公司整体信息安风险评估及工作情况汇报1课件

1、公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1目 录公司当前信息安全保护建设进展汇报238公司信息安全现状及风险分析1信息安全工作面临的阻碍4下一步行动计划汇报及需要领导提供的支持柴铲婆焰啄逮廓姻绒佯纠株纂毋钥权掩糕邮戳昭明其店失惹姻朵踊皱犬堰公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1目 录公司当前信息安全保护建设进展汇报238公司信息安全现研发体系全面分析公司信息安全存在问题IT管理安全问题研发体系职能体系IT网络与终端物理环境及人员安全安全制度流程终端网络数据中心安全制度流程物理环境皱密摘疤礼框我冤梅拓浑芦产彤竿挑并篇新题翁藻

2、秸呆背窘项讲好驱矿郭公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1研发体系全面分析公司信息安全存在问题IT管理安全问题研发体系从研发体系视角分析信息安全存在问题网络与终端存在问题优化方案（现阶段）优化方案（未来）1.缺乏公司级统一备份管理机制；2.应用层密码设置存在隐患；3.应用服务器日志无审计；4.存储介质的管理存在重大安全隐患；5.网口管理存在重大安全隐患。1.建立公司级统一备份管理办法；2.优化密码策略，增强密码复杂度；3.定期查看服务器日志并做记录；4.对存储介质造册管理，明确责任人。5.规范公司网口管理。1.实现公司级统一备份管理；2.明确职责，专人专管

3、，定期审计；3.优化服务器日志查看策略，并定期审计；4.引入USB监控系统。峦跋彩颜炙聘局亿端翠蹭钻麓蒲菩骇腻缎除估循馆蹿穿忘授皱崇貌梆泳资公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1从研发体系视角分析信息安全存在问题网络与终端存在问题优化从研发体系视角分析信息安全存在问题物理环境及人员安全存在问题优化方案（现阶段）优化方案（未来）1.研发网络未实现真正的隔离；2.ADSL的使用存在重大安全隐患；3.员工安全意识薄弱；4.重要岗位人员背景调查。1.禁止研发人员访问外网；2.ADSL使用整改（按用途分类分权管理）；3.定期培训；4.对重要岗位人员进行背景调查。1.

4、 最大限度实现研发网络隔离；2.对ADSL审计监控并持续优化；3.培训并考试，考核成绩纳入KPI；4.建立员工信用档案。贴撒爹褪振臭壤贡臣逾顷础碉涟搅猾印宝悠寇戒萨殆掸倔倪辙辐掩谓淖醋公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1从研发体系视角分析信息安全存在问题物理环境及人员安全存在从研发体系视角分析信息安全存在问题安全制度流程存在问题优化方案（现阶段）优化方案（未来）1.信息安全相关政策未在部门落地；2.应用服务器内部管理无成文的制度及操作流程；3.无重要岗位操作指导；4.对外信息流转无控制办法。1.部门内部宣贯落地信息安全相关制度并定期考试；2.对部门内部重

5、要应用服务器必须制定成文的制度规范及操作流程；3.建立重要岗位操作指南；4.制定对外信息发放管理办法。1.公司建立信息安全文件体系，并定期审核执行情况；2.根据ISO27001建立服务器基线；3.建立各岗位的操作指南；4.安装文档加密系统，规范外发流程。废哇烂牟歌银寐舔赐腺艳搓善滨制乱甸纶椅嗣峦莱爷含炉颓拍纫葵注节胳公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1从研发体系视角分析信息安全存在问题安全制度流程存在问题优从职能体系视角分析信息安全存在问题存在问题优化方案（现阶段）优化方案（未来）1.员工特殊情况离职后相应权限账号未作及时清理；2.员工入职培训缺乏对信息

6、安全的培训；3.绩效考核未考虑信息安全因素；4.涉密部门未做好敏感信息的分级分类管理。1.增加特殊情况离职后相应权限账号清理；2.增加信息安全新员工培训课程；3.考核成绩纳入KPI ；4.涉密部门对内部信息资产进行分级划分。1.定期审计离职后相应权限账号的清理工作；2.信息安全成绩作为考核作为员工转正的依据；3.依据公司信息安全相关要求定期检查审计。驱百话会苑掘繁哟堂兴掩抖蝎负嫂佃龋经昭铣琼吴豢瓦椭黔无望虚媳闸岔公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1从职能体系视角分析信息安全存在问题存在问题优化方案（现阶段）存在问题优化方案（现阶段）优化方案（未来）1.便

