基础设施、终端用户计算it一般性控制矩阵和底稿_8-16_稿
IT基础设施规划
IT基础设施规划IT基础设施规划是指在企业或组织中,为支持信息技术系统的正常运行和发展,合理规划和布局IT基础设施的工作。
它涵盖了网络设备、服务器、存储设备、机房、通信线路等方面的规划和设计。
本文将详细介绍IT基础设施规划的重要性、规划的步骤和内容,以及一些实施案例。
一、重要性IT基础设施规划对于企业或组织的信息化建设具有重要的意义。
首先,规划能够帮助企业或组织合理配置资源,提高资源利用率,降低成本。
其次,规划能够保证IT系统的稳定性和可靠性,提高系统的可用性和性能。
最后,规划能够提前预测和应对IT系统的发展需求,为企业或组织的发展提供支持。
二、规划步骤和内容1.需求分析:首先,需要对企业或组织的IT需求进行全面的分析和调研,包括业务需求、用户需求、安全需求等。
通过需求分析,可以明确IT基础设施规划的目标和方向。
2.架构设计:在需求分析的基础上,进行IT基础设施的架构设计。
包括网络架构、服务器架构、存储架构等方面的设计。
架构设计需要考虑系统的可扩展性、可靠性、安全性等因素。
3.设备选型:根据架构设计的要求,选择合适的设备和技术。
设备选型需要考虑设备的性能、价格、品牌信誉等因素。
4.机房设计:对机房进行合理的规划和设计。
包括机房的位置选择、机房布局、温湿度控制、防火防水等方面的设计。
5.通信线路规划:根据需求和架构设计,规划和设计通信线路。
包括内部网络的规划和外部网络的接入规划。
6.安全策略:制定合理的安全策略,保护IT基础设施的安全。
包括物理安全和网络安全两个方面。
7.容灾备份:规划和设计容灾备份方案,确保系统在灾难发生时能够快速恢复。
8.项目实施:根据规划的内容,制定详细的实施计划,并进行项目实施。
在实施过程中,需要进行设备的安装、配置、测试等工作。
9.运维管理:规划和设计IT基础设施的运维管理体系,包括设备巡检、故障处理、性能监控等方面。
三、实施案例下面以某企业的IT基础设施规划为例,进行具体介绍。
IT基础设施规划
IT基础设施规划一、背景介绍随着信息技术的迅猛发展,IT基础设施在企业中扮演着至关重要的角色。
IT基础设施规划是为了确保企业的信息系统能够稳定高效地运行,提供可靠的技术支持和服务。
本文将详细介绍IT基础设施规划的相关内容。
二、规划目标1. 提高系统的可用性和可靠性:确保企业的信息系统能够24/7稳定运行,最大限度地减少系统故障和停机时间。
2. 提升系统性能:通过优化硬件设备和网络架构,提高系统的响应速度和处理能力,以满足企业日益增长的业务需求。
3. 降低成本:合理配置和利用IT资源,避免资源浪费,降低企业的IT运营和维护成本。
三、规划内容1. 硬件设备规划a. 服务器规划:根据企业的业务需求和负载情况,确定服务器的数量和配置。
采用虚拟化技术,提高服务器的利用率。
b. 存储设备规划:根据企业的数据容量和增长率,选择合适的存储设备,并实施存储管理策略,确保数据的安全和可靠性。
c. 网络设备规划:设计合理的网络拓扑结构,选择适当的交换机、路由器和防火墙等网络设备,保障数据传输的稳定和安全。
2. 软件系统规划a. 操作系统规划:选择适合企业需求的操作系统,如Windows Server或者Linux等,并进行合理的版本管理和升级策略。
b. 数据库规划:根据企业的数据类型和规模,选择合适的数据库管理系统,并进行数据库的设计和优化,提高数据的存取效率。
c. 应用系统规划:根据企业的业务需求,选择合适的应用系统,并进行系统集成和定制开辟,提供高效的业务支持。
3. 网络架构规划a. 内外网规划:划分企业内外网,建立安全的网络边界,保护企业内部网络的安全和隐私。
b. 网络带宽规划:根据企业的业务需求,评估网络带宽的需求,并选择合适的网络服务提供商,确保网络连接的稳定和高速。
c. 网络安全规划:建立完善的网络安全策略,包括防火墙、入侵检测系统、反病毒系统等,保障网络的安全和稳定。
4. 数据中心规划a. 数据中心位置规划:选择合适的地理位置建设数据中心,考虑地理环境、电力供应、网络连接等因素。
【精编_推荐】基础设施IT一般性控制内部控制矩阵
分(子)公司
安全管理员
网络管理员
5
密码变更记录
2.10.5
1.3网络互联安全管理
1.1
