【正文】 略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在的執(zhí)行情況、設(shè)立各個(gè)部門的信息安全責(zé)任人，落實(shí)信息安全責(zé)任。但是，這個(gè)組織結(jié)構(gòu)并沒(méi)有實(shí)施起來(lái)，實(shí)際上是各個(gè)部門的信息安全策略和安全管理或者沒(méi)有實(shí)施，或者不全面；并且相關(guān)的信息安全責(zé)任也沒(méi)有明確的定義。信息安全適用性聲明的準(zhǔn)備，一方面是為了向內(nèi)的員工聲明面對(duì)信息安全風(fēng)險(xiǎn)的態(tài)度，在更大程度上則是為了向外界表明的態(tài)度和作為，以表明已經(jīng)全面、系統(tǒng)地審視了其信息安全系統(tǒng)，并將所有有必要管制的風(fēng)險(xiǎn)控制在能夠被接受的范圍內(nèi)。(6)準(zhǔn)備信息安全適用性聲明。 管制目標(biāo)的確定和管制措施的選擇原則是費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失。 (5)確定管制目標(biāo)和選擇管制措施。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)產(chǎn)生重大影響的風(fēng)險(xiǎn)。(4)信息安全風(fēng)險(xiǎn)管理根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全管制措施進(jìn)行鑒定。在本階段，應(yīng)將劃分成不同的信息安全控制領(lǐng)域，以易于對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼Ｍ瑫r(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正植根于內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。例如，開(kāi)發(fā)部、數(shù)據(jù)部、系統(tǒng)都分別有一個(gè)信息安全策略，適用于其部門內(nèi)所有員工。圖1 建立信息安全管理體系的步驟1)定義信息安全策略 根據(jù)當(dāng)前信息安全的問(wèn)題制定解決方案 建立信息安全管理體系信息安全管理系統(tǒng)的規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤?建立信息安全管理體系216。 安全基礎(chǔ)框架設(shè)計(jì)明確了本次規(guī)劃的目標(biāo)，我們就可以進(jìn)一步確立一個(gè)針對(duì)企業(yè)信息安全建設(shè)的工作框架附圖1. 安全工作總體框架上述總體框架中，通過(guò)基礎(chǔ)架構(gòu)安全、信息安全、安全治理三個(gè)層次的工作內(nèi)容，來(lái)達(dá)成我們的總體規(guī)劃目標(biāo)；通過(guò)技術(shù)、管理、運(yùn)維三大支撐體系為支柱，實(shí)現(xiàn)企業(yè)在安全體系建設(shè)、法規(guī)遵從與落實(shí)、安全風(fēng)險(xiǎn)管控和安全高效管理四個(gè)信息安全主體目標(biāo)的不斷治理和改善。216。216。為此，我們規(guī)劃企業(yè)的整體安全的時(shí)候，應(yīng)遵循如下原則：216。 安全治理層面：為了保障信息的安全，不能僅僅停留在單獨(dú)建設(shè)的分散的安全上，最終安全的目標(biāo)是要實(shí)現(xiàn)安全的治理，安全的目標(biāo)則是為企業(yè)定制打造所需的技術(shù)運(yùn)維、技術(shù)管理體系，幫助企業(yè)提升整體安全管理水平。 基礎(chǔ)架構(gòu)層面：包括終端、服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)在內(nèi)的基礎(chǔ)設(shè)施，乃至數(shù)據(jù)中心和容災(zāi)中心，這些都是信息數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸、處理的載體，圍繞信息處理和流轉(zhuǎn)所搭建的基礎(chǔ)設(shè)施，同時(shí)也是IT系統(tǒng)和管理人員為保證信息和數(shù)據(jù)的安全、可用的最基礎(chǔ)和重要的管理對(duì)象；216。安全是一個(gè)整體的、動(dòng)態(tài)的過(guò)程，需要全面深入的考慮，那種頭痛醫(yī)頭、腳痛醫(yī)腳的方法已無(wú)法滿足用戶日益復(fù)雜的安全需求，要解決這些問(wèn)題，歸根結(jié)底取決于信息安全保障體系的建設(shè)。