|
|
2.4.2.4. 统一安全管理系统部署建议
BS7799管理体系将IT策略和企业发展方向统一起来,确保IT资源发挥最大能效,使系统风险受到适当的控制,确保企业信息资产的机密性、完整性和可用性。企业参照该标准管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,进而利用信息技术为企业创造新的竞争优势。BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。
建立完善的、适合本系统的安全管理制度,靠成熟、先进、可操作的安全管理制度来管理和维护安全体系,建议采取以下安全举措:
人员安全。
人员的管理范围包括公司内的正式员工、试用员工、临时员工、来访客户。重要措施包括员工保密条款、各类人员接触公司资料范围规定等
安全机构。
建立独立的安全机构,对企业的网络安全从各个方面进行审查、提出改进措施,督促各级部门提高安全性,对安全事件追踪。建议设立安全管理员,专职工作;各部门有兼职的安全员,负责协调本部门的安全方针政策的贯彻
文档化管理制度。
企业的文档分为以下几类:源码类,产品信息类,方案类,商务类,实施维护文档类,培训类,行政管理类,人事管理类,财务管理类,客户资料类,其它类。重要措施是对以上类别的文档按重要性进行分级,确定保密范围、阅读修改规则、存放规则等。
安全管理制度和规范。
根据公司具体特点、业务流程和企业文化,制定出适合本系统各方面的管理规章制度和具体操作规范。
质量管理制度。强调对安全操作、维护过程和流程的控制和管理,用科学的质量管理制度保证安全体系时刻先进、安全
安全管理规范要依据以下相关标准和规范来制定:
中华人民共和国计算机信息系统安全保护条例
计算机信息网络国际联网安全保护管理办法
计算机信息系统国际联网保密管理规定
计算机信息系统安全保护等级划分准则
电子计算机机房设计规范
计算站场地技术条件
计算站场地安全要求
信息安全管理标准:BS7799
首先建立管理框架:
确立并验证管理目标和管理办法时需采取如下步骤:
定义信息安全策略
定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方面的特征
进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等
根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域
选出合理的管理标的和管理办法,并加以实施;选择方案时应做到有法可依
准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时对选择的理由进行验证,并对第四章中排除的管理办法进行记录
对上述步骤的合理性应按规定期限定期审核。
对以下控制点应加强管理:
安全策略
安全组织
资产分类与管理
个人安全守则
设备及使用环境安全管理
沟通及操作过程管理
存取控制
信息系统开发及维护
可持续运营管理符合性
对以下重点安全要素和领域分别建立针对性地管理规范
网络物理与拓扑安全
访问控制与安全边界
弱点漏洞分析和风险审计
入侵检测与防御
信息监控与取证
网络病毒防范
身份认证与授权
通信链路安全
系统安全
数据与数据库安全
应用系统安全
个人桌面安全
涉密网的物理隔离
灾难恢复与备份
集中安全管理 |
|
楼主: haohaojia
IP卡
狗仔卡
发表于 2007-5-30 14:50
显身卡
发表于 2007-5-30 16:55
