企業(yè)信息安全體系建設計劃書

1、會計學1企業(yè)信息安全體系建設計劃書企業(yè)信息安全體系建設計劃書2022-5-112管理工程部 鄧生品 2008年12月24日企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀信息安全有序管理標桿信息安全有序管理標桿如何有效建設企業(yè)信息安全體系如何有效建設企業(yè)信息安全體系關鍵成功因素關鍵成功因素2022-5-113公司生存、發(fā)展、壯大的推動，加上上市、融資、品牌建設的需求驅使，商業(yè)秘密、技術秘密等核心競爭力信息的規(guī)范有序流轉與運用要求越來越明顯。公司大部分員工總體信息安全意識比較淡薄；各部門日常安全管理工作基本空白；公司沒有形成系統(tǒng)化的安全管理持續(xù)優(yōu)化系統(tǒng)。12企業(yè)信息安全壓力與挑戰(zhàn)企業(yè)信息安全壓力與挑戰(zhàn)2022-

2、5-114物理安物理安全現(xiàn)狀全現(xiàn)狀企業(yè)信息企業(yè)信息安全現(xiàn)狀安全現(xiàn)狀網絡安網絡安全現(xiàn)狀全現(xiàn)狀人員安人員安全現(xiàn)狀全現(xiàn)狀企業(yè)信息安全現(xiàn)狀簡報企業(yè)信息安全現(xiàn)狀簡報2022-5-115問題重重疊加，風險時時攀升問題重重疊加，風險時時攀升公司內部研發(fā)網絡和非研發(fā)網絡整體互通，內部辦公網與外部互聯(lián)網整體互通，信息交流缺乏監(jiān)控。公司內部員工郵箱收發(fā)權限基本全部放開，但同時沒有有效監(jiān)控。公司數據中心缺乏規(guī)范有序的容災備份機制，缺乏規(guī)范的災難恢復計劃和演練機制，沒有業(yè)務連續(xù)性計劃和應對措施辦公網絡上各類密級的信息無序流轉，無分層分級控制和對應密級的安全管理網絡安全現(xiàn)狀列舉網絡安全現(xiàn)狀列舉2022-5-116n T

3、FJLLO;PO.J.IPOFIHJKGHLKGn NFGNJHGC, ,MS打印機、傳真機等敏感設備放置在非受控的安全區(qū)域，設備所在部門也未落實有效監(jiān)督。公司研發(fā)等重要場地，存儲和攝像功能的設備使用很隨意。非公司人員進出公司大樓來訪證監(jiān)管不力，容易被鉆空子帶來隱患。使用公共區(qū)域的打印機、傳真機、復印機，經常有敏感文件遺漏，所在部門也無人管理。公司重要場地進出缺乏有效登記，門禁在人員變動時的權限調整無統(tǒng)一定期審視清理，出現(xiàn)重大安全事故時追求困難。問題重重疊加，風險時時攀升問題重重疊加，風險時時攀升物理安全現(xiàn)狀舉例物理安全現(xiàn)狀舉例2022-5-117沒有執(zhí)行檢查監(jiān)督和獎懲機制，也沒有檢查模板和獎

4、懲標準員工內部轉崗或離職時，訪問控制變更缺乏有效監(jiān)督未對不同崗位在職位描述書中加入安全方面的責任要求，特別是敏感崗位招聘環(huán)節(jié)人員篩選和背景調查工作比較薄弱，敏感崗位人員入職未簽訂專門的保密協(xié)議。缺乏規(guī)范有序的人員信息安全意識培訓，也不知道如何培訓和培訓什么問題重重疊加，風險時時攀升問題重重疊加，風險時時攀升人員安全現(xiàn)狀舉例人員安全現(xiàn)狀舉例2022-5-118企業(yè)信息安全狀態(tài)圖解企業(yè)信息安全狀態(tài)圖解無規(guī)范安全防御與無規(guī)范安全防御與評估體系，評估體系，表面太平表面太平建立管理組織體建立管理組織體系、采取周期評系、采取周期評估優(yōu)化措施估優(yōu)化措施安全規(guī)范可控，安全規(guī)范可控，不斷優(yōu)化不斷優(yōu)化破產破產損失

5、慘重損失慘重基本無力回天基本無力回天重大事故發(fā)生時重大事故發(fā)生時“救火救火”安全安全水平水平$安全形勢越來越嚴峻安全形勢越來越嚴峻麻痹者跌倒后，可能將永遠倒下麻痹者跌倒后，可能將永遠倒下2022-5-119管理工程部 鄧生品 2008年12月24日企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀信息安全有序管理標桿信息安全有序管理標桿如何有效建設企業(yè)信息安全體系如何有效建設企業(yè)信息安全體系關鍵成功因素關鍵成功因素2022-5-1110標桿企業(yè)信息安全管理體系標桿企業(yè)信息安全管理體系信息安全文件體系信息安全文件體系信息安全管理組織信息安全管理組織技術支撐體系技術支撐體系 03年起，標桿公司持續(xù)投入重金，根據IS

6、O27001標準，構建設置了其信息 安全管理體系，并通過了認證。 有目共睹的事實證明，這個體系的運作，推動了標桿公司這列“火車”的市場更加高效、安全平穩(wěn)地前行與增長，2022-5-1111構架規(guī)范的持續(xù)優(yōu)化的信息安全文件金字塔體系構架規(guī)范的持續(xù)優(yōu)化的信息安全文件金字塔體系各分支領域安全管理規(guī)定各分支領域安全管理規(guī)定安全手冊安全手冊操作指導、模板等操作指導、模板等各類記錄表、檢查表各類記錄表、檢查表2022-5-1112 信息安全文件金字塔體系各層級文件列舉信息安全文件金字塔體系各層級文件列舉2022-5-1113上下一體的的信息安全組織架構上下一體的的信息安全組織架構公司信息安全監(jiān)管委員會公司

7、信息安全監(jiān)管委員會全球信息安全管理辦公室全球信息安全管理辦公室網絡安全部網絡安全部物業(yè)行政管理部物業(yè)行政管理部各各大大部部門門信信管管辦辦各各子子公公司司信信管管辦辦各各部部門門信信息息安安全全專專員員團團隊隊國國內內各各地地物物業(yè)業(yè)安安全全處處海海外外各各地地物物業(yè)業(yè)安安全全處處分管高官分管高官2022-5-1114管理手段管理手段技術手段技術手段信息安全管理與技術手段的有機融合運作信息安全管理與技術手段的有機融合運作2022-5-1115內內部部網網研研發(fā)發(fā)網網非非研研發(fā)發(fā)網網InternetInternet安全安全VPNVPN分支機構防火墻分支機構防火墻數據中心數據中心交換機ERP文件共

8、享E-mail分支機構分支機構控制臺控制臺IDS流量鏡像監(jiān)控引擎監(jiān)控引擎入侵檢測入侵檢測WEB監(jiān)控監(jiān)控郵件監(jiān)控郵件監(jiān)控MSN監(jiān)控監(jiān)控文件傳輸監(jiān)控文件傳輸監(jiān)控會話監(jiān)控會話監(jiān)控服務器監(jiān)控服務器監(jiān)控安全安全VPNVPN外外部部網網DMZDMZ區(qū)區(qū)遠遠端端用用戶戶標桿如何做到網路安全的有序控制？標桿如何做到網路安全的有序控制？OA及其他系統(tǒng)內、外入侵行為監(jiān)管隔離梳理研發(fā)與非研發(fā)網絡安全梳理服務器區(qū)域2022-5-1116管理工程部 鄧生品 2008年12月24日企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀信息安全有序管理標桿信息安全有序管理標桿如何有效建設企業(yè)信息安全體系如何有效建設企業(yè)信息安全體系關鍵成功因素關

9、鍵成功因素2022-5-1117什么是信息安全安全安全安全安全信息威脅弱點完整性保護信息及其處理步驟保護信息及其處理步驟不被未授權的修改不被未授權的修改可用性確保信息能夠被確保信息能夠被授權的用戶授權的用戶在需要時訪問在需要時訪問風險確保信息只被確保信息只被授權的人訪問授權的人訪問保密性信息安全關注的信息安全關注的“三性三性”2022-5-1118信息安全之路4P安全策略與流程(P Policy & P Process)專業(yè)團隊P People支撐產品(P(Product) )2022-5-1119信息安全的組成領域總攬信信息息安安全全 11 11個控制領域個控制領域 3939個控制目標個控制

10、目標 133133個控制項個控制項安全制度及流程技術措施管理措施11 通信與操作管理10 業(yè)務連續(xù)性管理2 組織安全3 資產分類與控制 5 物理及環(huán)境安全8 符合性4 系統(tǒng)與維護9信息安全事件管理6 訪問控制 7人員安全1 安全策略2022-5-1120安全風險控制方案設計過程234512022-5-1121企業(yè)信息安全管理體系(ISMS)建設做什么怎么做把計劃方案轉化成現(xiàn)實實際的情況是否與計劃一樣得到控制下一步如何優(yōu)化建立與公司策略與目標相適宜的安全建立與公司策略與目標相適宜的安全策略、對象、目標、流程活動等，聚策略、對象、目標、流程活動等，聚焦于風險管理和提升信息的安全狀態(tài)。焦于風險管理和

11、提升信息的安全狀態(tài)。1.1.發(fā)起建設發(fā)起建設ISMSISMS實施與運作各類安全策略、控制，以及安全流程與活動。實施與運作各類安全策略、控制，以及安全流程與活動。2.2.實施與運作實施與運作ISMSISMS基于安全策略，評估、度量各安全控基于安全策略，評估、度量各安全控制過程的實際效用；制過程的實際效用；形成評估結果報告提交管理層審視。形成評估結果報告提交管理層審視。3.3.監(jiān)控與審視監(jiān)控與審視ISMSISMS基于管理層對風險評估結果基于管理層對風險評估結果( (步驟步驟3 3的輸出的輸出) )的審視意見，采取的審視意見，采取正確有效的正確有效的ISMSISMS持續(xù)改進措施。持續(xù)改進措施。4.4

12、.維護與改進維護與改進ISMSISMS計劃計劃行動行動檢查檢查改進改進做什么怎么做把計劃方案轉化成現(xiàn)實實際的情況是否與計劃一樣得到控制下一步如何優(yōu)化輸入輸入輸出輸出2022-5-1122安全工作模塊總攬安全工作模塊總攬安全風險安全風險 評估評估安全基礎安全基礎安全功能安全功能安全優(yōu)化安全優(yōu)化安全戰(zhàn)略安全戰(zhàn)略安全管理安全管理安全技術安全技術防火墻和防火墻和 邊界隔離邊界隔離安全區(qū)域定安全區(qū)域定義和劃分義和劃分安全組織和安全組織和 責任劃分責任劃分企業(yè)安全策企業(yè)安全策略定義略定義信息資產分信息資產分類和分級類和分級緊急響應緊急響應 機制機制業(yè)務持續(xù)業(yè)務持續(xù) 計劃計劃核心安全核心安全 標準標準/流程

13、流程安全變更安全變更 管理管理安全補丁安全補丁 管理管理安全備份安全備份 管理管理其它安全其它安全 標準標準/流程流程安全培訓安全培訓與教育與教育第三方安全第三方安全控制要求控制要求安全策略和安全策略和標準修訂標準修訂系統(tǒng)安全系統(tǒng)安全 強化強化網絡入侵檢網絡入侵檢測體系測體系高危數據高危數據 傳輸加密傳輸加密關鍵系統(tǒng)關鍵系統(tǒng) 日志記錄日志記錄病毒防范病毒防范 機制機制身份認證身份認證 體系體系訪問控制訪問控制 體系體系可用性與可用性與 冗余性冗余性遠程訪問遠程訪問 安全機制安全機制時間同步時間同步 機制機制集中安全集中安全 審計體系審計體系安全事件安全事件 管理平臺管理平臺企業(yè)身份企業(yè)身份 認

14、證平臺認證平臺其它內容其它內容 安全機制安全機制其它數據傳其它數據傳輸加密輸加密主機入侵主機入侵 檢測體系檢測體系數據存儲數據存儲 安全體系安全體系安全體系全面整合和控管安全體系全面整合和控管國際或國內安全認證國際或國內安全認證2022-5-1123怎么做？怎么做？HowHow誰做？誰做？WhoWho什么時候做？什么時候做？WhenWhen做什么？做什么？WhatWhat公司安全大廈What is the BaseWhatWhatWhatWhatWhatWhat2022-5-1124 做什么？做什么？WhatWhat這三項，是業(yè)界標桿用重金構建起來、用成功實踐證明了的安全大廈的“脊梁”信息安全

15、大廈的脊梁是什么？信息安全大廈的脊梁是什么？公司安全大廈公司安全大廈公司安全大廈堅固的基石是什么？公司安全大廈堅固的基石是什么？WhatWhatWhatWhatWhatWhat建立信息建立信息安全文件體系安全文件體系框架框架建立公司信息建立公司信息安全組織安全組織架構架構建立初級的建立初級的管理與技術支撐體系管理與技術支撐體系2022-5-1125建立并落實公司信息安全文件體系框架建立并落實公司信息安全文件體系框架確定公司信息安全類文件體系架構 確定各層文件內容框架及編撰的責任部門12確立公司信息安全綱領性文件3建立公司安全策略被執(zhí)行的確保機制和各類流程模板安全文件體系架構安全文件體系架構安全

16、綱領性文件安全綱領性文件安全基準獎懲制度安全基準獎懲制度2022-5-1126建立公司信息安全組織架構公司信息安全監(jiān)管委員會公司信息安全監(jiān)管委員會信息安全部信息安全部（全球信息安全管理辦公室（全球信息安全管理辦公室）網絡安全部網絡安全部物業(yè)行政管理部物業(yè)行政管理部各各大大部部門門信信管管辦辦各各子子公公司司信信管管辦辦各各部部門門信信息息安安全全專專員員團團隊隊國國內內各各地地物物業(yè)業(yè)安安全全處處海海外外各各地地物物業(yè)業(yè)安安全全處處公司高管公司高管 業(yè)界最佳實踐安全組織架構2022-5-1127技術監(jiān)控技術監(jiān)控管理監(jiān)控管理監(jiān)控技技術術監(jiān)監(jiān)控控管管理理監(jiān)監(jiān)控控建立初級的管理與技術支撐體系2022

17、-5-1128技術支撐體系技術支撐體系公司的信息安全技術公司的信息安全技術架構體系，包括但不架構體系，包括但不限于以下信息安全策限于以下信息安全策略支撐工具略支撐工具1.網關安全防御系統(tǒng)（入侵檢測、入侵防御系統(tǒng)）。2.終端計算機上網行為監(jiān)管系統(tǒng)。3.核心文檔、代碼等電子信息加密工具。4.計算機端口、打印機監(jiān)控工具。5.終端計算機監(jiān)控檢查與安全接入控制工具。6.移動計算機設備、移動存儲介質安全認證工具。7.防火墻、防病毒、容災備份等系統(tǒng)和工具2022-5-1129信息安全評估和差距分析建立信息安全組織和政策體系 初步推行和落實信息安全管理體系啟動信息安全基礎設置建設實現(xiàn)監(jiān)控的制度化，流程化和經常

18、化建立安全配置管理，實現(xiàn)安全風險的量化管理機制 建立安全管理持續(xù)優(yōu)化機制全面審視，優(yōu)化和深化信息安全管理體系建立整體的信息安全防護體系建立集中監(jiān)控平臺建立數據中心和應急機制基礎保證基礎保證策略固化策略固化集中建設集中建設20 xx.xx20 xx.xx20 xx.xx20 xx.xx企業(yè)信息安全管理體系建設總體計劃示意企業(yè)信息安全管理體系建設總體計劃示意2022-5-1130項目質量管理與風險控制項目質量管理與風險控制ISO27001ISO27001安全體系建設安全體系建設項目群實施總體進度計劃項目群實施總體進度計劃公司安全組公司安全組織架構搭建織架構搭建項目項目20 xx.xx20 xx.x

19、x15301515151515151530303030303030日常安全狀態(tài)日常安全狀態(tài)檢查與監(jiān)管項檢查與監(jiān)管項公司電子文公司電子文檔安全內控檔安全內控項目項目研發(fā)網絡安研發(fā)網絡安全隔離項目全隔離項目公司物理環(huán)公司物理環(huán)境安全優(yōu)化境安全優(yōu)化項目項目12345項項目目成成功功完完成成文檔安全項目成果為重要支撐環(huán)節(jié)，其關閉后試運行一個月，研發(fā)網絡隔離項目文檔安全項目成果為重要支撐環(huán)節(jié)，其關閉后試運行一個月，研發(fā)網絡隔離項目關閉關閉4 安全組織架構項目項項目目成成功功完完成成1例行維護與優(yōu)化例行維護與優(yōu)化項項目目成成功功完完成成配合秘書體系建設項目，部分工作進度視情況作調整2例行維護與優(yōu)化例行維護

20、與優(yōu)化物理環(huán)境安全優(yōu)化項目項項目目成成功功完完成成5例行維護與優(yōu)化例行維護與優(yōu)化電子文檔安全項目項項目目成成功功完完成成3例行維護與優(yōu)化例行維護與優(yōu)化20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx2022-5-1131項目質量管理與風險控制項目質量管理與風險控制WBSWBS分解計劃分解計劃詳細信息雙擊此文件展開詳細信息雙擊此文件展開2022-5-1132項目質量管理與風險控制項目質量管理與風險控制甘特圖甘特圖2022-

21、5-1133項目群風險控制項目群風險控制主要風險及控制措施主要風險及控制措施風險風險控制措施控制措施1.1.安全人力薄弱，項目實施進度延安全人力薄弱，項目實施進度延遲，影響業(yè)務部門對安全項目建遲，影響業(yè)務部門對安全項目建設的信心設的信心1.1.成立跨部門項目組，關聯(lián)部門領成立跨部門項目組，關聯(lián)部門領導給予有力的人力的支持；信息導給予有力的人力的支持；信息安全部確定安全兼職人員，補充安全部確定安全兼職人員，補充安全力量。安全力量。2.2.安全組織結構調整后，相關部門安全組織結構調整后，相關部門并不配合安全專業(yè)機構的工作，并不配合安全專業(yè)機構的工作，或者推諉，造成安全項目質量受或者推諉，造成安全項

22、目質量受到嚴重影響到嚴重影響2.2.完善績效考評機制。確認對部門完善績效考評機制。確認對部門及安全工作人員的績效，公司信及安全工作人員的績效，公司信息安全監(jiān)管委員會或信息安全部息安全監(jiān)管委員會或信息安全部有建議權有建議權。3.3.安全專業(yè)人員目前無安全專業(yè)人員目前無“備份備份”力力量，公司安全大廈搭建起來以后量，公司安全大廈搭建起來以后，影響安全整體的運作質量，影響安全整體的運作質量3.3.關注培養(yǎng)公司內部信息安全人員關注培養(yǎng)公司內部信息安全人員，加大引入有經驗的專業(yè)安全人，加大引入有經驗的專業(yè)安全人員力度員力度2022-5-1134管理工程部 鄧生品 2008年12月24日企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀信息安全有序管理標桿信息安全有序管理標桿如何有效建設企業(yè)信息安全體系如何有效建設企業(yè)信息安全體系關鍵成功因素關鍵成功因素2022-5-1135信息安全方針、目標和活動反映業(yè)務目標關鍵成功因素2022-5-1136與組織文化一致的信息安全方法關鍵成功因素2022-5-1137所有管理層可見的支持和承諾關鍵成功因素2022-5-1138 對信息安全要