【正文】 難備份與恢復體系。 建立信息監(jiān)控與審計體系216。同時建立服務(wù)與保障體系來保障系統(tǒng)的正常運行。 根據(jù)安全事件處理經(jīng)驗教訓和安全風險評估的結(jié)果，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整。 確保改進活動達到了預(yù)期的目的。第3章 分階段安全建設(shè)規(guī)劃傳統(tǒng)的安全設(shè)計理念基本上仍處于忙于封堵現(xiàn)有系統(tǒng)漏洞的階段，有人形象的稱之為“修修補補”或“圍、追、堵、截”，基于這樣的設(shè)計理念建成的安全體系只能是局部的、被動的安全，而無法提供整體的、主動的安全；同時也缺乏有效的管理和監(jiān)控手段，使得信息安全狀況令人擔憂，表現(xiàn)在病毒、蠕蟲層出不窮、系統(tǒng)漏洞眾多，另外經(jīng)過很多國際權(quán)威機構(gòu)的調(diào)查，內(nèi)部發(fā)生的安全事件占全部安全事件的70％甚至更多，比如內(nèi)部的誤用和嗅探、攻擊等濫用行為，都因為缺乏有效的監(jiān)控和管理而不能及時發(fā)現(xiàn)，也給網(wǎng)絡(luò)的安全帶來巨大挑戰(zhàn)；安全是一個整體，任何一部分的薄弱都會使得整體的安全防御能力大打折扣，不但使得組織重金建設(shè)的邊界安全防御體系失去作用，同時還會嚴重影響組織業(yè)務(wù)的正常運營，從經(jīng)濟、法律、聲譽等多方面對企業(yè)造成負面影響。 基礎(chǔ)架構(gòu)層面：包括終端、服務(wù)器、存儲、網(wǎng)絡(luò)在內(nèi)的基礎(chǔ)設(shè)施，乃至數(shù)據(jù)中心和容災(zāi)中心，這些都是信息數(shù)據(jù)的產(chǎn)生、存儲、傳輸、處理的載體，圍繞信息處理和流轉(zhuǎn)所搭建的基礎(chǔ)設(shè)施，同時也是IT系統(tǒng)和管理人員為保證信息和數(shù)據(jù)的安全、可用的最基礎(chǔ)和重要的管理對象；216。為此，我們規(guī)劃企業(yè)的整體安全的時候，應(yīng)遵循如下原則：216。216。 建立信息安全管理體系216。圖1 建立信息安全管理體系的步驟1)定義信息安全策略例如，開發(fā)部、數(shù)據(jù)部、系統(tǒng)都分別有一個信息安全策略，適用于其部門內(nèi)所有員工。在本階段，應(yīng)將劃分成不同的信息安全控制領(lǐng)域，以易于對有不同需求的領(lǐng)域進行適當?shù)男畔踩芾怼?4)信息安全風險管理根據(jù)風險評估的結(jié)果進行相應(yīng)的風險管理。 (5)確定管制目標和選擇管制措施。 管制目標的確定和管制措施的選擇原則是費用不超過風險所造成的損失。信息安全適用性聲明的準備，一方面是為了向內(nèi)的員工聲明面對信息安全風險的態(tài)度，在更大程度上則是為了向外界表明的態(tài)度和作為，以表明已經(jīng)全面、系統(tǒng)地審視了其信息安全系統(tǒng)，并將所有有必要管制的風險控制在能夠被接受的范圍內(nèi)。因此，我們建議設(shè)立一個首席安全官來代替原來的安全領(lǐng)導小組，負責對信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項安全措施在的執(zhí)行情況、設(shè)立各個部門的信息安全責任人，落實信息安全責任。4. 網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)設(shè)備管理員　所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的維護人員，需要有豐富的理論和實際操作經(jīng)驗。8. 開發(fā)管理員：軟件安全保障員 監(jiān)督軟件開發(fā)工作的安全性措施實施情況，制定軟件開發(fā)的安全標準。 建立監(jiān)控審計體系216。一、審計監(jiān)控體系為電子政務(wù)建立了一個完整的責任認定體系1)在信任體系中對合法操作行為的責任認定責任認定體系設(shè)計的定位就是所有的操作者都是不可信任的，這就決定了責任認定在這里所處的地位：起到完善信任體系中痕跡保留以及事后追查的作用，是和身份認證、授權(quán)管理并列的保證網(wǎng)絡(luò)內(nèi)網(wǎng)安全的三大重要措施。