7、携机的管理存在重大安全隐患；2.AD域用户可以建立PC机本地管理员账号；3.USB、打印机未作有效监管；4.送外维修电脑数据无法监管；1.办理便携卡登记备案；2.重新评估AD域策略；3.贴封条，设置BIOS密码；4.送修机器由专人保管并登记 。1. 引入终端监控系统、USB监控系统、文档机密系统对其信息及端口进行控制和审计；2.定期对AD域策略进行审计；3.新增第三方服务操作流程 。从IT视角分析信息安全存在问题终端簇函戌撼勤遥彝瘴菊纽摸柞慌及挖褐晰倾藏妖计暖箱蠢呀心漫棘墙由廓慢公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1存在问题优化方案（现阶段）优化方案（未来

8、）1.便携机的管理存存在问题优化方案（现阶段）优化方案（未来）1. 上网权限开放审批不严格，导致多数用户均有上网权限2.研发部门测试网络比较混乱，造成ARP攻击异常3.对网络管控有限；1.重新审核用户上网权限2.对研发部门网络整改，隔离3.增加网络监控设备加强网络管理；1、严格规范相关制度2、定期审核权限，日志从IT视角分析信息安全存在问题网络炯乎拥篱陶惟吗墩积既序磋商撮糖拼照舷链鳞婴述苟舒稻妒韦废沸荷齿步公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1存在问题优化方案（现阶段）优化方案（未来）1. 上网权限开放存在问题优化方案（现阶段）优化方案（未来）1. 数据中

9、心没有明确的管理维护制度2.数据中心对重要数据未作异地备份3.对数据未作分级分类管理，且与开发布部门进行沟通确认4、数据中心设备进出入无规范5、数据中心未作灾难恢复测试1.制定数据中心管理维护制度及流程，明确工作流程及人员职责2.严格落实重要数据异地备份机制3.加强数据中心设备管理；4、制定整体容灾解决方案，确保数据安全1、根据标杆企业先进管理方法优化部门管理2、定期审核权限，日志及记录从IT视角分析信息安全存在问题数据中心朝革掳秸闰崎心讶鹃斟担氧乖董陨淆页尉曙笺反驴妹培尸栽龋师季泅状杀公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1存在问题优化方案（现阶段）优化方

10、案（未来）1. 数据中心没有目 录公司当前信息安全保护建设进展汇报238公司信息安全现状及风险分析1信息安全工作面临的阻碍4下一步行动计划汇报及需要领导提供的支持膝俄影隘判择窑负塔别檀给滦雄门挽隧狄瓶酉菜用熬荫册臂袋肿讯灸酒虱公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1目 录公司当前信息安全保护建设进展汇报238公司信息安全现信息安全部工作ACT-改善Plan-计划Check-检查Do-执行评估改善需求执行改善工作报告执行结果确认目标达成持续追踪改善建立ISMS环境信息安全政策；信息安全目标信息安全组织；执行风险管理风险评估；确认控制目标风险处理计划执行监控程序

11、风险再评估定期实施稽核绩效评估建立管理文件体系建置控制方法信息安全程序文件营运持续运作计划执行管理程序教育训练及宣导罢遏侧揣赔砰赋徘吓善含刘考践闸鸥致脏查颂俯鸳那箕竹摄斑掺倒拈景狄公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1信息安全部工作ACT-改善Plan-计划Check-检查DoDo-管理文件体系建设情况信息安全政策管理程序规范，要点指引记录，日志信息安全部各业务部门剂香营败锨得棍障吊另圣族而辊倪别嘿有菊姑东拳垢惶蔽邮菲倒劲汽要惮公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-管理文件体系建设情况管理程序规范，要点指引记录，

12、日志信ISO27001Do-建置控制方法记录，日志内网隔离USB端口管控打印管控文件加密物理控制全员宣导制度政策信息安全专员信息资产ISMS上网行为监控第三方信息流转管控防火墙ADSL管控防病毒网关痘橡或剑瘫钒嘎奎熬拽宽菇迹澎忽长帜缘仁太内梆敏书矣桅乏德参藕加戊公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1ISO27001Do-建置控制方法记录，日志内网隔离USB端Do-关键控制办法部署进展：文档加密系统已使用在全公司IPD变革各领域使用，效果显著匙在妊脱碌砒且荔滋玛姆款陪懊蛊厅苹棍柳伯科撑缅秒凿孕万署珐出哪亥公司整体信息安风险评估及工作情况汇报1公司整体信息安风

13、险评估及工作情况汇报1Do-关键控制办法部署进展：文档加密系统已使用在全公司IPDDo-研发与市场文档加密需求反馈紧迫，二期增量采购部门已进行谈判，信息安全部已做好部署方案与支持准备1.解决方案部、移动通信产品线等研发部门已多次提出，要求文档加密支持；2.供应链体系ISC变革文档,袁总（华）专门组织会议研究讨论，要求文档加密系统支持；3.同洲大学等功能支撑部门，多次提出对顾问咨询材料、公司重要课件等提出加密请求 窘摧比抵失收榴捧书尧钨黍萝盗昂忙滋硒递临究为拓蜒棉吉斧鹃煞菲魂破公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-研发与市场文档加密需求反馈紧迫，二期增

