燃?xì)馄髽I(yè)在構(gòu)建信息安全架構(gòu)時(shí)除了吸收最佳實(shí)踐標(biāo)準(zhǔn)外，還應(yīng)充分考慮風(fēng)險(xiǎn)評(píng)估、戰(zhàn)略驅(qū)動(dòng)以及監(jiān)管要求等內(nèi)容，最終將國(guó)際國(guó)內(nèi)信息安全最佳實(shí)踐標(biāo)準(zhǔn)裁剪成符合燃?xì)馄髽I(yè)的信息安全體系架構(gòu)。

3．4．4燃?xì)庑袠I(yè)信息安全體系構(gòu)建

燃?xì)庑袠I(yè)在信息安全體系的建設(shè)過程中為保障信息安全體系有效性，一般會(huì)遵從“組織體系定職責(zé)、策略體系定依據(jù)、技術(shù)體系定手段”的原則構(gòu)建“事前防御、事中控制、事后響應(yīng)”的信息安全體系，推進(jìn)信息安全體系的執(zhí)行和落地。

(1)組織體系

燃?xì)馄髽I(yè)應(yīng)建立和完善信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，明確企業(yè)所有單位的信息安全角色與職責(zé)以及總部和分公司之間的關(guān)系。信息安全組織體系處于信息安全戰(zhàn)略的核心，是信息安全戰(zhàn)略落實(shí)的基礎(chǔ)和保障。

(2)策略體系

策略體系主要包含信息安全策略／方針、各信息安全管理域的安全管理要求等，為燃?xì)馄髽I(yè)提供信息安全控制依據(jù)。

(3)技術(shù)體系

燃?xì)馄髽I(yè)的信息安全技術(shù)體系應(yīng)整合各種成熟的信息安全技術(shù)與產(chǎn)品，對(duì)企業(yè)各類信息資產(chǎn)形成有效的差異化和精細(xì)化保護(hù)。依據(jù)縱深防御的原則，結(jié)合“橫向隔離，縱向認(rèn)證”的要求，采用不同層次的防護(hù)技術(shù)，如身份認(rèn)證、訪問控制、內(nèi)容安全、監(jiān)控審計(jì)和備份恢復(fù)等，實(shí)現(xiàn)信息資產(chǎn)的安全防護(hù)。

北京燃?xì)饧瘓F(tuán)于2012年10月份啟動(dòng)了信息安全體系建設(shè)項(xiàng)日，于2013年6月底結(jié)項(xiàng)。整個(gè)項(xiàng)目的建設(shè)基本遵循燃?xì)庑袠I(yè)信息安全體系建設(shè)方法，是對(duì)燃?xì)庑袠I(yè)信息安全體系建設(shè)方法的實(shí)踐和應(yīng)用，同時(shí)根據(jù)實(shí)踐的結(jié)果再返回去對(duì)燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法進(jìn)行了完善。

(1)通過現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估，全方位了解北京燃?xì)庑畔踩ぷ鳜F(xiàn)狀和存在的風(fēng)險(xiǎn)。

(2)設(shè)計(jì)北京燃?xì)獾男畔踩w系架構(gòu)，完善信息安全組織與管理策略，編寫信息安全制度與標(biāo)準(zhǔn)；并推進(jìn)信息安全管理體系的落地運(yùn)行。

(3)建立信息安全管理體系實(shí)施藍(lán)圖，使北京燃?xì)饽軌蚶?年到5年時(shí)間，建立起較為完善的信息安全管理體系。

(4)培育一批具備信息安全專業(yè)水平的技術(shù)人員和管理人員，并全面提升員工的信息安全意識(shí)。

為全面梳理北京燃?xì)庑畔⑾到y(tǒng)安全現(xiàn)狀，項(xiàng)目組對(duì)北京燃?xì)庑畔⒒M織結(jié)構(gòu)、物理環(huán)境安全、人力資源、信息資產(chǎn)、信息系統(tǒng)的開發(fā)和運(yùn)行以及北京燃?xì)飧鲗I(yè)機(jī)構(gòu)和分子公司的信息化建設(shè)和管理過程做了全面細(xì)致的了解，形成了北京燃?xì)庑畔踩F(xiàn)狀調(diào)研報(bào)告。

