信息安全管理-信息安全管理实施案例
信息安全管理实施案例共116页
则需要进行相应的权限设置,从而完成用户的 授权管理工作。
16.1.3 内网安全管理
⑤ 身份认证 内网安全管理平台的身份认证系统采用
Chinasec可信网认证系统进行集中的认证。
(3)主机监控 ① 实时监控 实时远程监视和控制客户端计算机的状态,这
护的前提下,对信息中心内部不同的部门等实 现有效的数据隔离, 通过保密子网,还可以有效防止非法外连或者 非法接入。 不同保密子网(VCN)之间可以设定信任关系, 从而允许他们的计算机之间进行数据交换。
16.1.3 内网安全管理
② 移动存储设备管理 Chinasec可信网络保密系统可以实现对移动存
还有办公部门内部人员数量众多,所属部门, 职责和权限各不相同,如果某个人员访问了其 权限以外的信息资源,
如重要计算机,服务器等,将会对内网的信息 安全构成极大的威胁。
16.1.3 内网安全管理
(2)网络中存在的隐患 在网络的日常运行中,存在如下安全隐患: ·员工可能通过 U 盘或者移动硬盘将数据复制
出去,造成有意或无意的信息泄漏问题。 ·员工可能将文件打印带出办公区的问题。 ·员工可能将笔记本电脑带出公司,从而造成
知识产权泄密问题。 ·网络中共享信息的无授权访问、以及服务器
的无授权连接。
16.1.3 内网安全管理
·业务信息终端计算机相互之间的非加密通信。 ·业务信息终端计算机中的非加密存储 ·业务信息网络中的计算机无安全域的划分。 ·系统终端有非授权人员的登录情况。 ·非信任计算机的非法接入业务信息网络的问
可以远程注册到平台用户认证服务器上。
该注册过程由系统客户端代理自动完成,用户 只需要将自己的USB令牌插入计算机,
信息安全管理研究案例
信息安全管理研究案例1. 案例一:银行信息泄露事件在这个案例中,一家银行遭受了信息泄露事件,导致客户的个人信息被黑客获取。
本文将分析该事件的原因、影响和解决方案,介绍银行采取的安全措施以保护客户信息的重要性。
2. 案例二:企业内部员工数据泄露这个案例描述了一个企业内部员工数据泄露的事件,涉及员工个人信息的盗窃和滥用。
我们将探讨这个事件的影响,企业在信息安全管理方面的不足以及应采取的改进措施。
3. 案例三:网络钓鱼攻击本案例将讨论一个网络钓鱼攻击的实例,详细描述攻击者如何通过伪装电子邮件和网站来欺骗用户,获取他们的敏感信息。
我们将探讨如何识别和防止这种类型的攻击,并提供相应的解决方案。
4. 案例四:移动设备安全管理该案例描述了一个公司在员工使用移动设备时遇到的安全管理问题。
我们将介绍该公司面临的挑战,以及他们如何通过加密、远程擦除和访问控制等措施来保护移动设备中的数据。
5. 案例五:云计算安全风险本案例将讨论使用云计算服务时可能面临的安全风险和挑战。
我们将分析云计算的优势和劣势,并提供如何减轻风险的最佳实践和策略。
6. 案例六:物联网安全威胁该案例描述了物联网设备在安全方面的脆弱性,以及可能面临的攻击和风险。
我们将讨论如何加强物联网设备的安全性,并提供防范物联网安全威胁的建议和解决方案。
7. 案例七:社交工程攻击本案例将介绍一个社交工程攻击的实例,详细描述攻击者如何通过欺骗、诱骗和操纵人们的行为来获取他们的敏感信息。
我们将讨论如何识别和防止这种类型的攻击,并提供相应的解决方案。
8. 案例八:网络入侵事件该案例描述了一次企业遭受网络入侵的事件,详细介绍入侵者如何绕过防御系统,获取敏感信息并对系统进行破坏。
我们将探讨如何加强网络安全措施,并提供应对网络入侵事件的最佳实践和策略。
9. 案例九:数据丢失与恢复本案例将讨论企业在数据丢失事件中面临的挑战,以及恢复丢失数据的最佳实践和策略。
我们将介绍数据备份、灾难恢复计划和数据恢复工具等关键措施。