经营风险:网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。
1.3.1总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系统管理部备案。
经营风险:用户未经授权即可接入网络,导致内部网络被非授权访问和攻击。
1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部
分(子)公司
3
终端用户接入申请表
2.10.5
1.1
经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。
2.10.5
1.1
经营风险:未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。
1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配置文件等,由专人负责整理和保存。
信息系统管理部
分(子)公司
4
IP地址分配表
网络拓扑图
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
信息系统管理部
分(子)公司
3
2.10.5
1.1
经营风险:人事部门未及时提供人员离职交接表,或信息管理部门未及时将离职人员网络接入服务注销,导致内部网络被非授权访问和攻击。
1.4.3根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。
IT基础设施规划
IT基础设施规划一、引言IT基础设施规划是指为了支持组织的信息技术需求,制定和实施一套完善的基础设施架构和规划方案的过程。
本文将详细介绍IT基础设施规划的目的、范围、步骤和关键要素,以及规划过程中需要考虑的因素。
二、目的IT基础设施规划的主要目的是确保组织的信息技术系统能够高效、可靠地支持业务运营,并为未来的发展提供可扩展性和灵便性。
通过合理规划和管理IT基础设施,组织可以降低运营成本、提高工作效率、增强信息安全性,从而获得竞争优势。
三、范围IT基础设施规划的范围涵盖以下几个方面:1. 网络设施规划:包括局域网、广域网、无线网络等网络设备和拓扑结构的规划。
2. 数据中心规划:包括服务器、存储设备、机房布局等数据中心设施的规划。
3. 安全设施规划:包括防火墙、入侵检测系统、身份认证系统等安全设备的规划。
4. 通信设施规划:包括电话系统、视频会议系统等通信设备和服务的规划。
5. 软件基础设施规划:包括操作系统、数据库、应用软件等软件基础设施的规划。
四、规划步骤IT基础设施规划通常包括以下步骤:1. 确定需求:与业务部门沟通,了解当前和未来的信息技术需求,包括业务增长预测、用户数量、数据存储需求等。
2. 分析现状:评估当前的IT基础设施状况,包括硬件、软件、网络等方面的现状分析,发现存在的问题和瓶颈。
3. 制定规划方案:根据需求和现状分析的结果,制定IT基础设施规划方案,包括硬件设备的选型、网络拓扑的设计、数据中心的布局等。
4. 预算和资源规划:估算IT基础设施规划实施的成本,并合理分配资源,包括人力、物力和财力等。
5. 实施和测试:按照规划方案进行设备采购、布线、配置等实施工作,并进行测试和验证,确保规划的可行性和有效性。
6. 监控和维护:建立监控系统,定期检查和维护IT基础设施,及时处理故障和问题,保证系统的稳定运行。
五、关键要素IT基础设施规划中的关键要素包括以下几个方面:1. 可用性:确保系统能够24/7稳定运行,最小化系统故障和停机时间。
ITIT基础设施规划
ITIT基础设施规划IT基础设施规划将任何规模的IT项目顺利推进,都需要一个良好的基础设施规划。
IT基础设施规划是一项战略性的长期规划,涵盖了硬件、软件、通信、数据中心等方面的要素。
本文将介绍IT基础设施规划的重要性,以及如何进行规划和实施。
一、重要性IT基础设施规划对于企业的发展至关重要。
一个合理的规划可以确保IT系统的安全、高效运行,提高工作效率,并为未来的扩展提供良好的基础。
首先,IT基础设施规划可以帮助企业评估当前的IT环境,并确定改进和更改的重点。
通过对现有系统和设备的全面审查,可以发现存在的问题和瓶颈,提出相应的解决方案,从而提高系统的稳定性和性能。
其次,IT基础设施规划可以确保企业的数据安全。
