信息安全服務(wù)方案

　　為了確保工作或事情有序地進(jìn)行，時(shí)常需要預(yù)先制定方案，方案是計(jì)劃中內(nèi)容最為復(fù)雜的一種。那么我們?cè)撛趺慈�寫方案呢？下面是小編幫大家整理的信息安全服�?wù)方案，僅供參考，大家一起來看看吧。

　　對(duì)網(wǎng)絡(luò)安全設(shè)備等安全配置進(jìn)行巡檢，對(duì)不符合安全基線要求的應(yīng)用中間件提出改進(jìn)建議，并監(jiān)督相關(guān)廠商進(jìn)行改進(jìn)。以下是我公司安全巡檢模板，對(duì)不符合數(shù)據(jù)中心要求的地方，可以根據(jù)實(shí)際情況和廠家、用戶方一起進(jìn)行修訂。安全巡檢包括：

　　對(duì)掃描范圍內(nèi)的系統(tǒng)、服務(wù)已知的漏洞進(jìn)行測(cè)試來判斷遭受攻擊的可能性。

　　設(shè)備巡檢包括：網(wǎng)絡(luò)設(shè)備硬件配置檢查、網(wǎng)絡(luò)設(shè)備功能性檢查、安全設(shè)備硬件配置檢查、安全設(shè)備功能性檢查、服務(wù)器配置檢查、存儲(chǔ)設(shè)備檢測(cè)、網(wǎng)絡(luò)性能分析、安全系統(tǒng)性能分析、服務(wù)器性能分析、數(shù)據(jù)備份巡檢等。

　　對(duì)設(shè)備進(jìn)行巡檢，對(duì)不符合安全極限要求需提出改進(jìn)意見。

　　在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)代、效果好、見效快，與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立，安裝運(yùn)行簡(jiǎn)單，要以大規(guī)模減少安全管理的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定，是進(jìn)行風(fēng)險(xiǎn)分析的有力工具。

　　在服務(wù)過程中，安全掃描主要是通過評(píng)估工具以本地掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)角度來查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶帳號(hào)/口令等安全對(duì)像目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅。

　　從網(wǎng)絡(luò)層次的角度來看，掃描項(xiàng)目涉及了如下三個(gè)層面的安全問題。

　　該層的安全問題來自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNIX系列、Linux系列、Windows系列以及專用操作系統(tǒng)等。安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題。

　　訪問控制：注冊(cè)表普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，F(xiàn)TP服務(wù)器存在匿名可寫目錄等。

　　安全配置問題：部分SMB用戶存在弱口令，管理員帳號(hào)不需要密碼等。

　　該層的安全問題主要指網(wǎng)絡(luò)信息的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、路由系統(tǒng)的安全、入侵檢查的手段等。

　　域名系統(tǒng)：ISC BIND SIG資源記錄無效過期時(shí)間拒絕服務(wù)攻擊漏洞，Windows DNS拒絕服務(wù)攻擊。

　　路由器：cisco IOS Web配置接口安全認(rèn)證可繞過，路由器交換機(jī)采用默認(rèn)密碼或弱密碼等。

　　該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)器所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫(kù)軟件、WEB服務(wù)、電子郵件、域名系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。

　　數(shù)據(jù)庫(kù)軟件：Oracle Tnslsnr沒有配置口令，MSSQL 20xx sa帳號(hào)沒有設(shè)置密碼。

　　WEB服務(wù)：SQL注入攻擊、跨站腳本攻擊、基于WEB的DOS攻擊。

　　為了確保掃描的可靠性和安全性，我公司將根據(jù)數(shù)據(jù)中心信息系統(tǒng)業(yè)務(wù)情況，與用戶一起制定掃描計(jì)劃。掃描計(jì)劃主要包括掃描開始時(shí)間、掃描對(duì)象、預(yù)計(jì)結(jié)束時(shí)間、掃描項(xiàng)目、預(yù)期影響、需要用戶提供配合等。

　　在實(shí)際開始安全掃描時(shí)，我公司會(huì)正式通知數(shù)據(jù)中心接口人。我公司將按照預(yù)定安全掃描計(jì)劃，在規(guī)定時(shí)間內(nèi)進(jìn)行并完成掃描工作。如遇到特殊情況（如設(shè)備問題、停電、網(wǎng)絡(luò)中斷等不可預(yù)知的狀況）不能按時(shí)完成掃描計(jì)劃或其他原因?qū)е掳踩珤呙韫ぷ鳠o法正常進(jìn)行時(shí)，由雙方臨時(shí)協(xié)商予以解決。