第3章 分階段安全建設(shè)規(guī)劃傳統(tǒng)的安全設(shè)計(jì)理念基本上仍處于忙于封堵現(xiàn)有系統(tǒng)漏洞的階段，有人形象的稱之為“修修補(bǔ)補(bǔ)”或“圍、追、堵、截”，基于這樣的設(shè)計(jì)理念建成的安全體系只能是局部的、被動(dòng)的安全，而無(wú)法提供整體的、主動(dòng)的安全；同時(shí)也缺乏有效的管理和監(jiān)控手段，使得信息安全狀況令人擔(dān)憂，表現(xiàn)在病毒、蠕蟲(chóng)層出不窮、系統(tǒng)漏洞眾多，另外經(jīng)過(guò)很多國(guó)際權(quán)威機(jī)構(gòu)的調(diào)查，內(nèi)部發(fā)生的安全事件占全部安全事件的70％甚至更多，比如內(nèi)部的誤用和嗅探、攻擊等濫用行為，都因?yàn)槿狈τ行У谋O(jiān)控和管理而不能及時(shí)發(fā)現(xiàn)，也給網(wǎng)絡(luò)的安全帶來(lái)巨大挑戰(zhàn)；安全是一個(gè)整體，任何一部分的薄弱都會(huì)使得整體的安全防御能力大打折扣，不但使得組織重金建設(shè)的邊界安全防御體系失去作用，同時(shí)還會(huì)嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)營(yíng)，從經(jīng)濟(jì)、法律、聲譽(yù)等多方面對(duì)企業(yè)造成負(fù)面影響。所以必須對(duì)安全保障建設(shè)分階段實(shí)施。 確保改進(jìn)活動(dòng)達(dá)到了預(yù)期的目的。 總結(jié)從其它組織或組織自身的安全經(jīng)驗(yàn)得到的教訓(xùn)。 根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。服務(wù)保障體系則包括：風(fēng)險(xiǎn)評(píng)估、軟硬件升級(jí)、設(shè)備安全巡檢、設(shè)備日常維護(hù)等等。同時(shí)建立服務(wù)與保障體系來(lái)保障系統(tǒng)的正常運(yùn)行。 建立災(zāi)難備份與恢復(fù)體系上述的四個(gè)安全體系將在這個(gè)階段進(jìn)行實(shí)施。 建立信息監(jiān)控與審計(jì)體系216。在上面策劃建立ISMS的過(guò)程中，我們提出了根據(jù)當(dāng)前信息安全問(wèn)題處理的解決方案，包括：216。為了保證深圳市政務(wù)網(wǎng)的正常運(yùn)行，抵抗包括地震、火災(zāi)、水災(zāi)等自然災(zāi)難， 以及戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無(wú)法預(yù)料的突發(fā)事件造成的損害，因此應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系。2. 目前市局與分局之間的政務(wù)內(nèi)網(wǎng)是租用天威的網(wǎng)絡(luò)而沒(méi)有其它的備用線路。災(zāi)難備份與恢復(fù)體系針對(duì)下面的這個(gè)個(gè)問(wèn)題，通過(guò)建立災(zāi)難備份與恢復(fù)體系來(lái)解決。因此需要特別注重響應(yīng)、處理安全事件，因?yàn)榘踩录赡軒?lái)重大破壞。它的主要功能是采取足夠的主動(dòng)措施解決各類安全事件。沒(méi)有成立安全應(yīng)急小組，沒(méi)有相應(yīng)的應(yīng)急事件預(yù)案；缺少安全事件應(yīng)急處理流程與規(guī)范，也沒(méi)有對(duì)安全事件的處理過(guò)程做記錄歸檔。通過(guò)此體系監(jiān)控到的數(shù)據(jù)能對(duì)電子政務(wù)網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等這些情況有較全面的了解。目前電子政務(wù)基礎(chǔ)保障體系已經(jīng)初具規(guī)模，但是還存在個(gè)別問(wèn)題，需要進(jìn)一步的完善。另外，如果黑客入侵了分局的政務(wù)內(nèi)網(wǎng)后，可能進(jìn)一步的向市局進(jìn)行滲透攻擊。1. 在政務(wù)外網(wǎng)中，市局建立了基本的安全體系，但是還需要進(jìn)一步的完善，例如政務(wù)外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。2. 通過(guò)安全評(píng)估，建立了基本的安全管理制度；但是這些安全管理制度還沒(méi)有落實(shí)到日常工作中，并且可能在實(shí)際的操作中根據(jù)實(shí)際的情況做一些修改。針對(duì)以下兩個(gè)問(wèn)題，通過(guò)建立信息安全管理系統(tǒng)來(lái)解決，見(jiàn)《》1. 原有的信息安全組織沒(méi)有實(shí)施起來(lái)，沒(méi)有制定安全總體策略；沒(méi)有落實(shí)信息安全責(zé)任人。由于當(dāng)前市的安全管理組織并沒(méi)有真正運(yùn)作起來(lái)，所以沒(méi)有在一個(gè)高度上來(lái)制定信息的安全策略，因此沒(méi)有落實(shí)各個(gè)部門信息安全的責(zé)任人，沒(méi)有對(duì)各個(gè)部門信息安全人員的職責(zé)進(jìn)行定義；也沒(méi)有制定安全管理文檔；導(dǎo)致安全管理沒(méi)有落到實(shí)處。在信息安全保障體系中，技術(shù)是工具，組織是運(yùn)作，管理是指導(dǎo)，它們緊密配合，共同實(shí)現(xiàn)信息安全保障的目標(biāo)。并且根據(jù)當(dāng)前的信息安全問(wèn)題，提出安全解決方案。 保持和改進(jìn)ISMS：根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。 