企业信息安全案例
企业信息安全案例
随着信息技术的快速发展,企业信息安全问题日益凸显。
信息安全案例层出不穷,给企业带来了严重的损失和影响。
下面将介绍一些企业信息安全案例,以期引起广大企业对信息安全的高度重视和关注。
首先,某知名互联网企业因未能及时更新系统补丁,导致其服务器遭受黑客攻击,大量用户信息泄露。
这一事件不仅给用户带来了隐私泄露的风险,也给企业自身声誉和市场形象造成了极大的负面影响。
这一案例充分说明了企业在信息安全方面的疏忽大意会给企业带来严重的后果。
其次,某金融机构因内部员工泄露客户信息,导致大量客户资金被盗。
这一案
例再次提醒企业要加强对内部员工的信息安全教育和监管,防范内部人员的不当行为对企业信息安全造成的威胁。
另外,某制造业企业因为供应链上游企业的信息安全漏洞,导致企业生产计划
被黑客篡改,造成生产中断和订单延误。
这一案例提示企业在信息安全管理中要关注整个供应链的安全,加强对供应商和合作伙伴的信息安全管理和监控。
再者,某电子商务企业因未能及时更新网站安全防护措施,遭受勒索软件攻击,导致网站瘫痪,影响了大量用户的购物体验。
这一案例表明企业要加强对网络安全的防护,及时更新安全防护措施,防范网络攻击对企业运营造成的影响。
总的来说,企业信息安全案例层出不穷,给企业带来了巨大的损失和影响。
企
业要高度重视信息安全,加强对信息安全的管理和防护,提高员工信息安全意识,建立健全的信息安全管理体系,确保企业信息安全的持续稳定。
只有这样,企业才能在激烈的市场竞争中立于不败之地。
信息安全案例
信息安全案例
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定 和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理 其保存的个人信息 案例一 2019 年 2 月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落 实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏 南京、无锡警方依据《网络安全法》第 21 条、第 59 条规定,对上述单位分别予以 5 万元罚 款,对相关责任人予以 5 千元、2 万元不等罚款,同时责令限期整改安全隐患,落实网络安全 等级保护制度
信息安全 案例
信息安全案例
目录
《网络安全法》第 21 条 网络运营者不得收集与其提供的服务无关的个人信 息,
信息安全案例
《网络安全法》第 21 条 网络运营者不得收集与其 提供的服务无关的个人信息,
ቤተ መጻሕፍቲ ባይዱ息安全案例
不得违反法律、行政法规的规定 和双方的约定收集、使用个人信息,并应当依照法律、 行政法规的规定和与用户的约定,处理 其保存的个人信息。 案例一: 2019 年 2 月, 南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落 实不到位 、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。 南京、无锡警方依据《 网络安全法》第 21 条、第 59 条规定,对上述单位分别予以 5 万元罚 款,对相关责任 人予以 5 千元、2 万元不等罚款,同时责令限期整改安全隐患,落实网络安全 等级保护 制度。 案例二: 2019 年 3 月,泰州某事业单位集中监控系统遭黑客攻击破坏。经查, 该单位网络安全意识淡 薄,曾因存在安全隐患、不落实网络安全等级保护制度被责令整 改。整改期满后,未采取有效 管理措施、技术防护措施。 泰州警方依据《网络安全法》 第 21 条、第 59 条规定,对该单位予以 6 万元罚款,对相关责任 人予以 2