　　在實(shí)施安全掃描服務(wù)的過程中，我公司擁有完善的風(fēng)險(xiǎn)規(guī)避措施，避免在掃描過程中對(duì)客戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)造成不必要的影響。

　　派遣有豐富安全掃描經(jīng)驗(yàn)的安全工程師進(jìn)行安全掃描操作；

　　采用的掃描工具是通過國(guó)家權(quán)威測(cè)評(píng)機(jī)構(gòu)認(rèn)可的商用掃描工具；

　　我公司會(huì)根據(jù)客戶實(shí)際情況在保證掃描效果的前提下，配置科學(xué)、高效的掃描策略，同時(shí)根據(jù)客戶業(yè)務(wù)的實(shí)際情況在非業(yè)務(wù)高峰期實(shí)施。

　　通過使用安全掃描工具或其他手段對(duì)數(shù)據(jù)中心信息系統(tǒng)進(jìn)行脆弱性評(píng)估，查獲安全設(shè)備及系統(tǒng)的漏洞對(duì)應(yīng)及分布情況，并提供可操作的安全建議或臨時(shí)解決辦法，達(dá)到保護(hù)數(shù)據(jù)中心信息系統(tǒng)安全的目的。

　　滲透測(cè)試服務(wù)，是在用戶授權(quán)的.前提下，以模擬黑客攻擊的方式，對(duì)用戶業(yè)務(wù)系統(tǒng)的安全漏洞、安全隱患進(jìn)行全面檢測(cè)，最終目標(biāo)是查找業(yè)務(wù)系統(tǒng)的安全漏洞、評(píng)估業(yè)務(wù)系統(tǒng)的安全狀態(tài)、提供漏洞修復(fù)建議。

　　在滲透過程中，我們會(huì)采用業(yè)界領(lǐng)先的漏洞檢測(cè)技術(shù)、攻擊技術(shù)、攻擊工具和我公司安全團(tuán)隊(duì)編寫的腳本。過程分為四步：計(jì)劃與準(zhǔn)備、信息收集、實(shí)施滲透、輸出報(bào)告。計(jì)劃與準(zhǔn)備階段主要是根據(jù)業(yè)務(wù)系統(tǒng)反饋的內(nèi)容制定項(xiàng)目實(shí)施方案與計(jì)劃；信息收集與實(shí)施滲透是項(xiàng)目的實(shí)施階段，輸出報(bào)告主要是匯總和評(píng)估項(xiàng)目中發(fā)現(xiàn)的安全威脅，并輸出文檔。

　　信息探測(cè)階段包括信息收集，端口、服務(wù)掃描，計(jì)算機(jī)漏洞檢測(cè)，此階段主要做滲透前的踩點(diǎn)用。

　　Maltego，搜集管理員email、tel、常用id，網(wǎng)絡(luò)拓?fù)涞?/p>

　　Nmap，端口、服務(wù)掃描，弱口令破解，系統(tǒng)信息探測(cè)

　　X-scan，端口、服務(wù)掃描，弱口令破解，系統(tǒng)信息探測(cè)

　　Scanner1000，我公司開發(fā)的漏洞檢測(cè)產(chǎn)品，支持系統(tǒng)漏洞檢測(cè)，Web漏洞檢測(cè)等一系列功能

　　通過對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。通過端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。

　　口令猜測(cè)也是一種出現(xiàn)概率很高的風(fēng)險(xiǎn)，幾乎不需要任何攻擊工具，利用一個(gè)簡(jiǎn)單的暴力攻擊程序和一個(gè)比較完善的字典，就可以猜測(cè)口令。

　　對(duì)一個(gè)系統(tǒng)賬號(hào)的猜測(cè)通常包括兩個(gè)方面：首先是對(duì)用戶名的猜測(cè)，其次是對(duì)密碼的猜測(cè)。

　　腳本測(cè)試專門針對(duì)Web服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁面的Web系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。

　　Hydra，暴力破解工具，支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多種協(xié)議的暴力破解

