【正文】 MS的PDCA（PlanDoCheckAct）模型，輸出為可管理的安全風(fēng)險(xiǎn)。策劃建立ISMS：根據(jù)組織的整體方針和目標(biāo)建立安全方針目標(biāo)目的以及與管理風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)的過程和程序以獲得結(jié)果。針對當(dāng)前的信息安全問題，我們可以視為是對信息安全的需求和期望，所以我們可以把這些信息安全需求，提交到ISMS（信息安全管理體系）的過程中，進(jìn)行處理。 策劃建立ISMS：建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體安全策略。216。建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體信息安全策略、落實(shí)各個(gè)部門信息安全負(fù)責(zé)人、信息安全培訓(xùn)等等。信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風(fēng)險(xiǎn)，需要采用信息安全風(fēng)險(xiǎn)管理的方法加以控制。導(dǎo)致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實(shí)處。另外分局并沒有實(shí)施任何的防護(hù)措施，存在被黑客入侵的安全隱患；2. 在政務(wù)內(nèi)網(wǎng)中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴(kuò)散的可能。監(jiān)控審計(jì)體系監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn)，能完成對電子政務(wù)網(wǎng)所有網(wǎng)上行為的監(jiān)控。電子政務(wù)網(wǎng)絡(luò)承載了大量的政務(wù)網(wǎng)絡(luò)應(yīng)用，因此網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)功能變得更加關(guān)鍵，需要建立一個(gè)應(yīng)急響應(yīng)體系。那些引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決，以避免加重整個(gè)政務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。萬一租用的天威網(wǎng)絡(luò)發(fā)生故障將可能導(dǎo)致市局與分局之間的政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中斷。 建立基礎(chǔ)保障體系216。通過專業(yè)的安全評估來檢查信息安全問題是否得到了有效的管理。216。216。工程實(shí)施的漸進(jìn)性、逐步性，根據(jù)先后緩急，初步將安全實(shí)施計(jì)劃分為以下四個(gè)階段：第一階段：策劃建立ISMS 建立信息安全管理系統(tǒng) 建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人 根據(jù)當(dāng)前信息安全的問題制定解決方案第二階段：實(shí)施和運(yùn)行ISMS 根據(jù)當(dāng)前信息安全的問題解決方案進(jìn)行安全實(shí)施，包括： 建立基礎(chǔ)保障體系 建立監(jiān)控審計(jì)體系 建立應(yīng)急響應(yīng)體系 建立災(zāi)難備份與恢復(fù)體系第三階段：檢查監(jiān)視和評審ISMS 通過建立服務(wù)保障體系中的信息風(fēng)險(xiǎn)安全評估、設(shè)備巡檢等評審當(dāng)前信息安全問題的處理情況第四階段：保持和改進(jìn)ISMS 根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評估的結(jié)果，對信息安全管理策略進(jìn)行修改，對信息安全管理范圍進(jìn)行調(diào)整?！捌髽I(yè)面對的是一個(gè)以信息為核心的世界”信息是企業(yè)的核心，規(guī)劃開始前，這一點(diǎn)必須要有清晰認(rèn)識，我們可以從三個(gè)層面來看：216。 規(guī)劃原則IT管理的基礎(chǔ)、核心和重點(diǎn)內(nèi)容，應(yīng)該有相應(yīng)的信息安全建設(shè)和保障內(nèi)容與之配套，因此以信息為核心的IT管理視角，也同樣是當(dāng)前進(jìn)行信息安全規(guī)劃的出發(fā)點(diǎn)。 立足現(xiàn)有，提升能力在現(xiàn)有IT建設(shè)基礎(chǔ)上，完善安全基礎(chǔ)架構(gòu)建設(shè)，通過優(yōu)化和調(diào)整挖掘潛力，提升整體安全保障能力。第4章 初期規(guī)劃 建設(shè)目標(biāo)216。