【正文】 MS的PDCA（PlanDoCheckAct）模型，輸出為可管理的安全風險。策劃建立ISMS：根據(jù)組織的整體方針和目標建立安全方針目標目的以及與管理風險和改進信息安全相關(guān)的過程和程序以獲得結(jié)果。針對當前的信息安全問題，我們可以視為是對信息安全的需求和期望，所以我們可以把這些信息安全需求，提交到ISMS（信息安全管理體系）的過程中，進行處理。 策劃建立ISMS：建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體安全策略。216。建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體信息安全策略、落實各個部門信息安全負責人、信息安全培訓等等。信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風險，需要采用信息安全風險管理的方法加以控制。導(dǎo)致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實處。另外分局并沒有實施任何的防護措施，存在被黑客入侵的安全隱患；2. 在政務(wù)內(nèi)網(wǎng)中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴散的可能。監(jiān)控審計體系監(jiān)控審計體系設(shè)計的實現(xiàn)，能完成對電子政務(wù)網(wǎng)所有網(wǎng)上行為的監(jiān)控。電子政務(wù)網(wǎng)絡(luò)承載了大量的政務(wù)網(wǎng)絡(luò)應(yīng)用，因此網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)功能變得更加關(guān)鍵，需要建立一個應(yīng)急響應(yīng)體系。那些引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決，以避免加重整個政務(wù)網(wǎng)絡(luò)的安全風險。萬一租用的天威網(wǎng)絡(luò)發(fā)生故障將可能導(dǎo)致市局與分局之間的政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中斷。 建立基礎(chǔ)保障體系216。通過專業(yè)的安全評估來檢查信息安全問題是否得到了有效的管理。216。216。工程實施的漸進性、逐步性，根據(jù)先后緩急，初步將安全實施計劃分為以下四個階段：第一階段：策劃建立ISMS 建立信息安全管理系統(tǒng) 建立安全管理組織并落實各個部門信息安全責任人 根據(jù)當前信息安全的問題制定解決方案第二階段：實施和運行ISMS 根據(jù)當前信息安全的問題解決方案進行安全實施，包括： 建立基礎(chǔ)保障體系 建立監(jiān)控審計體系 建立應(yīng)急響應(yīng)體系 建立災(zāi)難備份與恢復(fù)體系第三階段：檢查監(jiān)視和評審ISMS 通過建立服務(wù)保障體系中的信息風險安全評估、設(shè)備巡檢等評審當前信息安全問題的處理情況第四階段：保持和改進ISMS 根據(jù)安全事件處理經(jīng)驗教訓和安全風險評估的結(jié)果，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整。“企業(yè)面對的是一個以信息為核心的世界”信息是企業(yè)的核心，規(guī)劃開始前，這一點必須要有清晰認識，我們可以從三個層面來看：216。 規(guī)劃原則IT管理的基礎(chǔ)、核心和重點內(nèi)容，應(yīng)該有相應(yīng)的信息安全建設(shè)和保障內(nèi)容與之配套，因此以信息為核心的IT管理視角，也同樣是當前進行信息安全規(guī)劃的出發(fā)點。 立足現(xiàn)有，提升能力在現(xiàn)有IT建設(shè)基礎(chǔ)上，完善安全基礎(chǔ)架構(gòu)建設(shè)，通過優(yōu)化和調(diào)整挖掘潛力，提升整體安全保障能力。第4章 初期規(guī)劃 建設(shè)目標216。下面將介紹應(yīng)該如何建立信息安全管理體系的步驟，如下圖所示： 信息安全策略是組織信息安全的最高方針，需要根據(jù)內(nèi)各個部門的實際情況，分別制訂不同的信息安全策略。 在安全管理文檔的制定中，我們對如下的文檔進行了定義：《安全管理文檔業(yè)務(wù)系統(tǒng)軟件安全技術(shù)標準》《安全管理文檔網(wǎng)絡(luò)信息發(fā)布制度》《安全管理文檔通用網(wǎng)絡(luò)服務(wù)安全標準》《安全管理文檔網(wǎng)絡(luò)連接策略和標準》《安全管理文檔郵件系統(tǒng)安全管理標準》《安全管理文檔用戶單位用戶帳號和口令管理規(guī)程》《安全管理文檔信息管理人員的安全手冊》《安全管理文檔用戶單位信息系統(tǒng)安全策略》《安全管理文檔機房管理制度》《安全管理文檔系統(tǒng)管理員手冊》《安全管理文檔安全事件處理流程》《安全管理文檔病毒防治管理規(guī)定》《安全管理文檔網(wǎng)絡(luò)管理員手冊》《安全管理文檔備份和恢復(fù)管理制度》(2)定義ISMS（信息安全管理系統(tǒng)）的范圍ISMS（信息安全管理系統(tǒng)）的范圍確定需要重點進行信息安全管理的領(lǐng)域，需要根據(jù)自己的實際情況，在整個范圍內(nèi)、或者在個別部門或領(lǐng)域構(gòu)架ISMS。風險評估主要依賴于信息和系統(tǒng)的性質(zhì)、使用信息的目的、所采用的系統(tǒng)環(huán)境等因素，在進行信息資產(chǎn)風險評估時，需要將直接后果和潛在后果一并考慮。接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要進行運營，就必然存在并必須接受的風險。信息安全適用性聲明記錄了內(nèi)相關(guān)的風險管制目標和針對每種風險所采取的各種控制措施。可以說信息安全體系并沒有建立起來。3. 系統(tǒng)管理員：系統(tǒng)權(quán)限管理員　對所有系統(tǒng)進行管理、建設(shè)、維護的相關(guān)人員，需要有廣泛的知識面，豐富的理論和實際操作經(jīng)驗。