信息安全管理体系建设项目实施方案.docx
- 文档编号:9058321
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:15
- 大小:39.91KB
信息安全管理体系建设项目实施方案.docx
《信息安全管理体系建设项目实施方案.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系建设项目实施方案.docx(15页珍藏版)》请在冰豆网上搜索。
信息安全管理体系建设项目实施方案
嘉定区智慧政务信息安全管理体系建设咨询服务项目实施方案
上海络安信息技术有限公司
二〇一三年四月
1项目概述
1.1背景
推进嘉定区智慧政务信息安全年建设,是嘉定深入贯彻“两化融合”建设的重要举措,是嘉定加快实现创新驱动、转型发展的重要保障,是深化构建“智慧嘉定,创意无限”的重要内容,也是嘉定信息化新一轮发展的必要条件。
嘉定区信息化历经十年建设和发展,经历了“起步发展、要素准备、一体优化、全面提升”四个阶段,当前整体水平保持较高水准,基础建设和多项应用达到先进水平,连续多年通过信息安全等级保护测评。
嘉定区智慧政务信息安全年的主要目标是:
通过让领导、信息安全专家、信息安全咨询机构或信息安全设备及系统提供商参与互动平台,共同研讨制定符合嘉定区实际情况的整体信息安全战略规划。
旨在建立完善的安全管理体系和信息安全防护技术保障体系,建立安全管理中心,能够实时监控和及时预警政务信息系统的异常状态,针对网络和信息安全事件,建立整套可执行的应急预案。
综合引入系统化的管理、扎实技术保障、规范的日常运营、主动式全员参与的并且可以可视可度量的立体安全防御体系。
1.2实施依据
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)要求;
《上海市公共信息系统安全测评管理办法》(2006年5月7日上海市人民政府令第58号公布,以下简称《办法》),做好本市公共信息系统安全测评工作;
工业和信息化部办公厅《关于委托开展政府网站安全管理试点工作的通知》(工信厅协函〔2011〕416号);
国务院办公厅和工信部《关于进一步加强政府网站管理工作的通知》(国办函[2011]40号);
《上海市人民政府办公厅关于进一步加强政府网站安全管理工作的意见》(沪府办〔2011〕74号);
《上海市网络与信息安全协调小组办公室关于启动实施上海市电子政务数字证书应用示范项目的通知》(沪信息委安(2006)178号)的要求;
工业和信息化部《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)精神;
《中华人民共和国计算机信息系统安全保护条例》;
《信息安全等级保护管理办法》;
沪网安办[2012]2号文《上海市政府网站安全保障指南(试行)》;
沪网安办[2012]4号文《关于进一步做好政府网站安全管理试点工作的通知》。
1.3工作目标
通过为嘉定区建立有效的智慧政务信息安全管理体系,将政府网站群及政务应用的技术建设、日常运维及电子政务的规划都纳入到一个可量化和可考核的信息安全管理体系之中,结合技术监控检查手段,管理与技术并举,有效保障现有信息系统安全。
最终实现标准化、规范化和流程化的管理措施和方法,将“三分技术,七分管理”的全球流行安全理念融入到政务网络实际建设中,在信息系统建设的生命周期中提供全面的信息安全管理保障措施,实现整个政务应用系统的可控、可管和可持续发展。
1.4主要建设内容
本项目建设中,要求完成信息安全管理体系总体架构的设计,系统运维、废弃阶段的管理规范设计以及相关的信息安全监督检测体系设计。
结合国家等级保护建设的基本要求和相关政策,并参考国际流行信息安全管理标准设计一套适合嘉定区的信息安全管理体系,并建立合理和可行的信息安全监督管理和检测机制,以持续完善和改进嘉定区的政务应用及网站群的安全状况。
具体包括以下工作任务:
Ø在充分调研的基础上,完善现有的信息安全管理体系设计;
Ø规范信息系统建设、运营流程,根据管理体系的要求细化各阶段输入输出,使其真正融入系统运营的各个阶段;
Ø评估服务外包团队的安全工程过程能力,并对其输入输出进行规范化管理;
Ø设计完善的管理评估和技术检测流程,有效监控信息系统运行状态,评估管理体系执行情况;
Ø对信息化管理人员、系统运维人员和使用人员进行系统的信息安全管理体系实践培训,确保管理体系的落实情况。
