公司整体信息安全风险评估及工作情况汇报

公司整体信息平安风险评估及工作情况汇报信息平安部2021年12月21日整理课件目录公司当前信息平安保护建设进展汇报238公司信息平安现状及风险分析1信息平安工作面临的阻碍4下一步行动方案汇报及需要领导提供的支持整理课件研发体系全面分析公司信息平安存在问题IT管理平安问题研发体系职能体系IT网络与终端物理环境及人员平安平安制度流程终端网络数据中心平安制度流程物理环境整理课件从研发体系视角分析信息平安存在问题——网络与终端存在问题优化方案〔现阶段〕优化方案〔未来〕1.缺乏公司级统一备份管理机制；2.应用层密码设置存在隐患；3.应用效劳器日志无审计；4.存储介质的管理存在重大平安隐患；5.网口管理存在重大平安隐患。1.建立公司级统一备份管理方法；2.优化密码策略，增强密码复杂度；3.定期查看效劳器日志并做记录；4.对存储介质造册管理，明确责任人。5.标准公司网口管理。1.实现公司级统一备份管理；2.明确职责，专人专管，定期审计；3.优化效劳器日志查看策略，并定期审计；4.引入USB监控系统。整理课件从研发体系视角分析信息平安存在问题——物理环境及人员平安存在问题优化方案〔现阶段〕优化方案〔未来〕1.研发网络未实现真正的隔离；2.ADSL的使用存在重大平安隐患；3.员工平安意识薄弱；4.重要岗位人员背景调查。1.禁止研发人员访问外网；2.ADSL使用整改〔按用途分类分权管理〕；3.定期培训；4.对重要岗位人员进行背景调查。1.最大限度实现研发网络隔离；2.对ADSL审计监控并持续优化；3.培训并考试，考核成绩纳入KPI；4.建立员工信用档案。整理课件从研发体系视角分析信息平安存在问题——平安制度流程存在问题优化方案〔现阶段〕优化方案〔未来〕1.信息平安相关政策未在部门落地；2.应用效劳器内部管理无成文的制度及操作流程；3.无重要岗位操作指导；4.对外信息流转无控制方法。1.部门内部宣贯落地信息平安相关制度并定期考试；2.对部门内部重要应用效劳器必须制定成文的制度标准及操作流程；3.建立重要岗位操作指南；4.制定对外信息发放管理方法。1.公司建立信息平安文件体系，并定期审核执行情况；2.根据ISO27001建立效劳器基线；3.建立各岗位的操作指南；4.安装文档加密系统，标准外发流程。整理课件从职能体系视角分析信息平安存在问题存在问题优化方案〔现阶段〕优化方案〔未来〕1.员工特殊情况离职后相应权限账号未作及时清理；2.员工入职培训缺乏对信息平安的培训；3.绩效考核未考虑信息平安因素；4.涉密部门未做好敏感信息的分级分类管理。1.增加特殊情况离职后相应权限账号清理；2.增加信息平安新员工培训课程；3.考核成绩纳入KPI；4.涉密部门对内部信息资产进行分级划分。1.定期审计离职后相应权限账号的清理工作；2.信息平安成绩作为考核作为员工转正的依据；3.依据公司信息平安相关要求定期检查审计。整理课件存在问题优化方案〔现阶段〕优化方案〔未来〕1.便携机的管理存在重大平安隐患；2.AD域用户可以建立PC机本地管理员账号；3.USB、打印机未作有效监管；4.送外维修电脑数据无法监管；1.办理便携卡登记备案；2.重新评估AD域策略；3.贴封条，设置BIOS密码；4.送修机器由专人保管并登记。1.引入终端监控系统、USB监控系统、文档机密系统对其信息及端口进行控制和审计；2.定期对AD域策略进行审计；3.新增第三方效劳操作流程。从IT视角分析信息平安存在问题——终端整理课件存在问题优化方案〔现阶段〕优化方案〔未来〕1.上网权限开放审批不严格，导致多数用户均有上网权限2.研发部门测试网络比较混乱，造成ARP攻击异常3.对网络管控有限；1.重新审核用户上网权限2.对研发部门网络整改，隔离3.增加网络监控设备加强网络管理；1、严格标准相关制度2、定期审核权限，日志从IT视角分析信息平安存在问题——网络整理课件存在问题优化方案〔现阶段〕优化方案〔未来〕1.