信息安全需要一个动态、立体的防护体系，包括安全设备、安全技术、安全管理等多个层面。因此，企业在进行信息化建设时应考虑建立包含规划、检测、评估、运维等360度的实时、动态、完善的防护体系，以实现企业投资IT价值最大化。

    信息安全规划

    信息安全规划要依据企业信息安全现状，进行系统的信息安全调研。在充分调研的基础上，结合业务实际，制定信息安全建设方案。

    近些年来，信息安全问题得到了国家和企事业单位的高度重视。在进行信息化建设时，信息安全工作应本着“同步规划、同步建设”的原则一并实施。企业在进行信息化建设时，应同步考虑信息安全建设，制定系统、全面的信息安全规划建设方案，包括：信息安全管理体系建设规划方案、信息安全技术体系建设规划方案和信息安全运维体系建设规划方案。

    企业在做信息安全规划时要制定有效方案，解决目前存在的信息安全问题；同时梳理内部信息安全管理组织架构，制定长效保障机制；系统建立信息安全技术体系，确保信息安全符合纵身防御原则；建立信息安全运维体系，完善应急处置预案，降低安全事件的发生给企业带来的影响。

    信息安全项目管理

    信息安全项目实施过程中要加强监理，包括配置管理、范围管理、进度管理、费用管理、人力资源管理、沟通管理、风险管理、采购与合同管理、项目收尾等内容。

    传统的项目管理往往导致用户在风险管理与质量控制方面流于形式，从而在实施过程中导致信息安全事件的发生。企业要对信息安全建设项目进行专业的过程控制。确保企业在进行信息安全项目建设时，将安全风险降到最低；确保企业的信息安全项目确实符合既定目标，提高企业的整体信息安全防护水平；确保企业的信息安全项目成本可控，保质按期完成。

    信息安全检测验收

    企业在进行信息安全建设项目完成后，往往无法评估自身的安全现状是否还存在无法接受的风险，或者是否符合国家相关标准的规定。因此要进行信息安全风险评估，涉密信息系统的分级保护测评和非涉密系统的安全等级保护测评，此项建议采用经过授权的第三方服务机构进行专业测评。

    风险评估：在资产识别、威胁分析、脆弱点分析以及已有安全措施的基础上，评估系统的安全风险，进而满足企业安全保护等级需求的基础上，确定额外特殊的安全需求。

    安全等级保护测评：依据《信息安全等级保护基本要求》、《信息安全等级保护测评准则》以及相关国标、部标等，测评信息系统对应保护等级的符合性、适应性和充分性，从而验证系统的安全性。为被测评的信息系统顺利通过国家监督机构进行的信息安全监督检查提供依据和保证。

    通过第三方系统、专业的安全测评，单位能全面了解自身存在的安全风险是否已达到可接受的程度；为保密主管部门提供系统审批的依据；使信息系统的运营使用单位确实了解信息系统现状与国家标准的符合性。

    信息安全运维

    加强与信息安全相关的日常运维工作，包括安全档案维护、安全监测预警、安全配置加固和安全应急响应救援。

    安全档案维护：包括基础资料建档和安全配置建档。解决对网络中安全设备的类别、型号、数量、用途及拓扑位置等情况不清晰的问题；解决对各安全设备系统版本、组件、策略配置情况和系统变更情况无法清晰掌控的问题。

    安全监测预警：包括安全通告、安全监测、安全日志收集与分析和安全风险评估。企业能及时了解最新的安全动态，实时监测系统的安全运行状况，定期收集分析相关安全日志，周期性进行安全风险评估服务，保障系统的安全稳定运行。

    安全配置加固：包括安全检测和安全加固。企业要周期性进行服务器安全漏洞扫描、数据库安全漏洞扫描和应用系统的安全漏洞扫描，定期对网络设备、安全设备、数据库及应用系统进行安全配置核查，及时发现系统的安全漏洞，并针对性的实施安全加固。

    应急响应救援：包括应急响应预案制定和信息安全事件应急响应处理。企业应建立一套适合自身组织体系的应急响应预案，并有计划的进行演练和改进；实时监控，确保第一时间解决企业遇到的信息安全问题。ITSS

