@大麻哈
2年前 提问
1个回答

信息安全项目管理周期包括哪些

Andrew
2年前

信息安全项目管理周期包括以下这些:

  • 项目规划阶段安全管理:在定义业务需求时,应注重信息安全方面的需求,完善信息系统的安全策略,提出信息系统的安全框架、管理方法。在业务需求书中,应明确对信息系统安全的详细要求,必须通过信息安全人员参加的项目评审会才能进行立项。任何信息系统安全需求的变更都需经过正式的系统变更流程。

  • 项目设计阶段安全管理:在信息系统设计阶段,通过风险分析明确安全需求,确定安全目标,制定安全策略,拟定安全要求的性能指标。充分考虑业务数据在传输、处理、存储等各个过程中的安全要求。在基础设施建设方面充分考虑系统架构、硬件冗余、数据备份、网络安全等方面,搭建一个安全高效的基础设施平台,这是信息系统安全运行的基础。在系统应用安全方面应至少进行以下安全控制设计:身份认证、访问控制、日志与审计。

  • 系统上线试运行阶段安全管理:在系统上线试运行阶段,应该至少关注以下安全阶段:操作系统安装、应用程序安装、数据库安装。

  • 系统运营阶段安全管理:对用户授权最小化,并制定操作规程。在对上线系统实施任何变更操作前,应制定详细的变更及回退方案,并经主管领导审批通过;开发测试人员不能访问生产系统。系统管理员、应用管理员、数据库管理员应按系统要求进行线下或线上巡检,对系统的安全运行状态进行监控,发现安全隐患或安全事件时应进行记录并及时上报,以避免产生更大的次生安全事件。按不同的系统要求定期做好系统、数据、程序备份,妥善保管备份介质,并进行恢复性测试,保证备份数据的可用性。

  • 系统下线阶段安全管理:信息系统由于硬件平台升级、软件大版本升级或替换时,应对受到保护的数据信息(磁盘、磁带、纸质资料等)进行妥善转移、转存、销毁,确保不发生信息安全事件,涉及信息转移、暂存和清除、设备迁移或废弃、介质清除或销毁,以及相应资产清单的更新。