信息安全管理体系实施案例
信息安全管理体系实施案例一、公司背景。
ABC公司是一家在互联网行业小有名气的企业,主要业务是开发和运营一款热门的社交APP。
随着公司业务的蓬勃发展,用户数量不断攀升,数据量也像滚雪球一样越来越大。
公司高层意识到,信息安全就像守护宝藏的巨龙,如果稍有疏忽,公司积累的用户数据、商业机密等这些“宝藏”就可能被不法分子偷走,于是决定建立完善的信息安全管理体系。
二、实施前的混乱局面。
在决定实施信息安全管理体系之前,ABC公司的信息安全状况简直可以用“一团乱麻”来形容。
1. 员工意识淡薄。
大多数员工在使用公司网络和设备时,就像在自己家一样随意。
密码设置简单得像“123456”这种类型,甚至还有很多人把密码贴在电脑屏幕旁边。
员工在办公区域随意使用自己的移动设备连接公司网络,也不管这些设备是否安全,就像是邀请陌生人进入自己家的后院一样危险。
2. 系统漏洞百出。
公司的技术部门忙于开发新功能,对系统安全更新就有点顾不上了。
结果呢,各种软件系统就像破了洞的筛子,黑客们只要稍微有点技术就能轻松钻进来。
有一次,一个初级黑客仅仅利用了一个已知的系统漏洞,就差点获取了部分用户的登录信息,还好被一个细心的运维人员及时发现。
3. 数据管理混乱。
用户数据就随便放在几个服务器上,没有严格的分类和加密措施。
数据的访问权限也设置得乱七八糟,就像把家里的钥匙随便扔在门口,谁捡到都能开门进去一样。
有的员工甚至因为工作交接不清,把一些重要数据弄丢了,就像把宝贝弄丢了还不知道怎么丢的。
三、信息安全管理体系的实施过程。
1. 员工培训:敲响安全警钟。
公司开始对全体员工进行信息安全培训。
这培训可不是那种枯燥的念文件,而是请来了专业的讲师,用各种有趣的案例来讲课。
比如说,讲师会讲一个黑客如何通过员工在社交网络上不小心泄露的公司信息,一步步破解公司网络密码的故事,就像讲一个惊险的侦探小说一样。
而且,培训还设置了一些小测试和奖励,答对问题的员工能得到小礼品,就像在学校里表现好的学生得到小红花一样。
实际的民航信息安全管理案例
实际的民航信息安全管理案例那我给你讲一个民航信息安全管理的案例。
就说有这么一家航空公司,咱叫它蓝天航空吧。
蓝天航空有自己的订票系统、航班管理系统,还有旅客信息数据库,这里面存着大量旅客的身份证号、联系方式啥的,超级重要。
有一段时间呢,蓝天航空的技术部门发现,订票系统偶尔会出现一些奇怪的小故障。
比如说,有的旅客明明订了票,但是系统里显示没订上;还有些旅客反映收到一些莫名其妙的航班变更通知,可航空公司根本没发过。
这可把蓝天航空的工作人员急坏了,这就像你家房子突然莫名其妙漏水一样,虽然还没造成大灾难,但看着就心慌。
他们首先就怀疑是不是信息安全出了问题。
于是就请来了一群超级厉害的信息安全专家,就像电影里那种能破解各种密码的高手一样。
这些专家就开始各种调查。
他们发现原来是有一些黑客试图入侵蓝天航空的订票系统。
这些黑客呢,就像是一群偷偷摸摸想溜进你家偷东西的小贼。
他们是怎么做到的呢?原来啊,蓝天航空有个小员工,他在公司的电脑上下载了一些来路不明的软件,就跟在路边随便捡个不知道啥东西就往嘴里塞一样不靠谱。
这个软件其实是被黑客植入了恶意程序的。
这个恶意程序就像一个小间谍,通过这个小员工的电脑,悄悄地在公司网络里找漏洞,试图找到进入订票系统和旅客信息数据库的路。
蓝天航空发现这个问题后,立马采取了行动。
他们就像一群消防员一样,迅速开始灭火。
把那个被感染的电脑从网络上隔离起来,防止恶意程序继续扩散,这就好比把着火的房间先关上,别让火烧到其他房间。
然后呢,他们更新了整个公司网络的防火墙,这个防火墙就像是一道超级坚固的城墙,之前可能有几个小破洞,现在都给补上了,还加了好多防御塔(安全防护规则)。
