【正文】 難備份與恢復(fù)體系。 建立信息監(jiān)控與審計(jì)體系216。同時(shí)建立服務(wù)與保障體系來保障系統(tǒng)的正常運(yùn)行。 根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。 確保改進(jìn)活動(dòng)達(dá)到了預(yù)期的目的。第3章 分階段安全建設(shè)規(guī)劃傳統(tǒng)的安全設(shè)計(jì)理念基本上仍處于忙于封堵現(xiàn)有系統(tǒng)漏洞的階段，有人形象的稱之為“修修補(bǔ)補(bǔ)”或“圍、追、堵、截”，基于這樣的設(shè)計(jì)理念建成的安全體系只能是局部的、被動(dòng)的安全，而無法提供整體的、主動(dòng)的安全；同時(shí)也缺乏有效的管理和監(jiān)控手段，使得信息安全狀況令人擔(dān)憂，表現(xiàn)在病毒、蠕蟲層出不窮、系統(tǒng)漏洞眾多，另外經(jīng)過很多國際權(quán)威機(jī)構(gòu)的調(diào)查，內(nèi)部發(fā)生的安全事件占全部安全事件的70％甚至更多，比如內(nèi)部的誤用和嗅探、攻擊等濫用行為，都因?yàn)槿狈τ行У谋O(jiān)控和管理而不能及時(shí)發(fā)現(xiàn)，也給網(wǎng)絡(luò)的安全帶來巨大挑戰(zhàn)；安全是一個(gè)整體，任何一部分的薄弱都會(huì)使得整體的安全防御能力大打折扣，不但使得組織重金建設(shè)的邊界安全防御體系失去作用，同時(shí)還會(huì)嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)營，從經(jīng)濟(jì)、法律、聲譽(yù)等多方面對(duì)企業(yè)造成負(fù)面影響。 基礎(chǔ)架構(gòu)層面：包括終端、服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)在內(nèi)的基礎(chǔ)設(shè)施，乃至數(shù)據(jù)中心和容災(zāi)中心，這些都是信息數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸、處理的載體，圍繞信息處理和流轉(zhuǎn)所搭建的基礎(chǔ)設(shè)施，同時(shí)也是IT系統(tǒng)和管理人員為保證信息和數(shù)據(jù)的安全、可用的最基礎(chǔ)和重要的管理對(duì)象；216。為此，我們規(guī)劃企業(yè)的整體安全的時(shí)候，應(yīng)遵循如下原則：216。216。 建立信息安全管理體系216。圖1 建立信息安全管理體系的步驟1)定義信息安全策略例如，開發(fā)部、數(shù)據(jù)部、系統(tǒng)都分別有一個(gè)信息安全策略，適用于其部門內(nèi)所有員工。在本階段，應(yīng)將劃分成不同的信息安全控制領(lǐng)域，以易于對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼?4)信息安全風(fēng)險(xiǎn)管理根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。 (5)確定管制目標(biāo)和選擇管制措施。 管制目標(biāo)的確定和管制措施的選擇原則是費(fèi)用不超過風(fēng)險(xiǎn)所造成的損失。信息安全適用性聲明的準(zhǔn)備，一方面是為了向內(nèi)的員工聲明面對(duì)信息安全風(fēng)險(xiǎn)的態(tài)度，在更大程度上則是為了向外界表明的態(tài)度和作為，以表明已經(jīng)全面、系統(tǒng)地審視了其信息安全系統(tǒng)，并將所有有必要管制的風(fēng)險(xiǎn)控制在能夠被接受的范圍內(nèi)。因此，我們建議設(shè)立一個(gè)首席安全官來代替原來的安全領(lǐng)導(dǎo)小組，負(fù)責(zé)對(duì)信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在的執(zhí)行情況、設(shè)立各個(gè)部門的信息安全責(zé)任人，落實(shí)信息安全責(zé)任。4. 網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)設(shè)備管理員　所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的維護(hù)人員，需要有豐富的理論和實(shí)際操作經(jīng)驗(yàn)。8. 開發(fā)管理員：軟件安全保障員 監(jiān)督軟件開發(fā)工作的安全性措施實(shí)施情況，制定軟件開發(fā)的安全標(biāo)準(zhǔn)。 建立監(jiān)控審計(jì)體系216。一、審計(jì)監(jiān)控體系為電子政務(wù)建立了一個(gè)完整的責(zé)任認(rèn)定體系1)在信任體系中對(duì)合法操作行為的責(zé)任認(rèn)定責(zé)任認(rèn)定體系設(shè)計(jì)的定位就是所有的操作者都是不可信任的，這就決定了責(zé)任認(rèn)定在這里所處的地位：起到完善信任體系中痕跡保留以及事后追查的作用，是和身份認(rèn)證、授權(quán)管理并列的保證網(wǎng)絡(luò)內(nèi)網(wǎng)安全的三大重要措施。