H公司项目管理01234法则双份文档

H公司项目管理01234法则汇报人：XXX目录contents项目管理概述0-不做经营，一切为01-以终为始2-做与控3-三步规划妥4-四步开好头01项目管理概述项目的定义定义项目是一种临时性工作，旨在产生独特的产品、服务或结果。特点具有明确的目标、预算、时间节点和资源限制，涉及团队协作和跨部门沟通。项目管理是一项必备技能不懂项目，拿什么混职场项目管理是对项目从启动、规划、执行、监控到收尾的整个过程进行组织、协调、控制和领导的管理活动。定义确保项目按预期的质量、成本、时间节点完成，满足利益相关者的需求。目标什么是项目管理？项目经理负责项目的整体规划、执行和监控，协调资源，解决冲突。团队成员参与项目的具体工作，完成分配的任务，提供反馈。利益相关者涉及项目的干系人，包括客户、供应商、管理层等，对项目结果有直接或间接影响。核心角色项目经营管理：不做经营，一切为01、识别价值2、明确目3、识别干系人4、建立团队1、明确范围2、制定计划3、识别风险1、有效监控2、管理变更1、项目总结4步开好头3步规划妥2步做和控1步终为始启动规划执行收尾监控H公司公司如何做好项目管理“01234”020-不做经营，一切为0为什么要关注经营?1、组织层面：公司管理的目标是生存、发展、获利，经营管理是实现该目标的重要手段。2、项目层面：项目是商业组织最小的经营单元。(预算准确率)3、个人层面：经理=经营+管理，不懂经营就不能成为合格的职业经理人。不做经营，一切为零0-不做经营，一切为用财务语言将项目价值、项目目标和结果量化和显性化，并对财务指标进行滚动预测、度量、分析、改进直至达到经营目标的过程。项目经营管理贯穿整个项目管理过程，涉及项目管理团队的所有成员。项目经营收尾执行监控规划启动概算要花多少钱决算最终花多少钱钱预算能花多少钱核算已花多少钱031-以终为始1-以终为始随着社会的发展和人们生活水平的提高，市场对某产品的需求不断增长。市场需求技术进步政策支持技术的不断进步为项目的实施提供了可能性和支持。政府出台相关政策，鼓励和支持项目的开展。030201项目背景通过技术改进和流程优化，提高产品的质量和稳定性。提高产品质量通过规模化生产和优化供应链管理，降低产品的成本。降低成本通过市场推广和品牌建设，提高产品的知名度和市场份额。拓展市场份额项目目标

项目意义满足市场需求项目的实施满足了市场的需求，提供了更好的产品和服务。促进经济发展项目的成功实施促进了相关产业的发展，拉动了经济增长。提高企业竞争力项目的实施提高了企业的技术水平和市场竞争力，为企业的发展奠定了基础。根据项目需求和团队成员的特长，合理分配任务，确保每个成员都能发挥自己的优势。任务分配根据任务性质和紧急程度，对团队成员进行合理分工，以提高工作效率。人员分工任务分配与人员分工0102进度安排与时间表定期检查项目进度，及时调整计划，确保项目按时完成。制定详细的项目进度计划，明确每个阶段的任务、时间节点和负责人。在项目执行过程中遇到的问题如资源不足、技术难题、沟通障碍等。针对问题采取的解决方案如寻求外部资源、技术培训、改进沟通方式等。遇到的问题与解决方案任务五完成产品上线，并进行市场推广。任务四完成产品开发，并进行测试。任务三完成产品原型设计，并进行用户体验测试。任务一完成项目计划书撰写，明确项目目标、任务和时间节点。任务二完成市场调研，了解目标用户需求和竞争对手情况。完成的任务与目标亮点一产品设计新颖，用户体验良好，受到用户好评。创新点一采用人工智能技术实现自动化内容推荐，提高用户体验。创新点二引入区块链技术，实现数据可追溯和不可篡改，提高数据安全性。亮点二项目团队高效协作，按时完成各项任务。亮点三项目成果在市场上取得了良好的反响和业绩。项目的创新点与亮点项目的不足与遗憾项目初期市场调研不够充分，导致对目标用户需求理解不够准确。产品上线时间紧迫，导致部分功能和细节没有得到充分优化和完善。由于时间限制，未能实现全部预期功能和效果。在市场推广方面，未能充分挖掘潜在用户和市场。不足一不足二遗憾一遗憾二通过本次项目，我们成功地完成了预定目标，提高了团队协作和沟通能力，积累了宝贵的经验。在项目执行过程中，我们遇到了时间管理不善和沟通不畅的问题，导致部分任务延期完成。项目的收获与教训教训收获评价团队成员在项目中表现出了高度的责任心和敬业精神，专业技能和团队协作能力得到了提升。建议针对个人在项目中的表现，建议加强时间管理和沟通技巧的培训，提高工作效率。团队成员的评价与建议希望在未来的项目中，能够更加注重前期规划和风险管理，减少不必要的延误和错误。展望计划加强团队建设和培训，提高团队整体实力和执行力，为承接更大规模和更高难度的项目做好准备。规划未来项目的展望与规划042-做与控有效监控项目监控是对项目实施过程和结果进行测量、评估、调整和控制的系统过程，以确保项目按照预定的时间、成本、质量等目标进行。确保项目按计划执行，及时发现和纠正偏差，提高项目成功率，降低风险。定义与目标目标定义