7. 機房管理員：設(shè)備物理安全保障員　記錄機房進出相關(guān)記錄，包括系統(tǒng)管理員、系統(tǒng)用戶以及文檔管理員的相關(guān)記錄；對計算機硬件進行檢修、維護；對物理環(huán)境的維護等。 建立基礎(chǔ)保障體系216。 建立監(jiān)控審計體系建設(shè)電子政務(wù)的審計監(jiān)控體系就是要建設(shè)完整的責任認定體系和健全授權(quán)管理體系，從技術(shù)上加強了電子政務(wù)安全管理，從而保證了電子政務(wù)的安全性。它不能解決所有的責任認定問題。它的作用與審計機關(guān)在國家經(jīng)濟體系中的審計行為有著非常類似的共性同樣是對非法的操作行為進行審計。同時我們又要兼顧網(wǎng)絡(luò)中各個設(shè)備審計信息的全面收集，以及對審計數(shù)據(jù)的集中化管理以及分析。確保了責任認定體系強有力、完整等特性。主要有以下內(nèi)容：1)網(wǎng)絡(luò)連接的授權(quán)管理216。 所有能夠連入外網(wǎng)計算機的訪問外網(wǎng)的權(quán)限都是有限的、受控的和經(jīng)過授權(quán)的。 對主機中重要文件資源的使用實行嚴格的授權(quán)管理。 對操作者向數(shù)據(jù)庫中字符、段的訪問進行授權(quán)。 對網(wǎng)絡(luò)打印機進行權(quán)限分配；216。系統(tǒng)運維部門主管系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫管理員應(yīng)急響應(yīng)小組的職能：對網(wǎng)絡(luò)安全問題能積極預(yù)防、及時發(fā)現(xiàn)、快速響應(yīng)、確保及時恢復(fù)。（4） 數(shù)據(jù)庫管理員：數(shù)據(jù)庫的備份與恢復(fù)，維護應(yīng)用系統(tǒng)的數(shù)據(jù)，出現(xiàn)安全事故時配合系統(tǒng)管理員和網(wǎng)絡(luò)管理員處理安全事件以及恢復(fù)應(yīng)用系統(tǒng)的數(shù)據(jù)。2）常見的安全事件類型：發(fā)現(xiàn)后門軟件、間諜軟件；計算機病毒；程序化入侵；發(fā)現(xiàn)入侵者；破壞和刪除文件；拒絕服務(wù)攻擊等。（2） 為安全事件制訂應(yīng)急計劃（預(yù)案）對分類分級的安全事件制訂應(yīng)急計劃，并予以評審。確定對哪類密級的信息采取哪類保護措施。報告中應(yīng)詳細描述整個事件的經(jīng)過，記錄緊急響應(yīng)事件的起因、處理過程、建議改進的安全方案等。 建立災(zāi)難備份與恢復(fù)體系政務(wù)內(nèi)網(wǎng)線路冗余通過拓撲圖來表達建立冗余線路的基本做法。 備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔，在備份系統(tǒng)上建立相應(yīng)的備份策略，并更新《備份信息匯總表》。 備份系統(tǒng)管理員根據(jù)備份申請表的要求，在備份系統(tǒng)上調(diào)整備份策略，并更新《備份信息匯總表》。216。 對于每日全備份的數(shù)據(jù)，在磁帶中保留期限為兩個星期，過期后磁帶被覆蓋。 對于每月全備份，備份數(shù)據(jù)保留時間為半年，做兩份磁帶拷貝，其中一份磁帶留在本地，另外一份磁帶異地存放。 相關(guān)人員在需要恢復(fù)文件系統(tǒng)類型的數(shù)據(jù)時，應(yīng)當向備份系統(tǒng)管理員提交恢復(fù)申請表，描述需要恢復(fù)數(shù)據(jù)所在的主機、數(shù)據(jù)所在路徑、數(shù)據(jù)大概備份時間、要求恢復(fù)的目的地的目錄路徑等。 完成恢復(fù)工作后，通知相關(guān)人員及核對恢復(fù)申請表，并歸檔備案。 備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔，在備份系統(tǒng)上建立相應(yīng)的備份策略，并更新《備份信息匯總表》。 備份系統(tǒng)管理員根據(jù)備份申請表的要求，在備份系統(tǒng)上調(diào)整備份策略，并更新《備份信息匯總表》。216。216。216。216。 根據(jù)安全事件處理經(jīng)驗教訓和安全風險評估的結(jié)果，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整。風險評估需要周期性地進行，并通過實施風險安全控制使的整體安全保持在一個較高的水平。風險評估的方法是首先選定某項資產(chǎn)、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風險、進而得出整個評估目標的風險。2. 評估對資產(chǎn)的威脅：評估在當前安全環(huán)境中資產(chǎn)能夠受到的威脅來源和威脅的可能性。實施設(shè)備安全巡檢/日常維護在本次的安全評估過程中，我們制定了如下的安全巡檢/日常維護制度：《機房管理制度》《系統(tǒng)管理員手冊》《網(wǎng)絡(luò)管理員手冊》通過上述的這些管理制定來定期的對機房的物理設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等等進行日常維護，確保這些設(shè)備的正常運行。第7章 總結(jié) 綜述網(wǎng)絡(luò)安全工程是一個系統(tǒng)工程，是一個牽一發(fā)而動全身的工程，也是一個一把手工程，只有領(lǐng)導(dǎo)的高度重視，才能做好這個項目。附：本文檔的書寫引用了：GB/T 200082005 信息安全技術(shù) 操作系統(tǒng)安全評估準則GB/T 202722006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 202822006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求GB/T 197162005 信息安全技術(shù) 信息安全管理實用規(guī)則41