건설의 첫 번째 단계는 정보 보안 관리 체계 건설의 구체적인 목표를 확정하는 것이다. 정보 보안 관리 시스템 구축은 조직이 전체 또는 특정 범위 내에서 정보 보안 방침과 목표, 그리고 이러한 목표를 달성하기 위해 사용하는 방법을 구축하는 시스템입니다. 정보 보안 조직과 정책 체계의 두 부분으로 구성되며 정보 보안 거버넌스를 통해 구체적인 구축 목표를 달성합니다. 정보 보안 조직 체계: 의사 결정, 관리, 실행 및 감독 기관의 네 부분을 포함하여 정보 보안 방침 및 목표를 달성하기 위해 조직 내에서 형성된 특정 조직 구조를 말합니다. 정보 보안 정책 체계: 정보 보안의 전반적인 정책 틀과 규범, 정보 보안 관리의 규범, 프로세스 및 제도의 합계를 말합니다. 전략 체계는 위에서 아래로 세 단계로 나뉜다.
1 급 전략 마스터플랜은 본 그룹 내 정보 보안의 기본 제도로, 조직 내 어떤 부서나 인원도 위반해서는 안 되며, 정보 보안 업무의 전반적인 요구 사항을 설명합니다. 2 층 기술 가이드 및 관리 규정은 전반적인 전략 원칙을 따르고 특정 부서, 애플리케이션 및 실제 상황과 결합하여 보다 전문적인 요구 사항, 방법 및 기술적 수단을 개발합니다. 다음 두 부분으로 구성됩니다. 기술 가이드: 기술적 관점에서 요구 사항 및 방법 제시 관리 규정: 조직 관리에 중점을 두고, 책임과 요구를 명확히 하고, 심사 근거를 제공한다. 세 번째 계층의 운영 매뉴얼, 작업 규칙 및 구현 프로세스는 전반적인 전략, 기술 지침 및 관리 규정의 원칙을 따르고, 작업 실제와 연계하여 특정 제도에 따라 두 번째 계층의 기술 지침 및 관리 규정을 구체화합니다. 특정 작업을 지도하고 규범화할 수 있는 운영 설명서와 워크플로우를 형성하여 보안 작업의 제도화 및 일반화를 보장합니다. 건설의 두 번째 단계는 적절한 정보 보안 건설 방법을 결정하는 것이다. 정보 보안 건설에서 여러 해 동안 축적된 정보 보안 시스템 구축 방법론은' 1-5-4-3-4' 라고도 합니다. 즉 1 기본 이론을 이용하여 5 가지 기준을 참고해 4 개 시스템을 중심으로 3 개의 방어선을 형성하여 결국 4 가지 목표를 달성한다는 것이다. 첫째, 위험 관리의 기본 이론 정보 시스템 위험 관리 방법론은 통합 보안 시스템을 구축하고, 효과적인 애플리케이션 제어 메커니즘을 구축하고, 애플리케이션 시스템과 보안 시스템을 완벽하게 통합하고, 완전한 정보 시스템 프로세스 제어 시스템을 형성하며, 정보 시스템의 효율성과 효율성을 보장하는 것입니다. 둘째, 5 가지 관련 국내 및 국제 표준을 따르십시오. Emc 는 정보 보안 시스템 구축 과정에서 관련 국내외 표준인 ISO 2700 1 표준, 계층 보호, 등급 보호, IT 프로세스 제어 관리 (COBIT), IT 프로세스 및 서비스 관리 (ITIL/ISO20000) 를 완벽하게 준수합니다 셋째, 네 가지 주요 정보 보안 시스템 구축: 정보 보안 의사 결정, 관리, 구현 및 감독 기관 설립, 모든 수준을 명확히 합니다. 정보 보안 관리 보안 시스템: 정보 보안 조직, 운영 및 기술 시스템 표준화, 제도화 후 형성된 정보 보안에 관한 일련의 관리 규정입니다. 정보 보안 기술 보안 시스템: 다양한 검증된 정보 보안 기술과 제품을 종합적으로 활용하여 인증, 액세스 제어, 데이터 무결성, 데이터 기밀성, 거부 등 다양한 수준의 보안 기능을 제공합니다. 