企業(yè)信息安全體系建設(shè)計(jì)劃書

1、2021-5-201 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標(biāo)桿信息安全有序管理標(biāo)桿 如何有效建設(shè)企業(yè)信息安全體系如何有效建設(shè)企業(yè)信息安全體系 關(guān)鍵成功因素關(guān)鍵成功因素 2021-5-202 公司生存、發(fā)展、壯大的推動(dòng)，加上上市、融資、品牌建 設(shè)的需求驅(qū)使，商業(yè)秘密、技術(shù)秘密等核心競(jìng)爭(zhēng)力信息的規(guī) 范有序流轉(zhuǎn)與運(yùn)用要求越來越明顯。 公司大部分員工總體信息安全意識(shí)比較淡??；各部門日常 安全管理工作基本空白；公司沒有形成系統(tǒng)化的安全管理持 續(xù)優(yōu)化系統(tǒng)。 1 2 企業(yè)信息安全壓力與挑戰(zhàn)企業(yè)信息安全壓力與挑戰(zhàn) 2021-5-203 物理安物理安 全

2、現(xiàn)狀全現(xiàn)狀 企業(yè)信息企業(yè)信息 安全現(xiàn)狀安全現(xiàn)狀 網(wǎng)絡(luò)安網(wǎng)絡(luò)安 全現(xiàn)狀全現(xiàn)狀 人員安人員安 全現(xiàn)狀全現(xiàn)狀 企業(yè)信息安全現(xiàn)狀簡(jiǎn)報(bào)企業(yè)信息安全現(xiàn)狀簡(jiǎn)報(bào) 2021-5-204 問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升 公司內(nèi)部研發(fā)網(wǎng) 絡(luò)和非研發(fā)網(wǎng)絡(luò) 整體互通，內(nèi)部 辦公網(wǎng)與外部互 聯(lián)網(wǎng)整體互通， 信息交流缺乏監(jiān) 控。 公司內(nèi)部員工郵 箱收發(fā)權(quán)限基本 全部放開，但同 時(shí)沒有有效監(jiān)控。 公司數(shù)據(jù)中心缺 乏規(guī)范有序的容 災(zāi)備份機(jī)制，缺 乏規(guī)范的災(zāi)難恢 復(fù)計(jì)劃和演練機(jī) 制，沒有業(yè)務(wù)連 續(xù)性計(jì)劃和應(yīng)對(duì) 措施 辦公網(wǎng)絡(luò)上各類 密級(jí)的信息無序 流轉(zhuǎn)，無分層分 級(jí)控制和對(duì)應(yīng)密 級(jí)的安全管理 網(wǎng)絡(luò)安全現(xiàn)狀列

3、舉網(wǎng)絡(luò)安全現(xiàn)狀列舉 2021-5-205 n TFJLLO;PO .J.IPOFIHJK GHLKG n NFGNJHGC, ,MS 打印機(jī)、傳真 機(jī)等敏感設(shè)備 放置在非受控 的安全區(qū)域， 設(shè)備所在部門 也未落實(shí)有效 監(jiān)督。 公司研發(fā)等 重要場(chǎng)地， 存儲(chǔ)和攝像 功能的設(shè)備 使用很隨意。 非公司人員進(jìn) 出公司大樓來 訪證監(jiān)管不力， 容易被鉆空子 帶來隱患。 使用公共區(qū)域 的打印機(jī)、傳 真機(jī)、復(fù)印機(jī)， 經(jīng)常有敏感文 件遺漏，所在 部門也無人管 理。 公司重要場(chǎng)地進(jìn) 出缺乏有效登記， 門禁在人員變動(dòng) 時(shí)的權(quán)限調(diào)整無 統(tǒng)一定期審視清 理，出現(xiàn)重大安 全事故時(shí)追求困 難。 問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升問題