相反地，由于各產(chǎn)品缺乏有效的協(xié)調(diào)性，記錄的信息無法互通，所以在很大的程度上，這部分分散的、凌亂的信息在工作中很難被有效使用，一直是整個信息安全建設(shè)中的一個軟肋。所不同的是，審計機關(guān)是對非法的經(jīng)濟行為進行審計，而信息安全強審計是對電子政務(wù)網(wǎng)絡(luò)中的非法操作行為進行審計。以強審計為核心的責任認定體系，我們通過對網(wǎng)絡(luò)組成要素的審計，通過對應(yīng)用系統(tǒng)的審計，通過對安全產(chǎn)品的審計，通過對主機、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的審計。二、健全授權(quán)管理體系在授權(quán)管理中，對網(wǎng)絡(luò)資源的授權(quán)管理是非常重要的問題。 必須保證所有連接入網(wǎng)絡(luò)的計算機都是合法的；216。2)主機的授權(quán)管理216。216。4)服務(wù)器的授權(quán)管理216。 對網(wǎng)絡(luò)打印機進行訪問控制；通過審計監(jiān)控體系完成對網(wǎng)絡(luò)資源的授權(quán)管理既是構(gòu)建完善的授權(quán)管理基礎(chǔ)設(shè)施的重要組成部分，同時也是建立健全責任認定體系的必要前提。應(yīng)急響應(yīng)小組成員職責：（1） 組長：協(xié)調(diào)應(yīng)急響應(yīng)小組其它成員的工作，協(xié)調(diào)與其它部門的接口關(guān)系，組織應(yīng)急計劃的評審、組織各類安全問題的交流等。安全應(yīng)急預(yù)案制定安全應(yīng)急預(yù)案的過程：（1） 預(yù)先定義深圳市的各種安全事件通過調(diào)研，預(yù)測可能會遇到的安全事件，將其一一列出定義，并根據(jù)其相關(guān)性進行分類，對每一類又按照其發(fā)作范圍和危害程度進行分級。3）劃分安全事件的級別。對不可預(yù)測的安全事件，也要制訂通用的應(yīng)急計劃。針對本安全事件，設(shè)計現(xiàn)場處理流程。應(yīng)急響應(yīng)中心人員必須進行事后調(diào)查，評估事件損失，調(diào)查事件原委，追究事件責任，編寫《安全事件調(diào)查研究報告》。服務(wù)器系統(tǒng)備份與恢復備份：216。216。完成備份策略調(diào)整工作后，核對備份申請表，并歸檔備案。 備份系統(tǒng)管理員根據(jù)備份申請表的要求，建立臨時備份策略對數(shù)據(jù)進行備份。216。216。216。數(shù)據(jù)庫系統(tǒng)備份與恢復備份：216。216。完成備份策略調(diào)整工作后，核對備份申請表，并歸檔備案。 對于每周全備份，每個星期六或者星期日做一次全備份，備份數(shù)據(jù)保留時間為三個月，下一個星期一、星期二將每周備份的所有磁帶遷移到帶庫外，異地存放，確保機房發(fā)生災(zāi)難后，數(shù)據(jù)丟失不超過一個星期。 在備份策略發(fā)生更變時，應(yīng)該相應(yīng)的更新《備份信息匯總表》文檔，保持該文檔的內(nèi)容與備份系統(tǒng)內(nèi)的策略內(nèi)容同步。 數(shù)據(jù)庫管理員要提供數(shù)據(jù)庫恢復的環(huán)境、空間，授權(quán)，滿足數(shù)據(jù)庫恢復的權(quán)限。 完成恢復工作后，通知相關(guān)人員及核對恢復申請表，并歸檔備案。 建立服務(wù)保障體系實施信息安全風險評估信息安全是一個動態(tài)的系統(tǒng)工程，隨著新技術(shù)的產(chǎn)生，新的安全漏洞的發(fā)現(xiàn)，原本是安全的系統(tǒng)也會變得不安全。全面的風險評估每年進行一次。風險評估內(nèi)容包括：物理層風險評估：機房、設(shè)備、辦公、線路、環(huán)境；系統(tǒng)層風險評估：系統(tǒng)漏洞、配置缺陷；網(wǎng)絡(luò)層風險評估：架構(gòu)安全、設(shè)備漏洞、設(shè)備配置缺陷；應(yīng)用層風險評估：軟件漏洞、安全功能缺陷；管理層風險評估：組織、策略、技術(shù)管理。參見《信息系統(tǒng)安全威脅評估報告》3. 