规划应该包括有效的数据备份和恢复策略,以及网络和设备的安全措施。
这些措施可以减少数据丢失和系统中断的风险,保护企业的核心资产。
最后,IT基础设施规划还可以为企业的业务发展提供支持。
规划应该考虑到未来的扩展需求,包括增加新的用户、应用程序和服务等。
在规划初期,就要考虑到可扩展性和灵活性,以便在未来的增长中能够快速响应。
二、规划过程1.需求分析:首先,需要与业务部门合作,了解他们的业务需求和IT需求。
这包括对现有系统的评估,以及对未来业务发展的预测。
通过了解需求,可以确定IT基础设施规划的目标和重点。
2.架构设计:在确定需求后,需要进行IT架构设计。
这涉及到硬件和软件的选型、网络拓扑的设计、数据中心的规划等。
设计时应考虑到性能、可靠性、安全性和可扩展性等方面。
3.资源规划:根据架构设计,需要确定所需的资源,包括服务器、存储设备、网络设备等。
还需要制定合理的预算,以确保资源的采购和维护可以得到适当的支持。
4.实施和测试:在确保设计和资源满足需求后,需要进行实施和测试。
这包括设备的安装和配置,系统的部署和集成,以及对整个系统进行测试和验证。
5.监控和维护:IT基础设施的规划不是一次性的工作,需要进行持续的监控和维护。
基础设施it一般性控制内部控制矩阵
4估价或分
6准确性
1
2
3
4
5
6
授权访冋和攻击。
1.1
经营风险:未经相关领导授权开通远程接 入网络服务,导致内部网络被非授权访问 和攻击。
1.5远程接入网络申请人依据《网络管理办法》相关要求,填写远程接 入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,
信息管理部门(责任处(科)室)负责人审批并备案。
3
终端用户接入申请 表
2.10.5
1.1
经营风险:未对用户登录网络进行管理, 导致内部网络被非授权访问和攻击。
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的
访问。
信息系统管理部 分(子)公司
3
2.10.5
1.1
经营风险:人事部门未及时提供人员离职 交接表,或信息管理部门未及时将离职人 员网络接入服务注销, 导致内部网络被非
安全设备配置检查记录表。
信息系统管理部 分(子)公司
4
安全设备配置检查 记录表
2.10.2
1.1
经营风险:安全管理员未及时对相关日志 审计分析,导致内部网络被非授权访问和 攻击。
1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志
等进行分析审计。
信息系统管理部 分(子)公司
4
网络设备登陆日志 审阅表
4
IP地址分配表 网络拓扑图 网络设备配置记录 表
2.10.5
1.1
经营风险:网络设备密码设置强度不够或 更改不及时,造成公司内部网络被非授权 访问和攻击。
1.2网络设备登录设置合理的密码规则,密码要求长度六位以上,米用 数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员 必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理 员确认并在信息管理部门备案。
IT基础设施规划
IT基础设施规划一、概述IT基础设施规划是指在组织内部建立和维护IT系统所需的基础设施的过程。
它包括对硬件、软件、网络、数据中心等方面进行规划和设计,以确保组织的IT 系统能够高效、安全地运行,并满足未来的发展需求。
二、规划目标1. 提高IT系统的可用性和可靠性:通过合理的规划和设计,确保IT系统能够稳定运行,减少故障和停机时间,提高业务连续性。
2. 提高IT系统的性能和扩展性:根据组织的业务需求,规划合适的硬件和软件配置,以满足业务的高性能和扩展性要求。
3. 提高IT系统的安全性:通过合理的网络设计和安全策略,保护组织的数据和系统免受恶意攻击和数据泄露的风险。
4. 降低IT系统的运维成本:通过合理的设备选型和布局,减少设备的维护和管理工作量,降低运维成本。
5. 保障IT系统的合规性:根据相关法规和标准,确保IT系统的设计和运行符合法律和行业要求。
三、规划内容1. 硬件规划:根据业务需求和性能要求,规划合适的服务器、存储设备、网络设备等硬件设施。
考虑设备的可靠性、容量、扩展性和成本等因素,选择合适的硬件供应商和设备型号。