来源：道普网

信息安全需要一个动态、立体的防护体系，包括安全设备、安全技术、安全管理等多个层面。因此，企业在进行信息化建设时应考虑建立包含规划、检测、评估、运维等360度的实时、动态、完善的防护体系，以实现企业投资IT价值最大化。

    信息安全规划

    信息安全规划要依据企业信息安全现状，进行系统的信息安全调研。在充分调研的基础上，结合业务实际，制定信息安全建设方案。

    近些年来，信息安全问题得到了国家和企事业单位的高度重视。在进行信息化建设时，信息安全工作应本着“同步规划、同步建设”的原则一并实施。企业在进行信息化建设时，应同步考虑信息安全建设，制定系统、全面的信息安全规划建设方案，包括：信息安全管理体系建设规划方案、信息安全技术体系建设规划方案和信息安全运维体系建设规划方案。

    企业在做信息安全规划时要制定有效方案，解决目前存在的信息安全问题；同时梳理内部信息安全管理组织架构，制定长效保障机制；系统建立信息安全技术体系，确保信息安全符合纵身防御原则；建立信息安全运维体系，完善应急处置预案，降低安全事件的发生给企业带来的影响。

    信息安全项目管理

    信息安全项目实施过程中要加强监理，包括配置管理、范围管理、进度管理、费用管理、人力资源管理、沟通管理、风险管理、采购与合同管理、项目收尾等内容。

    传统的项目管理往往导致用户在风险管理与质量控制方面流于形式，从而在实施过程中导致信息安全事件的发生。企业要对信息安全建设项目进行专业的过程控制。确保企业在进行信息安全项目建设时，将安全风险降到最低；确保企业的信息安全项目确实符合既定目标，提高企业的整体信息安全防护水平；确保企业的信息安全项目成本可控，保质按期完成。

    信息安全检测验收

    企业在进行信息安全建设项目完成后，往往无法评估自身的安全现状是否还存在无法接受的风险，或者是否符合国家相关标准的规定。因此要进行信息安全风险评估，涉密信息系统的分级保护测评和非涉密系统的安全等级保护测评，此项建议采用经过授权的第三方服务机构进行专业测评。

    风险评估：在资产识别、威胁分析、脆弱点分析以及已有安全措施的基础上，评估系统的安全风险，进而满足企业安全保护等级需求的基础上，确定额外特殊的安全需求。

    安全等级保护测评：依据《信息安全等级保护基本要求》、《信息安全等级保护测评准则》以及相关国标、部标等，测评信息系统对应保护等级的符合性、适应性和充分性，从而验证系统的安全性。为被测评的信息系统顺利通过国家监督机构进行的信息安全监督检查提供依据和保证。

    通过第三方系统、专业的安全测评，单位能全面了解自身存在的安全风险是否已达到可接受的程度；为保密主管部门提供系统审批的依据；使信息系统的运营使用单位确实了解信息系统现状与国家标准的符合性。

    信息安全运维

    加强与信息安全相关的日常运维工作，包括安全档案维护、安全监测预警、安全配置加固和安全应急响应救援。

    安全档案维护：包括基础资料建档和安全配置建档。解决对网络中安全设备的类别、型号、数量、用途及拓扑位置等情况不清晰的问题；解决对各安全设备系统版本、组件、策略配置情况和系统变更情况无法清晰掌控的问题。

    安全监测预警：包括安全通告、安全监测、安全日志收集与分析和安全风险评估。企业能及时了解最新的安全动态，实时监测系统的安全运行状况，定期收集分析相关安全日志，周期性进行安全风险评估服务，保障系统的安全稳定运行。

    安全配置加固：包括安全检测和安全加固。企业要周期性进行服务器安全漏洞扫描、数据库安全漏洞扫描和应用系统的安全漏洞扫描，定期对网络设备、安全设备、数据库及应用系统进行安全配置核查，及时发现系统的安全漏洞，并针对性的实施安全加固。

    应急响应救援：包括应急响应预案制定和信息安全事件应急响应处理。企业应建立一套适合自身组织体系的应急响应预案，并有计划的进行演练和改进；实时监控，确保第一时间解决企业遇到的信息安全问题。ITSS

来源：道普网