安全规划安全规划 安全体系建设安全体系建设 等级保护咨询等级保护咨询 风险评估风险评估 安全培训安全培训 安全运维安全运维 ISOC云安全ISOC云安全
安全规划

一、您为什么要进行信息安全规划?


信息安全建设工作是一个动态的长期的过程,为有效组织信息安全建设,需要制定高瞻远瞩、切实可行的规划:


1、信息安全涉及到信息化的方方面面,如:机制类型和功能庞杂的信息安全技术、内容和流程繁多的信息安全工作、结构和职责严细的信息安全组织、事无巨细的信息安全建设和运维等等,都需要进行详细的规划和设计。

2、信息安全是体系化的,如:策略体系化、制度体系化、规范体系化、管控工作体系化、技术机制体系化等等方面,这些规划设计,都需要全面参照信息安全标准进行。

3、信息安全是动态的长期的过程,如:威胁随信息化技术的不断变化、风险随信息化进程的不断变化、需求随新业务新系统的建设而不断变化,这些变化都需要进行分析预判,充分在规划设计中体现和落实。

4、信息安全与信息化是一体之双翼,信息化的不断建设,必将要求信息安全建设的不断提升,大量投资在所难免,阶段性建设和投资也是信息安全规划设计的重要内容。 


二、我们如何为您量身订制信息安全规划?


1、信息安全规划方法

信息安全规划模型,以用户业务即IT战略为出发点,参考业务即IT建设需求,形成信息安全的战略及信息安全目标。由信息安全目标结合业务战略形成信息安全建设的需求,参考外部威胁、自身的一些制约条件,如组织架构、人才基础、IT建设经费等,逐步分析形成信息安全总体规划。

 

安全规划.jpg


依据信息安全规划设计,沿四个条线进行分析:

1)信息安全总策略。该部分是信息安全设计的重要组成,是在信息安全目标指引下,确定信息安全范围边界、实现方法等内容的纲领性文件。

2)当前环境。信息安全总体框架、当前信息安全策略、信息安全组织机构的构成、已形成的信息安全管理机制、目前的信息安全管控工作及其管控指标体系、目前已有的管理制度及流程、目前已有的标准及规范,已经具备的信息安全设施、已经上线使用的信息安全设备等等方面。

3)目标环境。也就是根据IT需求、信息安全目标、信息安全总策略,形成的各层级信息安全策略、信息安全业务及管控工作蓝图、信息安全管理流程及管理信息蓝图、信息安全建设蓝图,这些蓝图和内容构造出未来业务、当前业务、信息系统对信息安全支撑环境的总建设需求。

4)评估评价、差距分析。该条线主要分析目标环境与当前环境的差距,评估当前环境与未来环境之间差距的具体整改措施和改进方法。


规划设计过程中需要建立多种建设原则,如:策略建设、信息安全业务及管理、技术开发和建设、信息安全风险管控等。这些原则对后续形成的建设项目的设计、开发、实施、运行产生直接的指导。

整体信息安全规划设计基本完成后,将进行信息安全的项目规划,即设计出实现信息安全建设蓝图的具体步骤、需要实现的信息化配套项目群、信息安全项目群、子项目,项目和子项目的划分边界,项目的建设内容、建设目标、建设计划、建设效果,并给出实施时间表。

除了要完成信息安全项目规划外,还应该将信息安全项目建设的过程中需要考虑的内容加以说明,如:信息安全工程建设管理、信息安全项目管理方法、资金配套方式等等,从而保障项目的顺利进行,最终实现目标信息安全环境。


2、风险评估 


1)资产调查。根据资产划分法 ,对各主要信息系统进行资产划分、识别,统计 ,并提交完备的资产分析报告。完备而逻辑清晰的资产分析是企业资产管理必不可少的组成部分,同时也是顺利实施成功的风险评估的前提条件。

2)威胁识别。威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。威胁识别主要是:识别被评估组织关键资产直接或间接面临的威胁,以及相应的分类和赋值等活动。威胁识别活动的主要目的是建立风险分析需要的威胁场景。

3)脆弱性识别。各类技术脆弱性的存在,势必会大大增加安全事件发生的可能性,从而加大信息系统整体的安全风险。因此,需要对信息系统中当前的脆弱性进行识别。

4)安全措施识别和确认。有效的安全控制措施,可以降低安全事件发生的可能性,也可以减轻安全事件造成的不良影响。因此,在进行风险分析/计算之间,有必要识别被评估组织目前已有的安全控制措施,并对措施的有效性进行分析,为后续的风险分析提供参考依据。

5)风险分析。风险分析需要从如下方面进行:网络架构评估分析、关键服务器评估分析、应用系统评估分析、访谈及安全意识评估分析、客户端抽样检查分析、安全管理评估分析信息安全审计评估分析。


3、安全策略设计

建立信息安全管理框架,确立并验证管理目标和管理办法时需采取如下步骤:


1)定义信息安全方针。

2)定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方面的特征。

3)进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等。

4)根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域。

5)从BS7799第二部分 的第四章选出合理的管理标的和管理办法,并加以实施;选择方案时应做到有法可依。

6)准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时对选择的理由进行验证,并对第四章中排除的管理办法进行记录。

7)对上述步骤的合理性应按规定期限定期审核。


4、需求分析

根据风险评估结果,结合法律、法规及行业规范,我们将会提交安全需求分析报告,并对信息系统未来三年的信息安全规划提出建议。


5、信息安全体系设计

根据需求分析,结合企业的现状,可以为企业设计出有个性的安全体系,包括:建立等级保障体系、建立安全(风险)管理体系、建立安全策略体系、建立安全技术体系、建立安全运维体系、建立安全保障体系、建立信息安全审计体系。


6、解决方案

依据风险评估结果,我们将给出详细的信息安全解决方案。包括分步实施的计划安排建议,建立体系所产生的风险、代价,预算/投入情况等。由于此项工作严重依赖资产调查以及风险评估的结果,所以我们目前只能给出体系建立方法以及实施方法论。


三、我们的服务特色是什么?


1、整体性

江南天安信息安全规划服务为用户建设的安全体系,可涵盖物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个层次,并从技术、管理两个维度进行设计,是一个非常完整的安全体系。


2、符合性

江南天安信息安全规划服务符合国家信息安全体系的总体要求及等级保护等相关法规标准的要求。


3、针对性

江南天安信息安全规划服务为用户建设的安全体系,是在对用户的信息资产做了充分调研及风险分析的基础上而研制的,因而对用户的信息系统具有很强的针对性; 此外,体系又具有较强的弹性,以适应用户不同的分支机构。


4、可持续性

江南天安信息安全规划服务的设计满足信息系统全生命周期的持续安全保障。


5、标准性

江南天安信息安全规划服务为用户建设的安全体系,在结合用户实际环境的基础上,尽可能多地参照了国际国内安全标准。


6、可操作性

江南天安信息安全规划服务为用户建设的安全体系,通过提供完备的工程化方案和体系实施工具,确保了其强大的可操作性。


四、您将获得的收益是什么?


通过信息安全规划服务,可以获得一份符合用户信息安全工作复杂性的详细设计,符合用户信息安全体系的参照规范,符合用户信息安全阶段性要求的建设框架和内容,符合用户信息安全动态变化的阶段性规划。为用户的信息安全建设提供良好的技术指导和建设依据。

Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP备08012318号  技术支持博乐虎科技