1.1 网络安全建设总体规划
5.1.1 制定安全方针与目标
网络安全规划方法如下图所示,首先根据用户信息化战略目标和目前的网络安全现状,制定网络安全目标,有了明确的网络安全目标后,对网络安全现状与目标进行差距分析,进而确定改进措施,综合汇总改进措施后形成网络安全的项目设计,网络安全项目分别从技术体系、管理体系及运营体系三个方面进行建设,在分步骤建设完成后,要定期评审,持续改进,以满足网络安全目标,同时不断分析差距并进一步改进。
网络安全路线规划方法示意图
按照上述规划方法,制定组织今后3-5年网络安全规划,整个规划应是在统一的安全基础设施基础上,从技术体系、管理体系及运营体系三方面进行,每个体系中也强调其基础的保障,如技术环节要优先保障物理安全,管理体系要首先强调有安全组织体系,运维环节首要工作是先做好数据备份。
技术体系的规划包括安全域划分与边界防护体系建设、终端数据安全体系、安全审计体系、实时监控体系和网站安全防护体系。
管理体系的规划包括安全组织体系完善、风险评估能力建设、安全培训体系建设及制度体系落实完善。
运营体系包括安全评估、问题处置、持续运营等内容。
5.1.2 网络安全建设蓝图规划
结合国内外标准最近实践经验,以甲方网络安全现状和业务发展需求为导向,从国家网络安全法律法规、等级保护政策等方面构建完整的网络安全保障体系。
5.1.3 确定任务实施路线图
根据定义的安全建设任务,通过效率矩阵,针对任务紧迫性、可实施性、预期效果的高低和实施程度的难易,定义出安全建设任务优先级。
阶段成果
《网络安全建设规划》