下面將介紹應(yīng)該如何建立信息安全管理體系的步驟，如下圖所示： 信息安全策略是組織信息安全的最高方針，需要根據(jù)內(nèi)各個(gè)部門的實(shí)際情況，分別制訂不同的信息安全策略。 在安全管理文檔的制定中，我們對如下的文檔進(jìn)行了定義：《安全管理文檔業(yè)務(wù)系統(tǒng)軟件安全技術(shù)標(biāo)準(zhǔn)》《安全管理文檔網(wǎng)絡(luò)信息發(fā)布制度》《安全管理文檔通用網(wǎng)絡(luò)服務(wù)安全標(biāo)準(zhǔn)》《安全管理文檔網(wǎng)絡(luò)連接策略和標(biāo)準(zhǔn)》《安全管理文檔郵件系統(tǒng)安全管理標(biāo)準(zhǔn)》《安全管理文檔用戶單位用戶帳號和口令管理規(guī)程》《安全管理文檔信息管理人員的安全手冊》《安全管理文檔用戶單位信息系統(tǒng)安全策略》《安全管理文檔機(jī)房管理制度》《安全管理文檔系統(tǒng)管理員手冊》《安全管理文檔安全事件處理流程》《安全管理文檔病毒防治管理規(guī)定》《安全管理文檔網(wǎng)絡(luò)管理員手冊》《安全管理文檔備份和恢復(fù)管理制度》(2)定義ISMS（信息安全管理系統(tǒng)）的范圍ISMS（信息安全管理系統(tǒng)）的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，需要根據(jù)自己的實(shí)際情況，在整個(gè)范圍內(nèi)、或者在個(gè)別部門或領(lǐng)域構(gòu)架ISMS。風(fēng)險(xiǎn)評估主要依賴于信息和系統(tǒng)的性質(zhì)、使用信息的目的、所采用的系統(tǒng)環(huán)境等因素，在進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評估時(shí)，需要將直接后果和潛在后果一并考慮。接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要進(jìn)行運(yùn)營，就必然存在并必須接受的風(fēng)險(xiǎn)。信息安全適用性聲明記錄了內(nèi)相關(guān)的風(fēng)險(xiǎn)管制目標(biāo)和針對每種風(fēng)險(xiǎn)所采取的各種控制措施。可以說信息安全體系并沒有建立起來。3. 系統(tǒng)管理員：系統(tǒng)權(quán)限管理員　對所有系統(tǒng)進(jìn)行管理、建設(shè)、維護(hù)的相關(guān)人員，需要有廣泛的知識面，豐富的理論和實(shí)際操作經(jīng)驗(yàn)。7. 機(jī)房管理員：設(shè)備物理安全保障員　記錄機(jī)房進(jìn)出相關(guān)記錄，包括系統(tǒng)管理員、系統(tǒng)用戶以及文檔管理員的相關(guān)記錄；對計(jì)算機(jī)硬件進(jìn)行檢修、維護(hù)；對物理環(huán)境的維護(hù)等。 建立基礎(chǔ)保障體系216。 建立監(jiān)控審計(jì)體系建設(shè)電子政務(wù)的審計(jì)監(jiān)控體系就是要建設(shè)完整的責(zé)任認(rèn)定體系和健全授權(quán)管理體系，從技術(shù)上加強(qiáng)了電子政務(wù)安全管理，從而保證了電子政務(wù)的安全性。它不能解決所有的責(zé)任認(rèn)定問題。它的作用與審計(jì)機(jī)關(guān)在國家經(jīng)濟(jì)體系中的審計(jì)行為有著非常類似的共性同樣是對非法的操作行為進(jìn)行審計(jì)。同時(shí)我們又要兼顧網(wǎng)絡(luò)中各個(gè)設(shè)備審計(jì)信息的全面收集，以及對審計(jì)數(shù)據(jù)的集中化管理以及分析。確保了責(zé)任認(rèn)定體系強(qiáng)有力、完整等特性。主要有以下內(nèi)容：1)網(wǎng)絡(luò)連接的授權(quán)管理216。 所有能夠連入外網(wǎng)計(jì)算機(jī)的訪問外網(wǎng)的權(quán)限都是有限的、受控的和經(jīng)過授權(quán)的。 對主機(jī)中重要文件資源的使用實(shí)行嚴(yán)格的授權(quán)管理。 對操作者向數(shù)據(jù)庫中字符、段的訪問進(jìn)行授權(quán)。 對網(wǎng)絡(luò)打印機(jī)進(jìn)行權(quán)限分配；216。系統(tǒng)運(yùn)維部門主管系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫管理員應(yīng)急響應(yīng)小組的職能：對網(wǎng)絡(luò)安全問題能積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、確保及時(shí)恢復(fù)。