信息安全部高层汇报课件

1、信息安全部高层汇报邓生品汇报提纲信息安全部成立必要性组织规划建设规划信息安全管理不能有效落实：信息安全管理不能有效落实到企业各个机构和员工中,员工不关心信息安全,企业管理层只是把信息安全挂在口头上,信息安全成了只是信息安全管理部门的事。缺乏对企业信息资产风险评估：企业信息资产缺乏分类、缺乏关键资产的识别和风险评估，缺乏对高风险资产采取相应的风险管控措施，难于保障企业的业务连续性。企业没有建立持续改进的内控机制：信息安全管理需要建立相应机制，通过机制和流程，加强企业的内部控制。并有不断改进、不断的完善安全运作流程和安全防护手段,以应对日益增长的信息安全问题和威胁。驱使企业推动信息安全工作的内动力

2、业务爆发性的增长对信息的依赖性增强：信息系统应急方案（业务连续性计划：单点故障、手工备份、链路均衡）核心信息资产及数据的保护：源代码管理，知识产权与商业机密的保护平衡跨地域发展需求（海外市场），商务竞标 驱使企业推动信息安全工作的内动力信息安全的实现途径（一）信息安全业界对一般的企业在信息安全防护方面得出一套可行的建议：采用技术手段+管理制度实现双重防护目前业界统计出下列公认的数据：信息安全要单纯从技术防护实现保护资产是走不通的业界数据一：三分技术+七分管理信息安全的实现途径（二） 其实并没有一套完整的技术方案能彻底解决信息安全的问题，困难点：技术层出不穷。漏洞花样百出。业界数据二：投入20%

3、的成本能从技术上解决80%的信息安全问题，但要解决剩下的20%的问题则需要增加无限多的投入。业界数据三：信息安全事件有80%都是由人主动收集并泄露。总结：信息安全要使用技术和制度上的相结合，对使用者进行信息安全教育。信息安全不是单纯的技术问题先规划后认证信息安全管理体系规范ISO27001：2005信息安全管理实施细则：ISO17799：2005（BS17799-1）安全体系化认证（标准）要求C保密性： 确保只有有权限的人才能访问信息I 完整性： 确保信息处理方式的准确性和完整性A 可用性：确保只有通过认证和授权的人在需要的时候可以访问相应的信息及相关资产规划适用于支撑业务3年的发展；重点安全

4、产品部署；为信息安全体系构建雏形思考范围信息安全方针策略、组织的信息安全、资产管理、人力资源安全、物理和环境安全通信与操作（运行）安全、访问控制、信息系统采购、开发和维护、信息安全事件管理业务连续性管理、符合性关注原则信息安全规划思考（怎么做？如何做？）公司信息安全策略/目标(体现为由公司各类安全制度/标准组成的公司安全文件体系)管理手段信息安全组织（做好公司信息安全，靠的是3分技术+7分管理。通过组建高效运作的公司信息安全组织，安全组织通过运用各种技术工具和管理策略，最大化支撑公司安全文件目标的落地）技术手段风险评估安全审计对外交流合作安全管理与风险控制IPSIDS终端机器行为监控系统计算机

5、端口/打印监控系统终端接入健康检查系统电子文档、代码加密系统安全意识培训考试奖惩同洲信息安全防护体系大厦整体概貌 技术架构体系终端计算机上网行为监管工具终端计算机监控检查与安全接入控制工具IPS、IDS、防火墙、防病毒、容灾备份等系统和工具等 移动计算设备、移动存储介质安全认证工具核心文档、代码等电子信息加密工具计算机端口、打印机监控工具技术手段运作手段遵循PDCA循环1234567在公司信息安全部牵头下，带领各关联业务人员，编撰或修订公司信息安全文件，建设完善的公司信息安全文件体系，并每年定期根据公司业务实际情况修订和完善有计划有步骤的引入配套技术支撑工具，支撑相关的安全目标的落地，实现对各