정보 보안 운영 및 유지 보수 보증 시스템: 정보 보안 관리 시스템의 사양 및 지침에 따라 보안 운영 관리, 규정 운영 관리, 보안 모니터링, 이벤트 처리, 변경 관리 등의 프로세스를 통해 보안 문제를 적시에 정확하고 신속하게 처리하여 비즈니스 플랫폼 시스템 및 애플리케이션 시스템을 안정적이고 안정적으로 운영할 수 있도록 합니다. 넷째, 제 1 방어선: 관리체계, 조직체계, 기술보장체계로 구성된 완벽한 안전관리체계와 기반안전시설로, 안전의 싹을 미리 형성하는 제 1 방어선으로 기업 운영안전을 위한 좋은 토대를 마련했다. 두 번째 방어선: 기술 체계와 운영 유지 체계는 사물을 통제하는 두 번째 방어선을 구성한다. 치밀한 생산 일정, 안전한 운영 및 유지 관리 관리, 보안 모니터링 경보를 통해 보안 위험을 적시에 제거하여 비즈니스 시스템을 지속적으로 안정적으로 운영할 수 있도록 합니다. 세 번째 방어선: 기술 시스템은 사후 통제의 세 번째 방어선을 구성한다. 각종 돌발 재해에 대비해 중요 정보 시스템에 대한 재해 복구 시스템을 구축하고 주기적으로 긴급 훈련을 실시하여 신속한 대응 및 신속한 복구 메커니즘을 형성하여 재해로 인한 피해를 조직이 받아들일 수 있는 수준으로 낮춘다. 다섯째, 네 가지 주요 보안 목표: 정부 또는 기업 비즈니스 데이터와 정보의 기밀성, 무결성 및 가용성을 보호합니다. 시스템 보안: 정부 또는 기업 네트워크 시스템, 호스트 운영 체제, 미들웨어 시스템, 데이터베이스 시스템, 애플리케이션 시스템의 보안을 보장합니다. 물리적 보안: 비즈니스 및 관리 정보 시스템과 관련된 환경 보안, 장비 보안 및 스토리지 미디어 보안을 보장해야 합니다. 운영 보안: 비즈니스 및 관리 정보 시스템의 다양한 운영, 일상적인 모니터링, 변경 및 유지 관리가 규정 준수 운영 요구 사항을 충족하는지 확인하여 시스템을 안정적으로 운영할 수 있도록 합니다. 세 번째 단계는 현황 조사 및 위험 평가를 위한 전체 프로세스를 구축하는 것입니다. 현황 조사 단계에서는 정부 또는 기업의 실제 상황 (예: 조직 구조, 비즈니스 환경, 정보 시스템 프로세스 등) 을 충분히 이해해야 합니다. 정부나 기업의 조직 구조와 성격을 알아야 조직의 정보 보안 시스템이 따르는 기준을 결정할 수 있다. 또한 정부 또는 기업의 문화를 충분히 이해하고 관리 체계와 관련 문화의 융합을 확보하여 후기 홍보, 홍보 및 시행을 용이하게 해야 합니다. 조사에서' 가정 위주의, 사실 기반' 접근 방식을 채택하여 정부나 기업이 관련 기준의 모든 통제 요구 사항을 충족한다고 가정하고, 수동 인터뷰, 설문 조사 등 다양한 방법과 수단을 통해 정보를 수집합니다. 증명 또는 위조 조직의 통제 조치가 표준의 모든 요구 사항을 충족한다는 것을 증명하고 이를 바탕으로 현 상태와 기준의 요구 사항을 비교함으로써 격차 분석을 진행한다. 위험 평가 단계에서 먼저 정보 시스템의 위험 평가에는 자산, 위협, 취약성 등의 기본 요소가 포함됩니다. 각 요소에는 고유한 속성이 있으며, 자산의 속성은 자산 가치입니다. 위협의 속성은 위협 주체, 영향 받는 대상, 발생 빈도, 동기 등이 될 수 있습니다. 취약성의 속성은 자산 약점의 심각성이다. 위험 분석의 주요 내용은 자산을 식별하고 자산 가치를 할당하는 것입니다. 