1.夯实信息安全基础,推进信息资产分类分级管理
1)以国家等级保护制度为基础,建立重要系统安全防护体系和技术管理体系,建立主动防御机制。
2)逐步推进信息资产识别和分类、分级工作,建立信息资产分级标准、规范,明确安全策略和保护要求。
3)落实管理责任,统筹推进信息安全管理工作,确保信息安全管理范围的全面覆盖。
4)加强敏感信息保护,防止信息资产违规泄露,加强向外部提供信息的统一管理,严格审核,归口发布。
5)综合运用技术和管理手段,加强终端设备的安全管理。
1)建立和完善信息系统生命周期安全管理机制,加强信息安全管理制度体系建设,覆盖信息安全方针、策略、管理要求、操作流程、应急计划和联动机制。
2)加强信息系统建设全过程安全管理,制订信息安全规划,建立信息安全架构,统一部署信息安全功能,提高安全措施效率。
3)加强需求与设计阶段安全功能需求分析与设计,抓好安全测试工作并贯穿系统研发过程,检测安全漏洞,评估安全需求的符合性。(www.xing528.com)
4)加强上线前安全评估,评价系统安全性及对整体安全保障体系的影响。
5)加强系统运行安全评审,及时发现并处置安全隐患。
3.优化信息安全技术防控手段,实现纵深防御
1)优化信息安全技术防御体系,在物理安全、网络安全、系统安全、应用安全、数据安全、操作安全等不同层面,完善身份认证、访问控制、资源管理、日志分析、操作审计等安全功能,主动应对安全威胁,重点防范外部攻击,提升信息安全保障体系的健壮性和有效性。
2)强化基础设施安全保障,深化应用系统安全建设,增强应用产品安全性。
3)建立用户认证和访问控制管理流程,加强数据访问权限管理,有效保护信息资产。
4.建立信息安全保障能力评价机制,保障信息安全管理有效性
1)建立信息安全保障体系评价机制,确定量化指标,及时开展评估、审计。
2)建立持续改进机制,保障信息安全管理的持续性、有效性。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