　　人工滲透，主要針對(duì)系統(tǒng)的業(yè)務(wù)邏輯漏洞進(jìn)行安全測(cè)試，利用業(yè)務(wù)邏輯漏洞查找可準(zhǔn)確、切實(shí)的找出業(yè)務(wù)中存在的安全隱患，避免被惡意用戶利用，對(duì)系統(tǒng)造成重大損失。

　　源代碼審計(jì)服務(wù)主要分為四個(gè)階段，包括代碼審計(jì)前期準(zhǔn)備階段、代碼審計(jì)階段實(shí)施、復(fù)查階段實(shí)施以及成果匯報(bào)階段：

　　在實(shí)施代碼審計(jì)工作前，技術(shù)人員會(huì)和客戶對(duì)代碼審計(jì)服務(wù)相關(guān)的技術(shù)細(xì)節(jié)進(jìn)行詳細(xì)溝通。由此確認(rèn)代碼審計(jì)的方案，方案內(nèi)容主要包括確認(rèn)的代碼審計(jì)范圍、最終對(duì)象、審計(jì)方式、審計(jì)要求和時(shí)間等內(nèi)容。

　　在源代碼審計(jì)實(shí)施過程中，技術(shù)人員首先使用代碼審計(jì)的掃描工具對(duì)源代碼進(jìn)行掃描，完成初步的信息收集，然后由人工的方式對(duì)源代碼掃描結(jié)果進(jìn)行人工的分析和確認(rèn)。

　　根據(jù)收集的各類信息對(duì)客戶要求的重要功能點(diǎn)進(jìn)行人工代碼審計(jì)。

　　結(jié)合自動(dòng)化源代碼掃描和人工代碼審計(jì)兩方的結(jié)果，代碼審計(jì)服務(wù)人員需整理代碼審計(jì)服務(wù)的輸出結(jié)果并編制代碼審計(jì)報(bào)告，最終提交客戶和對(duì)報(bào)告內(nèi)容進(jìn)行溝通。

　　經(jīng)過第一次代碼審計(jì)報(bào)告提交和溝通后，等待客戶針對(duì)代碼審計(jì)發(fā)現(xiàn)的問題整改或加固。經(jīng)整改或加固后，代碼審計(jì)服務(wù)人員進(jìn)行回歸檢查，即二次檢查。檢查結(jié)束后提交給客戶復(fù)查報(bào)告和對(duì)復(fù)查結(jié)果進(jìn)行溝通。

　　根據(jù)一次代碼審計(jì)和二次復(fù)查結(jié)果，整理代碼審計(jì)服務(wù)輸出成果，最后匯總形成《信息系統(tǒng)代碼審計(jì)報(bào)告》 。

　　為了有效保障網(wǎng)絡(luò)的安全運(yùn)行，在對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行安全檢測(cè)后，需要對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)進(jìn)行修復(fù)。

　　安全加固服務(wù)，是指根據(jù)安全加固列表，對(duì)目標(biāo)系統(tǒng)的安全漏洞對(duì)進(jìn)行修復(fù)、配置隱患進(jìn)行優(yōu)化的過程。加固內(nèi)容包括但不限于系統(tǒng)補(bǔ)丁、防火墻、防病毒、危險(xiǎn)服務(wù)、共享、自動(dòng)播放、密碼安全。

　　安全加固是保證設(shè)備和系統(tǒng)安全運(yùn)行的關(guān)鍵防護(hù)措施，通常情況下，操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備，都需要進(jìn)行安全加固。

　　我公司可進(jìn)行安全加固的操作系統(tǒng)包括Windows、Linux、AIX、HP-Unix、Solaris。操作系統(tǒng)的加固內(nèi)容如下表所示，詳細(xì)的加固列表可參見我公司的操作系統(tǒng)安全加固規(guī)范。

　　我公司可進(jìn)行安全加固的數(shù)據(jù)庫(kù)系統(tǒng)包括Oracle、SQL Server、DB2。數(shù)據(jù)庫(kù)的加固內(nèi)容如下表所示，詳細(xì)的加固列表可參見我公司的數(shù)據(jù)庫(kù)安全加固規(guī)范。

　　我公司可進(jìn)行安全加固的中間件系統(tǒng)包括Tomcat、Apache、WebLogic、WebSphere。中間件系統(tǒng)的加固內(nèi)容如下表所示，詳細(xì)的加固列表可參見我公司的中間件安全加固規(guī)范。