檢查監(jiān)視和評(píng)審ISMS：通過(guò)專業(yè)的安全評(píng)估來(lái)檢查信息安全問(wèn)題是否得到了有效的管理。 實(shí)施和運(yùn)行ISMS：根據(jù)當(dāng)前的信息安全問(wèn)題的安全解決方案進(jìn)行實(shí)施，妥善的處理這些信息安全問(wèn)題。并且根據(jù)當(dāng)前的信息安全問(wèn)題，提出安全解決方案。對(duì)于當(dāng)前存在的信息安全問(wèn)題，我們可以通過(guò)下面的四個(gè)階段來(lái)解決：216。對(duì)于將來(lái)出現(xiàn)的信息安全問(wèn)題，也可以提交到ISMS（信息安全管理體系）的過(guò)程中，進(jìn)行處理，并最終輸出可被管理的信息安全。保持和改進(jìn)ISMS：根據(jù)管理評(píng)審結(jié)果采取糾正和預(yù)防措施以持續(xù)改進(jìn)ISMS。實(shí)施和運(yùn)行ISMS：實(shí)施和運(yùn)行安全方針控制過(guò)程和程序。為了達(dá)到對(duì)信息安全進(jìn)行管理，我們可以通過(guò)建立ISMS（信息安全管理體系），然后通過(guò)向ISMS輸入的信息安全要求和期望經(jīng)過(guò)必需的活動(dòng)和過(guò)程產(chǎn)生滿足需求和期望信息安全的輸出（例如可管理的信息安全）。解決問(wèn)題 當(dāng)前的信息安全經(jīng)過(guò)了一次完整的信息安全評(píng)估，并且進(jìn)行了相應(yīng)的安全修復(fù)后，信息安全風(fēng)險(xiǎn)已經(jīng)得到了比較有效的管理，但是還是存在部分遺留的風(fēng)險(xiǎn)，以及其它的一些可預(yù)見(jiàn)的風(fēng)險(xiǎn)。同時(shí)安全產(chǎn)品應(yīng)具有良好升級(jí)及售后維護(hù)。適應(yīng)性及靈活性原則：安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。動(dòng)態(tài)發(fā)展原則：要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。統(tǒng)籌規(guī)劃，分步實(shí)施原則：由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、時(shí)間的變化，安全防護(hù)與攻擊手段的進(jìn)步，在一個(gè)比較全面的安全體系下，可以根據(jù)網(wǎng)絡(luò)的實(shí)際需要，先建立基本的的安全保障體系，保證基本的、必須的安全性。技術(shù)與管理相結(jié)合原則：電子政務(wù)網(wǎng)是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層被攻破時(shí)，其他層仍可保護(hù)系統(tǒng)的安全。標(biāo)準(zhǔn)化與一致性原則：電子政務(wù)網(wǎng)是一個(gè)龐大的系統(tǒng)工程，其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)電子政務(wù)網(wǎng)安全地互聯(lián)互通、信息共享。分級(jí)保護(hù)原則：以應(yīng)用為主導(dǎo)，科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級(jí)，并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理，保證服務(wù)的有效性和快捷性。電子政務(wù)網(wǎng)將依據(jù)信息價(jià)值的保密性影響、信息價(jià)值完整性影響、信息價(jià)值的可用性影響等多個(gè)方面，來(lái)對(duì)信息資產(chǎn)的價(jià)值等級(jí)進(jìn)行劃分為五級(jí)，第一級(jí)為最低級(jí)，第五級(jí)為最高級(jí)。所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理幾方面，加強(qiáng)安全保障體系的建設(shè)，為電子政務(wù)應(yīng)用提供安全可靠的運(yùn)行環(huán)境。 需要滿足國(guó)家信息系統(tǒng)安全系統(tǒng)的安全檢查要求216。 網(wǎng)絡(luò)信任和加密技術(shù)防護(hù)216。 強(qiáng)化內(nèi)部人員上網(wǎng)行為管理216。 網(wǎng)絡(luò)和服務(wù)器安全防護(hù)及安全基線檢查與漏洞檢測(cè)216。 安全管理策略216。針對(duì)整體安全規(guī)劃計(jì)劃，在接下來(lái)的幾年內(nèi)分期建設(shè)，最終滿足如下安全防護(hù)需求：216。 規(guī)劃制訂和建設(shè)流程規(guī)劃216。提供如下安全管理項(xiàng)目：216。1. 通過(guò)對(duì)企業(yè)各IT系統(tǒng)的風(fēng)險(xiǎn)分析，了解企業(yè)信息系統(tǒng)的安全現(xiàn)狀和存在的各種安全風(fēng)險(xiǎn)，明確未來(lái)的安全建設(shè)需求。v 數(shù)據(jù)集中化管控和網(wǎng)絡(luò)融合后所需的安全要求。v 業(yè)務(wù)模式正在