而且,蓝天航空还对所有员工进行了信息安全培训。
告诉大家不能随便下载不明软件,就像告诉你不能随便吃路边摊一样,吃坏肚子(信息泄露或者被入侵)可就麻烦了。
经过这么一番折腾,蓝天航空的订票系统就慢慢恢复正常了,旅客们也能正常订票,不再收到奇怪的通知了。
信息安全风险管理案例
信息安全风险管理案例一、案例背景在信息时代,信息安全已成为企业发展中不可忽视的重要问题。
随着网络技术的飞速发展,企业面临着越来越多的信息安全风险。
本文将结合一个实际案例,介绍信息安全风险管理的重要性以及如何有效应对风险。
二、案例分析某公司是一家知名电商企业,在市场上占据着领先的地位。
然而,近期该公司频繁遭受黑客攻击,导致大量客户信息泄露,严重危及公司的声誉和业务发展。
在面对此类信息安全风险时,公司开始思考如何有效管理和应对这些风险。
三、信息安全风险管理策略在面对信息安全风险时,公司采取以下策略来进行风险管理:1. 制定安全政策:公司制定一系列信息安全政策,对员工的行为和操作进行规范。
例如,员工需定期更换密码、不得将密码告知他人、不得轻易使用外部存储设备等。
2. 加强技术保障:公司投入大量资源,采用先进的技术手段来加强信息安全保障。
例如,建立防火墙、加密重要数据、采用双重认证等技术手段。
3. 定期演练:公司定期组织信息安全演练,针对各类风险场景进行模拟测试。
通过演练可以及时发现安全漏洞和弱点,并及时改进和修补,提高公司应对风险的能力。
4. 加强员工培训:公司加强员工对信息安全的培训,提高员工的安全意识和防范能力。
培训内容包括如何判断网络钓鱼邮件、如何防范恶意软件攻击等。
5. 建立应急预案:公司建立信息安全的应急预案,明确安全事件的处理流程和责任人。
一旦发生安全事件,能够迅速反应和应对,最大程度地减少损失。
四、效果评估和改进经过一段时间的信息安全风险管理实践,该公司取得了显著的效果。
黑客攻击事件大幅减少,客户信任度逐渐恢复,公司声誉和业务受到保护。
然而,风险管理工作仍需不断完善和改进。
公司将定期对信息安全风险管理策略进行评估,根据实际运行情况进行调整和改善,不断提升信息安全能力。
五、总结信息安全风险管理是企业管理中的重要环节,必须高度重视。
通过制定安全政策、加强技术保障、定期演练、员工培训和建立应急预案等策略,企业可以有效管理和应对信息安全风险。
企业信息安全案例
企业信息安全案例在当今数字化时代,企业信息安全已经成为了企业发展中不可忽视的重要环节。
信息安全问题一旦出现,不仅会对企业的声誉和利益造成严重影响,更可能导致企业面临巨大的经济损失。
因此,企业需要高度重视信息安全,并采取有效措施保护企业的信息资产。
近年来,越来越多的企业遭遇了信息安全问题,下面我们将介绍一些企业信息安全案例,以便更好地了解信息安全问题的严重性和影响。
首先,让我们来看一个来自金融行业的案例。
某银行因为员工的疏忽大意,导致一名黑客成功入侵银行的数据库,窃取了大量客户的个人信息,包括姓名、身份证号码、银行卡号等。
这次信息泄露事件不仅给银行的声誉带来了极大的负面影响,也给客户带来了严重的经济损失,银行不得不花费大量成本进行危机公关和客户赔偿,造成了巨大的损失。
其次,我们来看一个来自制造业的案例。
某制造企业的核心技术被黑客窃取,导致企业的竞争对手迅速模仿并推出了同类产品,这不仅损害了企业的创新能力,还给企业带来了严重的市场竞争压力,导致企业的市场地位急剧下滑,经济效益急剧下降。
再来看一个来自互联网行业的案例。
某互联网公司的内部员工泄露了公司的商业机密,导致公司的核心技术和商业计划被泄露给了竞争对手,给公司带来了严重的商业损失,不仅如此,由于信息泄露事件的影响,公司的员工信任度也急剧下降,导致了公司内部管理的混乱和不稳定。
