it审计计划介绍

1、 管理标准 ISO17799技术标准 ISO13335控制标准 ISO27001评估标准 ISO15408审计标准 COBIT4.0信息安全保障架构 IATF密 码 术备 份 与 容 灾标 识 与 鉴 别系 统 保 护检 测 监 控访 问 控 制审 计 跟 踪数据安全信息安全技术控制人 员第 三 方 访 问系 统 建 设系 统 运 维物 理 环 境信息安全运作控制信息系统等级划分信息安全控制信息安全服务架构威胁与脆弱性 管理服务容灾备份 服务安全信息与 事件管理服务身份及访问控 制管理服务IT基础设施安全架构网络安全模型应用安全架构应用安全开发模型信息安全技术信息安全管理信息安全 组织信息安全意识提升、 技能培训和专业教育信息安全监督检查和改进响应 恢复运行 监控控制 实施需求 分析信息安全风险管理信息安全流程实施细则和 操作规程管理办法标准规范信息安全制度角色模型领导角色协调角色分析角色运行角色信息安全管理架构为推广和落实信息安全控制架构建立了管理环境和流程基础。信息安全控制本身也是信息安全风险管理的成果。信息安全管理架构是实现信息安全技术架构的保障。信息安全技术架构实现的信息安全基

2、础设施和服务反过来支持信息安全流程的改进和优化。信息安全控制 对信息安全技 术提出要求。 信息安全技术 是信息安全技 术控制的物质 实现。风险评估风险控制 风险定义 风险识别 风险分析 风险评估 风险规避 风险转移 风险降低 风险接受脆弱性威胁风险资产价值保护措施保护需求非正式执行信息系统安全成熟度 ISO21827 目前阶段- 过程前计划- 过程中检查基于最终结果的 安全控制计划与跟踪充分定义量化控制持续改进 2010年- 完善定义规范- 严格规范执行基于经过实践验 证的详细规范制度 2011年- 定量度量- 准确预测基于可量化的， 客观、准确标准 2012年- 高效、实用- 自我完善基于可准确度量 持续改进效益 初始阶段- 基本执行无明确要求总体安全方针边境环境设备信息安全标准与规范信息安全目标信息安全保障架构人 People技术 Technology操作 Operation4.2 风险评估实施方法 分为6个阶段11项任务统一的中国石油信息化工作管理制度体系 中，信息安全管理的所处的位置管理规定管理办法信息化工作管理规定计划管理实施管理运维管理招标管理验收管理广域网邮件系统视频系统

3、门户网站系统信息安全管理办法上游生产系统先进计划系统管道生产系统ERP系统数据仓库信息标准与规范信息化工作管理流程管理细则1.3 中国石油领导高度重 视信息安全工作人操作技术规范层实施层架构层组织核心角色 和职责信 息系 统安全 等级定义网络安全模型流程架构信息 安全运作 操作框架应用安全开发模型制度与标准 层次结构信息 安全技术 操作框架信息安全服务架构组织机构模 型岗位与职责模 型岗位能力 模型信息 系统安全 等级定级方法信息 系统等级 保护要求信息 系统的安全 等级定级结果信息系统 的安全行为策略流程模型 与活动描述制度与 标准体系组织的人员 配备和职责工作流程图具体制度与标准网络安全域 划分与防护策略应用安全 设计模式安全服务 组件模型 与实现机制基础设施的 安全部署与配置应用系统安全 开发规范、工具和方法安全服务的实施目标等级级 分级级保护护保护级护级 （ GB17859)实实施与管理一级级基础础安全基础础防护护主管部门审门审 批 自定二级级重点安全独立防护护主管部门审门审 批 每年一次测评检测评检 查查三级级核心安全专门专门 防护护专专家委评审评审 专门检查专门检查 信息系

4、统等级划分：安全目标健全信息安全 管理组织提升信息技术 基础设施的 安全性建立专业化的 信息安全服务 技术平台 建立信息安全 专业服务团队 建立完善的信息 安全风险管理 流程完善信息安全 制度与标准信息安全体系信息基础设施综合管理系统专业应用系统基础应用系统管理保障体系信息安全管理流程信息安全制度标准信息安全管理组织控制保障体系系统安全技术选择系统安全运行维护系统安全等级划分技术保障体系信息基础设施安全架构应用系统安全架构信息安全服务架构保护 P检测 D反应 R恢复 R信息 资产信息 资产人政策政策技术技术PDRR模型图示信息安全体系的架构模型5.1.3 项目实施方法总体规 划T04国际信息 安全实践与 趋势研究T03信息安全 现状信息收集T13现状分析 与总体架构 设计研讨T02信息网络 安全风险评估T05信息安全 现状调研分析T06信息安全 愿景制定T07信息安全 总体架构设计T09信息安全 管理架构细化T11信息安全 技术架构细化T12信息安全 控制架构细化T10信息安全 制度架构细化T01项 目准备11T08信息网络 安全域及等级划 分方案制定22项目 准备总体架构设计项目规划设计 T20 交流、知识转移、培训信息安全总体架构 设计报告（中英）2信息安全现状与需 求分析报告1信息网络风险评估 报告1信息网络安全域及 等级划分指南2T14信息安全 项目设计T16信息安全 项目规划研讨T17信息安全管 理项目设计与 可行性研究T18信息安全技 术实施项目设计 与可行性研究T19项目 验收评估34项目 验收项目可行性 研究信息安全项目规 划报告（中英）3信息安全项目可行 性研究报告4T15信息安全 项目实施 计划制定风险评估与 现状调研分析

《it审计计划介绍》由会员正**分享，可在线阅读，更多相关《it审计计划介绍》请在金锄头文库上搜索。