数据中心没有明确的管理维护制度2.数据中心对重要数据未作异地备份3.对数据未作分级分类管理，且与开发布部门进行沟通确认4、数据中心设备进出入无标准5、数据中心未作灾难恢复测试1.制定数据中心管理维护制度及流程，明确工作流程及人员职责2.严格落实重要数据异地备份机制3.加强数据中心设备管理；4、制定整体容灾解决方案，确保数据平安1、根据标杆企业先进管理方法优化部门管理2、定期审核权限，日志及记录从IT视角分析信息平安存在问题——数据中心整理课件目录公司当前信息平安保护建设进展汇报238公司信息平安现状及风险分析1信息平安工作面临的阻碍4下一步行动方案汇报及需要领导提供的支持整理课件信息平安部工作ACT-改善Plan-方案Check-检查Do-执行评估改善需求执行改善工作报告执行结果确认目标达成持续追踪改善建立ISMS环境信息平安政策；信息平安目标信息平安组织；执行风险管理风险评估；确认控制目标风险处理方案执行监控程序风险再评估定期实施稽核绩效评估建立管理文件体系建置控制方法信息平安程序文件营运持续运作方案执行管理程序教育训练及宣导整理课件Do-管理文件体系建设情况信息平安政策管理程序标准，要点指引记录，日志信息平安部各业务部门整理课件ISO27001Do-建置控制方法记录，日志内网隔离USB端口管控打印管控文件加密物理控制全员宣导制度政策信息安全专员信息资产ISMS上网行为监控第三方信息流转管控防火墙ADSL管控防病毒网关整理课件Do-关键控制方法部署进展：文档加密系统已使用在全公司IPD变革各领域使用，效果显著整理课件Do-研发与市场文档加密需求反响紧迫，二期增量采购部门已进行谈判，信息平安部已做好部署方案与支持准备1.解决方案部、移动通信产品线等研发部门已屡次提出，要求文档加密支持；2.供给链体系ISC变革文档,袁总〔华〕专门组织会议研究讨论，要求文档加密系统支持；3.同洲大学等功能支撑部门，屡次提出对参谋咨询材料、公司重要课件等提出加密请求…………整理课件有效过滤控制各类机密信息的外传降低法律风险，满足国家法律要求Do-关键系统情况汇报：终端上网行为平安监控整理课件Do-终端上网行为平安监控系统功能解析整理课件Do-终端上网行为监控系统上线，前期准备工作状况整理课件企业核心机密引入平安管理系统1.对USB平安管理系统、打印监控系统进行测试。2。已完成采购申请流程，待招标采购。控制计算机端口泄密控制打印泄密利于事前防范，事后审计Do-关键系统情况汇报：USB端口、打印等管控系统整理课件Do-USB端口、打印等管控系统引进进展整理课件Do-平安根底设施引进总体进度时间表整理课件Do-执行管理程序目前已建立从上至下的信息平安组织架构，下一步将充分发挥信息平安专员的职能，从基层落实信息平安…目前信息平安是一个治理过程，而不是一个工程产物；现阶段的任务是：各个部门内部进行自我风险评估改进信息平安部将以ISO27001标准来持续改善公司的信息平安，对各个部门将定期不定期进行审计，以确保信息平安的真正落实123组织推行审计IT部门风险评估整理课件Do-执行管理程序信息平安部将以ISO27001标准来持续改善公司的信息平安，对各个部门将定期不定期进行审计，以确保信息平安的真正落实整理课件Do-教育训练及宣导部门信息平安意识提升全员信息安全意识培育员工入职及入职后信息平安教育培训信息平安绩效考核整理课件Do-员工入职及入职后信息平安教育培训整理课件Do-全员信息平安意识培育坚持具有我司特色的信息安全意识建设——信息安全每周谈，进行专业安全防护专业知识宣讲，同时进行信息安全案例警示核心安全防护习惯时刻显示在眼前整理课件Do-部门信息平安意识提升推动部门开展各类形式的日常平安意识培育与宣讲整理课件Do-信息平安绩效考核KPI整理课件目录公司当前信息平安保护建设进展汇报238公司信息平安现状及风险分析1