以上这些案例都充分说明了企业信息安全问题的严重性和影响。
企业应当意识到信息安全问题不仅仅是技术层面的问题,更是管理和文化层面的问题。
企业需要建立健全的信息安全管理制度,加强员工的信息安全意识培训,加强信息安全技术的投入,采取有效措施防范各类信息安全风险。
综上所述,企业信息安全问题不容忽视。
企业需要高度重视信息安全问题,加强管理,加强技术投入,培养员工的信息安全意识,健全信息安全管理制度,以保护企业的信息资产安全,确保企业的可持续发展。
希望以上案例能够给各位企业提供一些启示,引起足够的重视和警惕。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理第十二章 信息安全管理实施案例第 2 页目 录Contents Page12.1 案例一基于ISO 27001的信息安全管理体系构建12.2 案例二基于等级保护的信息安全管理测评12.1 案例一 基于ISO 27001的信息安全管理体系构建e-BOOKSTORE是网上中文图书城,每天通过互联网向全球读者提供超过100万种中文图书和音像制品。
该公司建立了庞大的物流支持系统,每天把大量的图书和音像制品通过航空、铁路等快捷运输手段送往全球各地。
下面是该公司遵照ISO/IEC 27001:2005建设信息安全管理体系的过程。
信息安全管理实施案例采用ISMS是e-BOOKSTORE的一项战略性决策,这不仅能提升信息安全管理水平,对组织的整个管理水平也会有很大的提升。
ISMS的目标直接影响着ISMS的设计和实施,这些目标可能包括如下内容。
●保证e-BOOKSTORE网上售书主营业务的连续性。
●提高e-BOOKSTORE网上售书系统等重要业务系统的灾难恢复能力。
信息安全管理实施案例●提高信息安全事件的防范和处理能力。
●促进与法律、法规、标准和政策的符合性。
●保护信息资产。
●使信息安全能够进行测量与度量。
●降低信息安全控制措施的成本。
●提高信息安全风险管理水平。
信息安全管理实施案例管理者的支持是项目成败的最关键要素之一,这些支持可能包括如下内容。
●为ISMS实施分配独立的预算。
●批准和监督ISMS实施。
●安排充分的ISMS实施资源。
●把ISMS实施和业务进行充分的结合。
●促进各部门对信息安全问题的沟通。
●处理和评审残余风险。
信息安全管理实施案例在指定ISMS推进责任人时,最重要的考虑因素如下所示。
●保证ISMS的协调最终责任人在高层。
●指定ISMS推进的直接责任人为中层领导。
●由信息安全主管人员具体负责ISMS的推进过程。
●每个员工都要在其工作场所和环境下,承担相应的责任。
信息安全管理实施案例信息安全管理实施案例管理者的支持还应包括对员工思想上的动员。
思想上的动员可以采取召开项目启动会议的方式完成。
会议应清晰地向员工阐述以下内容。
●ISMS对本组织而言的重要性。
●项目所涉及的初始范围及相关部门。
信息安全管理实施案例信息安全管理实施案例信息安全方针是组织总体方针的一部分,是保护敏感、重要或有价值的信息所应该遵守的基本原则。
具体包括制定ISMS方针、准备ISMS方针文件等内容。
ISMS方针文件应该易于理解,并及时传达给ISMS范围内的所有用户。
在管理者已经批准,并定义了ISMS的范围和ISMS方针之后,需要进行业务分析,以确定组织的安全要求。
具体包括定义基本安全要求、建立信息资产清单等。
资产清单的建立,可以用不同的方法来完成,一种方法是按照资产分类识别并进行统计的方法,即遵循信息分类方案,然后统计ISMS范围的所有资产,插入到资产列表中;另一种方法是把业务流程分解成组件,并由此识别出与之联系的关键资产,按照这个过程产生资产列表。
信息安全管理实施案例风险评估是实施ISMS过程中重要的一部分,后续整个体系的设计和实施都把风险评估的结果作为依据之一。