监控的重要性确保项目按计划进行通过监控，可以及时发现和解决项目实施过程中的问题，确保项目按计划进行。降低项目风险通过监控，可以及时发现和应对潜在的风险，降低项目失败的风险。提高项目质量通过监控，可以对项目实施过程和结果进行评估和调整，提高项目的质量。监控报告定期或不定期地编制监控报告，反映项目实施情况和监控结果。调整与控制根据数据分析结果，对项目实施进行调整和控制。数据分析对收集的数据进行分析，评估项目实施情况。制定监控计划明确监控目标、范围、方法、时间表等。数据收集收集项目实施过程中的相关数据。监控的流程与内容进度计划制定详细的进度计划，明确项目各阶段的目标、任务和时间节点。进度报告定期收集项目进度信息，整理成报告，向项目相关方汇报。进度调整根据项目实际情况，适时调整进度计划，确保项目按时完成。进度监控制定项目成本预算，明确各项费用支出。成本预算对项目实际成本进行监控，确保实际成本不超过预算。成本控制对项目成本进行分析，找出成本节约或超支的原因。成本分析成本监控质量标准制定项目质量标准，明确项目各阶段的质量要求。质量改进针对质量检查中发现的问题，采取措施进行改进，提高项目质量。质量检查对项目各阶段的工作成果进行质量检查，确保符合质量要求。质量监控123识别项目潜在的风险因素，建立风险清单。风险识别对识别出的风险进行评估，确定风险等级和影响程度。风险评估制定风险应对措施，降低或消除风险对项目的负面影响。风险应对风险监控变更申请建立变更申请流程，确保变更需求得到合理评估和审批。变更评估对变更实施效果进行评估，总结经验教训，优化项目管理流程。变更实施对批准的变更需求进行实施，确保变更顺利进行。变更监控在制定监控计划时，首先需要明确项目的目标和期望结果，以便有针对性地进行监控。明确监控目标根据项目目标和关键成功因素，选择合适的监控指标，以便实时跟踪项目的进展情况。设定监控指标确定合适的监控频率，如每日、每周、每月等，以便及时发现问题并进行调整。制定监控频率针对可能出现的风险和问题，制定相应的应对措施，以便在需要时迅速采取行动。制定应对措施制定合理的监控计划确定沟通的目标和目的，以便有针对性地进行沟通。明确沟通目标确定沟通方式建立沟通渠道鼓励开放沟通选择合适的沟通方式，如面对面会议、电话、电子邮件、即时通讯等，以便及时有效地传递信息。建立稳定的沟通渠道，以便团队成员能够随时进行交流和协作。鼓励团队成员积极发表意见和建议，以便及时发现和解决问题。建立有效的沟通机制及时处理问题与风险通过日常监控和团队成员的反馈，及时发现项目存在的问题和风险。对发现的问题进行分析，找出根本原因，以便采取有效的解决措施。根据问题的性质和严重程度，制定相应的解决方案或应对措施。迅速行动，及时解决问题，确保项目的顺利进行。发现问题分析问题制定解决方案实施解决方案确定评审周期根据项目的实际情况和需要，确定合适的评审周期，如每周、每月或每季度。准备评审材料提前准备评审所需的各项材料，如项目进度报告、质量报告、风险评估报告等。组织评审会议召集相关人员参加评审会议，共同对项目进行评估和分析。制定改进计划根据评审结果，制定相应的改进计划和措施，以提高项目的效率和质量。定期进行项目评审定期进度评估定期进行进度评估，及时发现并解决潜在问题，确保项目按计划进行。加强沟通协作建立有效的沟通机制，确保项目团队成员之间的信息流通，及时解决问题。优化资源分配根据项目需求，合理分配人力、物力和财力等资源，避免资源不足或浪费。制定详细的项目计划在项目开始阶段，制定详细的项目计划，明确每个阶段的任务、责任人和时间节点。应对项目延期的策略制定预算计划建立费用审批制度，确保各项费用支出符合预算计划。严格费用审批实时监控成本优化资源利用01020403合理利用资源，避免浪费，降低项目成本。在项目开始阶段，制定详细的预算计划，明确各项费用支出。对项目成本进行实时监控，及时发现并纠正成本超支情况。控制项目成本的策略制定质量标准在项目开始阶段，明确项目的质量标准和验收标准。严格质量控制对项目过程和结果进行严格的质量控制，确保符合质量要求。持续改进根据项目反馈和经验总结，持续改进项目质量。加强团队培训对项目团队成员进行质量意识和技能培训，提高项目质量水平。提高项目质量的策略风险识别在项目开始阶段，识别可能出现的风险，并进行分析评估。制定应对措施针对不同风险，制定相应的应对措施和预案。实时监控风险对项目风险进行实时监控，及时发现并处理风险情况。总结经验教训对已发生的风险事件进行总结，吸取经验教训，提高风险管理能力。管理项目风险的策略管理变更变更管理范围变更管理涉及组织的各个领域，包括战略、组织结构、流程、技术、人员等，以及外部环境的变化，如市场、政策、法规等。变更管理定义变更管理是对组织或外部的变更进行规划、实施、监督和控制的系统过程，旨在确保变更能够顺利、有效地实施，并降低对组织的影响。变更管理目标变更管理的目标是确保变更的实施符合组织的战略目标，提高组织的适应性和竞争力，同时降低变更带来的风险和负面影响。变更介绍适应变化随着外部环境的变化和组织的发展，组织需要进行相应的调整和变革，以适应市场的需求和竞争的压力。变更管理能够帮助组织及时应对变化，确保组织的稳定和持续发展。降低风险变更管理有助于降低组织在变革过程中面临的风险和不确定性。通过科学的规划和实施过程，组织能够减少变革带来的负面影响，确保组织的稳定性和可持续发展。增强竞争力有效的变更管理能够帮助组织适应市场的变化和竞争的需求，提高组织的适应性和创新能力。这有助于组织在市场上获得竞争优势，实现可持续发展。提高效率通过有效的变更管理，组织能够优化流程、提高工作效率、减少浪费，从而实现资源的合理配置和有效利用。这有助于提高组织的运营效率和盈利能力。变更管理的意义明确变更涉及的具体内容，包括技术、流程、人员等。确定变更范围评估变更影响确定变更优先级分析变更可能对组织、项目、人员等产生的影响，包括正面和负面影响。根据影响程度和紧迫性，确定变更的优先级，为后续决策提供依据。030201识别和评估变更

