公司公司文档安全风险评估及控制措施

1、.公司文档信息安全现状风险评估及风险控制措施管理工程部管理工程部2008-10-62008-10-6.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3文档风险控制实施计划文档风险控制实施计划4 4项目潜在风险及控制措施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录.公司重要信息资料主要来源主要来源自主投资研发的各类自主投资研发的各类核心产品及技术机密核心产品及技术机密信息信息跟随重点招募人才的、基跟随重点招募人才的、基于其知识及经验的各种专于其知识及经验的各种专业技术及管理文档资料、业

2、技术及管理文档资料、流失后将带来重大商业隐流失后将带来重大商业隐患的各种信息患的各种信息同洲核心竞争力同洲核心竞争力信息资产信息资产重大商业信息，如：重大商业信息，如：1.1.产品及市场发展规划；产品及市场发展规划；2.2.重要商务合同及竞价信息；重要商务合同及竞价信息；3.3.重要项目人员及骨干人力信息等重要项目人员及骨干人力信息等1 12 23 3.使用使用文档生命周期文档生命周期产生产生归档归档退役退役同洲文档生命周期各环节点存放现状存放现状12143或执行销毁，或或执行销毁，或仍然保存在仍然保存在“归档归档”的位置，的位置，但无监管但无监管各工作对应责任员各工作对应责任员工的办公电脑工

3、的办公电脑各工作对应员工的办公电脑各工作对应员工的办公电脑部门或项目组自治文档共享库部门或项目组自治文档共享库各工作对应员工的办公电脑各工作对应员工的办公电脑部门或项目组自治文档共享库部门或项目组自治文档共享库部门文控人员电脑部门文控人员电脑公司总裁办文档（档案）室公司总裁办文档（档案）室.文档信息两大类流动方向流动方向公司内部流动公司内部流动公司与外界之间流动公司与外界之间流动.公司目前可用的各种文档信息流动渠道流动渠道1.MSN1.MSN等各等各类即时聊天类即时聊天通信工具通信工具 2.2.各类合法各类合法与非法与非法FTPFTP数传工具数传工具3.3.员工个员工个人网络免人网络免费邮箱费

4、邮箱 4.4.公司公司WEBWEB邮箱邮箱5.5.打印、传打印、传真、光盘刻真、光盘刻 录等录等6.6.各类移动存储介各类移动存储介质（借助质（借助 USBUSB口、口、网口等）网口等）7.7.公司公司notesnotes办公系统办公系统 同洲机密同洲机密信息信息.公司目前文档信息安全控制现状公司目前文档信息安全控制现状安全技术控制现状安全技术控制现状安全管理控制现状安全管理控制现状 只有网络边界防火墙，无其他信息内容监管技术支持措施； Internet上网权限基本全部开通，控制力度非常薄弱 公司办公机器各类外连端口如USB口、网口等基本全部处于开放状态； 公司物理办公区域及办公网络没有严格划

5、分安全等级和配套管理； 对于外发文档、邮件等行为没有相关权限控制及审批机制； 公司没有对各类文档的机密级别定义和配套管理制度； 公司没有统一如PDM文档资料安全存放及管理系统； 对于员工收集留存的文档、各系统文档保存及使用情况等没有规范化管理和安全审计.整改前准备整改前准备高层汇报整改收益，获取支持高层汇报整改收益，获取支持目标用户事前沟通、调查目标用户事前沟通、调查分析统计回收意向选择情况分析统计回收意向选择情况用用户户调调查查高层沟通高层沟通. 目录目录便携管理现状整改方案与收益投资核算整改计划潜在风险及控制措施请领导决策的决策点.整改前准备整改前准备高层汇报整改收益，获取支持高层汇报整改

6、收益，获取支持目标用户事前沟通、调查目标用户事前沟通、调查分析统计回收意向选择情况分析统计回收意向选择情况用用户户调调查查高层沟通高层沟通.整改方式整改方式计算公式：回购款购买时对方出资总额*(5使用年限)/5 （注：使用年限使用月数12，不足一月的以一月计算）指依原关于个人申领笔记本电脑管理规定，个人与公司各出资一半购买的便携机.便携使用策略便携使用策略一级部门总经理以上领导因工作需要的其他人员，每次借用最长时间6个月，可续借，次数不限.登记管理登记管理规范软硬件资产安全管理明晰公司资产与责任人物业保安加强便携出入检查.台式机补充台式机补充.便携发放统一管理责任部门便携发放统一管理责任部门意

7、义：由IT部门统一调拨管理，一方面责任明确，另一方面，利于便携机IT参数统一配置、软硬件安装检查、安全策略实施.收益收益1 1 规范便携配备标准，理顺资产管理秩序规范便携配备标准，理顺资产管理秩序坚决以业务需求为配备导向、一级部门总经理以上领导配置便携、其他人员借用便携的原则，细化便携使用标准；改变“只要是公司员工，既可申购便携”的无标准状态；结束70%公司全资便携与30%公私合资便携的历史，清除公司资产在采购变革、资产管理变革上的障碍.收益收益2 2 公司资产所有权明晰，利于安全控制措施的实施公司资产所有权明晰，利于安全控制措施的实施消除私人资产非授权不受监控的法律纷争利于公司安全监控、检查