4、重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升 物理安全現(xiàn)狀舉例物理安全現(xiàn)狀舉例 2021-5-206 沒有執(zhí)行檢 查監(jiān)督和獎(jiǎng) 懲機(jī)制，也 沒有檢查模 板和獎(jiǎng)懲標(biāo) 準(zhǔn) 員工內(nèi)部轉(zhuǎn) 崗或離職時(shí)， 訪問控制變 更缺乏有效 監(jiān)督 未對(duì)不同崗 位在職位描 述書中加入 安全方面的 責(zé)任要求， 特別是敏感 崗位 招聘環(huán)節(jié)人員 篩選和背景調(diào) 查工作比較薄 弱，敏感崗位 人員入職未簽 訂專門的保密 協(xié)議。 缺乏規(guī)范有序 的人員信息安 全意識(shí)培訓(xùn)， 也不知道如何 培訓(xùn)和培訓(xùn)什 么 問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升 人員安全現(xiàn)狀舉例人員安全現(xiàn)狀舉例 2021-5-207 企業(yè)信息安全狀態(tài)圖解企業(yè)信息安全狀態(tài)圖解 無規(guī)

5、范安全防御與無規(guī)范安全防御與 評(píng)估體系，評(píng)估體系， 表面太平表面太平 建立管理組織體建立管理組織體 系、采取周期評(píng)系、采取周期評(píng) 估優(yōu)化措施估優(yōu)化措施 安全規(guī)范可控，安全規(guī)范可控， 不斷優(yōu)化不斷優(yōu)化 破產(chǎn)破產(chǎn) 損失慘重?fù)p失慘重 基本無力回天基本無力回天 重大事故發(fā)生時(shí)重大事故發(fā)生時(shí) “救火救火” 安全安全 水平水平 $ 安全形勢(shì)越來越嚴(yán)峻安全形勢(shì)越來越嚴(yán)峻 麻痹者跌倒后，可能將永遠(yuǎn)倒下麻痹者跌倒后，可能將永遠(yuǎn)倒下 2021-5-208 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標(biāo)桿信息安全有序管理標(biāo)桿 如何有效建設(shè)企業(yè)信息安全體系如何有效建設(shè)

6、企業(yè)信息安全體系 關(guān)鍵成功因素關(guān)鍵成功因素 2021-5-209 標(biāo)桿企業(yè)信息安全管理體系標(biāo)桿企業(yè)信息安全管理體系 信息安全文件體系信息安全文件體系 信息安全管理組織信息安全管理組織 技術(shù)支撐體系技術(shù)支撐體系 03年起，標(biāo)桿公司持續(xù)投入重金， 根據(jù)ISO27001標(biāo)準(zhǔn)，構(gòu)建設(shè)置了其信息 安全管理體系，并通過了認(rèn)證。 有目共睹的事實(shí)證明，這個(gè)體系的運(yùn)作， 推動(dòng)了標(biāo)桿公司這列“火車”的市場(chǎng)更加 高效、安全平穩(wěn)地前行與增長(zhǎng)， 2021-5-2010 構(gòu)架規(guī)范的持續(xù)優(yōu)化的信息安全文件金字塔體系構(gòu)架規(guī)范的持續(xù)優(yōu)化的信息安全文件金字塔體系 各分支領(lǐng)域安全管理規(guī)定各分支領(lǐng)域安全管理規(guī)定 安全手冊(cè)安全手冊(cè) 操

7、作指導(dǎo)、模板等操作指導(dǎo)、模板等 各類記錄表、檢查表各類記錄表、檢查表 2021-5-2011 信息安全文件金字塔體系各層級(jí)文件列舉信息安全文件金字塔體系各層級(jí)文件列舉 2021-5-2012 上下一體的的信息安全組織架構(gòu)上下一體的的信息安全組織架構(gòu) 公司信息安全監(jiān)管委員會(huì)公司信息安全監(jiān)管委員會(huì) 全球信息安全管理辦公室全球信息安全管理辦公室 網(wǎng)絡(luò)安全部網(wǎng)絡(luò)安全部物業(yè)行政管理部物業(yè)行政管理部 各各 大大 部部 門門 信信 管管 辦辦 各各 子子 公公 司司 信信 管管 辦辦 各各 部部 門門 信信 息息 安安 全全 專專 員員 團(tuán)團(tuán) 隊(duì)隊(duì) 國(guó)國(guó) 內(nèi)內(nèi) 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 海海