　　我公司可進(jìn)行安全加固的網(wǎng)絡(luò)設(shè)備包括主流廠商的路由器、交換機(jī)。網(wǎng)絡(luò)設(shè)備的加固內(nèi)容如下表所示，詳細(xì)的加固列表可參見我公司的網(wǎng)絡(luò)設(shè)備安全加固規(guī)范。

　　我公司可進(jìn)行安全加固的安全設(shè)備是主流廠商的防火墻，如Juniper、天融信、Cisco ASA等。安全設(shè)備的加固內(nèi)容如下表所示，具體的加固列表可參見我公司的安全設(shè)備安全加固規(guī)范。

　　成立由多方人員組成的安全加固項(xiàng)目組，協(xié)調(diào)處理本項(xiàng)目的開展和實(shí)施。項(xiàng)目組成員包括：

　　確認(rèn)本次安全加固項(xiàng)目的目標(biāo)、范圍、IP地址和其他相關(guān)信息。

　　確認(rèn)加固目標(biāo)后，收集加固目標(biāo)的以下信息，為評(píng)估安全加固的風(fēng)險(xiǎn)做準(zhǔn)備。

　　同時(shí)，根據(jù)前期的安全風(fēng)險(xiǎn)評(píng)估報(bào)告，收集并分析加固目標(biāo)的漏洞信息。

　　如果前期有安全風(fēng)險(xiǎn)評(píng)估報(bào)告，與用戶協(xié)商后，此步驟可省略。

　　如果前期沒有相關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告，則需要對(duì)加固目標(biāo)進(jìn)行漏洞掃描，以查找加固目標(biāo)存在的安全漏洞和隱患。

　　根據(jù)收集的信息制定合理的加固方案，包括時(shí)間安排、流程、操作方法等。

　　為防止加固可能引起的不良后果，因此需要制定回退方案和應(yīng)急方案，回退方案用于加固導(dǎo)致系統(tǒng)不可用時(shí)將系統(tǒng)回退到加固前的狀態(tài)，應(yīng)急方案用于處理其他不可控的情況（包括加固失敗后無法回退）。

　　由安全加固項(xiàng)目組成員一起對(duì)提交的加固方案和風(fēng)險(xiǎn)規(guī)避方案進(jìn)行研討，確認(rèn)每項(xiàng)加固措施和操作方法的可行性，分析安全風(fēng)險(xiǎn)，提出改進(jìn)建議，完善實(shí)施方案。

　　對(duì)于重要的系統(tǒng)或比較危險(xiǎn)的加固操作，可以進(jìn)行加固測(cè)試，通過加固測(cè)試后才能在被加固設(shè)備上進(jìn)行操作，加固測(cè)試包括：

　　實(shí)際操作時(shí)可以選擇同樣目的的不同加固方法同時(shí)進(jìn)行測(cè)試，根據(jù)測(cè)試結(jié)果選擇最優(yōu)的加固方法。

　　將最終的實(shí)施方案提交給業(yè)主方負(fù)責(zé)領(lǐng)導(dǎo)人，進(jìn)行方案報(bào)批，報(bào)批通過后才能正式實(shí)施。

　　對(duì)于重要的系統(tǒng)，為了能夠在加固失敗的情況下快速回退或恢復(fù)系統(tǒng)，必須在事前進(jìn)行相應(yīng)的備份，備份內(nèi)容包括且不僅限于重要系統(tǒng)的備份、重要配置的備份、重要數(shù)據(jù)的備份。

　　根據(jù)對(duì)應(yīng)的安全加固列表，對(duì)系統(tǒng)和設(shè)備進(jìn)行實(shí)施具體的安全加固操作。

　　加固完成后，與用戶方人員一起，確認(rèn)系統(tǒng)、設(shè)備、應(yīng)用的可用性，并觀察一段時(shí)間，待確認(rèn)正常運(yùn)行后，加固人員才可以離開現(xiàn)場(chǎng)。

　　為確保加固有效，在加固全部完成后，對(duì)加固范圍的系統(tǒng)和設(shè)備再進(jìn)行一次漏洞掃描，以對(duì)加固效果進(jìn)行檢驗(yàn)。

