《安全管理制度-完善方案.docx》由会员分享,可在线阅读,更多相关《安全管理制度-完善方案.docx(18页珍藏版)》请在第壹文秘上搜索。
1、安全管理制度完善方案1、总则安全管理体系建设完善服务根据信息安全相关标准、行业最佳实践和行业监管要求,结合深圳免税集团原有信息安全管理体系自身特点,制定出信息安全和管理架构成熟度改善计划。所设计的信息安全架构应整合现有的安全措施,并满足未来安全建设发展的需要。2、现有安全管理分析我司安全管理体系建设团队全面分析目前深圳免税信息系统的安全现状,深入挖掘各种安全风险,科学分析当前现状和国际、国家及行业安全目标之间的差距,并以此促进未来的信息安全规划,构建动态、完整、高效的信息安全保障体系,逐步形成持续完善、自我优化的安全运维体系和管理体系。确定安全方针和目标,汇总现有制度体系,分析各项差异性,设计
2、适合的信息科技风险状况、技术水平以及管理体系,并辅助实施,从根本上提信息系统的整体安全能力,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。3、信息安全管理体系建设我司提供信息安全管理体系建设包括但不限于以下内容:(1)制定安全策略,并根据策略完善相关制度体系;(2)建立信息安全管理体系(ISMS),提升总体安全管理水平;(3)信息安全体系必须符合国家、行业相关规定和指引,并结合IS27000体系文件,实现ISMS落地实施;(4)建立安全运维管理体系;(5)结合信息安全整体规划进行实施;(6)结合安全域划分进行实施;(7)结合网络安全法、等级保护、数据安全法、个人信息保护法等相关法律法
3、规进行实施。4、服务方式我司将按照深圳免税集团的要求按远程+现场方式提供安全管理制度服务:现场服务(1)现场查看体系文件、现场进行策略分析、现场评审等。(2)进行调研、评审等工作远程服务(1)通过电话、邮件、即时通讯工具,提供体系咨询服务。(2)完成方案需求分析、审阅等。(3)完成加固方案的审核、疑难问题的解答等。专家访谈一一由资深测评人员通过电话远程同方案设计者进行深层次的业务安全需求交流。专家评议组织行业专家进行集体会诊评议。应急保障方案1)总则a、目的为了规范深圳免税集团应急响应工作内容和工作流程,提高自身的应急响应能力,完善应急响应机制,确保信息系统的安全和业务的连续性。b、基本原则a
4、)坚持预防为主提高本单位的信息安全防护意识和水平,加强信息系统安全体系建设,按照信息系统建设运行的特点和规律积极做好日常安全工作,开展安全教育和培训工作,建立完善的安全管理、监督和审查制度,提高各系统应对突发信息安全事件的能力。b)提高快速反应能力建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,强化人力、物力、财力储备,增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。C)加强安全监管在网络安全监控系统的基础上,建立完善的信息系统安全监控和管理机制,对业务系统的网络状况进行持续和重点监控,
5、及时发现信息安全隐患和事件迹象,进行安全预警并采取针对性的应对措施。d)责任到人、制度保障坚持统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复的原则。明确信息安全应急响应工作的角色和职责,保证各项工作责任到人,建立应急响应各项工作的处理流程,实现应急响应工作的规范化、制度化和流程化。C、适用范围本预案适用于本单位信息安全事件的应急响应工作。d、相关专项预案WEBSHE1.1.应急处置预案钓鱼邮件应急处置预案等其他专项应急处置预案e、发布与生效应急预案(根据实际情况)2)组织及分工a、网络与信息安全领导小组组长:副组长:成员:领导小组在应急响应工作中的主要职责:a)负责审核和批准【单位