制定变更管理计划制定变更实施方案明确变更实施的具体步骤、时间表和责任人。制定风险应对措施预测变更可能带来的风险，并制定相应的应对措施。资源分配和预算计划根据实施方案，合理分配资源，制定预算计划。确保相关人员了解变更内容，明确各自职责。培训和沟通按照计划逐步实施变更，确保各项措施得到有效执行。执行变更计划在实施过程中，密切关注进展情况，及时调整计划，确保变更顺利实施。监控和调整实施变更设定评估指标收集数据效果评估持续改进监控和评估变更效果01020304根据变更目标，设定合理的评估指标，用于衡量变更效果。收集相关数据，为评估提供依据。分析收集到的数据，评估变更的实际效果，与预期目标进行对比。根据评估结果，总结经验教训，持续优化和改进变更管理流程。员工可能因为对变革的不理解、对未知的恐惧、对自身利益的担忧等原因而抵制变革。员工抵制的原因加强沟通与培训，让员工充分了解变革的必要性和意义，提供必要的支持和资源，增强员工的参与感和归属感。应对策略员工抵制在实施变革过程中，可能会因为缺乏人力、物力、财力等资源而导致变革受阻。合理规划资源，优化资源配置，寻求内外部资源的支持和整合，确保变革的顺利进行。资源不足应对策略资源不足的表现沟通障碍的后果在变革过程中，如果沟通不畅或信息传递不及时，可能会导致误解、猜疑和冲突。应对策略建立有效的沟通机制，确保信息的及时、准确传递，加强双向沟通，鼓励员工提出意见和建议，促进共识的达成。沟通障碍变革过程中可能会出现各种风险，如技术风险、市场风险、财务风险等。风险的表现形式制定完善的风险管理计划，建立风险预警机制，及时识别和评估风险，采取有效的应对措施，确保变革的成功实施。应对策略风险控制通过有效的变更管理，组织能够减少变革带来的混乱和冲突，确保运营的稳定性和连续性。确保组织稳定变更管理有助于提高决策的质量和速度，通过系统性的规划和执行过程，确保变革能够顺利实施。提高决策质量良好的变更管理能够鼓励员工的参与和投入，增强员工的归属感和工作积极性。促进员工参与通过有效的变更管理，组织能够预测和应对变革过程中可能出现的问题和风险，降低变革失败的可能性。降低风险变更管理的价值未来的研究可以进一步探讨如何持续改进变更管理过程，以适应不断变化的市场环境和组织需求。持续改进研究不同文化背景下的变更管理实践，以了解文化因素对变革管理的影响和作用。跨文化研究探索如何利用新兴技术，如人工智能和大数据分析，改进和优化变更管理过程。技术应用进一步深化对组织变革理论的研究，以更好地指导变更管理的实践和应用。组织变革理论未来研究方向053-三步规划妥01明确项目范围明确项目在短期内要达成的具体成果，如完成某项功能、达到某个性能指标等。短期目标确定项目在长期内要实现的总目标，如提高生产效率、降低成本等。长期目标确定项目目标详细列出项目所需完成的任务和活动，确保所有相关人员对项目范围有共同的理解。明确项目的范围界限，包括项目的输入和输出、项目的约束和假设条件等。定义项目范围确定项目的边界确定项目的工作内容

制定项目需求收集需求通过与利益相关者沟通、问卷调查、焦点小组讨论等方式，收集项目的需求信息。分析需求对收集到的需求信息进行整理、分类和筛选，明确项目的关键需求和优先级。制定需求规格说明书将分析后的需求编写成需求规格说明书，明确项目的功能、性能、安全等方面的要求。02制定项目计划根据项目需求和资源情况，确定项目的开始和结束时间，为项目进度提供时间框架。确定项目起止时间划分项目阶段设定里程碑将项目划分为若干个阶段，如需求分析、设计、开发、测试等，以便更好地管理项目进度。在项目关键节点设置里程碑，以便监控项目进度并及时调整计划。030201确定项目时间表根据项目需求和团队成员的技能，合理分配人力资源，确保项目顺利进行。人力分配根据项目需要，合理安排设备、场地等物力资源，确保项目所需物资得到保障。物力资源分配根据项目预算和进度计划，合理分配资金，确保项目各个阶段的资金需求得到满足。资金分配分配项目资源明确项目的预算范围，包括人力成本、物资成本、场地租赁等费用。确定预算范围根据项目需求和资源情况，制定详细的预算计划，包括预算明细和费用分摊。制定预算计划在项目执行过程中，密切关注预算执行情况，及时调整预算计划，确保项目成本控制在预期范围内。控制预算执行制定项目预算03识别项目风险技术风险资源风险人力风险外部风险分析项目风险因素01020304由于技术难度、技术更新、技术依赖等因素导致的风险。由于资源短缺、资源价格波动、资源质量不稳定等因素导致的风险。由于人员技能不足、人员流动、人员沟通等因素导致的风险。由于政策变化、市场竞争、自然灾害等因素导致的风险。影响评估评估风险发生后对项目目标的影响程度。概率评估根据历史数据和经验，评估各种风险发生的可能性。综合评估综合考虑风险发生的可能性和影响程度，确定风险的优先级。评估项目风险可能性通过采取预防措施，降低风险发生的可能性。预防策略通过采取缓解措施，减轻风险发生后对项目目标的影响程度。缓解策略针对已经发生的风险，采取应对措施，降低风险对项目目标的影响。应对策略制定风险应对策略064-四步开好头01步识别价值在项目启动阶段，首先需要明确项目的目的和目标，确保团队成员对项目的方向和预期结果有共同的理解。明确项目目的根据项目目标，制定详细的实施计划，包括项目的时间安排、资源分配和任务分工等。制定项目计划确定项目目标对项目的潜在收益进行全面评估，包括经济效益、社会效益和战略效益等。分析项目的成本，包括人力、物力、财力等方面的投入，以及潜在的风险和不确定性。分析项目价值确定项目成本评估项目收益根据项目的价值和紧迫性，对项目进行优先级排序，确保资源得到合理分配。确定优先级排序根据优先级排序，制定相应的实施计划，确保项目按优先顺序推进。制定优先级计划确定项目优先级02步明确目标明确项目的目标、任务和活动，确保项目团队对项目范围有共同的理解。确定项目范围制定时间表分配资源根据项目任务和活动，制定详细的项目时间表，包括开始和结束日期、关键里程碑等。根据项目需求，合理分配人力、物力和财力等资源，确保项目顺利进行。030201制定项目计划