1.5建设周期
本项目建设周期15个月,从2013年4月至2014年7月。
1.6总投资估算及来源
本项目总投资估算19万元,其中,信息安全管理体系建设咨询服务费15万元,调研费用4万元。
1.7前期相关工作情况
2012年10月,上海络安信息技术有限公司向上海市嘉定区信息化委员会递交了《嘉定区智慧政务信息安全管理体系建设咨询服务项目需求书》。
经过进一步调研和详细讨论,结合要求及实际情况,项目组决定采取分步骤分阶段实施的方式进行项目建设。
目前已经完成了项目需求分析、实施方案框架设计。
2组织和人员保障
2.1组织架构和职能
图21项目组织架构图
项目领导小组:
为了做好信息安全综合管理系统项目建设,成立项目领导小组,进行宏观指导,监控项目进程,对项目重大问题作出重要决策,并协调各方的配合和协作。
专家组:
对项目需求分析、建设方案进行技术把关,对项目关键技术问题的解决提供分析、指导和咨询,对重要技术文档进行评审。
甲方项目组:
在领导小组的指导下,成立负责具体工作开展的项目管理小组,调配必要的人、财、物资源完成项目的实施工作,并协调乙方项目组与各被调研部门间的配合,负责项目建设阶段工作。
乙方项目组:
在甲方项目组的配合下,负责项目的具体实施。
向甲方提供专业的信息安全管理体系咨询服务,通过专业的调研、评估和有效的沟通建立起完善的信息安全管理体系,向甲方项目经理组负责,代表项目承建单位负责项目建设阶段工作。
项目监理:
负责本项目建设的监理工作,对本项目建设的质量、进度和经费等进行控制,协助甲方做好项目推进工作。
向甲方项目经理组负责。
2.2主要参加人员
项目领导小组:
姓名
单位
性别
职务/职称
年龄
分工
参与项目时间
专家组:
姓名
单位
性别
职务/职称
年龄
分工
参与项目时间
甲方项目组:
姓名
单位
性别
职务/职称
年龄
分工
参与项目时间
乙方项目组:
姓名
单位
性别
职务/职称
年龄
分工
参与项目时间
3工作分解计划
3.1项目实施步骤
整个项目实施过程如下:
一、项目启动。
由嘉定区信息化委员会召集咨询项目各有关单位成立项目组,明确相关工作岗位和工作人员,配合监理公司做好所需的项目实施准备工作,确定各项工作机制,细化工作计划,以保证项目有序开展。
二、具体实施方案编制。
项目启动后,由咨询单位单位牵头,会同信息化管理部门和信息系统运维保障单位,进一步细化工程实施方案,明确各单位和部门之间的工作界面。
三、现场调研和评估。
根据实施方案的具体要求,对嘉定区现有的信息安全管理模式和信息系统运维保障现状进行全面的调研和评估,形成详细的现状调研报告。
涉及的调研单位主要是信息化管理部门和项目工程监管部门,运维保障现状评估工作主要涉及信息化系统运维保障单位配合。
四、信息安全管理体系设计。
第一阶段,由咨询单位组织专业的项目团队,根据现场调研的结论,结合甲方项目组的定制化要求,编制针对性的信息安全管理体系框架并经过数次项目会议讨论定稿;第二阶段,根据框架文档的要求,编制详细的信息安全管理办法和相应的实施细则,并进行沟通讨论和内部审核发布。
五、管理体系试运行。
由甲方项目组牵头,咨询单位对信息化管理团队和信息系统运维单位进行系统的安全管理体系培训,指导各单位和部门根据新的管理办法和实施指南进行下一步工作。
试运行阶段计划为3-5个月,由甲方项目组协调本区各单位进行具体的制度下发和管理,咨询单位继续提供必要的技术支持服务。
六、工程验收。
3.2工作任务分解结构(WBS)
一级
二级
三级
开始时间
结束时间
工期
1.前期调研
1.1实施方案
1.1.1实施方案框架设计
2013/4/22
2013/4/30
7
1.1.2各部门单位接口确定
2013/5/2
2013/5/15
10
1.1.3详细实施方案定稿
2013/5/16
2013/5/31
12
1.2现状分析
1.2.1信息安全管理现状调研
2013/6/1
2013/7/15
32
1.2.2信息系统运行现状评估
2013/6/1
2013/7/15
32
1.2.3现状分析报告编制
2013/7/16
2013/7/31
12
1.3目标明确
1.3.1信息安全管理现状确认
2013/8/1
2013/8/7
5
1.3.2管理体系建设详细框架设计
2013/8/8
2013/8/28
15
1.3.3管理体系建设框架发布
2013/8/29