위협을 식별하고, 속성을 설명하고, 위협의 빈도에 값을 할당합니다. 자산의 취약성을 식별하고 특정 자산의 취약성 심각도를 지정합니다. 위협과 위협이 약점을 이용하는 난이도에 따라 보안 사건이 발생할 가능성을 판단한다. 보안 이벤트의 영향을 받는 자산의 가치와 취약점의 심각도를 기준으로 보안 이벤트의 손실을 계산합니다. 보안 사고 발생 가능성과 보안 사건으로 인한 손실을 기준으로 보안 사건이 조직에 미치는 영향, 즉 위험 값을 계산합니다. 둘째, 정보 시스템 프로세스에 대한 위험 평가를 수행합니다. 국제적으로 유명한 컨설팅 회사인 Gartner 의 조사 결과와 실전에서 확인한 바에 따르면 정보 시스템 장애를 줄이는 가장 효과적인 방법 중 하나는 효과적인 프로세스 관리입니다. 따라서 비즈니스 프로세스와 같은 "동적 자산" 을 보호하기 위해 "정적 자산" 의 보안을 유지하면서 IT 관련 비즈니스 프로세스를 효과적으로 관리해야 합니다. 네 번째 단계는 정보 보안 체계를 설계하고 구축하는 전반적인 틀이다. 현재 상황, 위험 분석 및 평가를 충분히 조사한 결과, 조직의 정보 보안 시스템의 전반적인 프레임워크를 구축하고, 조직의 정보 보안 정책, 전략, 프레임워크, 계획, 구현, 검사 및 개선의 모든 측면을 포괄합니다. 향후 3-5 년간의 정보 보안 건설을 위한 명확한 보안 목표와 규범을 제시합니다. 정보 보안 시스템 프레임워크 설계는 통합 현황 조사, 위험 평가, 조직 아키텍처 및 정보 보안 마스터 플랜 이후 위험 관리, 규제 기관 법률 및 관련 국내외 표준의 규정 준수를 종합적으로 고려해야 합니다. 정보 보안 구축 목표의 실현을 보장하기 위해 조직의 향후 정보 보안 임무를 도출하기 위해 정보 보안 시스템 전체 프레임워크 설계 문서 (1 급 문서) 에는 정보 보안 시스템 전체 프레임워크 설계 보고서가 포함됩니다. 정보 보안 시스템 구축 계획 보고서 정보 보안 시스템 모델에 따르면 정보 보안 시스템은 보안 조직, 보안 관리, 보안 기술 및 보안 운영 차원의 네 가지 측면에서 개발됩니다. 네 가지 측면을 더 분해하고 구체화하면 전체 정부 부처 또는 기업의 정보 보안 시스템에 대한 2 차 문서를 얻을 수 있습니다. 구체적인 2 차 문서에는 조직 아키텍처, 역할 책임, 교육 교육, 협력 및 커뮤니케이션과 같은 정보 보안 조직 체계가 포함됩니다. 정보 보안 관리 시스템: 정보 자산 관리 인적 자원 보안 물리적 및 환경 적 안전; 커뮤니케이션 및 운영 관리 액세스 제어 정보 시스템 수집 및 유지 보수 무중단 업무 운영 관리 일치성 정보 보안 기술 시스템: 물리적 계층, 네트워크 계층, 시스템 계층, 애플리케이션 계층, 터미널 계층에 대한 기술 사양 정보 보안 운영 및 유지 관리 시스템: 일상적인 운영 및 유지 관리 수준과 관련된 작업 방법, 프로세스 및 관리 사고 관리, 문제 관리, 구성 관리, 변경 관리, 게시 관리, 헬프데스크 등이 포함됩니다. 건설의 다섯 번째 단계는 정보 보안 체계를 설계하고 구축하는 조직 구조이다. 정보 보안 조직 체계는 정보 보안 관리를 보장하는 것으로, 실제 업무에서 관련 관리직이 해당 통제 지점을 통제할 수 있도록 보장합니다. 조직 정보 보안의 전반적인 프레임워크와 실제 상황에 따라 조직 정보 보안 관리의 조직 구조를 파악합니다. 