6、类潜在风险的事前控制颁布并严格落实公司信息安全奖惩规则，为公司信息安全防护的各类操作指明行为标准，有规矩，自然有方圆在公司信息安全部的牵头下，对各业务部门展开每年一次的信息安全年度风险评估，对评估发现的重大风险隐患设计控制措施并组织跟踪落实，保证公司业务运作发展过程中的安全以各一级部门为单位，每月组织各部门内部信息安全检查，每季度组织跨部门的信息安全互检，对发现的重大风险或者违规行为进行处理、跟踪整改编制各类信息安全材料，进行全员信息安全知识宣传、以及信息安全意识培训。信息安全威胁往往“祸起萧墙”，所以，需要在“萧蔷”里加大工作力度规划并落实定期的信息安全案例宣传（信息安全每周谈，管理变革报信

7、息安全专栏介绍、部门信息安全宣传标语等）信息安全风险控制运作手段汇报提纲信息安全部成立必要性组织规划建设规划变革管理委员会（信息安全监管委员会）安全策略与标准部信息安全部分管高管安全技术架构部安全审计部系统账号监管部各业务体系安全专员IT部：负责落实网络安全策略干部部运作管理部行政：负责落实物理安全策略组织架构公司变革管理委员会与日常安全工作分管高管： 负责公司安全重大策略的决策并提供支持公司信息安全部： 负责公司信息安全防护体系的建设与维护公司IT部： 负责公司网络安全领域的信息安全策略的落地公司行政中心： 负责公司物理安全领域的信息安全策略的落地各部门信息安全专员： 负责各部门日常办公的安

8、全监管组织规划职责汇报提纲信息安全部成立必要性组织规划建设规划信息安全评估和差距分析建立信息安全组织和政策体系 初步推行和落实信息安全管理体系启动信息安全基础设置建设实现监控的制度化，流程化和经常化建立安全配置管理，实现安全风险的量化管理机制 建立安全管理持续优化机制全面审视，优化和深化信息安全管理体系建立整体的信息安全防护体系建立集中监控平台建立数据中心和应急机制基础保证策略固化集中建设2010.92009.92011.9同洲信息安全防护体系建设总体计划2012.9集中建设12010.92009.92011.9基础保证策略固化23整体规划概述整体规划时间3年，用1年时间完成基础保证建设，用1

9、年时间完成集中建设，最后1年时间达到策略固化基础保证时期：成立公司一级部门信息安全部；由信息网络部牵头编辑签发基础运作安全文件；实施文档加密系统；引入公司终端上网行为监管等；组建一级部门信息安全专员。集中建设时期：信息网络部牵头建设公司相对完善的信息安全文件体系；对公司研发、研发网络进行深度隔离；启动各一级部门的例行年度风险评估工作；组织通过ISO27001体系。策略固化期：完善修订信息安全文件体系；加大审查力度；开展一级部门信息安全专员认证培训工作，提升公司安全从业人员的素质水平。2012.9信息安全文件体系建设规划策略总纲策略文件流程文件记录文件一级二级三级四级一级文件1信息安全管理手册策

10、略总纲二级文件1信息安全奖惩管理规定人力资源安全2信息资产密级管理规定资产管理3信息资产安全管理规定资产管理4信息安全保密规定安全组织5信息安全组织结构和工作职责安全组织6资料档案库房安全管理规定物理和环境安全7信息系统安全管理规定通信和运作管理8信息备份管理规定通信和运作管理9信息安全特殊需求管理规定通信和运作管理10光盘刻录管理规定通信和运作管理11纸质文档安全管理规定通信和运作管理12存储介质安全管理规定通信和运作管理文件体系架构三级文件1重大紧急安全事故处理流程业务连续性管理2信息安全处罚操作指南人力资源安全3信息安全奖励操作指南人力资源安全4光盘刻录流程通信和运作管理5纸质文档销毁流程通信和运作管理6存储介质处置流程通信和运作管理7系统开发变更管理流程信息系统获取、开发及维护8通用变更管理流程信息系统获取、开发及维护9信息系统权限申请流程访问控制10信息安全事故处理流程信息安全事故管理11信息安全特殊需求审批流程通信和运作管理12系统开发变更管理流程信息系统获取、开发及维护文件体系架构四级文件1信息安全风险分析表风险管理2信息安全风险评估报告风险管理3信息安全风险处置计划风险管理4信息安全关键绩效指标有效性测量5信息安全有效性测