2013/8/31
3
2.信息安全管理体系规范
2.1责任体系建设
2.1.1责任体系框架设计讨论
2013/9/1
2013/9/6
5
2.1.2编制《嘉定区信息安全责任体系管理要求》
2013/9/9
2013/9/27
15
2.1.3讨论发布并签订责任书
2013/9/30
2013/10/21
15
2.2信息安全管理策略
2.2.1信息安全管理策略确定和讨论发布
2013/9/30
2013/10/21
15
2.3信息安全管理办法
2.3.1编制《物理环境和设备管理办法》
2013/10/22
2013/11/25
25
2.3.2编制《网络通信安全管理办法》
2013/10/22
2013/11/25
25
2.3.3编制《主机和系统安全管理办法》
2013/10/22
2013/11/25
25
2.3.4编制《数据安全管理办法》
2013/10/22
2013/11/25
25
2.3.5编制《应用业务安全管理办法》
2013/10/22
2013/11/25
25
2.3.6编制《安全事件处置和应急响应管理办法》
2013/10/22
2013/11/25
25
2.3.7编制《在外托管业务系统管理办法》
2013/10/22
2013/11/25
25
2.3.8编制《工作人员信息安全管理办法》
2013/10/22
2013/11/25
25
2.3.9讨论发布
2013/11/26
2013/12/6
9
3.信息安全管理体系操作指南
3.1信息安全管理体系操作指南
3.1.1管理和运维现状报告深入分析讨论
2013/11/26
2013/12/13
14
3.1.2管理指南和表单文档设计(对应于2.3中的管理办法,WBS表中不再详列)
2013/12/16
2014/1/19
25
3.1.3讨论发布
2014/1/20
2014/1/26
5
4.应急响应体系建设
4.1总体要求和制度建设
4.1.1管理和运维现状报告深入分析讨论
2013/11/26
2013/12/13
14
4.1.2应急响应体系总体要求编制
2013/12/16
2014/12/22
5
4.2专项应急预案规范和检查
4.2.1专项应急响预案编制
2013/12/22
2014/1/19
20
4.2.2编制《应急处置简明工作表》和《应急事件处理流程》
2014/1/20
2014/1/26
5
4.3灾难备份和灾难恢复体系完善
4.3.1灾难备份和恢复要求制定
2013/12/22
2014/1/19
20
4.3.2讨论发布
2014/1/20
2014/1/26
5
4.4应急演练和处置流程完善
4.4.1演练规划
2014/3/3
2014/3/7
5
4.4.2演练前培训
2014/3/10
2014/3/14
5
4.4.5演练准备
2014/3/17
2014/3/21
5
4.4.6演练实施
2014/3/22
2014/3/22
1
4.4.7演练总结和评估
2014/3/22
2014/3/31
5
5.信息安全管理体系验证手段
5.1技术监管体系
5.1.1网站群的监管要求编制
2013/12/16
2014/1/19
25
5.1.2网站源代码、web应用源代码检测要求编制
2013/12/16
2014/1/19
25
5.1.3内部安全监管要求编制
2013/12/16
2014/1/19
25
5.1.4移动互联网办公监关要求编制
2013/12/16
2014/1/19
25
5.1.5讨论发布
2014/1/20
2014/1/26
5
5.2评估检查机制
5.2.1风险评估要求编制
2013/12/16
2014/1/19
25
5.2.2技术检查要求编制
2013/12/16
2014/1/19
25
5.2.3讨论发布
2014/1/20
2014/1/26
5
6.试运行
6.1试运行
6.1.1试运行和文档修订完善
2014/2/1
2014/6/30
107
7.项目验收
7.1项目验收
7.1.1项目验收
2014/7/1
2014/7/15
11
3.3工作责任矩阵
一级
二级
开始时间
结束时间
工期
甲方责任人
乙方责任人
乙方辅助负责人
1.前期调研
1.1实施方案
2013/4/22
2013/5/31
29
1.2现状分析
2013/6/1
2013/7/31
44
1.3目标明确
2013/8/1
2013/8/31