相反地，由于各產(chǎn)品缺乏有效的協(xié)調(diào)性，記錄的信息無法互通，所以在很大的程度上，這部分分散的、凌亂的信息在工作中很難被有效使用，一直是整個(gè)信息安全建設(shè)中的一個(gè)軟肋。所不同的是，審計(jì)機(jī)關(guān)是對(duì)非法的經(jīng)濟(jì)行為進(jìn)行審計(jì)，而信息安全強(qiáng)審計(jì)是對(duì)電子政務(wù)網(wǎng)絡(luò)中的非法操作行為進(jìn)行審計(jì)。以強(qiáng)審計(jì)為核心的責(zé)任認(rèn)定體系，我們通過對(duì)網(wǎng)絡(luò)組成要素的審計(jì)，通過對(duì)應(yīng)用系統(tǒng)的審計(jì)，通過對(duì)安全產(chǎn)品的審計(jì)，通過對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的審計(jì)。二、健全授權(quán)管理體系在授權(quán)管理中，對(duì)網(wǎng)絡(luò)資源的授權(quán)管理是非常重要的問題。 必須保證所有連接入網(wǎng)絡(luò)的計(jì)算機(jī)都是合法的；216。2)主機(jī)的授權(quán)管理216。216。4)服務(wù)器的授權(quán)管理216。 對(duì)網(wǎng)絡(luò)打印機(jī)進(jìn)行訪問控制；通過審計(jì)監(jiān)控體系完成對(duì)網(wǎng)絡(luò)資源的授權(quán)管理既是構(gòu)建完善的授權(quán)管理基礎(chǔ)設(shè)施的重要組成部分，同時(shí)也是建立健全責(zé)任認(rèn)定體系的必要前提。應(yīng)急響應(yīng)小組成員職責(zé)：（1） 組長：協(xié)調(diào)應(yīng)急響應(yīng)小組其它成員的工作，協(xié)調(diào)與其它部門的接口關(guān)系，組織應(yīng)急計(jì)劃的評(píng)審、組織各類安全問題的交流等。安全應(yīng)急預(yù)案制定安全應(yīng)急預(yù)案的過程：（1） 預(yù)先定義深圳市的各種安全事件通過調(diào)研，預(yù)測(cè)可能會(huì)遇到的安全事件，將其一一列出定義，并根據(jù)其相關(guān)性進(jìn)行分類，對(duì)每一類又按照其發(fā)作范圍和危害程度進(jìn)行分級(jí)。3）劃分安全事件的級(jí)別。對(duì)不可預(yù)測(cè)的安全事件，也要制訂通用的應(yīng)急計(jì)劃。針對(duì)本安全事件，設(shè)計(jì)現(xiàn)場(chǎng)處理流程。應(yīng)急響應(yīng)中心人員必須進(jìn)行事后調(diào)查，評(píng)估事件損失，調(diào)查事件原委，追究事件責(zé)任，編寫《安全事件調(diào)查研究報(bào)告》。服務(wù)器系統(tǒng)備份與恢復(fù)備份：216。216。完成備份策略調(diào)整工作后，核對(duì)備份申請(qǐng)表，并歸檔備案。 備份系統(tǒng)管理員根據(jù)備份申請(qǐng)表的要求，建立臨時(shí)備份策略對(duì)數(shù)據(jù)進(jìn)行備份。216。216。216。數(shù)據(jù)庫系統(tǒng)備份與恢復(fù)備份：216。216。完成備份策略調(diào)整工作后，核對(duì)備份申請(qǐng)表，并歸檔備案。 對(duì)于每周全備份，每個(gè)星期六或者星期日做一次全備份，備份數(shù)據(jù)保留時(shí)間為三個(gè)月，下一個(gè)星期一、星期二將每周備份的所有磁帶遷移到帶庫外，異地存放，確保機(jī)房發(fā)生災(zāi)難后，數(shù)據(jù)丟失不超過一個(gè)星期。 在備份策略發(fā)生更變時(shí)，應(yīng)該相應(yīng)的更新《備份信息匯總表》文檔，保持該文檔的內(nèi)容與備份系統(tǒng)內(nèi)的策略內(nèi)容同步。 數(shù)據(jù)庫管理員要提供數(shù)據(jù)庫恢復(fù)的環(huán)境、空間，授權(quán)，滿足數(shù)據(jù)庫恢復(fù)的權(quán)限。 完成恢復(fù)工作后，通知相關(guān)人員及核對(duì)恢復(fù)申請(qǐng)表，并歸檔備案。 建立服務(wù)保障體系實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，隨著新技術(shù)的產(chǎn)生，新的安全漏洞的發(fā)現(xiàn)，原本是安全的系統(tǒng)也會(huì)變得不安全。全面的風(fēng)險(xiǎn)評(píng)估每年進(jìn)行一次。風(fēng)險(xiǎn)評(píng)估內(nèi)容包括：物理層風(fēng)險(xiǎn)評(píng)估：機(jī)房、設(shè)備、辦公、線路、環(huán)境；系統(tǒng)層風(fēng)險(xiǎn)評(píng)估：系統(tǒng)漏洞、配置缺陷；網(wǎng)絡(luò)層風(fēng)險(xiǎn)評(píng)估：架構(gòu)安全、設(shè)備漏洞、設(shè)備配置缺陷；應(yīng)用層風(fēng)險(xiǎn)評(píng)估：軟件漏洞、安全功能缺陷；管理層風(fēng)險(xiǎn)評(píng)估：組織、策略、技術(shù)管理。