2. 软件规划:根据业务需求,规划合适的操作系统、数据库、应用软件等。
考虑软件的兼容性、稳定性和安全性,选择合适的软件供应商和版本。
3. 网络规划:规划合适的网络拓扑结构、网络设备、IP地址规划等。
考虑网络的带宽、延迟、可靠性和安全性,设计合适的网络架构和安全策略。
4. 数据中心规划:根据业务需求和数据量,规划合适的数据中心设施,包括机房、冷却系统、供电系统、UPS等。
考虑数据中心的容量、可靠性和安全性,确保数据中心能够稳定运行。
5. 安全规划:制定合适的安全策略,包括网络安全、系统安全、数据安全等方面。
考虑安全风险评估、防火墙、入侵检测系统、数据备份等措施,保护IT系统的安全性。
6. 容灾规划:规划合适的容灾方案,确保在灾难事件发生时能够快速恢复业务。
包括备份和恢复策略、灾备数据中心、业务连续性计划等。
IT基础设施规划
IT基础设施规划引言概述:IT基础设施规划是现代企业发展的重要组成部分。
它涉及到企业的信息技术系统、硬件设备、网络架构以及数据管理等方面。
一个良好的IT基础设施规划可以提高企业的运营效率、降低成本、增强安全性,并为未来的发展提供支持。
本文将从五个大点详细阐述IT基础设施规划的重要性和实施方法。
正文内容:1. 评估现有基础设施1.1 硬件设备评估:评估企业现有的服务器、计算机、存储设备等硬件设备的性能和容量,以确定是否需要升级或替换。
1.2 网络架构评估:评估企业的网络拓扑结构、带宽使用情况、网络安全措施等,以确定是否需要进行网络优化或安全加固。
1.3 软件系统评估:评估企业现有的软件系统的功能、稳定性和兼容性,以确定是否需要进行升级或替换。
2. 确定需求和目标2.1 业务需求:与各部门沟通,了解业务需求和未来发展规划,以确定IT基础设施规划需要满足的功能和性能要求。
2.2 安全需求:分析企业的安全风险,确定IT基础设施规划需要满足的安全性要求,包括数据保护、网络防护等方面。
2.3 成本控制:评估IT基础设施规划的成本,并与预算进行对比,确保规划的可行性和经济性。
3. 设计合适的架构3.1 服务器架构设计:根据业务需求和性能要求,设计合适的服务器架构,包括服务器数量、规格、虚拟化方案等。
3.2 网络架构设计:根据业务需求和安全要求,设计合适的网络架构,包括网络拓扑、子网划分、防火墙配置等。
3.3 存储架构设计:根据数据量和访问需求,设计合适的存储架构,包括存储设备的选择、备份策略等。
4. 实施规划方案4.1 项目管理:制定详细的实施计划,包括任务分配、时间安排、资源调配等,确保规划方案按时按质完成。
4.2 设备采购与部署:根据规划方案,采购合适的硬件设备和软件系统,并进行部署和配置。
4.3 网络优化和安全加固:根据规划方案,对网络进行优化和安全加固,包括带宽管理、防火墙配置、入侵检测等。
5. 监控和维护5.1 监控系统:建立监控系统,对IT基础设施进行实时监测,及时发现和解决问题,确保系统的稳定性和可用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ITI-NW7-1.1 …… ITI-NW7-1.n
序号
控制目标
控制点编号
控制点
控制点描述
测试步骤 设计有效性: 设计有效性: 1.访谈网络管理员,了解远程登录的申请和 审批等情况。 执行有效性: 执行有效性: 1.通过访谈确定样本总体。 2. 根据全年的远程接入服务申请的控制频 率确定样本数量。 3. 按照确定的样本量抽取公司全年的《中 国石化远程接入服务申请表》。 4.检查样本表单记录是否完整,是否有相关 部门负责人的审批签字。 5.检查样本表单中用户申请的帐号与相应系 统中的实际情况是否一致。
ITI-NW4
设计有效性: 设计有效性: 1.询问网络管理员控制网络设备登录的措 1.网络设备登录要设置密码,密码长度大于6 施; 位,密码要字母和数字组合。 执行有效性: 执行有效性: 网络设备安全 2.网络管理员每六个月要修改网络设备登录 1.审阅密码设置规则是否符合密码设置要求 管理 密码。 (长度大于6位,字母和数字组合); 3.修改后的《密码更换记录》在信息部门备 2.检查密码更新记录; 案。 3.获取相关文档; 4.签署检查记录。 设计有效性: 设计有效性: 1. 获取《中国石化网络管理办法》和《中 国石化互联网接口管理规范》; 1.依照网络互联管理制度,规范企业网络互 2.访谈信息安全管理负责人网络互联管理制 网络互联安全 联管理; 度执行情况。 2.企业与外部网连接需及时申报并在总部进 3.查看网络互联相关记录。 管理 行备案。 4.签署访谈纪录。 执行有效性: 执行有效性: 1.查看企业外部网连接在总部进行申报备案 的纪录。