評估資產(chǎn)威脅相關(guān)的弱點：評估威脅可能利用的資產(chǎn)的弱點及其嚴重程度。 保持和改進ISMS信息安全是一個動態(tài)的系統(tǒng)工程，安全管理制度也有一個不斷完善的過程。同時，網(wǎng)絡(luò)安全工程也是一個人人參與的工程，需要所有涉及網(wǎng)絡(luò)資源使用的客戶都進行安全控制，才能確保網(wǎng)絡(luò)安全無漏洞、無死角。 stipends and other costs, can be through the one card, such as direct subsidies to households. In terms of financial poverty, in order to further increase the size of loans, expands the scope of delivery, developing industry, Enterprise provides protection for the poor. In respect of transport poverty alleviation, to solve the bottleneck in poor villages, development of transport, vigorously promoting the construction of rural roads and ordinary roads. PV poverty reduction, to support conditions of poor villages and photovoltaic system of centralized, poor construction projects, poor41。 后期根據(jù)PDCA的循環(huán)，做好后期的查缺補漏。根據(jù)安全事件處理經(jīng)驗教訓和安全風險評估的結(jié)果，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整。參見《信息安全風險綜合評估分析報告》根據(jù)風險評估結(jié)果，制定對風險實施安全控制的計劃。參見《信息資產(chǎn)安全價值評估列表》。當引入新的業(yè)務(wù)系統(tǒng)或者網(wǎng)絡(luò)或者業(yè)務(wù)系統(tǒng)發(fā)生重大改變時，需要立刻進行局部或者整體的風險評估。安全風險評估體系包括周期性的安全評估和當引入新的業(yè)務(wù)系統(tǒng)或者網(wǎng)絡(luò)或者業(yè)務(wù)系統(tǒng)發(fā)生重大改變時的風險評估。 通過建立服務(wù)保障體系中的信息風險安全評估、設(shè)備巡檢等評審當前信息安全問題的處理情況216。 備份系統(tǒng)管理員根據(jù)恢復申請表的要求，查詢備份系統(tǒng)進行恢復。 相關(guān)人員在需要恢復數(shù)據(jù)庫類型的數(shù)據(jù)時，應(yīng)當向備份系統(tǒng)管理員提交恢復申請表，描述需要恢復數(shù)據(jù)所在的主機、數(shù)據(jù)庫服務(wù)器名稱及庫名、數(shù)據(jù)大概備份時間、要求恢復的目的地等。 對于每月全備份，備份數(shù)據(jù)保留時間為半年，做兩份磁帶拷貝，其中一份磁帶留在本地，另外一份磁帶異地存放。 對于每日全備份的數(shù)據(jù)，在磁帶中保留期限為兩個星期，過期后磁帶被覆蓋。216。216。216?；謴停?16。216。216。 對于某些先前不在備份策略保護內(nèi)的數(shù)據(jù)，且需要臨時保護的，系統(tǒng)管理員可向備份系統(tǒng)管理員提交備份申請表，具體描述備份需求。216。216。對事件原因進行徹底分析，找到確切根源，制訂消除安全事件根源的措施，保證同一安全事件不再發(fā)生。（3） 安全事件處理流程本次風險評估項目中已經(jīng)定義了安全事件處理流程，所以該流程參見《安全管理文檔—安全事件處理流程》安全應(yīng)急過程文檔安全事件處理完畢，系統(tǒng)恢復正常運行后，要對整個事故的相關(guān)文檔進行歸檔，總結(jié)經(jīng)驗教訓，并形成一個《安全事件調(diào)查研究報告》。將的信息劃分密級，一般分為五級：公開、內(nèi)部、秘密、機密、絕密?？疾彀踩录奈：π裕菏欠裨斐闪藫p失，確定損