8、 外外 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 分管高官分管高官 2021-5-2013 管理手段管理手段 技術(shù)手段技術(shù)手段 信息安全管理與技術(shù)手段的有機(jī)融合運(yùn)作信息安全管理與技術(shù)手段的有機(jī)融合運(yùn)作 2021-5-2014 內(nèi)內(nèi) 部部 網(wǎng)網(wǎng) 研研 發(fā)發(fā) 網(wǎng)網(wǎng) 非非 研研 發(fā)發(fā) 網(wǎng)網(wǎng) InternetInternet 安全安全VPNVPN 分支機(jī)構(gòu)防火墻分支機(jī)構(gòu)防火墻 數(shù)據(jù)中心數(shù)據(jù)中心 交換機(jī) ERP文件共享 E-mail 分支機(jī)構(gòu)分支機(jī)構(gòu) 控制臺(tái)控制臺(tái) IDS 流 量 鏡 像 監(jiān)控引擎監(jiān)控引擎 入侵檢測(cè)入侵檢測(cè)WEB監(jiān)控監(jiān)控郵件監(jiān)控郵件監(jiān)控MSN監(jiān)控監(jiān)控文件傳輸監(jiān)控文件傳輸監(jiān)控會(huì)話監(jiān)控會(huì)話監(jiān)

9、控服務(wù)器監(jiān)控服務(wù)器監(jiān)控 安全安全VPNVPN 外外 部部 網(wǎng)網(wǎng) DMZDMZ區(qū)區(qū) 遠(yuǎn)遠(yuǎn) 端端 用用 戶戶 標(biāo)桿如何做到網(wǎng)路安全的有序控制？標(biāo)桿如何做到網(wǎng)路安全的有序控制？ OA 及 其 他 系 統(tǒng) 內(nèi)、外入侵 行為監(jiān)管 隔離梳理研發(fā) 與非研發(fā)網(wǎng)絡(luò) 安全梳理服務(wù) 器區(qū)域 2021-5-2015 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標(biāo)桿信息安全有序管理標(biāo)桿 如何有效建設(shè)企業(yè)信息安全體系如何有效建設(shè)企業(yè)信息安全體系 關(guān)鍵成功因素關(guān)鍵成功因素 2021-5-2016 什么是信息安全 安全 安全 安 全 安 全 信息 威脅 弱點(diǎn) 完整性 保護(hù)信息

10、及其處理步驟保護(hù)信息及其處理步驟 不被未授權(quán)的修改不被未授權(quán)的修改 可用性 確保信息能夠被確保信息能夠被 授權(quán)的用戶授權(quán)的用戶 在需要時(shí)訪問在需要時(shí)訪問 風(fēng)險(xiǎn) 確保信息只被確保信息只被 授權(quán)的人訪問授權(quán)的人訪問 保密性 信息安全關(guān)注的信息安全關(guān)注的“三性三性” 2021-5-2017 信息安全之路4P 安全 策略與流程 (P Policy & P Process) 專業(yè)團(tuán)隊(duì) P People 支撐產(chǎn)品 (P(Product) ) 2021-5-2018 信息安全的組成領(lǐng)域總攬 信信 息息 安安 全全 11 11個(gè)控制領(lǐng)域個(gè)控制領(lǐng)域 3939個(gè)控制目標(biāo)個(gè)控制目標(biāo) 133133個(gè)控制項(xiàng)個(gè)控制項(xiàng) 安

11、全制度及流程 技術(shù)措施 管理措施 11 通信與操作管理 10 業(yè)務(wù)連 續(xù)性管理 2 組織安全 3 資產(chǎn)分類與控制 5 物理及環(huán)境安全 8 符合性 4 系統(tǒng)與維護(hù) 9信息安全事 件管理 6 訪問控制 7人員安全 1 安全策略 2021-5-2019 安全風(fēng)險(xiǎn)控制方案設(shè)計(jì)過程 23451 2021-5-2020 企業(yè)信息安全管理體系(ISMS)建設(shè) 做什么 怎么做 把計(jì)劃方案 轉(zhuǎn)化成現(xiàn)實(shí) 實(shí)際的情 況是否與 計(jì)劃一樣 得到控制 下一步 如何優(yōu)化 建立與公司策略與目標(biāo)相適宜的安全建立與公司策略與目標(biāo)相適宜的安全 策略、對(duì)象、目標(biāo)、流程活動(dòng)等，聚策略、對(duì)象、目標(biāo)、流程活動(dòng)等，聚 焦于風(fēng)險(xiǎn)管理和提升信息