23
2.信息安全管理体系规范
2.1责任体系建设
2013/9/1
2013/10/21
35
2.2信息安全管理策略
2013/9/30
2013/10/21
15
2.3信息安全管理办法
2013/10/22
2013/12/6
34
3.信息安全管理体系操作指南
3.1信息安全管理体系操作指南
2013/11/26
2014/1/26
44
4.应急响应体系建设
4.1总体要求和制度建设
2013/11/26
2014/12/22
19
4.2专项应急预案规范和检查
2013/12/22
2014/1/26
25
4.3灾难备份和灾难恢复体系完善
2013/12/22
2014/1/26
25
4.4应急演练和处置流程完善
2014/3/3
2014/3/31
21
5.信息安全管理体系验证手段
5.1技术监管体系
2013/12/16
2014/1/26
30
5.2评估检查机制
2013/12/16
2014/1/26
30
6.试运行
6.1试运行
2014/2/1
2014/6/30
107
7.项目验收
7.1项目验收
2014/7/1
2014/7/15
11
4项目进度计划
本项目建设周期15个月,从2013年4月至2014年7月。
,大致分为四个阶段:
1)2013年4月至5月,完成详细实施方案的设计和各单位部门工作界面梳理;
2)2013年6月7月,完成现有管理体系现场调研和信息系统运维保障现状评估工作,形成现状调研报告;
3)2013年8月,完成信息安全管理体系框架设计和项目组内部讨论,形成下阶段工作具体日程安排;
4)2013年9月至2014年1月,完成信息安全管理体系设计,包括管理办法、详细实施指南细则和应急响应体系的设计,并与甲方项目组进行深入的沟通交流,完成文档内部审核发布
5)2014年2月至6月,进行项目试运行,进行管理体系下发和技术培训,并定期调研执行情况,由咨询单位根据执行情况进行必要的修订和完善;试运行阶段根据甲方安排的时间完成一次应急演练工作。
6)2014年7月,信息安全管理体系正式发布执行,完成项目验收工作。
5风险管理计划
信息化项目从执行角度来看,项目风险包括选型风险、设备采购风险、项目实施风险(包括项目管理的风险)、系统更新换代风险、与原有信息设施整合风险等。
根据项目建设的实际情况以及项目建设目标,并通过有效的分析与研究,认为本项目主要风险包括以下几个方面:
1)技术性风险。
技术风险主要表现在技术标准、技术路线、设备选型、工程质量、系统性能等方面。
技术风险不但关系项目的成败,也关系项目建设成本以及建设后系统的维护成本。
因此在项目实施过程中,充分注意技术风险,注意对详细实施方案的选择等,规避技术风险。
2)效益风险。
由于本项目并不产生直接经济效益,缺少有效的测评指标及测评办法,难以量化考评。
因此在项目建设质量、应用效益、资金使用与控制等方面产生了潜在的风险。
3)协调性风险。
本项目的实施开展需要多个单位相互协作,因此在进行项目建设时候需要进行多单位间的协调,保持信息的对称,防止由于信息不对称及其它因素而导致各单位不能相互配合,使项目建设无法达到预定目标,产生协调性风险。
4)执行过程产生的风险。
项目实施过程是各种矛盾和问题不断产生和解决的过程。
但由于规划设计的不足、相关主体利益的冲突、高素质的信息人才的缺少、财务控制的困难、工程质量监理不仔细、信息不对称等任何一种的原因,都可能造成项目实施的失败。
对于本项目的建设,在实施过程中应建立有效的实施管理体系和协调机制、配备高素质的信息化主管,有效化解建设过程产生的风险。
5)管理风险。
做为一个信息化建设项目,在项目规划设计、实施建设、运行、报废的生命周期全过程都应实施有效的管理。
项目管理包括规划管理、过程管理、技术管理、安全管理、运行维护管理、质量管理、资金管理、成本管理、人员管理、信息资源管理以及各种协调事项和各类风险管理。
对于本项目,随着体系建设和应用规模的不断扩大,管理的难度和风险还将不断加大。
为了保护投资,项目建设时必须具备科学性、先进性、前瞻性和可扩展性,使得项目能够以最小的投入,高质量地完成建设内容,达到项目建设预期目标。
6质量保证计划
6.1本项目的质量目标
通过制定切实有效的质量管理计划,加强信息安全管理体系建设咨询服务过程的质量控制与质量保证,按时完成信息安全管理体系建设咨询服务,达到预定的功能指标和性能指标。