确定项目里程碑设定关键里程碑根据项目计划，设定关键的里程碑，以便监控项目进度和及时调整计划。制定里程碑评估标准为每个里程碑设定具体的评估标准，以便评估项目进展情况。制定应对措施针对可能出现的问题和风险，制定应对措施，确保项目能够按时完成。根据项目目标和需求，明确项目的预期成果，包括可衡量的指标和目标值。确定项目预期成果为预期成果设定具体的评估标准，以便评估项目是否达到预期目标。制定成果评估标准针对可能存在的问题和不足，制定改进措施，以提高项目的质量和效益。制定改进措施设定项目预期成果03步识别干系人外部利益相关者客户、供应商、合作伙伴、政府机构等。识别利益相关者的目的了解各方的需求、期望和潜在影响，以便更好地协调和管理项目。利益相关者项目团队成员、管理层、其他部门人员等。分析项目利益相关者03制定满足需求的策略根据分析结果，制定相应的策略和措施，以满足利益相关者的需求和期望。01收集利益相关者的需求和期望通过调查、访谈、会议等方式了解各方的需求和期望。02分析需求和期望的优先级对收集到的需求和期望进行分类和排序，确定哪些是关键的、紧急的和重要的。确定干系人需求和期望明确项目目标和范围确保利益相关者对项目的目标和范围有清晰的认识和理解。制定沟通计划确定与利益相关者的沟通方式和时间，以确保信息的及时传递和反馈。建立有效的协调机制建立有效的协调机制，以确保各利益相关者之间的合作和协同工作。管理干系人期望04部建立团队123根据项目需求，确定项目所需的人员数量和技能要求。确定项目规模和所需人员通过招聘、选拔或外包等方式，组建项目团队。招聘和选拔在团队组建之初，强调团队价值观、使命和理念，增强团队凝聚力。建立团队文化组建项目团队为团队成员分配明确的角色和职责，确保每个人都清楚自己的工作任务。明确角色和职责根据项目需求和团队成员的技能，制定合理的工作流程，确保项目顺利进行。制定工作流程根据项目目标和要求，制定详细的项目计划，包括时间表、任务分配和预期成果。制定项目计划分配项目角色和职责有效沟通鼓励团队成员之间的有效沟通，及时解决问题和避免信息不畅。定期会议定期组织项目进度会议、周会等，让团队成员了解项目进展情况。文档管理建立统一的文档管理机制，确保项目资料和信息的完整性和安全性。建立团队沟通机制THANKS感谢观看2年10月甲方集团

信息安全管理体系优化咨询项目

信息安全建设规划报告©2012DD华永会计师事务所有限公司版权所有

保留一切权利90报告目录信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入附件信息安全建设方案内容说明信息安全需求细部说明信息安全建设工作任务绩效指标其他补充信息安全建设需求分析91信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入甲方集团信息安全现况调研基准：

ISO27001:2013信息安全管理国际标准92供应商关系Ch1.适用范围(Scope)CH4.组织环境(ContextofOrganization)Ch2.规范性引用标准(Normativereferences)

Ch3.术语与定义(Termsanddefinitions)Ch5.领导力(Leadership)

Ch6.规划(Planning)Ch7.支持(Support)Ch8.

运行(Operation)控制域与控制措施信息安全方针信息安全组织人力资源安全资产管理访问控制加密物理与环境安全操作安全通信安全系统获取、开发与维护A.5A.6A.7A.8A.9A.11A.12A.13A.14A.15Ch9.绩效评估(Performanceevaluation)Ch10.

改进(Improvement)A.10信息安全事件管理A.16业务连续性管理A.17合规性A.18`信息安全方针信息安全组织人力资源安全资产管理访问控制加密物理与环境安全合规性业务连续性管理的信息安全层面信息安全事件管理供应商关系系统获取、开发及维护通信安全操作安全信息安全管理制度ISO

27001:2013是目前国际上公认的信息安全管理标准，它指引公司对于信息安全的议题，应该关注14个信息安全管理域，对于信息安全的管理才完整信息安全的范畴：

对应ISO27001:2013的14个信息安全管理域93人员/单位第三方服务厂商人员聘雇解雇绩效管理人力资源调研顾客信息市场区隔营销知识产权外包服务转包第三方会计预算企业资源计划财务合约

诉讼法务信息管理流程信息消费勘察客户关系管理销售商品研发运营战略研发客户信息个人身份信息客服运营流程财务系统客户关系管理系统…电销系统POS系统人力资源系统应用系统数据库数据仓库文件服务器……数据存储网络基础架构网络办公大楼(风火水电)物理环境人员安全业务数据安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全资产管理访问控制加密物理与环境安全操作安全信息安全方针系统获取开发与维护合规性信息安全事件管理业务连续性管理通信安全甲方集团在ISO27001:2013的14个信息安全管理域

的管理成熟度现况94初始级可重复级已定义级已管理级

可优化级

*目前14个信息安全管理域中，共有10个域在初始级或是可重复级业务数据安全人员安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全物理与环境安全资产管理(终端)访问控制加密操作安全通信安全(网络)系统获取、开发与维护信息安全事件管理信息安全方针业务连续性管理合规性项目团队透过调研活动所反馈到的信息安全主要发现事项

-依信息安全管理域分类95业务数据安全人员安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全物理与环境安全资产管理(终端)访问控制加密操作安全通信安全(网络)系统获取、开发与维护信息安全事件管理信息安全方针业务连续性管理合规性[集团]2个[SBU]3个[集团]1个[SBU]2个[集团]5个[SBU]3个[集团]5个[SBU]9个[SBU]13个[SBU]2个[SBU]3个[集团]3个[SBU]2个[集团]2个[SBU]10个[集团]6个[SBU]26个*本次调研汇整共97个主要发现事项，是指未符合ISO27001:2013的相关要求依据现况调研结果及分析，归纳出甲方集团的

七个主要信息安全管理问题

96Q7目前对于终端设备的管控薄弱，终端设备可能成为集团数据丢失的渠道或外部入侵的跳板资产管理(终端)Q6部分利润中心在网络层面的安全防御程度不足，在面对或外部网络攻击时可能影响到集团层次通信安全Q5信息系统及数据在开发与运维阶段，尚有许多安全控制需要强化及落实，才能保证系统安全运作系统获取、开发与维护Q4信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化信息安全事件管理业务连续性管理Q3系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险访问控制Q1集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分人力资源安全信息安全组织Q2以等保为核心的合规压力加重，加上信息安全管理标准不清，造成部分安全工作执行未到位合規性信息安全方针Q3访问控制Q4事件应变/灾备Q6网络管控Q7终端管控Q5应用系统安全根本原因归纳：由于安全权责不清，加上信息安全标准落实不彰，进而衍生出其他执行层面的问题(Q3~Q7)97Q2标准/合规Q1组织权责DD建议先厘清信息安全权责边界，并且建立完整的信息安全标准内容，再透过设定实施改善计划，逐一改善执行面的其他问题组织面管理面技术面信息安全建设蓝图规划98信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入信息安全建设目标梳理99信息安全建设目标信息安全管理现况问题管理目标：规范信息安全管理，合理控制信息安全风险，支持信息化战略目标的实现Q7.终端管控Q1.组织权责Q2.标准/合规Q3.人员管控Q5.应用系统安全Q6.网络管控Q4.事件应变/灾备信息安全建设目标：降低信息安全现况问题所带来的安全风险及对业务运营的影响，并可持续改善及落实控制的有效性信息安全建设蓝图规划100信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入12345671234567P1.组织权责整改方案101对于信息安全需求的细部说明，请参考附件2