信息平安工作面临的阻碍4下一步行动方案汇报及需要领导提供的支持整理课件信息平安工作面临的阻碍信息平安部风险管理展开面临挑战个别部门风险管理存在方向性错误平安工作认识存在局限整理课件平安工作认识存在局限信息资产平安信息平安，人人有责Securityisaprocess，notaproduct整理课件信息平安部风险管理展开受到挑战信息平安工作部门成立时间短，权威性处于建设初期，当前非常弱势各部门对信息平安部的标准参照度不高信息平安部共5人，须负责制度及意识宣导、管控技术预研与引进，以及各部门的协调工作等个别各部门信息平安工作基于自身的理解和要求开展，效度有限，导致后期重复工作与资源浪费业界知名标杆企业在建立ISMS体制初期，均有第三方咨询机构协助进行全面的风险评估和标准制度导入，我们当前还没有，更增加部门弱势与工作难度各部门正在开展部门自我风险评估，平安咨询需求增大整理课件个别部门风险管理存在方向性错误最正确实践的风险评估过程平安专业人员参与，提供基于平安最正确标准、最正确实践的指导被评估领域业务代表，进行充分风险分析和识别平安专业部门聚集和分析风险信息，进行风险严重等级划分和控制措施设计，并进行汇报被评估领域组织落实风险控制措施、整改整改完毕，平安专业部门进行稽核与审计不断循环改进个别部门的风险管理过程无安全标准参照，自我内部评估根据自身需要汇集筛选风险信息参照部门业务设计风险控制措施内部成立项目组进行整改，然后解散项目组，不接受安全稽核风险管理“一阵风”吹过整理课件方向性错误的风险管理过程对公司的危害…………12345整改行为一阵风吹过，风险缺乏持续控制躲避后期平安稽核，凌驾于第三方平安监管之上风险整改无章法，不参照专业指导，浪费本钱且效果有限内部自我评估发现的漏洞，可能反而被内部人员利用泄密重大风险不上报，潜伏并威胁着公司信息资产平安整理课件过去信息平安工作的反省对公司平安工作开展阻力思考不够深入，认识缺乏需要改善推动各部门平安工作开展的方式整理课件目录公司当前信息平安保护建设进展汇报238公司信息平安现状及风险分析1信息平安工作面临的阻碍4下一步行动方案汇报及需要领导提供的支持整理课件夯实公司信息安全风险控制的每一层“土”信息平安部下一步总体行动方案汇报加大工作量投入，稳步有效测试采购及IT部门同事推荐的USB、打印、网关防毒等平安工具，配合采购的工作方案，引入UTM集成工具，尽快〔方案2021年二月底前〕控制公司当前重大平安隐患立即分析研发、IT两大重点体系风险评估信息，输出统一风险评估及控制措施正式报告，提请审核后，交付并跟踪责任部门整改，同时，规划整改后的平安稽核方案筹划根底建设期平安支撑工具的宣传培训工作，组织部署平安根底建设期支撑工具，并推动在全公司运行。落实对研发、IT两大重点体系整改后的平安审计工作，助力推动整改措施落地，并系统化启动其他业务领域的风险评估工作整理课件需要领导提供的支持1为防止“自我评估，自我整改，脱离最正确实践参照指导〞的风险管理在公司蔓延开来、并将公司信息平安管理引到“水沟〞里的这一隐患的发生，请领导支持我们在公司宣导并执行经过业界实践检验后的最正确风险管理过程，将公司风险管理与控制引向良序开展之路。整理课件需要领导提供的支持2基于风险控制工作的性质所决定，公司平安监管部门应该是“强势〞的，但是，目前由于公司信息平安部门成立时间短、人手紧迫〔本来12月21号到位的平安专业人员，HR反响对方认为上班路途远不来了〕，也没有咨询公司的支持效劳，使得信息平安部当前相当弱势。参照业界标杆最正确实践的经验，ISMS体系建立初期，应该引入优质第三方咨询效劳支持平安建设，ISMS架构建立后，每两年周期性请第三方平安机构复核优化ISMS体系。请领导支持我们在2021年引入优质第三方平安资讯效劳〔咨询费10万元左右〕，优化公司平安管理，培育支撑公司蓝海战略落地的平安风险控制文化。整理课件需要领导提供的支