1. 题目:
具体信息系统网络安全多级策略文件体系的制定
2. 目的:
提高学生对网络安全策略概念的认识和理解,初步掌握基于信息系统的业务使命以及网络安全等级保护标准要求的网络安全策略的制定,并细化为多级策略文件体系。
3. 内容:由教师设定网络安全策略制定实训的相关要求和实训步骤
(1)掌握具体信息系统的业务使命的分析和描述方法,熟悉我国现行网络安全法律、法规以及标准规定的网络等级保护标准对信息系统策略制定的约束与指导。
l 掌握具体的信息系统的业务使命的分析、描述方法,包括其功能、性能要求,了解业务使用部门、信息技术部门和管理机构对该信息系统的不同管理权限和安全要求。
l 熟悉我国现行网络安全法律(主要是《网络安全法》、《密码法》)、法规(主要是《网络安全等级保护制度》)以及标准规范(《网络安全等级保护》系列国家标准),及其对信息安全保护的具体要求。
(2)针对具体的信息系统,结合识别上一步识别出来的业务功能使命、组织结构对其安全提出的要求,遵循我国网络安全等级保护制度的具体规定和要求,制定该信息系统的安全策略文件体系
l 针对具体的信息系统,分析并明确其业务功能使命、组织结构对其安全提出的要求,识别该信息系统在机密性、完整性和可用性等方面的具体需求,给出安全需求列表或清单。
l 遵循我国网络安全等级保护制度的具体规定和要求,对该信息系统进行定级(具体实训中可确定为具有代表性的等保三级),并按照确定的级别给出具体的安全需求列表或清单。
l 根据上述安全需求列表或清单,进行该信息系统安全策略文件体系的制定,具体分为四级(方针/策略级、规范/流程/制度级、指南/手册/细则级、记录/表单级)。
4. 要求:
提交实训报告