风险评估方法应与风险接受准则和组织相关目标相一致,并能产生可再现的结果。
风险评估应包括估计风险大小的系统方法(风险分析),将估计的风险与风险准则加以比较以确定风险严重性的过程(风险评价)。
信息安全管理实施案例风险评估的具体步骤至少应该包含以下内容。
●识别ISMS范围内的资产。
●识别资产所面临的威胁。
●识别可能被威胁利用的脆弱性。
●识别目前的控制措施。
●评估由主要威胁和脆弱导致安全失误的可能性。
●评估丧失保密性、完整性和可用性可能对资产造成的影响。
信息安全管理实施案例信息安全管理实施案例按确定的风险评估方法进行风险评估时,应定义清晰的范围,该范围与ISMS的范围应保持一致。
风险评估的参与人员不但应包括信息安全方面的专家,也应该包括业务方面的专家。
为了更客观地实施风险评估,在允许的情况下,可以考虑聘请外部专家。
对于识别出的风险应予以处理,可采用以下方式。
●风险处理。
●风险转移。
●风险规避。
●风险接受。
信息安全管理实施案例应选择和实施控制措施以满足组织的安全要求,选择控制措施时应考虑以下因素:●组织的目标。
●法律、法规、政策和标准的要求和约束。
●信息系统运行要求和约束。
●成本效益分析。
信息安全管理实施案例在经过了上述各个阶段之后,就进入到体系的设计阶段。
(1)设计安全组织机构(2)设计文件和记录控制要求(3)设计信息安全培训(4)设计控制措施的实施(5)设计监视和测量(6)设计内部审核(7)设计管理评审(8)设计文件体系(9)制定详细的实施计划信息安全管理实施案例信息安全管理实施案例实施ISMS基本上涉及整个组织的范围,这个实施流程需要一段时间,而且很可能有变更。
成功实施ISMS就必须熟悉整个项目并具有处理变更的能力,而且能针对变更做出适当的调整,如果有很重大的影响应报告给管理者。
信息安全管理实施案例监视的目标是使目标和结果保持一致性。
当然,持续执行符合规则的监视工作应通过执行ISMS得到保持。
此外,所有员工都参与监视工作是很重要的。
内部审核的步骤及责任划分如下。
(1)审核策划●组织审核组。
●评审文件。
●制定审核计划。
●确定审核目标。
●规定审核准则。
●明确审核范围。
●编制检查表。
信息安全管理实施案例(2)现场审核●首次会议。
●现场审核活动。
(3)审核结果●体系评价。
●末次会议。
●审核报告。
(4)审核后续●纠正措施。
●跟踪验证。
●内审活动的监视。
信息安全管理实施案例管理评审是根据标准的规定、组织自身发展的需求、相关的期望而对组织所建立整合管理体系进行评审和评价的一项活动。
管理评审应按策划的时间间隔进行,通常每年至少进行一次。
管理评审由最高管理者主持,参加评审会议的人员一般为组织管理层成员和有关职能部门的负责人。
管理者代表授权进行策划,指定职能部门编制管理评审计划。
信息安全管理实施案例信息安全管理实施案例管理评审通常以会议的形式进行,有时也可以在现场举行。
管理评审会议由最高管理者主持,管理者代表协助,企业管理部具体组织,领导层成员以及有关部门负责人参加会议并签到。
最高管理者针对管理评审会议中提出的问题、建议,组织讨论,进行总结性发言和评价,对所采取的措施做出决定,作为管理评审会议的决议,据此,形成《管理评审报告》。
信息安全管理实施案例管理评审后,检查管理评审提出的整改措施的执行情况,相关部门负责人跟踪,企业管理部组织验证,发现问题即时纠正,其实施结果作为下次管理评审的输入。
管理评审后,管理者代表督促相关部门制定持续改进计划。
12.2 案例二 基于等级保护的信息安全管理测评 本案例将根据《信息安全等级保护管理方法》的相关要求,以对××集团的信息管理系统实施等级保护测评为目标,帮助该集团掌握其信息管理系统的安全状况,发现其安全管理中存在的问题。
