信息安全测评服务解决方案建议书资料

1、XX集团信息安全自主测评(c pn)提案书共十八页问题(wnt)机遇(jy)对策蓝图共十八页来自外部机构的抽样检查和咨询覆盖范围有限，在时间上和范围上存在盲区现有模式难以为提供及时、全面、准确、直观的信息安全基础情报有待进一步构筑、实施和完善全面、常态、持续的安全绩效评价体系管理内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才很多下属单位还没有设立专职岗位或者没有明确职责，不利于工作职责分担信息安全管理内生人才的培养，相对目前安全投资的发展速度有所滞后体制面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露多而散的子系统需要统一的安全管理界面未经整理、归纳的专业信息安全

2、情报细节不易理解和把握整体规律性安全信息与本单位专业和运营历史紧密相关，需要不断积累与沉淀支撑工具共十八页问题(wnt)机遇(jy)对策蓝图共十八页机遇(jy)在十二五期间国家对于信息安全的重视程度进一步提高，压力与投资双增长随着等保工作的开展，华能在安全管理方面积累了很多业务经验双网模式的成功(chnggng)实施，为华能进一步实施自我测评计划奠定了物质基础各种系统特别是SOC的试点，为自动化采集全网各种安全信息打下良好开端相关IT技术的成熟共十八页风险管理|自主评测|安全(nqun)运维的关系1、自主评测是检验安全运维水平的标准，是连接安全运维与风险管理的纽带2、安全运维工作的结果通过自主

3、评测过滤、汇总到风险管理层面，并为进一步的安全工作提供分析和改善的基础3、安全运维数据量大，同时有保密要求，不宜直接暴露到外部，通过自主评测的中间层更好 。4、安全运维体系是整个安全体系的技术基础。在实现上必须以风险管理为导向，以技术为手段，构筑多层次大纵深的防御体系。同时，对于安全全局信息的把握，会进一步发现薄弱环节，提高安全水平风险管理是安全运维的指导方针。风险管理基于成本-效益原则，对客户资产进行分级，评估安全风险的可能性与严重性，从而可以有区别地进行安全防范和安全投入，提高整体安全水平1、风险管理是合规工作的外部标准，具有强制性、稳定性和原则性。自主评测是华能集团内部对于风险管理工作的

4、细化、深化，形成有具有华能特色的安全检查标准体系2、风险管理是阶段性工作，而自主评测是长期性工作。风险管理为自主评测提供理论基础和方法指引，自主评测为风险管理提供组织、流程、方法和验证材料安全运维合规与遵从风险管理共十八页问题(wnt)机遇(jy)对策蓝图共十八页引入协作单位，建立自主(zzh)测评体系共十八页包含(bohn)知识库和BI的合规与遵从系统Staff服务(fw)信息安全咨询体系化服务专业人员教育服务 e-Business Transformation信息安全工作持续发展要求专业人员不足协作单位共十八页在信息中心领导下，协作单位咨询顾问协助设计安全绩效评价体系各有关单位和协作单位的

5、实施、运维人员一起全面配合体系落地根据国际国内标准和监查要求，建立常态化、标准化的信息安全PDCA过程管理引入协作单位进行互补，解决人力资源的质量、数量和成本问题由协作单位提供staff人才服务，双方共同培养、壮大跨界型人才队伍通过staff模式，深入分解和完善相关业务流程，做到细化、量化和标准化在此基础上，开发支撑工具，规范流程实施，提高工作效率，强化信息安全性体制在SOC与风险评估系统中间增加合规与遵从平台，对披露信息进行过滤和脱敏在合规与遵从平台中提供BI，整合各有关系统信息，提供直观的多维度的展示在该平台中集成知识库，积累各次内外部测试相关信息，并提供检索在该平台中集成教育培训系统，基

6、于知识库提供培训、实训和远程检测支撑工具共十八页自主测评工作(gngzu)的整体解决方案数据总线安全(nqun)运行管理资产管理风险管理桌面安全管理统一用户管理配置信息工作流引擎事件管理器数据收集器评估信息风险信息安全事件访问控制器数据过滤器教育培训智能报表安全审计知识库管理应急管理共十八页共十八页问题(wnt)机遇(jy)对策蓝图共十八页自主测评(c pn)工作范围自主(zzh)测评工作在系统安全生命周期中的位置系统定级系统识别描述信息系统划分安全等级确定安全规划设计安全需求分析安全总体设计安全建设规划安全设计安全方案详细设计等级保护管理实施等级保护技术实施等级保护安全测评安全运维运行管理和

7、控制变更管理和控制安全状态监控安全应急预案安全事件处置自主检查和改善安全培训外部安全测评系统终止信息转移、暂存或清除设备迁移或报废存储介质处置主导工作相关工作共十八页合作(hzu)路线图确定项目预算(y sun)和实施计划，落实试点单位 出具详细调研报告，评估项目预算和实施计划评价试点实施结果并协作改善 派遣咨询人员，调研业务细节，制定服务框架和目录制定规范性文件和表格，并行模拟操作评价基础平台的使用效果并提出改善意见设计开发基础平台，建立数据库分阶段固化到基础平台可持续改善的安全管理PDCA系统运维和改善向基础平台导入历史数据，分批次扩大使用范围在基础平台上落实内部人员培训和评价体制安全报表

8、（自动）安全报表（手工）安全规则共十八页未来(wili)的发展趋势随着硬件、网络成本的下降及软件架构的成熟，数据大集中乃至云计算成为大势物联网应用范围逐步扩大，越来越多的智能传感器可以通过(tnggu)标准协议进行监控IT业内对于下一代架构的认识是本地负责采集和展示数据云端负责处理和存储数据访问环节部署安全管控统一界面实施运维共十八页立足(lz)现状，展望未来现状：各系统(xtng)独立运维未来：统一运维，统一安全共十八页内容摘要XX集团信息安全自主测评提案书。XX集团信息安全自主测评提案书。来自外部机构的抽样检查和咨询覆盖范围有限，在时间上和范围上存在盲区。现有模式难以为提供及时、全面、准确、直观的信息安全基础情报。有待进一步构筑、实施和完善全面、常态、持续的安全绩效评价体系。信息安全管理内生人才的培养，相对目前安全投资的发展速度(sd)有所滞后。面向网络、服务器的具体信息安全情