（4） 數(shù)據(jù)庫管理員：數(shù)據(jù)庫的備份與恢復(fù)，維護(hù)應(yīng)用系統(tǒng)的數(shù)據(jù)，出現(xiàn)安全事故時(shí)配合系統(tǒng)管理員和網(wǎng)絡(luò)管理員處理安全事件以及恢復(fù)應(yīng)用系統(tǒng)的數(shù)據(jù)。2）常見的安全事件類型：發(fā)現(xiàn)后門軟件、間諜軟件；計(jì)算機(jī)病毒；程序化入侵；發(fā)現(xiàn)入侵者；破壞和刪除文件；拒絕服務(wù)攻擊等。（2） 為安全事件制訂應(yīng)急計(jì)劃（預(yù)案）對分類分級的安全事件制訂應(yīng)急計(jì)劃，并予以評審。確定對哪類密級的信息采取哪類保護(hù)措施。報(bào)告中應(yīng)詳細(xì)描述整個(gè)事件的經(jīng)過，記錄緊急響應(yīng)事件的起因、處理過程、建議改進(jìn)的安全方案等。 建立災(zāi)難備份與恢復(fù)體系政務(wù)內(nèi)網(wǎng)線路冗余通過拓?fù)鋱D來表達(dá)建立冗余線路的基本做法。 備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔，在備份系統(tǒng)上建立相應(yīng)的備份策略，并更新《備份信息匯總表》。 備份系統(tǒng)管理員根據(jù)備份申請表的要求，在備份系統(tǒng)上調(diào)整備份策略，并更新《備份信息匯總表》。216。 對于每日全備份的數(shù)據(jù)，在磁帶中保留期限為兩個(gè)星期，過期后磁帶被覆蓋。 對于每月全備份，備份數(shù)據(jù)保留時(shí)間為半年，做兩份磁帶拷貝，其中一份磁帶留在本地，另外一份磁帶異地存放。 相關(guān)人員在需要恢復(fù)文件系統(tǒng)類型的數(shù)據(jù)時(shí)，應(yīng)當(dāng)向備份系統(tǒng)管理員提交恢復(fù)申請表，描述需要恢復(fù)數(shù)據(jù)所在的主機(jī)、數(shù)據(jù)所在路徑、數(shù)據(jù)大概備份時(shí)間、要求恢復(fù)的目的地的目錄路徑等。 完成恢復(fù)工作后，通知相關(guān)人員及核對恢復(fù)申請表，并歸檔備案。 備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔，在備份系統(tǒng)上建立相應(yīng)的備份策略，并更新《備份信息匯總表》。 備份系統(tǒng)管理員根據(jù)備份申請表的要求，在備份系統(tǒng)上調(diào)整備份策略，并更新《備份信息匯總表》。216。216。216。216。 根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評估的結(jié)果，對信息安全管理策略進(jìn)行修改，對信息安全管理范圍進(jìn)行調(diào)整。風(fēng)險(xiǎn)評估需要周期性地進(jìn)行，并通過實(shí)施風(fēng)險(xiǎn)安全控制使的整體安全保持在一個(gè)較高的水平。風(fēng)險(xiǎn)評估的方法是首先選定某項(xiàng)資產(chǎn)、評估資產(chǎn)價(jià)值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點(diǎn)、評估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評估目標(biāo)的風(fēng)險(xiǎn)。2. 評估對資產(chǎn)的威脅：評估在當(dāng)前安全環(huán)境中資產(chǎn)能夠受到的威脅來源和威脅的可能性。實(shí)施設(shè)備安全巡檢/日常維護(hù)在本次的安全評估過程中，我們制定了如下的安全巡檢/日常維護(hù)制度：《機(jī)房管理制度》《系統(tǒng)管理員手冊》《網(wǎng)絡(luò)管理員手冊》通過上述的這些管理制定來定期的對機(jī)房的物理設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等等進(jìn)行日常維護(hù)，確保這些設(shè)備的正常運(yùn)行。第7章 總結(jié) 綜述網(wǎng)絡(luò)安全工程是一個(gè)系統(tǒng)工程，是一個(gè)牽一發(fā)而動(dòng)全身的工程，也是一個(gè)一把手工程，只有領(lǐng)導(dǎo)的高度重視，才能做好這個(gè)項(xiàng)目。附：本文檔的書寫引用了：GB/T 200082005 信息安全技術(shù) 操作系統(tǒng)安全評估準(zhǔn)則GB/T 202722006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 202822006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求GB/T 197162005 信息安全技術(shù) 信息安全管理實(shí)用規(guī)則41