2.设计并实施信息安全方案
信息安全保障解决方案是一个动态的风险管理过程,通过对信息系统全生命周期的风险控制,来解决在运行环境中信息系统安全建设所面临的各种问题,从而有效保障业务系统及应用的持续发展。
信息安全保障方案是以安全需求为依据进行设计。在设计安全方案时,需要确保方案贴合实际,具有可实施性,包括可接受的成本、合理的进度、技术可实现性,以及组织管理和文化的可接受性。
在工作中,可以根据信息系统安全目标( Information Systems Security Target,ISST)来规范地制定信息安全方案。ISST根据ISPP编制,从信息系统安全保障建设方(厂商)的角度制定信息系统安全保障方案。
根据ISST要求,信息系统安全方案的标准格式应包括如下八个部分:引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求、信息系统概要规范、ISPP声明,以及符合性声明。其中,引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求部分与ISPP-致。
信息系统概要规范包括信息系统安全功能满足哪一个特定的安全功能需求,保证措施满足哪一个特定的安全保障要求,以及相应的解释、证明等支持材料。与ISPP类似,在编制这部分内容时,从GB/T 20274《信息系统安全保障评估保障评估框架》的第二部分选择具体技术组件,第三部分选择管理组件,第四部分选择工程组件。
实施信息安全保障方案时,要以方案为依据,覆盖方案所提出的建设目标和建设内容。 另外,在实施过程中,应规范实施过程,有效控制实施质量、进度、成本及变更,充分考虑实施风险,如资源不足、对业务正常运行造成的影响、信息泄露或破坏等。