　　整理并編寫安全加固過程中的報(bào)告，并提交給用戶。報(bào)告大致如下，但根據(jù)項(xiàng)目的不同，報(bào)告可能存在差異。

　　將安全加固過程中，記錄的所有文檔提交給用戶，下表是安全加固過程中的記錄表。

　　安全加固后，我公司為用戶提供的安全建議或解決方案。

　　客戶任務(wù)安保期間，我公司派專業(yè)安全工程師提供7*24小時(shí)駐場(chǎng)服務(wù)，監(jiān)控維護(hù)信息系統(tǒng)運(yùn)行，發(fā)現(xiàn)安全風(fēng)險(xiǎn)立刻向客戶匯報(bào)，并進(jìn)行安全應(yīng)急操作，保障客戶信息系統(tǒng)的安全。

　　處于接入層面的網(wǎng)絡(luò)、安全設(shè)備及鏈路；處于匯聚層面的網(wǎng)絡(luò)、安全設(shè)備及鏈路，內(nèi)部應(yīng)用服務(wù)器；處于核心層面的網(wǎng)絡(luò)、安全設(shè)備及鏈路，同時(shí)包括所有外接鏈路，DMZ區(qū)域

　　對(duì)服務(wù)范圍內(nèi)的所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、存儲(chǔ)設(shè)備及電源設(shè)備等進(jìn)行檢查，確保提前發(fā)現(xiàn)故障隱患；檢查機(jī)房的溫度、濕度和防塵情況。

　　客戶向我公司提出任務(wù)安保服務(wù)，包括服務(wù)時(shí)間段、安全保障范圍、安保任務(wù)強(qiáng)度；

　　我公司有一批專業(yè)的安全服務(wù)隊(duì)伍，非常注重對(duì)最新安全技術(shù)及安全信息的發(fā)現(xiàn)和追蹤，并通過服務(wù)的平臺(tái)與客戶及時(shí)交流，幫助客戶保持領(lǐng)先的安全理念。為客戶提供定期的安全信息通告服務(wù)。安全信息中會(huì)包括最新的安全公告，病毒信息，漏洞信息等內(nèi)容。安全通告以郵件、電話、走訪等方式，將安全技術(shù)和安全信息及時(shí)傳遞給客戶。

　　1.客戶的操作系統(tǒng)、應(yīng)用、設(shè)備等的最新安全漏洞和相應(yīng)的解決措施

　　2.收集外界最新的安全公告，病毒信息，漏洞信息等內(nèi)容，形成“外界安全動(dòng)態(tài)”；

　　3分析業(yè)主網(wǎng)絡(luò)系統(tǒng)與“外界安全動(dòng)態(tài)”的利害關(guān)系；

　　4.將與業(yè)主有利害關(guān)系的信息與分析結(jié)果通告與客戶。

　　安全風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全漏洞、安全隱患、安全風(fēng)險(xiǎn)，進(jìn)行探測(cè)、識(shí)別、控制、消除的全過程，它從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與應(yīng)用系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。

　　安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容，包括網(wǎng)絡(luò)拓?fù)浼軜?gòu)、安全域規(guī)劃、邊界防護(hù)、安全防護(hù)措施、核心設(shè)備安全配置、設(shè)備脆弱性等，從而全面評(píng)估網(wǎng)絡(luò)的安全現(xiàn)狀，查找安全隱患。

　　資產(chǎn)的價(jià)值、對(duì)資產(chǎn)的威脅和威脅發(fā)生的可能性、資產(chǎn)脆弱性、現(xiàn)有的安全控制提供的保護(hù)，風(fēng)險(xiǎn)評(píng)估過程是綜合以上因素而導(dǎo)出風(fēng)險(xiǎn)的過程。

　　調(diào)研階段，通過人工訪談等方式，從后果的角度出發(fā)，概要的評(píng)估可能存在的風(fēng)險(xiǎn)。

　　詳細(xì)的風(fēng)險(xiǎn)評(píng)估是對(duì)資產(chǎn)、威脅和脆弱點(diǎn)進(jìn)行詳細(xì)的識(shí)別和估價(jià)，評(píng)估結(jié)果被用于評(píng)估風(fēng)險(xiǎn)和安全控制的識(shí)別和選擇。通過識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受水平，來證明管理者所采用的安全控制是適當(dāng)?shù)摹?/p>

　　確定風(fēng)險(xiǎn)數(shù)值的大小不是風(fēng)險(xiǎn)評(píng)估的最終目的，重要的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。