项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q1集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分P1.组织权责整改方案梳理集团与利润中心信息安全责任边界O1.信息安全职责分工设计信息安全管控模式界定集团与利润中心安全责任梳理信息系统生命周期中建设、运维、用户及安全人员的角色责任O1.信息安全职责分工定义信息系统生命周期信息安全工作角色权责：按“集团信息安全标准”中的人员职责分工，划清工作边界设置信息安全组织O2.信息安全管理组织设置信息安全管理组织：各单位按“办法”要求，成立信息安全组织，并配备信息安全专职人员；指定各部室的信息安全接口人员配备信息安全专职人员O3.信息安全管理员定期更新信息安全体系运维任务栏表定义信息安全管理员工作职能设置信息安全管理员梳理集团与利润中心信息安全责任边界O1.信息安全职责分工设计信息安全管控模式界定集团与利润中心安全责任1234567P1.组织权责整改方案–信息安全责任边界(管理层)102信息安全执行组信息安全决策委员会利润中心集团信息安全管理委员会信息安全专职人员基础设施管理员应用管理员终端管理团队管理层执行层管理层：1、确定和细化通用性安全标准2、为管理范围的安全建设配备资源3、对利润中心进行信息安全绩效考核（考核标准，依每年安全建设任务确定）管理层：1、确定和细化行业特定安全标准2、为管理范围内的安全建设配备资源3、可对下属企业进行信息安全绩效考核集团规划通用性安全标准，并考核利润中心实施状况利润中心建立特定安全标准，并考核下属企业实施状况集团（信息部）：充当裁判员，制定集团通用性安全标准利润中心管理层：充当裁判员，制定个性化安全标准(如银行、电力、燃气等)1234567P1.组织权责整改方案–信息安全责任边界（执行层）103数据中心场地核心网操作系统中间件应用存储数据库利润中心个性系统办公场地/服务器机房接入网传统终端终端互联网智能终端人员供应商和外部人员服务器机房核心网操作系统中间件应用存储数据库集团共性与个性系统办公场地/服务器机房接入网传统终端终端互联网智能终端人员供应商和外部人员利润中心集团个性系统部分移交集团统一运维目前管理边界个性化安全标准：各单位充当运动员：落实解决方案信息系统与基础设施：配合网络集中，广域网络统一出口，广域网络由集团集中管理。放入新一代数据中心的应用系统技术类建设模式，集团以工作协同的方式，依服务目录提供服务与参考方案。各单位按性价比决定采用哪种方案利润中心仍需负责未放入新一代数据中心的应用系统相关信息环境、局域网及终端的技术类建设工作。通用性安全标准：集团（润联）充当运动员：落实解决方案信息系统与基础设施：集团作为服务方，以服务目录的方向，向各单位提供集团的统一方案各单位需要协同集团的方案对于托管在集团的个性系统，个性化要求如在服务目录中，可以由集团落实集团可充当教练员，以服务目录的方式，向各单位提供集团的统一方案1234567架构师P1.组织权责整改方案–信息安全责任边界

（执行层按项目生命周期）104项目生命周期设计阶段立项阶段定义阶段实现阶段交付阶段运维阶段废弃阶段项目组应用系统管理员安全专职人员主责人员应用、中间件、数据库、操作系统、网络的安全检查应用安全运维应用系统废弃数据库安全设计中间件安全设计操作系统安全设计网络安全设计应用系统安全需求分析应用系统安全方案设计应用系统开发测试安全/商业软件选型应用安全部署应用系统安全方案设计1234567深化、细化现有管理规范满足新技术发展的需求P1.组织权责整改方案–各单位建立信息安全管理组织持续推动105信息安全决策委员会信息安全执行组信息安全组织信息安全管理委员会信息安全专职人员各系统的信息安全管理员各部室信息安全联络员人数由各单位根据本行业的业务特点、业务规模、信息系统的数量和复杂度等因素确定。由各系统管理员兼任。由部室领导指定核心骨干人员担任。信息安全组织：要求集团和各单位建立信息安全组织管理框架，以启动和控制组织范围内的信息安全实施和运行。1234567P2.标准/合规整改方案106对于信息安全需求的细部说明，请参考附件2

项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q2以等保为核心的合规压力加重，加上信息安全管理标准不清，造成部分安全工作执行未到位P2.标准/合规整改方案实施信息安全规范培训与意识宣贯M3.培训与宣贯定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯建立通用性的信息安全标准与基线M1.信息安全标准建立信息安全管理办法：进行通用性的信息安全标准制定定期审阅与更新信息安全管理办法实施信息系统等级保护M2.信息系统等级保护实施信息系统安全等级保护定级实施信息系统安全等级保护备案实施信息系统安全等级保护安全建设整改实施信息安全规范培训与意识宣贯M3.培训与宣贯定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯1234567P2.标准与合规整改方案-建立通用性的信息安全标准与基线107甲方（集团）有限公司信息安全管理办法甲方（集团）有限公司信息安全标准信息系统安全管控要求信息资产管理人力资源安全供应商和外部人员管理信息安全事件管理合规性管理业务连续性管理数据存储备份应用系统安全要求数据库安全要求中间件安全要求操作系统安全要求网络安全要求物理安全要求终端安全要求附录：IT设备安全基线要求操作系统安全基线要求Web中间件安全基线要求数据库系统安全基线要求网络设备安全基线要求信息系统安全组织与职责信息安全组织对外合作与沟通信息安全角色与职责：信息系统：人员管理：终端1234567P2.标准与合规整改方案-实施信息系统等级保护1081234567系统识别与描述等级确定定级保护对象框架建立选择和调整安全措施安全规划与方案设计安全措施实施等级评估符合等级保护要求？规划与设计运行监控与改进符合等级保护要求？是否实施、等级评估与改进否是2015年底前集团总部与利润中心完成等保定级与备案。2016年底前集团总部与利润中心针对等保三级以上系统需完成整改与等保测评。P3.人员管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q3系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险P3.人员管控整改方案信息系统帐号权限审阅纳入人员调离岗作业M4.人员安全管理签署人员保密协议:职前背景调查、保密协议定期实施人员信息系统帐户与权限复核：职前、职中、职后定期实施LDAP与个性系统帐号权限审阅T4.操作系统安全实施LDAP与个性系统帐号权限针对未经授权或异常账号进行删除或停用109对于信息安全需求的细部说明，请参考附件2