6、名称】网络与信息安全应急响应总体规划、重大网络与信息安全事件报告;b)负责统筹规划【单位名称】网络与信息安全应急基础设施建设;C)对重大网络与信息安全事件的应急响应工作进行宏观决策和应急指挥;d)协调重大网络与信息安全事件的调查处理;e)必要时接受专家顾问组的咨询服务。b、网络与信息安全管理小组组长:副组长:成员:管理小组在应急响应工作中的主要职责:a)组建并调整应急响应工作组;b)定期组织网络与信息系统的风险评估和整改;C)组织制订应急响应相关预案并定期演练;d)编制重大网络与信息安全事件报告;e)组织各项应急准备工作;f)组织对本系统发生的重大网络与信息安全事件的调查、通报工作;g)组织和
7、协调各种应急资源;h)管理本系统范围内的应急响应工作;i)与跨部门应急协调机构进行沟通。c、应急响应工作小组应急响应工作组由综合工作小组、业务响应工作小组和技术响应工作小组组成,负责信息安全事件的应急响应具体工作,应急响应工作组成员主要包括:综合工作小组:组长:成员:综合工作小组主要职责:a)负责应急行动的后勤供应,包括车辆安排、人员食宿安排等;b)负责应急响应工作中的会议组织、资金保障和饮食、设备等物资供应c)负责通信联络和信息的发布工作;d)负责组织保安、保卫工作;e)负责技术工作小组和业务工作小组之间的协调工作;f)负责向网络与信息安全领导小组及信安办汇报事件处理进展情况;g)向小组成员
8、传达上级领导指示精神。业务响应工作小组:组长:成员:业务响应工作小组主要职责:a)参与应急响应处理决策过程,从业务方面考虑,为处理提供建议;b)根据应急响应工作的需要,依据相应的专项预案,调整业务安排;C)根据应急响应工作的需要,根据相应的专项预案,组织小组实施业务的中断与恢复;d)在应急响应工作完成后,编写应急响应业务工作报告。 技术响应工作小组:组长:成员:技术响应工作小组主要职责:a)参与应急响应处理决策过程,从技术方面考虑,为处理提供建议;b)根据应急响应工作的需要,依据相应的专项预案,组织小组施行技术作业;c)负责向网络与信息安全领导小组及信安办汇报事件技术处理进展情况;d)对于涉及
9、到业务的调整、中断和恢复的技术作业,负责与业务小组进行沟通;e)在应急响应工作完成后,编写应急响应技术工作报告,对系统对预案提出整改意见。3)应急预案基本流程任何一个应急预案都必须首先在做好响应前准备阶段工作的基础上,没有充分的准备,应急工作则无从谈起。总体的应急预案的基本流程主要由: 准备阶段 监测及事件分析阶段 事件处理阶段 结束响应阶段总结及预警阶段这样几个阶段组成a、准备阶段包括了人员、组织的准备以及技术的准备,技术准备主要是要建立监控管理的技术体系和平台(包括各类SIEM、全流量设备、态势感知、HIDS、EDR等设备),为事件发生后的技术分析,及时的通告和响应等提供条件和保障。同时,
10、尽可能地在事前做好相应的安全防范工作,准备好进行应急处理的技术工具等内容。b、监测及事件分析阶段监测人员通过手动监测方式以及在准备阶段建设好的安全运行管理中心的监测方式,监测是否有异常现象的发生;当发生异常情况时,并根据异常的性质与影响,决定是否向相关人员进行报告。上报方式除了通常的电话外,还可以利用安全运行管理中心平台中的告警机制,根据告警级别的不同,通过工单、邮件、短信的方式上报和通知到相关人员。上报到应急响应管理小组后,对异常情况进行分析,判断是否事件类型,识别攻击的性质以及攻击强度,同时根据事件影响决定是否报告网络与信息安全领导小组;在必要的时候,向公安机关报案以获得帮助;c、事件处理
