5.风险评估
根据XX移动现有的安全标准规范和业务对安全的要求,分析面临的威胁,评估现有系统的技术和管理方面的弱点,明确所有TCP/IP信息网络面临的安全风险和隐患。评估要求既包含外部威胁(黑客攻击和病毒等),也包含内部威胁(如内部人员误操作、不作为、滥用、软件缺欠、泄密等)所带来的风险。
6.资产管理和风险信息库的建议
建立一套包含信息资产管理和风险信息管理的数据库系统,可以对XX移动所有信息资产及其资产风险进行关联管理。并具有资产管理和风险管理功能,以便后续更新和持续使用。
体系规划与策略方案建议
1.安全体系设计
设计整体的XX移动全网信息安全体系,并根据不同的等级保护要求,设计不同的等级保护指标体系。
2.安全规划
以XX移动业务发展和信息安全规划为基础,结合集团公司的安全规划,制定长远发展规划,并通过对XX移动自有资源的分析,制定出近期建设规划,提出未来几年内的信息安全发展方向、建设计划和预期效果,从而指导和规范XX移动的安全工作。保证XX移动网络与信息安全水平和系统的建设和发展同步进行,避免因为网络与信息安全水平的置后而影响起的整体发展。
3.安全策略设计
设计涵盖全部XX移动全系统网络各个方面的管理类的安全管理制度、标准、流程和规范等策略文档。要求至少不少于ISO17799中所包含的内容。
4.方案设计
根据安全体系和规划的要求,结合评估结果进行安全需求分析,设计系列技术(需要有详细的技术参数)和管理解决方案,相应的实施方案以及实施效果的检查方案等。
5.相关体系建设的建议
★相关体系建设的建议需包含但不仅限于以下内容:
★网络安全管理的组织结构的建议
★形成XX移动网络安全总体策略的建议
★结合XX移动网络特点及组织结构,对XX移动网络安全域划分提出建议,并对安全域保护策略提出技术实施建议
★从省公司层面,提出网络安全响应体系要求的建议
★从各专业系统出发,提出网络安全响应体系要求的建议
★结合网络域划分实际情况,提出防火墙配置策略的建议。
★对目前系统网络调整(IP地址调整、防火墙搬迁整合提出建议)
★对不同安全域的终端入网及管理标准提出建议
★对各系统软件补丁装载及安全策略及时下发提出建议。
★对帐号及口令管理提出建议。
★对工作人员安全操作原则提出建议。
四、项目总体工作流程综述
本项目流程中分为资产调查与风险评估、安全体系设计、安全策略和解决方案设计三个主要的阶段,每部分完成相应的评估、体系、规划、策略和方案工作,但贯串始终的主线是安全体系。安全体系设计经过安全域设计,安全对策框架设计,安全体系设计三个步骤,最终形成XX移动安全体系文档。项目流程中的一条辅线是安全等级化,经过安全域等级化、安全现状等级化、安全保护需求等级化、安全对策等级化等步骤,形成安全等级指标体系,以此设计出等级化的安全体系,并最终落实到等级化的安全管理体系(安全策略文档)和等级化的安全技术体系(安全解决方案)。
总体项目逻辑流程如下图所示:
