公司公司文檔安全風(fēng)險(xiǎn)評(píng)估及控制措施.ppt

1、公司文檔信息安全現(xiàn)狀風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)控制措施,管理工程部 2008-10-6,Page 2,目錄,公司重要信息資料主要來(lái)源,自主投資研發(fā)的各類 核心產(chǎn)品及技術(shù)機(jī)密 信息,跟隨重點(diǎn)招募人才的、基 于其知識(shí)及經(jīng)驗(yàn)的各種專 業(yè)技術(shù)及管理文檔資料、 流失后將帶來(lái)重大商業(yè)隱 患的各種信息,同洲核心競(jìng)爭(zhēng)力 信息資產(chǎn),重大商業(yè)信息，如： 1.產(chǎn)品及市場(chǎng)發(fā)展規(guī)劃； 2.重要商務(wù)合同及競(jìng)價(jià)信息； 3.重要項(xiàng)目人員及骨干人力信息等,1,2,3,使用,文檔生命周期,產(chǎn)生,歸檔,退役,同洲文檔生命周期各環(huán)節(jié)點(diǎn)存放現(xiàn)狀,1,2,1,4,3,文檔信息兩大類流動(dòng)方向,部門內(nèi)部員工之間 部門與部門員工之間,公司內(nèi)部流動(dòng),公司與

2、友商之間 內(nèi)部員工與外界公司之間 內(nèi)部員工與外界個(gè)人之間,公司與外界之間流動(dòng),各種渠道,公司目前可用的各種文檔信息流動(dòng)渠道,Doc. number to be entered by Header and Footer,同洲機(jī)密信息,公司目前文檔信息安全控制現(xiàn)狀,安全技術(shù)控制現(xiàn)狀,安全管理控制現(xiàn)狀,同洲核心競(jìng)爭(zhēng)力信息,只有網(wǎng)絡(luò)邊界防火墻，無(wú)其他信息內(nèi)容監(jiān)管技術(shù)支持措施；,Internet上網(wǎng)權(quán)限基本全部開通，控制力度非常薄弱,公司辦公機(jī)器各類外連端口如USB口、網(wǎng)口等基本全部處于開放狀態(tài)；,公司物理辦公區(qū)域及辦公網(wǎng)絡(luò)沒(méi)有嚴(yán)格劃分安全等級(jí)和配套管理；,對(duì)于外發(fā)文檔、郵件等行為沒(méi)有相關(guān)權(quán)限控制及審批

3、機(jī)制；,公司沒(méi)有對(duì)各類文檔的機(jī)密級(jí)別定義和配套管理制度；,公司沒(méi)有統(tǒng)一如PDM文檔資料安全存放及管理系統(tǒng)；,對(duì)于員工收集留存的文檔、各系統(tǒng)文檔保存及使用情況等沒(méi)有規(guī)范化管理和安全審計(jì),整改前準(zhǔn)備,高層匯報(bào)整改收益，獲取支持,目標(biāo)用戶事前溝通、調(diào)查 分析統(tǒng)計(jì)回收意向選擇情況,用戶調(diào)查,高層溝通,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計(jì)劃,潛在風(fēng)險(xiǎn)及控制措施,請(qǐng)領(lǐng)導(dǎo)決策的決策點(diǎn),整改前準(zhǔn)備,高層匯報(bào)整改收益，獲取支持,目標(biāo)用戶事前溝通、調(diào)查 分析統(tǒng)計(jì)回收意向選擇情況,用戶調(diào)查,高層溝通,采用“回購(gòu)”方式，明晰“合資”便攜的所有人,整改方式,計(jì)算公式：回購(gòu)款購(gòu)買時(shí)對(duì)方出資總額*(5使用年

4、限)/5 （注：使用年限使用月數(shù)12，不足一月的以一月計(jì)算）,指依原關(guān)于個(gè)人申領(lǐng)筆記本電腦管理規(guī)定，個(gè)人與公司各出資一半購(gòu)買的便攜機(jī),便攜的使用統(tǒng)一為“配置”和“借用”兩種,便攜使用策略,一級(jí)部門總經(jīng)理以上領(lǐng)導(dǎo),因工作需要的其他人員，每次借用最長(zhǎng)時(shí)間6個(gè)月，可續(xù)借，次數(shù)不限,發(fā)放“便攜卡”，規(guī)范便攜機(jī)安全管理,登記管理,規(guī)范軟硬件資產(chǎn)安全管理 明晰公司資產(chǎn)與責(zé)任人 物業(yè)保安加強(qiáng)便攜出入檢查,根據(jù)業(yè)務(wù)性質(zhì)，對(duì)無(wú)須使用便攜的員工發(fā)放臺(tái)式辦公機(jī)器辦公,臺(tái)式機(jī)補(bǔ)充,管理工程部統(tǒng)一調(diào)撥管理,便攜發(fā)放統(tǒng)一管理責(zé)任部門,意義：由IT部門統(tǒng)一調(diào)撥管理，一方面責(zé)任明確，另一方面，利于便攜機(jī)IT參數(shù)統(tǒng)一配置、軟硬

5、件安裝檢查、安全策略實(shí)施,收益1,收益1,規(guī)范便攜配備標(biāo)準(zhǔn)，理順資產(chǎn)管理秩序,堅(jiān)決以業(yè)務(wù)需求為配備導(dǎo)向、一級(jí)部門總經(jīng)理以上領(lǐng)導(dǎo)配置便攜、其他人員借用便攜的原則，細(xì)化便攜使用標(biāo)準(zhǔn)； 改變“只要是公司員工，既可申購(gòu)便攜”的無(wú)標(biāo)準(zhǔn)狀態(tài)； 結(jié)束70%公司全資便攜與30%公私合資便攜的歷史，清除公司資產(chǎn)在采購(gòu)變革、資產(chǎn)管理變革上的障礙,收益2,收益2,公司資產(chǎn)所有權(quán)明晰，利于安全控制措施的實(shí)施,消除私人資產(chǎn)非授權(quán)不受監(jiān)控的法律紛爭(zhēng) 利于公司安全監(jiān)控、檢查等信息安全措施的實(shí)施,收益3,收益3,利于采購(gòu)標(biāo)準(zhǔn)、采購(gòu)流程的優(yōu)化和落實(shí),從源頭上杜絕了個(gè)人便攜“先購(gòu)買、后報(bào)銷”的狀況，利于公司采購(gòu)標(biāo)準(zhǔn)、采購(gòu)流程的嚴(yán)

6、格落實(shí),收益4,收益4,便于公司資產(chǎn)與外來(lái)資產(chǎn)的區(qū)分，為提升對(duì)外合作交流效率和安全管理水平,對(duì)公司全部便攜采用“便攜卡”統(tǒng)一身份管理，以區(qū)分其他外來(lái)便攜等。利于保護(hù)公司資產(chǎn)，同時(shí)提升了公司規(guī)范化水平和品牌形象,收益5,收益5,避免公司安全監(jiān)管、資產(chǎn)清理方面的法律糾紛,降低了便攜上信息資產(chǎn)流失監(jiān)管處罰的法律紛爭(zhēng)風(fēng)險(xiǎn)； 便攜資產(chǎn)處置可以嚴(yán)格按照標(biāo)準(zhǔn)進(jìn)行，避免資產(chǎn)處置的額外爭(zhēng)議,收益N,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計(jì)劃,潛在風(fēng)險(xiǎn)及控制措施,請(qǐng)領(lǐng)導(dǎo)決策的決策點(diǎn),Page 22,保持“合資”臺(tái)數(shù)走勢(shì),07年較06年同比增長(zhǎng)約60%； 08年較07年同比增長(zhǎng)約150%； 保守估計(jì)，0

7、9年較08年將同比增長(zhǎng)約215%；10年09年將同比增長(zhǎng)約230%,06年下半年37,110元； 07支出105,910元，同比增長(zhǎng)42.7； 08估計(jì)支出240,000元(上半年111,119元) ，同比增長(zhǎng)127； 保守估計(jì)，09年支出將達(dá)750,000元，同比增長(zhǎng)212； 2010年估計(jì)支出2430,000元，同比增長(zhǎng)224.,保持“合資”公司花費(fèi)走勢(shì),資金花費(fèi)分析,合資并未降低成本,全資，管理和預(yù)算雙贏,據(jù)統(tǒng)計(jì)，合資便攜每臺(tái)1萬(wàn)左右，補(bǔ)貼平均每臺(tái)4000左右。這個(gè)花費(fèi)，在框架采購(gòu)下，基本可以購(gòu)買一臺(tái)全資DELL便攜機(jī)。,全資便攜，統(tǒng)一調(diào)撥管理，增加共享，提升資源利用率； 實(shí)現(xiàn)統(tǒng)一采購(gòu)，

8、利于降低成本，降低維護(hù)難度和維護(hù)成本。,便攜數(shù)量分布總攬,305臺(tái),便攜總數(shù),公司全資,218臺(tái),公私合資,87臺(tái),用戶回購(gòu)意向調(diào)查結(jié)果,65臺(tái)公司回購(gòu)，支出203767元； 7配置回購(gòu)，公司支出27589元； 8臺(tái)個(gè)人回購(gòu)，公司收入21235元； 總計(jì)：公司共計(jì)需支出：210121元,投資分析,普通員工 發(fā)放臺(tái)式機(jī),回購(gòu),回購(gòu)方式： 員工補(bǔ)償公司出資部分，完全私有化便攜 公司補(bǔ)償員工出資部分，收回便攜,返回原員工辦公臺(tái)式機(jī)，未額外增加預(yù)算,總體投資主要體現(xiàn)在回購(gòu)上。需雙向選擇回購(gòu)的便攜為80臺(tái)，支付詳情： 1.員工全部回購(gòu)，公司回款￥205,383 2.公司全部回購(gòu)，公司支付￥272,955

9、,總體投資,回購(gòu)款計(jì)算公式 購(gòu)買時(shí)對(duì)方出資總額*(5使用年限)/5 （注：使用年限使用月數(shù)12，不足一月的以一月計(jì)算）,整改后預(yù)期狀況,69人,218臺(tái),配備數(shù)量,可供借用數(shù)量,一級(jí)部門總經(jīng)理以上領(lǐng)導(dǎo)中，有62人已經(jīng)使用公司全資便攜機(jī)，有7人使用“合資”便攜機(jī),公司使用電腦辦公人數(shù)為2015人，218臺(tái)便攜達(dá)到了10%的比例，遠(yuǎn)超過(guò)了5%的比例需求,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計(jì)劃,潛在風(fēng)險(xiǎn)及控制措施,請(qǐng)領(lǐng)導(dǎo)決策的決策點(diǎn),整改進(jìn)行5步曲,1. 事前目標(biāo)用戶溝通與調(diào)查,2. 部門資產(chǎn)管理員、財(cái)務(wù)部門、IT資產(chǎn)管理部門協(xié)同工作的分工與交流,3. 目標(biāo)用戶整改實(shí)施、整改過(guò)程配套

10、服務(wù)、問(wèn)題咨詢與解決、新配套制度的宣傳,4. 整改后，配套電子流的優(yōu)化上線,5. 整改工作總結(jié)、持續(xù)優(yōu)化、例行配套服務(wù),1,2,3,4,5,WBS進(jìn)度計(jì)劃,Project Schedule-甘特圖,Project Schedule-網(wǎng)絡(luò)圖,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計(jì)劃,潛在風(fēng)險(xiǎn)及控制措施,請(qǐng)領(lǐng)導(dǎo)決策的決策點(diǎn),Page 35,潛在風(fēng)險(xiǎn),整改收益說(shuō)明不清，失去支持； 高層溝通不足，決策緩慢,潛在風(fēng)險(xiǎn)及控制措施,深入分析現(xiàn)存問(wèn)題，構(gòu)思選擇出最優(yōu)的解決措施，形成詳盡PPT，向高層溝通匯報(bào)； 在決策會(huì)議前，與高層干系人全面溝通新措施,Page 36,潛在風(fēng)險(xiǎn),用戶調(diào)查、溝通不足，整改在局部受阻，或者整改周期長(zhǎng)。,潛在風(fēng)險(xiǎn)及控制措施,設(shè)計(jì)調(diào)查表，通過(guò)NOTES群發(fā)郵件調(diào)查用戶反饋意見； 針對(duì)于個(gè)別用戶，通過(guò)電話、面談等方式溝通，說(shuō)明整改方案,Page 37,潛在風(fēng)險(xiǎn),關(guān)聯(lián)部門分工配合出現(xiàn)混亂,潛在風(fēng)險(xiǎn)及控制措施,分析規(guī)劃好部門資產(chǎn)管理員、IT、財(cái)務(wù)等部門的工作內(nèi)容、配合方法、協(xié)作步驟，深入交流確認(rèn) 平時(shí)分散辦公、定期集中交流，及時(shí)發(fā)現(xiàn)解決問(wèn)題,Page 38,潛在風(fēng)險(xiǎn),配套服務(wù)（比如申請(qǐng)電子流、制度宣傳、日常管理）跟不上，導(dǎo)致滿意度降低,潛在風(fēng)險(xiǎn)及控制措施,并行進(jìn)行電子流的優(yōu)化工作； 制定