12、的安全狀態(tài)。焦于風(fēng)險(xiǎn)管理和提升信息的安全狀態(tài)。 1.1.發(fā)起建設(shè)發(fā)起建設(shè)ISMSISMS 實(shí)施與運(yùn)作各類安全策略、控制，以及安全流程與活動(dòng)。實(shí)施與運(yùn)作各類安全策略、控制，以及安全流程與活動(dòng)。 2.2.實(shí)施與運(yùn)作實(shí)施與運(yùn)作ISMSISMS 基于安全策略，評(píng)估、度量各安全控基于安全策略，評(píng)估、度量各安全控 制過程的實(shí)際效用；制過程的實(shí)際效用； 形成評(píng)估結(jié)果報(bào)告提交管理層審視。形成評(píng)估結(jié)果報(bào)告提交管理層審視。 3.3.監(jiān)控與審視監(jiān)控與審視ISMSISMS 基于管理層對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果基于管理層對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果( (步驟步驟3 3的輸出的輸出) )的審視意見，采取的審視意見，采取 正確有效的正確有效的ISM

13、SISMS持續(xù)改進(jìn)措施。持續(xù)改進(jìn)措施。 4.4.維護(hù)與改進(jìn)維護(hù)與改進(jìn)ISMSISMS 計(jì)劃計(jì)劃 行動(dòng)行動(dòng) 檢查檢查 改進(jìn)改進(jìn) 做什么 怎么做 把計(jì)劃方案 轉(zhuǎn)化成現(xiàn)實(shí) 實(shí)際的情 況是否與 計(jì)劃一樣 得到控制 下一步 如何優(yōu)化 輸入輸入 輸出輸出 2021-5-2021 安全工作模塊總攬安全工作模塊總攬 安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn) 評(píng)估評(píng)估 安全基礎(chǔ)安全基礎(chǔ) 安全功能安全功能 安全優(yōu)化安全優(yōu)化 安全戰(zhàn)略安全戰(zhàn)略 安全管理安全管理安全技術(shù)安全技術(shù) 防火墻和防火墻和 邊界隔離邊界隔離 安全區(qū)域定安全區(qū)域定 義和劃分義和劃分 安全組織和安全組織和 責(zé)任劃分責(zé)任劃分 企業(yè)安全策企業(yè)安全策 略定義略定義 信息資產(chǎn)分信

14、息資產(chǎn)分 類和分級(jí)類和分級(jí) 緊急響應(yīng)緊急響應(yīng) 機(jī)制機(jī)制 業(yè)務(wù)持續(xù)業(yè)務(wù)持續(xù) 計(jì)劃計(jì)劃 核心安全核心安全 標(biāo)準(zhǔn)標(biāo)準(zhǔn)/流程流程 安全變更安全變更 管理管理 安全補(bǔ)丁安全補(bǔ)丁 管理管理 安全備份安全備份 管理管理 其它安全其它安全 標(biāo)準(zhǔn)標(biāo)準(zhǔn)/流程流程 安全培訓(xùn)安全培訓(xùn) 與教育與教育 第三方安全第三方安全 控制要求控制要求 安全策略和安全策略和 標(biāo)準(zhǔn)修訂標(biāo)準(zhǔn)修訂 系統(tǒng)安全系統(tǒng)安全 強(qiáng)化強(qiáng)化 網(wǎng)絡(luò)入侵檢網(wǎng)絡(luò)入侵檢 測(cè)體系測(cè)體系 高危數(shù)據(jù)高危數(shù)據(jù) 傳輸加密傳輸加密 關(guān)鍵系統(tǒng)關(guān)鍵系統(tǒng) 日志記錄日志記錄 病毒防范病毒防范 機(jī)制機(jī)制 身份認(rèn)證身份認(rèn)證 體系體系 訪問控制訪問控制 體系體系 可用性與可用性與 冗余性