依據(jù)ISO27001國(guó)際標(biāo)準(zhǔn)，對(duì)北京燃?xì)獾男畔踩F(xiàn)狀進(jìn)行了對(duì)標(biāo)，查找與國(guó)際信息安全最佳實(shí)踐之間的差距，并通過風(fēng)險(xiǎn)評(píng)估和分析進(jìn)行分類和匯總，形成了包括應(yīng)用系統(tǒng)風(fēng)險(xiǎn)、訪問控制風(fēng)險(xiǎn)、外包服務(wù)風(fēng)險(xiǎn)、人員環(huán)境風(fēng)險(xiǎn)、組織安全風(fēng)險(xiǎn)等11個(gè)類別的風(fēng)險(xiǎn)。為將信息安全風(fēng)險(xiǎn)降低到北京燃?xì)饪梢越邮艿乃?，?xiàng)目組為各類風(fēng)險(xiǎn)選擇了恰當(dāng)?shù)娘L(fēng)險(xiǎn)處置措施并制定了從近期到長(zhǎng)期詳細(xì)的風(fēng)險(xiǎn)處置計(jì)劃。

依據(jù)前期調(diào)研發(fā)現(xiàn)的問題和風(fēng)險(xiǎn)、遵照國(guó)際國(guó)內(nèi)最佳實(shí)踐標(biāo)準(zhǔn)、結(jié)合北京燃?xì)獾摹笆濉币?guī)劃設(shè)計(jì)完成了北京燃?xì)獾男畔踩軜?gòu)，并規(guī)劃了北京燃?xì)馕磥?年至5年的信息安全建設(shè)路線。

4．3．1架構(gòu)設(shè)計(jì)

北京燃?xì)庑畔踩w系依照北京燃?xì)庑畔踩w目標(biāo)，圍繞“構(gòu)建信息安全體系、保障信息系統(tǒng)安全”的方針制定了北京燃?xì)獾男畔踩軜?gòu)(如圖4所示)，通過組織體系定職責(zé)、制度體系定依據(jù)、技術(shù)體系定手段，涵蓋了包括體系管控、建設(shè)安全、運(yùn)維安全、應(yīng)急保障和基礎(chǔ)保障在內(nèi)的五大信息安全域，全面覆蓋北京燃?xì)庑畔踩母鱾€(gè)方面。

?

北京燃?xì)獾奈宕笮畔踩蛑饕菂⒖糏SO27001信息安全管理體系中的11個(gè)信息安全域，并結(jié)合燃?xì)庑袠I(yè)信息安全工作的特點(diǎn)和北京燃?xì)庖延械男畔踩A(chǔ)，重新進(jìn)行劃分和歸并而得。

4．3．2藍(lán)圖規(guī)劃

信息安全藍(lán)圖規(guī)劃日的是明確北京燃?xì)馕磥硇畔踩慕ㄔO(shè)路線，經(jīng)過3年乃至5年信息安全規(guī)劃的實(shí)施，可以逐步改變目前信息安全的現(xiàn)狀，為北京燃?xì)庑畔⑾到y(tǒng)的平穩(wěn)運(yùn)行和業(yè)務(wù)的持續(xù)開展提供強(qiáng)有力的保障。

北京燃?xì)馕磥?年信息安全藍(lán)圖規(guī)劃如下，分為以下3個(gè)階段：

(1)信息安全管理體系建立階段(2013年)。北京燃?xì)庥?013年上半年建立信息安全管理體系，通過信息安全管理體系的建設(shè)，建立了信息安全組織、完善了信息安全制度；通過持續(xù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，使北京燃?xì)庠谛畔踩矫婢哂辛俗晕彝晟频哪芰Α?/div>

???