1234567P3.人员管控整改方案–信息系统帐号权限审阅1101234567用人部门确定任用人员到岗确认帐号权限人员调岗人员离岗人力资源部门发布到岗通知发布调岗通知发布离岗通知信息管理部门接收到岗通知确认帐号权限移除帐号权限HR系统LDAP开立帐号设置帐号/权限调整人员属性停用帐号/权限与HR系统同步与HR系统同步与HR系统同步与LDAP介接之个性系统与LDAP同步与LDAP同步与LDAP同步未与LDAP介接之个性系统开立帐号设置帐号/权限停用帐号/权限发布调岗通知确认帐号权限是否调整帐号权限审核调整帐号权限与LDAP同步调整帐号/权限帐号权限审核P4.事件应变/灾备整改方案–总览项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q4信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化P4.事件应变/灾备整改方案实施信息系统安全日志集中留存M6.信息安全事件管理信息系统及基础设施安全日志异地留存至数据中心SIEM平台实施信息系统安全日志事件分析M6.信息安全事件管理定期检视SIEM平台安全事件建立SIEM平台安全监控策略建立紧急联系清单及通报程序:包含信息安全事件报告、应急处理和原因调查建立信息资产分级与管控机制M5.信息资产管理定期实施信息资产分级管理：信息资产登记定期实施信息系统安全风险评估：进行定期信息安全检查和加固方案制定或更新信息系统应急预案M7.业务连续性与灾备定期审阅与更新信息系统灾备方案定期审阅与更新信息系统应急预案建立业务连续性计画(BCP)：包含同城灾备中心建设规划/异地灾备中心建设规划实施信息系统应急预案演练M7.业务连续性与灾备定期实施信息系统应急预案111对于信息安全需求的细部说明，请参考附件2

1234567P4.事件应变/灾备整改方案–信息系统安全日志集中留存与分析112远程管理即时监控告警进阶事件分析事件管理介面信息安全知识库SIEM控制台信息系统漏洞通报信息安全事件通报外部资源事件关联平台收集器事件管理系统信息资产管理系统报表系统信息安全事件响应平台电子邮件短信告警系统SIEM管理後台SIEM平台数据库信息安全设备服务器网络设备信息系统信息安全管理员安全组HTTPS/HTTPSMSSMTP集团总部利润中心配合新一代数据中心建成，信息系统集中於新一代数据中心代管，信息系统安全日志留存由集团统一规划、统一建设，信息系统安全日志事件分析由集团集中处理与告警，利润中心负责事件响应、处理与通报1234567113P4.事件应变/灾备整改方案–制定或更新信息系统应急预案1234567业务复原优先级业务所需资源演练情境执行回复之程序业务冲击分析RTO复原时间目标风险评估威胁种类备份策略RPO数据回复目标业务所需最小资源资产造成损害之机率信息系统应急预案系统复原优先级系统所需之软硬件资源系统回复之程序系统备份策略信息系统灾备需考虑软硬件可能之建置时间依应急预案回复程序执行演练P5.应用系统安全整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q5信息系统及数据在开发与运维阶段，尚有许多安全控制需要强化及落实，才能保证系统安全运作P5.应用系统安全整改方案建立覆盖信息系统生命周期的信息安全标准与基线M1.信息安全标准建立共通性的信息安全标准与基线：银行、资产、电力、医药等单位进行个性化信息安全标准制定定期审阅与更新信息安全管理办法建立信息资产分级与管控机制M5.信息资产管理定期实施信息资产分级管理：信息资产登记定期检视与调整信息资产分级定期实施系统帐号审阅T4.操作系统安全实施个性系统帐号审阅针对未经授权或异常账号进行删除或停用实施数据脱敏机制T3.数据库/中间件安全评估数据脱敏实施需求强化测试环境安全管控建立测试模拟数据或数据脱敏工具定期实施信息信息系统安全检测T2.应用系统安全定期实施信息系统安全检测定期实施信息系统整改方案114对于信息安全需求的细部说明，请参考附件2

1234567P5.应用系统安全整改方案–信息系统生命周期的安全管理工作115信息系统生命周期设计阶段实现阶段定义阶段立项阶段废弃阶段运维阶段项目组/应用管理员基础设施管理团队数据库安全设计安全需求调研和定义开发测试安全商业软件安全选型应用安全部署安全方案设计应用安全运维应用安全废弃数据存储备份数据库管理员数据库安全部署数据库安全运维数据库安全回收存储备份管理员中间件管理员操作系统管理员网络管理员场地管理员中间件安全设计中间件安全部署中间件安全运维中间件安全回收操作系统安全设计操作系统安全部署操作系统安全运维操作系统安全废弃网络安全设计网络安全建设网络安全运维网络设备安全废弃场地安全设计场地安全建设场地安全运维信息安全专职人员安全方案协同设计或评审上线前安全检查定期安全检查介质消磁安全事件发现与处理存储备份系统配置数据存储备份方案设计数据安全废弃场地安全废弃1234567P6.网络管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q6部分利润中心在网络层面的安全防御程度不足，在面对或外部网络攻击时可能影响到集团层次

P6.网络管控整改方案建置外网新一代防火墙或入侵防御系统T5.网络安全建设外网新一代防火墙或入侵防御系统布署终端防病毒软件T6.终端安全实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新布署终端数据防泄漏T6.终端安全实施终端安全整改，实现终端数据防泄漏安装全覆盖，至少包含外设管控、硬盘加密等定期实施终端系统漏洞检测T6.终端安全定期实施终端系统漏洞检测定期实施终端系统补丁更新建置内网新一代防火墙T5.网络安全评估内网网络传输管道安全风险实现内网与下属公司各网络端口新一代防火墙全覆盖实施生产网络与办公网络区隔T5.网络安全评估生产网络与办公网络传输管道安全风险实现生产网络与办公网络端口网关全覆盖116对于信息安全需求的细部说明，请参考附件2

1234567P6.网络管控整改方案–利润中心内网新一代防火墙117利润中心下属公司互联网出口集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司局域网利润中心下属公司仍保有独立对外互联网者，利润中心需评估利润中心与下属公司间的网络传输需求。如利润中心与下属公司仍需通过网络传输数据或使用利润中心系统，利润中心需建设内网新一代防火墙。集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网现况问题整改方案病毒恶意软件APT病毒恶意软件APT1234567P6.网络管控整改方案–生产网络与办公网络区隔118集团互联网集中出口数据中心局域网利润中心局域网如利润中心自行运维的个性系统为面向客户提供服务、行业监管要求需区隔生产网络与办公网络及与生产制造相关系统者，利润中心需评估办公网络与生产网络间的网络传输需求，并实施生产网络与办公网络区隔。生产网络与办公网络区隔需采用防火墙划分，生产网络与办公网络间的访问控制需依梳理结果设置於防火墙。集团互联网集中出口数据中心局域网利润中心局域网办公网络现况问题整改方案病毒恶意软件APT办公设备生产系统扩散生产网络病毒恶意软件APT1234567集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网P6.网络管控整改方案–终端防病毒软件119现况问题整改方案病毒恶意软件APT集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网病毒恶意软件APT