15、冗余性 遠(yuǎn)程訪問遠(yuǎn)程訪問 安全機(jī)制安全機(jī)制 時(shí)間同步時(shí)間同步 機(jī)制機(jī)制 集中安全集中安全 審計(jì)體系審計(jì)體系 安全事件安全事件 管理平臺(tái)管理平臺(tái) 企業(yè)身份企業(yè)身份 認(rèn)證平臺(tái)認(rèn)證平臺(tái) 其它內(nèi)容其它內(nèi)容 安全機(jī)制安全機(jī)制 其它數(shù)據(jù)傳其它數(shù)據(jù)傳 輸加密輸加密 主機(jī)入侵主機(jī)入侵 檢測(cè)體系檢測(cè)體系 數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ) 安全體系安全體系 安全體系全面整合和控管安全體系全面整合和控管 國(guó)際或國(guó)內(nèi)安全認(rèn)證國(guó)際或國(guó)內(nèi)安全認(rèn)證 2021-5-2022 如何搭建企業(yè)信息安全防御大廈？ 怎么做？怎么做？HowHow 誰做？誰做？WhoWho 什么時(shí)候做？什么時(shí)候做？WhenWhen 做什么？做什么？WhatWhat公司安

16、全大廈 What is the Base WhatWhatWhatWhatWhatWhat 2021-5-2023 做什么？做什么？WhatWhat 這三項(xiàng)，是業(yè)界標(biāo)桿用重金構(gòu)建起來、用成功實(shí)踐 證明了的安全大廈的“脊梁” 信息安全大廈的脊梁是什么？信息安全大廈的脊梁是什么？ 公司安全大廈公司安全大廈 公司安全大廈堅(jiān)固的基石是什么？公司安全大廈堅(jiān)固的基石是什么？ WhatWhatWhatWhat WhatWhat 建立信息建立信息安全文件體系安全文件體系框架框架 建立公司信息建立公司信息安全組織安全組織架構(gòu)架構(gòu) 建立初級(jí)的建立初級(jí)的管理與技術(shù)支撐體系管理與技術(shù)支撐體系 2021-5-2024

17、建立并落實(shí)公司信息安全文件體系框架建立并落實(shí)公司信息安全文件體系框架 確定公司信息 安全類文件體系架構(gòu) 確定各層文件內(nèi)容框 架及編撰的責(zé)任部門 12 確立公司信息安全綱領(lǐng)性文件 3 建立公司安全策略被執(zhí)行的確 保機(jī)制和各類流程模板 安全文件體系架構(gòu)安全文件體系架構(gòu)安全綱領(lǐng)性文件安全綱領(lǐng)性文件安全基準(zhǔn)獎(jiǎng)懲制度安全基準(zhǔn)獎(jiǎng)懲制度 2021-5-2025 建立公司信息安全組織架構(gòu) 公司信息安全監(jiān)管委員會(huì)公司信息安全監(jiān)管委員會(huì) 信息安全部信息安全部 （全球信息安全管理辦公室（全球信息安全管理辦公室） 網(wǎng)絡(luò)安全部網(wǎng)絡(luò)安全部物業(yè)行政管理部物業(yè)行政管理部 各各 大大 部部 門門 信信 管管 辦辦 各各 子子

18、公公 司司 信信 管管 辦辦 各各 部部 門門 信信 息息 安安 全全 專專 員員 團(tuán)團(tuán) 隊(duì)隊(duì) 國(guó)國(guó) 內(nèi)內(nèi) 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 海海 外外 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 公司高管公司高管 業(yè)界最佳實(shí)踐安全組織架構(gòu) 2021-5-2026 技術(shù)監(jiān)控技術(shù)監(jiān)控 管理監(jiān)控管理監(jiān)控 技技 術(shù)術(shù) 監(jiān)監(jiān) 控控 管管 理理 監(jiān)監(jiān) 控控 建立初級(jí)的管理與技術(shù)支撐體系 2021-5-2027 技術(shù)支撐體系技術(shù)支撐體系 公司的信息安全技術(shù)公司的信息安全技術(shù) 架構(gòu)體系，包括但不架構(gòu)體系，包括但不 限于以下信息安全策限于以下信息安全策 略支撐工具略支撐工具 1.網(wǎng)關(guān)安全防御系統(tǒng)（入侵檢