测试结果
测试结论 文档索引编号
9
ห้องสมุดไป่ตู้
建立有效的安全机 制,对企业用户远程 接入进行控制。
ITI-NW8
1.用户申请远程登录帐号应依照《中国石化 远程接入服务管理办法》进行。 2.申请时应填写《中国石化远程接入服务申 远程访问接入 请表》并签署《中国石化远程用户接入服务 管理 安全承诺书》。 3.申请表经业务部门负责人审批后提交信息 部门,信息部门负责人审批后方可实施。
测试结果
测试结论 文档索引编号
5
通过有效的变更控 制,保证网络的正常 运行。
ITI-NW2
依据变更流程进行变更的申请、审批,测试 。 1.变更申请人(包括网络管理员或应用系统 人员)提交变更申请,说明变更内容和原 因; 网络变更管理 2.制定变更方案,说明实施步骤和实施方 法,以及出现问题的应对策略。 3.根据变更流程由相应负责人进行审批。 4.通过审批后,执行变更并对变更进行测试 。 5.记录变更信息。
ITI-SE3-1.1 …… ITI-SE3-1.n
二、网络管理
序号
控制目标
控制点编号
控制点
控制点描述
测试步骤 设计有效性: 设计有效性: 1.访谈网络管理员关于网络管理制度的相关 内容和政策; 2.询问网络运维人员的工作职责; 3.检查网络方案、拓扑图、IP地址分配表 执行有效性: 执行有效性: 1.获取有关文档; 2.签署访谈纪录。
测试结果
测试结论 文档索引编号
ITI-CR3
机房环境的巡 1.有专人对机房UPS、空调、温湿度和电源 检和监控 系统进行每天的巡检和记录。
ITI-CR3-1.1 …… ITI-CR3-1.n
基础设施IT一般性控制工作底稿 基础设施IT一般性控制工作底稿 IT
被测试单位: 被测试单位: 序号 控制目标 控制点编号 测试人: 测试人: 控制点 控制点描述 复核人: 复核人: 测试步骤 测试时间: 测试时间: 测试结果 测试结论 文档索引编号
一、信息安全 设计有效性: 设计有效性: 1.访谈企业相关人员,获取企业信息安全策 略(包括安全管理制度、机房安全管理制度 、网络安全管理制度等所有涉及IT安全管理 的制度等); 2.查看信息安全策略; 执行有效性: 执行有效性: 1.检查信息安全策略是否被正式审批发布或 经批准试行; 2.检查是否有对员工的进行安全制度培训记 录; 设计有效性: 设计有效性: 1.获取企业信息安全组织和责任文件,访谈 信息部门负责人,了解信息安全管理员岗位 职责和信息安全管理员培训情况。 执行有效性: 执行有效性: 1.检查信息安全管理员获得信息安全专业资 格证书情况。 2.签署检查记录。 设计有效性: 设计有效性: 1.访谈信息部门负责人,了解信息系统关键 岗位管理情况。 2.获取信息系统关键岗位名录,访谈其中某 关键岗位人员,了解其关键岗位工作情况。 执行有效性: 执行有效性: 1.获取信息系统关键岗位名录。 2.检查《信息系统关键岗位安全责任书》, 检查文档是否经过了所在单位领导的认可。 3.签署检查记录。
ITI-NW8-1.1 …… ITI-NW8-1.n
10
增强企业病毒防护能 力,防止病毒对信息 系统的感染和在企业 网内的传播。
ITI-NW9
设计有效性 1.获取《中国石化企业病毒防护管理规范》 1.依照企业防病毒管理制度,进行企业防病毒 2.询问网络管理员企业防病毒布署情况 防病毒制度管 管理。 执行有效性: 执行有效性: 理 2.服务器和客户端有效布署防病毒系统, 1.查看企业防病毒服务器,检查防病毒系统 3.病毒库及时更新。 部署情况。 2.签署检查记录
ITI-NW9-1.1 …… ITI-NW9-1.n