　　風(fēng)險(xiǎn)等級(jí)在本項(xiàng)目中采用分值計(jì)算表示。分值越大，風(fēng)險(xiǎn)越高。下面是風(fēng)險(xiǎn)等級(jí)表：

　　主要參照ISO27001等國(guó)際標(biāo)準(zhǔn)，根據(jù)安全評(píng)估結(jié)果為用戶提供咨詢規(guī)劃服務(wù)，及信息安全解決方案，幫助用戶建立符合自身需求和國(guó)際標(biāo)準(zhǔn)要求的信息安全管理體系（ISMS）和持續(xù)性信息系統(tǒng)性能、網(wǎng)絡(luò)架構(gòu)的優(yōu)化專業(yè)建議。

　　安全管理制度是安全管理體系的核心，依據(jù)國(guó)家等級(jí)保護(hù)政策的要求，分五個(gè)步驟（落實(shí)安全責(zé)任、管理現(xiàn)狀分析、制度安全策略和制度、落實(shí)安全管理措施、安全自檢與調(diào)整）實(shí)現(xiàn)安全管理制度建設(shè)。

　　明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門，包括設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門。建立崗位和人員管理制度，根據(jù)責(zé)任分工，分別設(shè)置安全管理機(jī)構(gòu)和崗位，明確每個(gè)崗位的責(zé)任和人文，落實(shí)安全管理責(zé)任制。

　　通過開展信息系統(tǒng)安全管理現(xiàn)狀分析，查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問題，明確信息系統(tǒng)安全管理建設(shè)整改的需求。

　　依據(jù)等級(jí)保護(hù)基本要求的標(biāo)準(zhǔn)，采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法，分析判斷目前采取的安全管理措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的時(shí)間或事故，分析安全管理方面存在的問題，形成安全管理建設(shè)整改的需求并論證。

　　根據(jù)安全管理需求，確定安全管理目標(biāo)和安全策略，針對(duì)信息系統(tǒng)的各類管理活動(dòng)，制定人員安全管理制度，明確人員錄用、離崗、考核、培訓(xùn)等管理內(nèi)容；制定系統(tǒng)建設(shè)管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、密碼使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理內(nèi)容；制定系統(tǒng)運(yùn)維管理制度，明確機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、惡意代碼防范、備份與恢復(fù)、應(yīng)急預(yù)案等管理內(nèi)容；制度定期檢查制度，明確檢查內(nèi)容、方法、要求等，檢查各項(xiàng)制度、措施的落實(shí)情況，并不斷完善。規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。

　　人員安全管理：包括人員錄入、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過程、管家崗位簽署保密協(xié)議；對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)；對(duì)關(guān)鍵崗位進(jìn)行全面的嚴(yán)格的審查和技能考核；對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。

　　系統(tǒng)運(yùn)維管理：落實(shí)環(huán)境和資產(chǎn)安全管理、設(shè)備和介質(zhì)安全管理、日常運(yùn)行維護(hù)、集中安全管理、時(shí)間處置與應(yīng)急響應(yīng)、災(zāi)難備份、實(shí)時(shí)監(jiān)測(cè)、其他安全管理

　　系統(tǒng)建設(shè)管理：系統(tǒng)建設(shè)管理的重點(diǎn)是與系統(tǒng)建設(shè)活動(dòng)相關(guān)的過程管理。由于主要的建設(shè)活動(dòng)是由服務(wù)方（如集成方、開發(fā)方、測(cè)評(píng)方、安全服務(wù)方）完成的，運(yùn)營(yíng)使用單位人員的主要工作上對(duì)其進(jìn)行管理，應(yīng)此，應(yīng)制度系統(tǒng)建設(shè)相關(guān)的管理制度。

　　制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項(xiàng)制度、措施的落實(shí)情況并不不斷完善。

【信息安全服務(wù)方案】相關(guān)文章：

質(zhì)量安全服務(wù)實(shí)施方案04-09

醫(yī)院信息科信息安全應(yīng)急演練及信息系統(tǒng)故障演練方案08-23

課后服務(wù)安全管理方案（通用5篇）04-25

安全服務(wù)實(shí)施方案（精選14篇）07-19

學(xué)校開展信息技術(shù)課后服務(wù)的方案（通用5篇）04-25

服務(wù)管理方案09-17

服務(wù)競(jìng)賽方案10-16

配送服務(wù)方案12-08

食堂服務(wù)方案11-19