19、測(cè)、入侵防御系統(tǒng)）。 2.終端計(jì)算機(jī)上網(wǎng)行為監(jiān)管系統(tǒng)。 3.核心文檔、代碼等電子信息加密工具。 4.計(jì)算機(jī)端口、打印機(jī)監(jiān)控工具。 5.終端計(jì)算機(jī)監(jiān)控檢查與安全接入控制工具。 6.移動(dòng)計(jì)算機(jī)設(shè)備、移動(dòng)存儲(chǔ)介質(zhì)安全認(rèn)證工具。 7.防火墻、防病毒、容災(zāi)備份等系統(tǒng)和工具 2021-5-2028 信息安全評(píng)估和差距分 析 建立信息安全組織和政 策體系 初步推行和落實(shí)信息安 全管理體系 啟動(dòng)信息安全基礎(chǔ)設(shè)置 建設(shè) 實(shí)現(xiàn)監(jiān)控的制度化， 流程化和經(jīng)?；?建立安全配置管理， 實(shí)現(xiàn)安全風(fēng)險(xiǎn)的量化 管理機(jī)制 建立安全管理持續(xù) 優(yōu)化機(jī)制 全面審視，優(yōu)化和深 化信息安全管理體系 建立整體的信息安 全防護(hù)體系 建立集中監(jiān)

20、控平臺(tái) 建立數(shù)據(jù)中心和應(yīng) 急機(jī)制 基礎(chǔ)保證基礎(chǔ)保證 策略固化策略固化 集中建設(shè)集中建設(shè) 20 xx.xx20 xx.xx20 xx.xx20 xx.xx 企業(yè)信息安全管理體系建設(shè)總體計(jì)劃示意企業(yè)信息安全管理體系建設(shè)總體計(jì)劃示意 2021-5-2029 項(xiàng)目質(zhì)量管理與風(fēng)險(xiǎn)控制項(xiàng)目質(zhì)量管理與風(fēng)險(xiǎn)控制ISO27001ISO27001安全體系建設(shè)安全體系建設(shè) 項(xiàng)目群實(shí)施總體進(jìn)度計(jì)劃項(xiàng)目群實(shí)施總體進(jìn)度計(jì)劃 公司安全組公司安全組 織架構(gòu)搭建織架構(gòu)搭建 項(xiàng)目項(xiàng)目 20 xx.xx20 xx.xx 15301515151515151530303030303030 日常安全狀態(tài)日常安全狀態(tài) 檢查與監(jiān)管項(xiàng)檢查與監(jiān)

21、管項(xiàng) 公司電子文公司電子文 檔安全內(nèi)控檔安全內(nèi)控 項(xiàng)目項(xiàng)目 研發(fā)網(wǎng)絡(luò)安研發(fā)網(wǎng)絡(luò)安 全隔離項(xiàng)目全隔離項(xiàng)目 公司物理環(huán)公司物理環(huán) 境安全優(yōu)化境安全優(yōu)化 項(xiàng)目項(xiàng)目 12345 項(xiàng)項(xiàng) 目目 成成 功功 完完 成成 文檔安全項(xiàng)目成果為重要支撐環(huán)節(jié)，其關(guān)閉后試運(yùn)行一個(gè)月，研發(fā)網(wǎng)絡(luò)隔離項(xiàng)目文檔安全項(xiàng)目成果為重要支撐環(huán)節(jié)，其關(guān)閉后試運(yùn)行一個(gè)月，研發(fā)網(wǎng)絡(luò)隔離項(xiàng)目 關(guān)閉關(guān)閉 4 安全組織架構(gòu)項(xiàng)目 項(xiàng)項(xiàng) 目目 成成 功功 完完 成成 1 例行維護(hù)與優(yōu)化例行維護(hù)與優(yōu)化 項(xiàng)項(xiàng) 目目 成成 功功 完完 成成 配合秘書體系建設(shè)項(xiàng)目，部分工作進(jìn)度視情況作調(diào)整 2 例行維護(hù)與優(yōu)化例行維護(hù)與優(yōu)化 物理環(huán)境安全優(yōu)化項(xiàng)目 項(xiàng)項(xiàng) 目目