8、等信息安全措施的实施.收益收益3 3 利于采购标准、采购流程的优化和落实利于采购标准、采购流程的优化和落实从源头上杜绝了个人便携“先购买、后报销”的状况，利于公司采购标准、采购流程的严格落实.收益收益4 4 便于公司资产与外来资产的区分，为提升对外合便于公司资产与外来资产的区分，为提升对外合作交流效率和安全管理水平作交流效率和安全管理水平对公司全部便携采用“便携卡”统一身份管理，以区分其他外来便携等。利于保护公司资产，同时提升了公司规范化水平和品牌形象.收益收益5 5避免公司安全监管、资产清理方面的法律纠纷避免公司安全监管、资产清理方面的法律纠纷降低了便携上信息资产流失监管处罚的法律纷争风险；

9、便携资产处置可以严格按照标准进行，避免资产处置的额外争议. 目录目录便携管理现状整改方案与收益投资核算整改计划潜在风险及控制措施请领导决策的决策点.保持保持“合资合资”台数走势台数走势07年较06年同比增长约60%；08年较07年同比增长约150%；保守估计，09年较08年将同比增长约215%；10年09年将同比增长约230%.0606年下半年年下半年37,11037,110元；元；0707支出支出105,910105,910元，同比增元，同比增长；长；0808估计支出估计支出240,000240,000元元( (上上半年半年111,119111,119元元) ) ，同比增长，同比增长1271

10、27；保守估计，保守估计，0909年支出将达年支出将达750,000750,000元，同比增长元，同比增长212212；20102010年估计支出年估计支出2430,0002430,000元，同比增长元，同比增长224224. .保持保持“合资合资”公司花费走势公司花费走势.资金花费分析资金花费分析合资并未降低成本合资并未降低成本全资，管理和预算双赢全资，管理和预算双赢据统计，合资便携每台1万左右，补贴平均每台4000左右。这个花费，在框架采购下，基本可以购买一台全资DELL便携机。全资便携，统一调拨管理，增加共享，提升资源利用率；实现统一采购，利于降低成本，降低维护难度和维护成本。.便携数量

11、分布总揽便携数量分布总揽305台便携总数便携总数公司全资公司全资218218台台公私合资公私合资8787台台.用户回购意向调查结果用户回购意向调查结果 65台公司回购，支出203767元； 7配置回购，公司支出27589元； 8台个人回购，公司收入21235元；总计：公司共计需支总计：公司共计需支出：出：210121元元.投资分析投资分析普通员工普通员工发放台式机发放台式机回购回购回购方式：员工补偿公司出资部分，完全私有化便携公司补偿员工出资部分，收回便携返回原员工办公台式机，未额外增加预算总体投资主要体现在回购上。需双向选择回购的便携为80台，支付详情：1.员工全部回购，公司回款￥205,3

12、832.公司全部回购，公司支付￥272,955总体投资总体投资回购款计算公式购买时对方出资总额*(5使用年限)/5（注：使用年限使用月数12，不足一月的以一月计算）. 整改后预期状况整改后预期状况6969人人218218台台配备数量配备数量可供借用数量可供借用数量一级部门总经理以上领导中，有62人已经使用公司全资便携机，有7人使用“合资”便携机公司使用电脑办公人数为2015人，218台便携达到了10%的比例，远超过了5%的比例需求. 目录目录便携管理现状整改方案与收益投资核算整改计划潜在风险及控制措施请领导决策的决策点.整改进行整改进行5 5步曲步曲1 12 23 34 45 5.WBSWBS

13、进度计划进度计划.Project Schedule-Project Schedule-甘特图甘特图.Project Schedule-Project Schedule-网络图网络图. 目录目录便携管理现状整改方案与收益投资核算整改计划潜在风险及控制措施请领导决策的决策点.来自高层的风险及控制措施来自高层的风险及控制措施潜在风险潜在风险控制措施控制措施 整改收益说明不清，失去支持； 高层沟通不足，决策缓慢潜在风险及控制措施潜在风险及控制措施 深入分析现存问题，构思选择出最优的解决措施，形成详尽PPT，向高层沟通汇报； 在决策会议前，与高层干系人全面沟通新措施.来目标用户的风险及控制措施来目标用户

14、的风险及控制措施潜在风险潜在风险控制措施控制措施 用户调查、沟通不足，整改在局部受阻，或者整改周期长。潜在风险及控制措施潜在风险及控制措施 设计调查表，通过NOTES群发邮件调查用户反馈意见； 针对于个别用户，通过电话、面谈等方式沟通，说明整改方案.来自协作过程的风险及控制措施来自协作过程的风险及控制措施潜在风险潜在风险控制措施控制措施 关联部门分工配合出现混乱潜在风险及控制措施潜在风险及控制措施 分析规划好部门资产管理员、IT、财务等部门的工作内容、配合方法、协作步骤，深入交流确认 平时分散办公、定期集中交流，及时发现解决问题.配套服务相关风险及控制措施配套服务相关风险及控制措施潜在风险潜在风险控制措施控制措施 配套服务（比如申请电子流、制度宣传、日常管理）跟不上，导致满意度降低潜在风险及控制措施潜在风险及控制措施 并行进行电子流的优化工作； 制定P