三、机房管理 设计有效性: 设计有效性: 1.访谈信息部门相关负责人了解机房管理制 1、制定机房管理规章制度,明确机房管理要 度,获取管理制度文档; 2.访谈机房管理人员,了解其岗位职责,获 机房及机房员 求; 2、应明确机房管理人员,实现对机房的有效 取岗位工作职责文档。 工岗位管理 执行有效性: 管理。 执行有效性: 1.确认机房由机房管理员管理,机房管理员 了解其岗位职责。 设计有效性: 设计有效性: 1.访谈机房管理人员,了解机房出入管理情 况。 1、建立机房门禁系统或由专人进行出入管 执行有效性: 执行有效性: 机房设备和人 理; 1.分别抽样检查机房人员出入登记表和机房 员出入管理 2、填写机房出入登记表,对人员、设备出入 设备出入登记表的表单内容是否完整,是否 情况进行记录。 有审批签字。 2.是否有机房门禁或出入控制介质的的分配 清单、授权记录;
ITI-NW2-1.1 …… ITI-NW2-1.n
6
对用户终端接入网络 进行有效控制,检查 网络用户合法性。
ITI-NW3
1.接入网络需申请、审批、备案。 网络用户管理 2.检查网络用户终端的合法性。
ITI-NW3-1.1 …… ITI-NW3-1.n
7
通过对网络设备配置 有效控制,防止网络 设备的配置参数被未 授权修改。
测试结果
测试结论 文档索引编号
8
ITI-NW6
1.在财务系统、ERP系统的网络互联接口部 网络互联接口 署安全设备; 安全设备部署 2.安全设备的配置工作由经授权的专人负 及配置管理 责,安全设备的配置文件需归档。
ITI-NW6-1.1 …… ITI-NW6-1.n
ITI-NW7
设计有效性: 设计有效性: 1.询问信息安全管理员对安全设备的规则进 行复核、确认的情况。 安全设备配置 1.信息安全管理员对安全设备的规则进行复 执行有效性: 执行有效性: 的审阅 核、确认。 1.依照《安全设备配置记录表》询问安全管 理员安全设备策略检查工作情况。 2.签署检查记录。
1
制定信息系统的安全 策略,指导企业信息 安全体系的建立。
ITI-SE1
1.建立信息安全策略,指导公司整体信息安 全的工作; 2.信息安全策略应明确信息安全工作的目标 信息安全策略 、基本原则、组织结构、以及悉信息系统在 管理 管理与技术方面对安全的要求,指导企业开 展各自信息安全工作; 3.信息安全策略经管理层批准后发布。
测试结果
测试结论 文档索引编号
4
建立网络管理制度, 配备网络系统运行维 护人员,保证关键应 用系统的平稳运行。
ITI-NW1
1.建立网络管理制度,明确网络维护人员的 职责; 网络运维人员 2.配备网络专职或兼职管理和维护人员; 管理 3.编制网络维护管理文档(网络拓扑图、IP 地址分配表、服务器地址分配表、配置文 件)。
3
对关键信息系统和信 息安全关键岗位加强 管理。保障中国石化 应用系统安全、可靠 、稳定、连续、高效 运行。
ITI-SE3
1.依照《中国石化信息系统关键岗位安全管 理办法》对关键岗位的工作人员进行管理; 关键岗位人员 2.信息部门应建立《信息系统关键岗位名录 管理 》; 3.关键岗位的工作人员要与所在单位签署《 信息系统关键岗位安全责任书》。
ITI-NW1-1.1 …… ITI-NW1-1.n
序号
控制目标
控制点编号
控制点
控制点描述
测试步骤 设计有效性: 设计有效性 1.询问网络管理员是否有变更流程以及变更 流程规定了哪些内容。 2.获取企业变更流程,了解变更、审批、执 行相关规定,涉及文档。 执行有效性: 执行有效性: 1.获取企业变更流程,查阅变更、审批、执 行相关规定。 2.抽样检查变更申请、审批、执行、记录, 并获取相关文档; 3.签署检查记录。 设计有效性: 设计有效性: 1.询问对用户终端接入网络的有关制度。 2.询问网络管理员控制用户终端接入网络的 方法; 执行有效性: 执行有效性: 1.抽取离职人员清单,检查经过审核的网络 用户清单; 2.检查《用户终端接入申请审批表》; 3.检查网络管理员检查终端接入情况的记 录; 4.获取相关文档; 5.签署检查记录。
ITI-NW4-1.1 …… ITI-NW4-1.n
ITI-NW5
ITI-NW5-1.1 …… ITI-NW5-1.n
序号
控制目标 企业网络的互联接口 有安全保障措施,以 防止未经授权的外部 人员接触公司信息系 统与资源。
控制点编号
控制点
控制点描述
测试步骤 设计有效性: 设计有效性: 1.查看网络拓扑图,了解关键的网络互联接 口部署防火墙(或其他安全设备)的情况。 执行有效性: 执行有效性: 2.确认防火墙(或其他安全设备)具体部署 位置,确认其已正确部署。 3.获取《安全设备配置记录表》。 4.询问网络管理员安全设备配置情况。 5.签署检查记录。