22、 成成 功功 完完 成成 5 例行維護(hù)與優(yōu)化例行維護(hù)與優(yōu)化 電子文檔安全項(xiàng)目 項(xiàng)項(xiàng) 目目 成成 功功 完完 成成 3 例行維護(hù)與優(yōu)化例行維護(hù)與優(yōu)化 20 xx.xx20 xx.xx 20 xx.xx20 xx.xx 20 xx.xx20 xx.xx 20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx 2021-5-2030 項(xiàng)目質(zhì)量管理與風(fēng)險(xiǎn)控制項(xiàng)目質(zhì)量管理與風(fēng)險(xiǎn)控制WBSWBS分解計(jì)劃分解計(jì)劃 詳細(xì)信息雙擊此文件展開詳細(xì)信息雙擊此文件展開 2021-5-2031 項(xiàng)目質(zhì)量管理與風(fēng)險(xiǎn)控制項(xiàng)目質(zhì)量管理與風(fēng)險(xiǎn)控制甘特圖甘

23、特圖 2021-5-2032 項(xiàng)目群風(fēng)險(xiǎn)控制項(xiàng)目群風(fēng)險(xiǎn)控制主要風(fēng)險(xiǎn)及控制措施主要風(fēng)險(xiǎn)及控制措施 風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制措施控制措施 1.1.安全人力薄弱，項(xiàng)目實(shí)施進(jìn)度延安全人力薄弱，項(xiàng)目實(shí)施進(jìn)度延 遲，影響業(yè)務(wù)部門對(duì)安全項(xiàng)目建遲，影響業(yè)務(wù)部門對(duì)安全項(xiàng)目建 設(shè)的信心設(shè)的信心 1.1.成立跨部門項(xiàng)目組，關(guān)聯(lián)部門領(lǐng)成立跨部門項(xiàng)目組，關(guān)聯(lián)部門領(lǐng) 導(dǎo)給予有力的人力的支持；信息導(dǎo)給予有力的人力的支持；信息 安全部確定安全兼職人員，補(bǔ)充安全部確定安全兼職人員，補(bǔ)充 安全力量。安全力量。 2.2.安全組織結(jié)構(gòu)調(diào)整后，相關(guān)部門安全組織結(jié)構(gòu)調(diào)整后，相關(guān)部門 并不配合安全專業(yè)機(jī)構(gòu)的工作，并不配合安全專業(yè)機(jī)構(gòu)的工作， 或者推諉

24、，造成安全項(xiàng)目質(zhì)量受或者推諉，造成安全項(xiàng)目質(zhì)量受 到嚴(yán)重影響到嚴(yán)重影響 2.2.完善績(jī)效考評(píng)機(jī)制。確認(rèn)對(duì)部門完善績(jī)效考評(píng)機(jī)制。確認(rèn)對(duì)部門 及安全工作人員的績(jī)效，公司信及安全工作人員的績(jī)效，公司信 息安全監(jiān)管委員會(huì)或信息安全部息安全監(jiān)管委員會(huì)或信息安全部 有建議權(quán)有建議權(quán)。 3.3.安全專業(yè)人員目前無安全專業(yè)人員目前無“備份備份”力力 量，公司安全大廈搭建起來以后量，公司安全大廈搭建起來以后 ，影響安全整體的運(yùn)作質(zhì)量，影響安全整體的運(yùn)作質(zhì)量 3.3.關(guān)注培養(yǎng)公司內(nèi)部信息安全人員關(guān)注培養(yǎng)公司內(nèi)部信息安全人員 ，加大引入有經(jīng)驗(yàn)的專業(yè)安全人，加大引入有經(jīng)驗(yàn)的專業(yè)安全人 員力度員力度 2021-5-2033 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標(biāo)桿信息安全有序管理標(biāo)桿 如何有效建設(shè)企業(yè)信息安全體系如何有效建設(shè)企業(yè)信息安全體系 關(guān)鍵成功因素關(guān)鍵成功因素 2021-5-2034 信息安全方針、目標(biāo)和活動(dòng)反映業(yè)務(wù)目標(biāo) 關(guān)鍵成功因素 2021-5-2035 與組織文化一致的信 息安全方法 關(guān)鍵成功因素 2021-5-2036 所有管理層可見的支持和承諾 關(guān)鍵成功因素 2021-5-2037 對(duì)信息安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理 有好的理解 關(guān)鍵成