX系统安全规划工作计划工程实施XX安全项目和工程实施管理系统运维管理日常运维XX信息系统日常运行维护管理环境管理XX机房安全管理XX办公环境信息安全管理资产管理XX资产安全管理介质管理XX介质管理设备管理XX设备安全管理监控管理和安全管理中心XX日志审计网络安全管理XX网络安全管理系统安全管理XX系统安全管理应用安全管理XX应用安全管理恶意代码防范管理XX恶意代码防范管理密码管理XX密码使用管理变更管理XX变更管理备份与恢复管理XX备份和恢复管理安全事件处置XX安全事件报告和处置管理应急预案管理XX应急响应总体框架应急预案程序手册类系统安全操作系统安全操