정보 보안의 조직 구조: 정보 보안 의사 결정, 관리, 구현 및 모니터링을 담당하는 각 부서의 구조화 및 체계적인 결과. -응? 정보 보안 역할 및 책임: 정보 보안 조직의 개인이 정보 보안 업무에서 수행하는 역할을 주로 정의, 분할 및 명확히 합니다. -응? 안전 교육 교육: 주로 안전 인식 및 인식 요구 사항, 안전 기술 교육 및 안전 전문 교육을 포함합니다. -응? 협력 및 커뮤니케이션: 상급 감독 부서, 동급 형제, 내부 단위, 공급업체, 보안 업계 전문가 등과의 커뮤니케이션 및 협력? 여섯 번째 단계는 정보 보안 시스템 관리 시스템을 설계하는 것입니다. 전반적인 정보 보안 프레임 워크 설계에 따르면 위험 평가 결과와 기관 정보 시스템 구축의 실제 상황을 결합하여 자산 관리: 정보 시스템 민감도 분류 및 식별을위한 구현 사양 및 해당 양식, 정보 시스템 분류 제어의 실제 사양 및 해당 양식을 포함하여 관련 표준을 참조하여 정보 보안 관리 시스템의 3 단계 및 4 단계 파일을 설정합니다. 인적 자원 보안: 내부 직원 정보 보안 코드, 제 3 자 인사 보안 관리 코드 및 해당 양식, 기밀 유지 계약? 물리적 및 환경 안전: 물리적 보안 영역 구분 및 식별 사양 및 해당 양식, 기계실 안전 관리 사양 및 해당 양식, 출입 통제 시스템 안전 관리 사양 및 해당 양식? 액세스 제어: 사용자 액세스 관리 사양 및 해당 양식, 네트워크 액세스 제어 사양 및 해당 양식, 운영 체제 액세스 제어 사양 및 해당 양식, 응용 프로그램 및 정보 액세스 사양 통신 및 운영 관리: 네트워크 보안 관리 사양 및 해당 양식, in; 정보 시스템 조달 및 유지 관리: 정보 보안 프로젝트 관리 사양 및 규정 무중단 업무 운영 관리: 무중단 업무 운영 관리 프로세스 사양 및 해당 양식 규정 준수: 업계에는 법률 규정, 추적 관리 사양 및 해당 양식이 적용됩니까? 을 눌러 섹션을 인쇄할 수도 있습니다 마지막으로 전체 그룹의 요구 사항을 충족해야 하는 전반적인 정보 보안 관리 시스템을 형성해야 합니다. 운영 체제 액세스 제어 사양 및 해당 양식, 응용 프로그램 및 정보 액세스 사양 및 해당 양식, 모바일 컴퓨팅 및 원격 액세스 사양 및 해당 양식? 통신 및 운영 관리: 네트워크 보안 관리 사양 및 해당 양식, 인터넷 서비스는 보안 관리 사양 및 해당 양식, 악성 코드 방지 사양, 저장 및 모바일 미디어 보안 관리 사양 및 해당 양식을 사용합니다. 정보 시스템 수집 및 유지 보수: 정보 보안 프로젝트 관리 사양 및 해당 양식, 소프트웨어 보안 개발 관리 사양 및 해당 양식, 소프트웨어 시스템 취약성 관리 사양 및 해당 양식? 무중단 업무 운영 관리: 무중단 업무 운영 관리 프로세스 사양 및 대응 양식, 업무 영향 분석 사양 및 대응 양식? 규정 준수: 업계에는 법률 규정, 추적 관리 사양 및 해당 양식이 적용됩니까? 전반적인 정보 보안 관리 시스템을 형성하기 위해서는 조직 전체의 전략적 목표, 비전, 조직 문화 및 실제 상황을 충족하고 그에 따라 통합해야 합니다. 전체 구현 과정에서 전체 관통 교육을 실시하여 전체 정보 보안 시스템 구축의 의미를 조직 곳곳에 전달하여 전반적인 정보 보안 의식을 높여야 합니다. 이 몇 가지 방면을 결합해야만 건설이 더욱 효과를 낼 수 있다.