11、阶段根据事件的不同,采取不同的处理方案,启用相应的专题应急预案,对于常见的、主要的事件类型,需制定XXX安全事件专题应急处理预案。该阶段中的技术处理主要为抑制事件的影响,并进行根除。d、结束响应阶段网络与信息安全工作小组根据之前判断的攻击信息,采取必要的技术手段控制攻击行为、恢复系统服务并对攻击的来源进行追踪;必要时向公安机关通报相关信息,对攻击者进行溯源分析。e、总结汇报阶段当攻击事件结束后,系统恢复正常,由网络与信息安全管理小组对整个事件进行总结分析,向网络与信息安全领导小组进行汇报;网络与信息安全领导小组组织相关人员就本次事件总结经验教训,同时从中总结预警方案和内容,一方面进一步改进和完
12、善应急响应体系,另一方面在安全运行管理平台上,适时发布总结后的预警信息,从而逐渐完善信息安全的整体安全保障能力。4)保律措施a、演练及维护原则上每年组织一次应急演练,以提高处理应急事件的能力,检验应急预案的合理性、应急保障队伍和所有相关人员的专业素质以及管理组织的有效性。应急响应演练按如下步骤进行:a)由网络与信息安全领导小组确定应急响应演练的目标和应急响应演练的范围;b)制定应急响应演练的方案;C)调配应急响应演练所需的各项资源,并协调应急响应演练过程中涉及的部门和单位;d)对应急演练进行评估,并向领导小组报告演练结果;e)网络与信息安全领导小组总结经验,根据演练结果对应急总体预案以及专题预
13、案进行更新,并对应急工作整改。b、制度保障应急保障工作必须配备相应组织,建立值班机制,设立安全运营中心,使事件发生后在最快的时间内就能够有响应。同时,围绕安全运营,需建立一套较为完善的制度,以保障应急工作的开展。c、经费保障信息安全领导小组应根据需要每年预算必要的专项应急经费,用于预案、演练、增补必要的安全设备,及建立必要的应急保障措施等。d、工具与设备应急保障相关人员应当配备应急预案中涉及的相关工具、软件,确保工具软件的来源,并能够正常使用,以保证应急预案的正常实施。同时,从长远角度考虑,应当建立一个面向应急、利于应急的技术平台,这是应急保障的重要内容。因此,在应急保障的工具与设备方面,应当
14、配备以下内容:a)基础平台:利于自动监测、快速定位、详细还原事件全流量存储与查询平台基于威胁情报的威胁感知平台HIDS日志平台b)备机:快速抑制事件、恢复业务关键设备的备机:包括防火墙、网络设备、主机。抗DDoS攻击的设备。C)补充安全设备快速根除事件,进行强制性安全防御终端安全管理系统:可以强制分发和安装必要的安全补丁,强制安装个人防火墙,利于防御木马攻击。5)专题预案示例:WEBSHE1.1.应急处置预案a、监测及事件分析阶段a)安全运营人员,针对态势感知、WAF、全流量设备、HIDS等可以发现WebShell的设备进行监测分析,对安全设备产生的高级进行运营分析,确认攻击是否成功;一旦发现
15、攻击成功事件,则进入事件处理阶段。b)系统管理员、业务人员、用户通过400等途径反馈系统存在异常。b、事件处理阶段a)立即停止目标服务器的WEB访问权限,并下线隔离;b)对WEB应用系统环境(应用目录、数据库、访问日志)进行备份,便于进一步的调查取证和后续处理;C)使用工具和技术手段对木马文件、后门程序进行扫描检测,将检测发现的后门文件彻底删除;d)根据在检测阶段的初步分析结果采取相应的加固措施:e)如果检测的结果显示是WEB应用弱口令导致被上传木马、后门:i .修改所有管理员口令,使其符合密码复杂度策略:至少包含大写字母集、小写字母集、数字集和特殊字符其中的三种;ii .检测后台登录功能,若没有防暴力破解机制,联系开发商加入防暴力破解机制(包括但不限于图形验证码、密码错误账号锁定等)iii .如果检测的结果显示是因为中间件漏洞(如IIS、Weblogic.Apache等)导致被上传木马、后门:A.修复中间件安全漏洞;B.对漏洞进行复核,确认漏洞修复。f)如果检测的结果显示是因为WEB应用安全漏洞(如上传漏洞、