区域功能需求集中管控功能单机版本免费软件利润中心总部VXX利润中心下属公司VXX利润中心下属公司外点(门店或营销网点)视需选用VX1234567P6.网络管控整改方案–数据防泄漏120集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司办公环境现况问题设备丢失U磐云盘共享集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司办公环境整改方案硬盘加密外设管控上网管理文档审计文档加密1234567P7.终端管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q7目前对于终端设备的管控薄弱，终端设备可能成为集团数据丢失的渠道或外部入侵的跳板P7.终端管控整改方案移除用户本地权限T6.终端安全评估终端用户使用行为要求终端用户需加入域管控收回用户本地最高权限强制启用智能终端安全配置T6.终端安全实施智能终端安全解决方案设计智能终端管理准则加入用户智能终端与生效设计终端数据备份方案T1.数据安全评估终端数据备份解决方案终端数据解决方案建置实施实施内网网络准入T5.网络安全建立内网网络准入解决方案盘点内网网络使用资源内网网络准入管控生效建立用户终端安全配置基线T6.终端安全定期实施终端安全检测定期实施终端安全整改:实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新终端用户权限调整（由本地管理员权限调为普通用户权限）硬盘加密，防止终端丢失时产生数据泄露对智能终端存储的业务数据加密存储，在终端丢失时，可以远程安全擦除业务数据(MDM)121对于信息安全需求的细部说明，请参考附件2

1234567P7.终端管控整改方案–移除用户本地权限122通过用户本地最大权限现况问题整改方案域管理配置防病毒软件预设安全配置未授权软件变更系统配置防止用户端强制加入域并移除用户本地最大权限域管理配置防病毒软件预设安全配置未授权软件变更系统配置用户本地环境数据中心局域网用户本地环境数据中心局域网禁止禁止移除安装病毒恶意软件APT破坏病毒恶意软件APT

1234567P7.终端管控整改方案–智能终端强制启用安全配置123现况问题集团互联网出口数据中心局域网服务器智能手机平板电脑推信丢失恶意软件窥探配合网络集中，广域网络统一出口，由集团总部集中管理。配合新一代数据中心建成，信息系统集中於新一代数据中心代管，智能终端存取配置由集团总部统一规划、统一建设。丢失恶意软件窥探

集团互联网出口数据中心局域网服务器智能手机平板电脑推信整改方案强制设置开码启用远程数据清除不符合的设备禁止取存服务推信1234567P7.终端管控整改方案–实施内网网络准入124现况问题整改方案集团互联网出口数据中心局域网办公环境网络办公环境未安装防病毒软件未加入域未安装补丁未安装防病毒软件未加入域未安装补丁集团互联网出口数据中心局域网办公环境网络办公环境

配合网络集中，广域网络统一出口，由集团总部集中管理。配合新一代数据中心建成，信息系统集中於新一代数据中心代管，内网网络准入方案由集团总部统一规划、统一建设。在新一代数据中心建成前的过渡期间，利润中心仍需评估更新或新增内网网络准入方案。实施网络准入，禁止不符合规定的设备使用集团网络1234567P7.终端管控整改方案–终端数据备份方案125现况问题整改方案集团互联网出口数据中心局域网办公环境网络办公环境部门自行架设网盘U盘集团互联网出口数据中心局域网办公环境网络办公环境丢失毁损部门自行架设网盘U盘