6.2各项目工作小组的质量管理职责
项目领导小组:
审查和颁发项目管理制度(含质量管理制度)和工程规范;审查和签发项目各阶段所形成的成果。
对项目组内部不一致意见作出最终决定,决策重大变更的执行,同时也对项目风险控制提供高层支持。
专家组:
对项目质量控制目标、控制措施等进行把关,对项目关键质量问题提供分析、指导和咨询,对重要技术文档进行评审。
甲方项目经理组:
制订具体的项目质量控制目标、控制手段,并按照项目质量管理制度严格控制项目推进过程中的质量管理。
乙方项目经理组:
按照制定的项目质量控制目标,采取科学的项目质量控制措施,保证项目在推进过程中达到预定的质量水平。
设立独立的项目质量小组,负责制定质量保证计划,实施监察、审核活动,汇总并提交质量保证活动结果。
项目监理:
对项目质量控制目标的制订、质量控制措施的实施等进行建议并监督执行。
6.3技术质量标准
本项目质量管理中主要参照的标准包括:
《信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息系统安全等级保护定级指南》(GB/T22240-2008)
《信息系统安全等级保护实施指南》(GB/T25058-2010)
《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术信息系统安全管理要求》(GB/T20269-2006)
《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)
《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术服务器安全技术要求》(GB/T21028-2007)
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
《信息安全技术信息系统灾难恢复规范》(GB/T20988-2007)
6.4质量保证过程
1、实施监察、审核活动
质量组执行监理和审核活动。
执行前与项目组进行沟通。
准备相应的质量保证活动的监察检查表和审核检查表。
每次执行监察或审核活动时,质量组根据检查表,检查过程和产品是否符合既定的规范。
如果发现不一致,质量组与相关人员分析原因并协商改进措施。
2、提交质量保证活动结果
质量组记录检查情况,活动结束进行分析和度量,分析问题原因、所属过程等,度量质量保证活动的工作量、质量保证活动检查的项数以及发现的不符合问题数等,定期对质量保证活动情况进行总结,形成《质量保证活动报告》,提交给项目管理人员。
3、质量保证活动的问题跟踪
质量组记录质量保证活动中发现的所有问题,并跟踪问题直到解决。
6.5文档质量控制
按照规范对本项目的文档开发进行严格的质量控制。
主要包括以下管理工作:
1)采用技术手段保证文档质量:
在文档开发过程中,注意采用科学的工程管理方法和版本控制机制来保证所有文档的可控、可管和可追溯。
2)组织技术讨论和内部评审:
在文档开发的每个阶段结束后,都要组织评审,对质量进行评价,可以及早地发现文档开发过程中的可能存在的设计需求不符、文档目标不明确或执行模式不清等问题或其他潜在错误。
3)参考相关国家和国际标准:
结合嘉定区的信息安全管理现状,同时,参考国内和国际有关信息安全管理和保障的相关标准,设计符合用户需求的管理体系文档。
4)对文档的修改、变更进行严格控制:
影响文档的一个不可忽视的危险因素来自文档的修改和变更。
在修改过程中常会引进多种多样的错误,因此必须严格控制文档的修改和变更。
7试运行计划
7.1管理体系培训
2014年2月至6月为本项目试运行时间,为了确保信息安全管理体系能够顺利下发和执行,由甲方项目组协调,咨询单位将对信息化管理团队和信息系统运维单位进行系统的安全管理体系培训,指导各单位和部门根据新的管理办法和实施指南进行下一步工作。
具体培训计划待现场调研确认培训人次和范围后设计。
7.2试运行安排
本项目试运行阶段历时5个月,主要有甲方项目组负责管理体系下发和实施情况控制,咨询单位提供定期的技术支持服务。
每月定期召开例会,双方交流信息安全管理体系执行情况,并对体系相关规章制度提出必要的修订和完善计划,由咨询单位按照要求完成并与下次例会讨论提交和投入试运行。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 体系 建设项目 实施方案