參見《信息系統(tǒng)安全威脅評(píng)估報(bào)告》3. 評(píng)估資產(chǎn)威脅相關(guān)的弱點(diǎn)：評(píng)估威脅可能利用的資產(chǎn)的弱點(diǎn)及其嚴(yán)重程度。 保持和改進(jìn)ISMS信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，安全管理制度也有一個(gè)不斷完善的過程。同時(shí)，網(wǎng)絡(luò)安全工程也是一個(gè)人人參與的工程，需要所有涉及網(wǎng)絡(luò)資源使用的客戶都進(jìn)行安全控制，才能確保網(wǎng)絡(luò)安全無漏洞、無死角。 stipends and other costs, can be through the one card, such as direct subsidies to households. In terms of financial poverty, in order to further increase the size of loans, expands the scope of delivery, developing industry, Enterprise provides protection for the poor. In respect of transport poverty alleviation, to solve the bottleneck in poor villages, development of transport, vigorously promoting the construction of rural roads and ordinary roads. PV poverty reduction, to support conditions of poor villages and photovoltaic system of centralized, poor construction projects, poor41。 后期根據(jù)PDCA的循環(huán)，做好后期的查缺補(bǔ)漏。根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。參見《信息安全風(fēng)險(xiǎn)綜合評(píng)估分析報(bào)告》根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，制定對(duì)風(fēng)險(xiǎn)實(shí)施安全控制的計(jì)劃。參見《信息資產(chǎn)安全價(jià)值評(píng)估列表》。當(dāng)引入新的業(yè)務(wù)系統(tǒng)或者網(wǎng)絡(luò)或者業(yè)務(wù)系統(tǒng)發(fā)生重大改變時(shí)，需要立刻進(jìn)行局部或者整體的風(fēng)險(xiǎn)評(píng)估。安全風(fēng)險(xiǎn)評(píng)估體系包括周期性的安全評(píng)估和當(dāng)引入新的業(yè)務(wù)系統(tǒng)或者網(wǎng)絡(luò)或者業(yè)務(wù)系統(tǒng)發(fā)生重大改變時(shí)的風(fēng)險(xiǎn)評(píng)估。 通過建立服務(wù)保障體系中的信息風(fēng)險(xiǎn)安全評(píng)估、設(shè)備巡檢等評(píng)審當(dāng)前信息安全問題的處理情況216。 備份系統(tǒng)管理員根據(jù)恢復(fù)申請(qǐng)表的要求，查詢備份系統(tǒng)進(jìn)行恢復(fù)。 相關(guān)人員在需要恢復(fù)數(shù)據(jù)庫類型的數(shù)據(jù)時(shí)，應(yīng)當(dāng)向備份系統(tǒng)管理員提交恢復(fù)申請(qǐng)表，描述需要恢復(fù)數(shù)據(jù)所在的主機(jī)、數(shù)據(jù)庫服務(wù)器名稱及庫名、數(shù)據(jù)大概備份時(shí)間、要求恢復(fù)的目的地等。 對(duì)于每月全備份，備份數(shù)據(jù)保留時(shí)間為半年，做兩份磁帶拷貝，其中一份磁帶留在本地，另外一份磁帶異地存放。 對(duì)于每日全備份的數(shù)據(jù)，在磁帶中保留期限為兩個(gè)星期，過期后磁帶被覆蓋。216。216。216?；謴?fù)：216。216。216。 對(duì)于某些先前不在備份策略保護(hù)內(nèi)的數(shù)據(jù)，且需要臨時(shí)保護(hù)的，系統(tǒng)管理員可向備份系統(tǒng)管理員提交備份申請(qǐng)表，具體描述備份需求。216。216。對(duì)事件原因進(jìn)行徹底分析，找到確切根源，制訂消除安全事件根源的措施，保證同一安全事件不再發(fā)生。（3） 安全事件處理流程本次風(fēng)險(xiǎn)評(píng)估項(xiàng)目中已經(jīng)定義了安全事件處理流程，所以該流程參見《安全管理文檔—安全事件處理流程》安全應(yīng)急過程文檔安全事件處理完畢，系統(tǒng)恢復(fù)正常運(yùn)行后，要對(duì)整個(gè)事故的相關(guān)文檔進(jìn)行歸檔，總結(jié)經(jīng)驗(yàn)教訓(xùn)，并形成一個(gè)《安全事件調(diào)查研究報(bào)告》。將的信息劃分密級(jí)，一般分為五級(jí)：公開、內(nèi)部、秘密、機(jī)密、絕密?？疾彀踩录奈：π裕菏欠裨斐闪藫p失，確定損