终端数据备份方案丢失毁损1234567信息安全现况问题、建设方案与工作任务对应126Q1Q2Q3Q4Q5Q6Q7P7.终端管控整改方案P1.标准/合规整改方案P2.组织权责整改方案P3.人员管控整改方案P5.应用系统安全整改方案P6.网络管控整改方案P4.事件应变/灾备整改方案T6.终端安全T1.数据安全T5.网络安全M1.信息安全标准M2.信息系统等级保护M3.培训与宣贯O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员M4.人员安全管理T4.操作系统安全M5.信息资产管理T3.数据库/中间件安全M6.信息安全事件管理M7.业务连续性与灾备T2.应用系统安全组织管理技术问题建设方案建设方案工作任务信息安全建设方案总览(续)127M7、业务连续性与灾备管理O2、信息安全管理组织组织技术M2、信息系统等级保护M6、信息安全事件管理M3、培训与宣贯M1、信息安全标准M5、信息资产管理O3、信息安全管理员O1、信息安全职责分工T3、数据库/中间件安全T5、终端安全T2、应用系统安全T4、操作系统安全T1、数据安全T6、网络安全M4、人员安全管理P7.终端管控整改方案P1.标准/合规整改方案P2.组织权责整改方案P3.人员管控整改方案P5.应用系统安全整改方案P6.网络管控整改方案P4.事件应变/灾备整改方案信息安全建设目标：降低信息安全现况问题所带来的安全风险及对业务运营的影响，并可持续改善及落实控制的有效性信息安全建设蓝图规划128信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入梳理信息安全建设路径规划原则129不需要额外投入、投入较少的安全要求先实施；人员安全管理：保密协议、培训、安全知识宣贯；终端用户权限改为普通用户权限，减少病毒危害（通过AD策略实现）终端补丁管理：架设补丁服务器，或通过互联网直接升级；优先实施最基础的、紧迫度高的安全要求先实施：发生过安全事件的：终端防病毒U盘等外设控制网络准入网络攻击检测有利于发现和避免重大安全事件的：开启系统审计日志（个别系统日志审计未开启或日志保存时间过短）安全检查和整改评估计算原则：类别人力需求预算需求复杂度迫切性比重10%30%20%40%说明人力投入需求分为三级。<1分最高>预算投入需求分为三级。<1分最高>方案执行复杂度分为三级。<1分最高>方案实施迫切性分为三级。<3分最高>梳理信息安全建设路径规划原则(续)130数据应用系统数据库/中间件操作系统接入网络场地基础设施终端互联网个性系统办公环境核心网络数据应用系统数据库/中间件操作系统接入网络场地基础设施终端核心网络互联网个性协同办公环境数据应用系统数据库/中间件操作系统接入网络场地基础设施终端核心网络互联网共性系统办公环境场地基础设施场地基础设施场地基础设施利润中心机房数据中心机房数据中心机房信息系统类型终端地点应用系统与基础设施信息系统地点终端互联网应用系统数据库/中间件操作系统核心网络场地基础设施互联网大运维服务机房信息安全建設方案優先序分析人力需求10%<1分最高>预算需求30%<1分最高>复杂度20%<1分最高>迫切性40%<3分最高>总分优先序P1.组织权责整改方案33132.61P2.标准/合规整改方案23132.52P3.人员管控整改方案13222.25P4.事件应变/灾备整改方案32322.34P5.应用系统整改方案21221.77P6.网络管控整改方案32222.16P7.终端管控整改方案32232.53131确立信息安全演进路线132第三方单位人员实施层面：继续推广，扩大推广范围，各单位将种子单位的经验在本单位内推广，推广的下属企业数量达80%以上效果要求：推广单位的信息安全成熟度达到3级水平建设规划阶段（14年底）体系试点阶段（2015-2016）体系推广阶段（2017-2020）管理边界：确定集团与利润中心信息安全管理边界标准与规划：设计通用性信息安全标准,制定信息安全建设规划,并完成对各单位信息管理部门的宣贯组织建设：各单位建议安全组织、配备信息安全专职人员标准：个别单位依监管要求，制定个性化安全标准实施层面：落实“基础级”的安全要求，解决最紧迫度高的安全问题，特别是发生过安全事件的如终端防病毒、U盘控制、网络攻击检测，及不需要额外投入的安全要求，如保密协议，安全培训、开启系统审计日志、安全检查和加固落实策略：各单位在本单位选择1-2种子单位进行试点落实实施层面：继续推广落实信息安全标准与基线的安全要求；落实策略：各单位将种子单位的经验在本单位内推广，推广的下属企业数量达40%-50%；效果要求：推广单位的信息安全成熟度达到3级水平2016年底2018年底2014年底2020年底信息安全建设蓝图规划133信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入开展信息安全建设工作蓝图年度试点阶段推广阶段201520162017201820192020建设方案Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4P1.组织权责整改方案P2.标准/合规整改方案P3.人员管控整改方案P4.事件应变/灾备整改方案P5.应用系统整改方案P6.网络管控整改方案P7.终端管控整改方案建立组织各单位持续落实建立标准持续落实集团试点与布建集团试点实施与推广集团实施各单位持续落实集团推广与方案优化各单位按需实施制定标准细化安全标准与落实134目前针对P1与P2建设方案，己经由DD与甲方集团项目成员共同完成设计工作，将于后面章节细部说明开展信息安全建设工作蓝图–

设计信息安全建设实施路线(集团总部)135建设方案工作任务201520162017201820192020P1.组织权责整改方案O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员P2.标准/合规整改方案M3.培训与宣贯

M1.信息安全标准M2.信息系统等级保护P3.人员管控整改方案M4.人员安全管理

T4.操作系统安全

P4.事件应变与灾备整改方案M6.信息安全事件管理M5.信息资产管理M7.业务连续性与灾备P5.应用系统安全整改方案M1.信息安全标准

M5.信息资产管理T4.操作系统安全T3.数据库/中间件安全

T2.应用系统安全

P6.网络管控整改方案T6.网络安全T5.终端安全

P7.终端安全整改方案T5.终端安全

T1.数据安全

T6.网络安全

开展信息安全建设工作蓝图–

设计信息安全建设实施路线(利润中心)136建设方案工作任务201520162017201820192020P1.组织权责整改方案O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员P2.标准/合规整改方案M3.培训与宣贯

M1.信息安全标准M2.信息系统等级保护P3.人员管控整改方案M4.人员安全管理

T4.操作系统安全

P4.事件应变与灾备整改方案M6.信息安全事件管理M5.信息资产管理M7.业务连续性与灾备P5.应用系统安全整改方案M1.信息安全标准

M5.信息资产管理T4.操作系统安全T3.数据库/中间件安全

T2.应用系统安全

P6.网络管控整改方案T6.网络安全T5.终端安全

P7.终端安全整改方案T5.终端安全

T1.数据安全

T6.网络安全

信息安全建设方案说明137信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入P1.组织权责整改方案-信息安全管理什么？138着重于业务层面的数据保密与数据质量如：数据保密数据质量….保密管理部门业务部门着重于人员职前职中职后的要求如：聘雇前背景调查保密协议离职前回收…人力资源管理部门着重于信息系统生命周期安全管控如：场地基础设施安全IT基础设施安全应用系统安全…信息管理部门着重于物理环境安全之管控如：物理门禁管控外部人员访问…..物理环境管理部门管理范畴负责单位集团信息安全内容业务数据安全人力资源安全信息系统安全物理环境安全透过四个领域：业务数据安全、人力资源安全、信息系统安全、物理环境安全的强化，确保信息安全管理目标实现，并降低潜在风险立项定义设计实现运维废弃用户供应商建设方运维方P1.组织权责整改方案–信息系统安全的管理对象139数据应用系统数据库/中间件操作系统网络场地基础设施智能终端笔记本台式机P1.组织权责整改方案-信息安全体系框架140ISO27001:2013信息安全管理国际标准最佳实务甲方集团信息治理框架人员安全管理数据安全管理应用系统安全管理数据库/中间件安全管理操作系统安全管理终端安全管理场地基础设施安全管理网络安全管理行业监管信息安全合规遵循信息安全绩效评价与评审信息安全组织/管控模式信息安全事件管理信息系统的业务连续性管理供应商安全管理信息安全管理标准/基线信息安全管理框架人员安全管理数据安全管理应用系统安全管理数据库/中间件安全管理操作系统安全管理终端安全管理场地基础设施安全管理网络安全管理行业监管信息安全合规遵循信息安全绩效评价与评审信息安全组织/管控模式信息安全事件管理信息系统的业务连续性管理供应商安全管理信息安全管理标准/基线P1.组织权责整改方案-管理层工作边界141信息安全执行组信息安全决策委员会利润中心集团信息安全管理委员会信息安全专职人员基础设施管理员应用管理员终端管理团队管理层执行层管理层：1、确定和细化通用性安全标准2、为管理范围的安全建设配备资源3、对利润中心进行信息安全绩效考核（考核标准，依每年安全建设任务确定）管理层：1、确定和细化行业特定安全标准2、为管理范围内的安全建设配备资源3、可对下属企业进行信息安全