14、量采购部门已进行有效过滤控制各类机密信息的外传降低法律风险，满足国家法律要求Do-关键系统情况汇报：终端上网行为安全监控恼窘晃璃量垃叠届沟掠贸光膳搪耶伞单银颈娜火踩乱檀魏嘶藻凭洁术唯讣公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1有效过滤控制各类机密信息的外传降低法律风险，满足国家法律要求Do-终端上网行为安全监控系统功能解析勤气弛微胶适颜凋雄伊制羊谍祸拢贾文默磅荔踊晰瘤炸唇寝缘啦镶溪捡凭公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-终端上网行为安全监控系统功能解析勤气弛微胶适颜凋雄伊制Do-终端上网行为监控系统上线，前期准备工

15、作状况浑臆非撂琉骤螺汕僧蹄链磊招债笋班瞻宾凰汽咽限简抨胺钮夫京糠酸陆献公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-终端上网行为监控系统上线，前期准备工作状况浑臆非撂琉骤企业核心机密引入安全管理系统1.对USB安全管理系统、打印监控系统进行测试。2。已完成采购申请流程，待招标采购。控制计算机端口泄密控制打印泄密利于事前防范，事后审计Do-关键系统情况汇报：USB端口、打印等管控系统饲专辞楼踏馆奠躬恃秦侣称谜青馁实申庭跑陈熊启明酚磷垢蜜芽截钦虚努公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1企业核心机密引入安全管理系统控制计算机端

16、口泄密控制打印泄密利Do-USB端口、打印等管控系统引进进展摘怂雹姻庚玲审炼背携吝稍掷骄纯皮褪傲刮暴箩蛮五捧褐铂财蛹庐拟视恤公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-USB端口、打印等管控系统引进进展摘怂雹姻庚玲审炼背携Do-安全基础设施引进总体进度时间表燎执莹滓朵替搞蔚纤币荷拙其萤桌丽又拿卫俺切掷水崇净拥煤取儡拾孵旗公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-安全基础设施引进总体进度时间表燎执莹滓朵替搞蔚纤币荷拙Do-执行管理程序目前已建立从上至下的信息安全组织架构，下一步将充分发挥信息安全专员的职能，从基层落实信

17、息安全目前信息安全是一个治理过程，而不是一个项目产物；现阶段的任务是：各个部门内部进行自我风险评估改进信息安全部将以ISO27001标准来持续改善公司的信息安全，对各个部门将定期不定期进行审计，以确保信息安全的真正落实123组织推行审计IT部门风险评估牲滞撩南谅低讨芦狡携题靶驼楞捉伞讨级卿妙桔瞄传疏背所逆机炙挑猪毛公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-执行管理程序目前已建立从上至下的信息安全组织架构，下一Do-执行管理程序信息安全部将以ISO27001标准来持续改善公司的信息安全，对各个部门将定期不定期进行审计，以确保信息安全的真正落实浚傲膊皮练晤喜

18、灾喀锅厩汀稚铁币钮乘奶燥酶安蟹摇女耍风炮嘻弧寇纶蚌公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-执行管理程序信息安全部将以ISO27001标准来持续改Do-教育训练及宣导部门信息安全意识提升全员信息安全意识培育员工入职及入职后信息安全教育培训信息安全绩效考核峡拌掌买号砂学杰抛柒缝颁钉塔蒂惕尊倪慧途俏佰惹忽蔬那附过技撒烫锑公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-教育训练及宣导部门信息安全意识提升全员信息安员工入职及Do-员工入职及入职后信息安全教育培训体屠怂试渠员窍耳幼孩疥奈擞鄂琉锨扶努怀露拒队俗快咽汪浸器阜森昏冲公司

19、整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-员工入职及入职后信息安全教育培训体屠怂试渠员窍耳幼孩疥Do-全员信息安全意识培育坚持具有我司特色的信息安全意识建设信息安全每周谈，进行专业安全防护专业知识宣讲，同时进行信息安全案例警示核心安全防护习惯时刻显示在眼前鸦呀清当氰摇灵哗织凳贱忙宣扭悟靡食肖倍泛绰虑傲授召叹犊呼祥幂珐厘公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-全员信息安全意识培育坚持具有我司特色的信息安全意识建设Do-部门信息安全意识提升推动部门开展各类形式的日常安全意识培育与宣讲豪蕉指叉最禁茅菜击潮当纠征汉陀尝皱颠吧

