xxx 公司系统信息安全工作方案
一、背景 为进一步贯彻落实银发 〔2018〕102 号《中国人民银行关于进一步加强征信信息安全管理的通知》的文件精神,进一步增强征信信息安全意识、加强征信信息安全管理,切实保护信息主体合法权益,防范信息泄露、破坏、篡改等安全事故的发生,xxx 公司以信息安全等级保护三级为标准,强化征信信息安全管理意识,明晰征信信息安全主体责任,完善征信内控问责机制,完备征信业务和征信信息安全操控流程,建立健全信息系统安全应急处置机制。
二、方案原则 责任制原则:安全管理做到“谁主管,谁负责”、“谁运营,谁负责”,以法律手段明确与他方的责任关系,通过合同契约、协调合作等方式与他方进行工作职责划分。
规范化原则:遵循国内、国际的信息安全标准及行业规范,对信息系统实行等级保护。
全面统筹原则:信息安全保障工作应贯穿于信息化全过程,坚持统筹规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结合。
实用性原则:在确保信息系统性能和安全的前提下,充分利用资源,讲究实效,避免重复和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全服务,运用科学的经营管理方法,降低成本,保障安全运行。
三、整改目标 根据等级测评的结果,通过对不符合项的情况进行分析,结合实施过程中可能存在的风险和实施难度,整改内容可划分为近期、中期、长期三个实施阶段。
(一)近期整改
1 个月内完善现有系统维护和安全相关管理制度,完成对系统环境实施风险较小,影响较小的安全加固操作,达到现有条件下的最优安全状态。
(二)中期整改
6-12 个月内根据三级等保测评的建议提高系统环境防渗透、抗破坏以及灾难恢复能力,持续完善系统维护和安全相关管理制度,通过完善安全管理流程、增设内部安全岗位、添置系统安全设备、建立异地灾备机制等措施达到等保三级标准并取得第三方安全机构的测评认证。
(三)长期整改
持续进行安全优化并根据要求每年定期开展等级测评,形成良好的运维和安全管理机制,不断改进完善系统运维管理制度和安全防护体系。
四、实施方案 (一)现有条件下安全整改 1. 4 月 10 日至 5 月 30 日针对物理安全、网络安全、主机安全、数据备份安全进行加固,如下:
实施时间 实施方 实施内容 4 月 9 日-4 月 16 日 xxx 公司信息技术部 联通集成方 1.物理安全整改,向联通机房建议要求采用静电消除器等防静电措施和为关键设备和磁介质实施电磁屏蔽 2.制定月度系统存储介质盘点计划和表格 3.建立外联单位联系列表 4 月 9 日-4 月 14 日 xxx 公司信息技术部 实施权限分离管理,为不同用户分别设置相应权限的帐户 4 月 10 日-4 月 17 日 xxx 公司信息技术部 联通开发方(协助确认)
删除服务器和数据库中的多余或过期账户(系统管理员和审计人员账户)
4 月 10 日-4 月 17 日 xxx 公司信息技术部 联通开发方(协助确认)
调整服务器、数据库有关进程限制和打开文件限制参数 2. 根据第三方对我方测评报告内容,整理和完成相关安全制度和规范,如下:
4 月 20 日-5 月 30 日 xxx 公司信息技术、征信、推广等部门 完成《xxx 公司信息系统安全策略总体方针》 4 月 27 日-4 月 30 日 《xxx 公司系统安全管理制度》 5 月 4 日-5 月 15 日 《系统网络与安全设备操作规范》、《系统服务器及操作系统操作规范》、《业务软件系统操作规范》 5 月 18 日-5 月 30 日 《信息系统应急响应管理制度》 《信息系统审计制度》
(二)添置运维与安全系统 实施时间 实施方 实施内容 6 月 1 日-6 月 15 日 xxx 公司信息技术部 联通集成方 第三方安全测评机构 论证整改部署设备清单的可行性与实际设备部署需求 6 月 16 日-7 月 16 日 xxx 公司信息技术部 联通集成方 设备招标采购 7 月 16 日-9 月 30 日 xxx 公司信息技术部 联通集成方 设备厂商 设备到货、安装、系统调测以及验收 10 月 1 日-12 月 1 日 xxx 公司信息技术部 系统稳定期,完善系统维护与安
全防护流程,充实安全管理制度 12 月 1 日-12 月 31 日 xxx 公司信息技术部 联通集成方 第三方安全测评机构 完成等保 2.0 三级测评工作,获取测评认证
(三)2021 年 1 月 1 日至长期 信息系统维护和安全相关工作的持续完善和改进,每年定期开展三级等保测评工作。
相关热词搜索: 信息安全 整改方案 公司