在此过程中,首先通过定级要素分析,依照《信息系统安全等级保护定级指南》要求,对××集团的信息管理系统进行等级确定,然后根据《信息系统安全等级保护测评要求》相关等级的要求展开测评工作。
信息安全管理实施案例本次测评的具体对象范围确定为××集团的信息管理系统,该系统属于原有已建系统,故按照等级保护实施过程要求,将对其进行安全评估和改进安全建设。
在此过程中,将依据对定级要素分析,依照《信息系统安全等级保护定级指南》明确该系统的安全等级,然后根据《信息系统安全等级保护测评准则》相关等级的具体安全要求确定需要测评的指标层面后,展开具体测评工作。
信息安全管理实施案例根据《信息安全等级保护管理方法》进行等级测评。
本次测评范围主要是××集团的企业信息管理系统,该系统涵盖企业的内网办公、企业订单管理、企业情报资料等范畴。
该过程将依据《信息系统安全保护等级定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》《信息系统安全等级保护实施指南》和《计算机信息系统安全保护等级划分准则》开展实施。
信息安全管理实施案例信息系统安全保护等级定级指南信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则信息系统安全等级保护测评准则信息系统安全等级保护实施指南信息安全等级保护管理办法信息安全管理实施案例××集团的信息管理系统以推进该集团信息化建设,构建先进、安全的信息系统和建立健全的信息管理制度为目标,面向提高集团核心竞争力,全面提升集团的经营和管理水平而建设,其根本功能在于为集团提供全面、先进、高效、及时的信息技术服务与支持。
××集团信息管理系统服务范围包括有:物料管理、生产计划、销售、售后服务、产品数据管理、项目管理、成本管理、财务管理、质量管理、仓库管理等,覆盖公司从产品研发到售后服务的全部业务流程。
信息安全管理实施案例××集团信息管理系统结构如图12.1所示。
信息安全管理实施案例图12.1 ××集团信息管理系统结构拓扑图××集团的信息管理系统主要由如下类设备构成,具体设备清单如下。
(1)核心交换机:CISCO SW-6509 2台。
(2)防火墙:CISCO PIX525 2台。
(3)服务器:44台均为Windows2000系统。
(4)IBM小型机:10台均为Linux系统。
(5)二层交换机:100台。
(6)防火墙5台、入侵检测设备1台。
(7)其他各类专用服务器(部分)如表12.1所示。
信息安全管理实施案例序号服务器主要用途品牌型号1邮件网关HP ML3502网站数据库HP TC41003网站服务器HP TC41004安全过滤服务器HP ML3505文件服务器HP LH30006主域控制器HP TC41007防病毒控制中心HP TC41008VPN 认证服务器浪潮31009思科网络设备网管服务器DELL 285010中软防水墙DELL PE680011邮件服务器HP p731212传真系统服务器HP ML35013测试开发机IBM H85(7026-6H1)14Windows SAP 应用服务器DELLPE680015……信息安全管理实施案例表12.1专用服务器清单《信息安全等级保护管理办法》(以下简称《管理办法》)中明确指出:信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息安全管理实施案例信息系统的安全保护等级分为以下5级:第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害;第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。