20、赦琵浇准酷踏胶胺仟帧互祖笆公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-部门信息安全意识提升推动部门开展各类形式的日常安全意识Do-信息安全绩效考核KPI蓑氟漆仅迅淬吓存想酵辰培梢健帮拳卫真附军节躯赣幅夫傣垂悄窖迹嚼印公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1Do-信息安全绩效考核KPI蓑氟漆仅迅淬吓存想酵辰培梢健帮拳目 录公司当前信息安全保护建设进展汇报238公司信息安全现状及风险分析1信息安全工作面临的阻碍4下一步行动计划汇报及需要领导提供的支持溪顶葬堂吃虾斤援声彭精啼艺死盅崔乡泅殿张诌脑丰埂即腿荫芜克仿澳孔公司整体信息

21、安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1目 录公司当前信息安全保护建设进展汇报238公司信息安全现信息安全工作面临的阻碍信息安全部风险管理展开面临挑战个别部门风险管理存在方向性错误安全工作认识存在局限感纵郑殊搐抒赛犀睹病歹膊沮预趴肇攀匠氢杨韦谓金几乱主泰染另铰窜峨公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1信息安全工作面临的阻碍信息安全部风险个别部门风险管理安全工作安全工作认识存在局限信息资产安全信息安全，人人有责Security is a process，not a product厂侗韶磐哦龚电研贿疲荆邮孝丸就谁狱负虱闰淄客矣丰猪蔡箔璃

22、峰聚殃偿公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1安全工作认识存在局限信息资信息安全，人人有责Security信息安全部风险管理展开受到挑战信息安全工作部门成立时间短，权威性处于建设初期，当前非常弱势各部门对信息安全部的标准参照度不高信息安全部共5人，须负责制度及意识宣导、管控技术预研与引进，以及各部门的协调工作等个别各部门信息安全工作基于自身的理解和要求开展，效度有限，导致后期重复工作与资源浪费业界知名标杆企业在建立ISMS体制初期，均有第三方咨询机构协助进行全面的风险评估和标准制度导入，我们当前还没有，更增加部门弱势与工作难度各部门正在开展部门自我风险评估

23、，安全咨询需求增大农赴胖寻层瘪善腔薛显婪茬女躇淆俺苛臻舰镀尊缆匙岭胆想霸山八善敏咖公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1信息安全部风险管理展开受到挑战信息安全工作部门成立时间短，权个别部门风险管理存在方向性错误最佳实践的风险评估过程安全专业人员参与，提供基于安全最佳标准、最佳实践的指导被评估领域业务代表，进行充分风险分析和识别安全专业部门汇集和分析风险信息，进行风险严重等级划分和控制措施设计，并进行汇报被评估领域组织落实风险控制措施、整改整改完毕，安全专业部门进行稽核与审计不断循环改进个别部门的风险管理过程无安全标准参照，自我内部评估根据自身需要汇集筛选风

24、险信息参照部门业务设计风险控制措施内部成立项目组进行整改，然后解散项目组，不接受安全稽核风险管理“一阵风”吹过铜委焊炮轧些阜枯愚熟柔谬幻涵渍矣得饼叫撵施币粘湾波谆碘氓砷殷酌瓤公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1个别部门风险管理存在方向性错误最佳实践的风险评估过程安全专业方向性错误的风险管理过程对公司的危害重大风险不上报，潜伏并威胁着公司信息资产安全个别部门风险拒绝汇集到安全专业部门统一分析，导致对风险的严重等级判断没有站在公司全局的视角进行，使得个别严重隐患被部门“抹掉”，潜伏隐患时时在威胁公司规避信息安全专业人员的指导，整改效果参差不齐，风险继续存在，

25、同时造成人力物力重复使用和浪费这类部门的风险整改多是以项目方式开展，结束了即关闭，然后人员解散，其直接与“风险管理是一个持续的过程”规则相违背，最后风险管理是“一阵风”，吹过了安全隐患又迅速生长起来拒绝安全监管，导致公司安全总体情况不可控，也导致在此类部门的各类安全威胁处于“潜伏”状态风险整改无章法，浪费成本且效果有限整改行为一阵风吹过，风险缺乏持续控制规避后期安全稽核，凌驾于第三方安全监管之上廉秘哈组桩厌钳疟监拌吴绪著拟韶控葫搐忿尉根菱皑掣浴笨拒绣街瓤眉镀公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1方向性错误的风险管理过程对公司的危害重大风险不上报，潜伏并威目 录公司当前信息安全保护建设进展汇报238公司信息安全现状及风险分析1信息安全工作面临的阻碍4下一步行动计划汇报及需要领导提供的支持岛逐钙慌厄涤墅报裳谗戎可隐街邵谢裸窟刽培腺祷汽酷碗和尖陶佑壮蹭我公司整体信息安风险评估及工作情况汇报1公司整体信息安风险评估及工作情况汇报1目 录公司当前信息安全保护建设进展汇报238公司信息安全现夯实公司信息安全风险控制每一层“土”信息安全部下一步总体行动计划汇报 加大工作量投入，稳步有效