IT标准项目管理流程课件双份文档

IT标准项目管理流程EthantabaMay201901项目实施流程简介项目实施流程图项目标准工程文档清单各阶段详细描述组织架构及角色能力说明020304053大家好项目实施流程简介????本实施流程参考PMI标准实施流程，根据Ethan云引擎项目实施具体情况，进行部分修改。本实施流程应用于软件、硬件、弱电、物联等的项目管理。Ethan供应商也应遵守此项目实施流程，按阶段提供必要的交付物。实际操作中，经客户同意，部分文档可选择合并交付。0102项目实施流程图简介项目实施流程图项目标准工程文档清单各阶段详细描述组织架构及角色能力说明030405项目管理流程图分析(Analysis)设计(Design)开发(Construction)测试(Test)上线验收(Go-Live)调研架构设计详细设计系统开发集成测试集成测试总结报告部署/试运行用户测试用户测试总结报告项目业务需求文档系统详细设计文档)验收报告需求分析确认需求设计确认单元测试测试验收系统验收大家好5010203项目实施流程图简介项目实施流程图项目标准工程文档清单各阶段详细描述组织架构及角色能力说明0405项目主要文档清单（1）阶段项目业务需求分析文档软硬件清单系统详细设计文档单元测试报告系统集成测试计划系统集成测试报告分析设计设计开发测试测试编码ZG-BRDZG-BOMZG-SDDZG-UTRZG-ITPZG-ITR客户签收文档是否是否否是类型交付物交付物交付物交付物交付物交付物大家好7项目主要文档清单（2）阶段用户验收测试计划用户验收测试报告系统配置安装手册系统部署计划系统上线计划用户培训资料测试测试上线验收上线验收上线验收上线验收编码ZG-UATPZG-UATRZG-SIMZG-SDPZG-SGPZG-UTM客户签收文档否否是是是是类型交付物交付物交付物交付物交付物交付物大家好8项目主要文档清单（3）阶段用户手册运营维护计划项目验收报告采购流程文档需求变更文档需求增补单文档上线验收上线验收上线验收其他其他其他编码ZG-UMZG-OSPZG-PARZG-UPDZG-UCRDZG-UNRD客户签收文档是是是否是是类型交付物交付物交付物交付物交付物交付物大家好9项目主要文档清单（4）阶段设备签收单其他编码ZG-UAD客户签收文档是类型交付物设备验收单其他ZG-UCD是交付物??具体各项目可以根据项目的特性以及客户要求对文档清单做一定调整，在项目启动时由项目经理与项目团队一同确认下来；项目必须提交必要文档，如果客户未作要求，也需要作为公司交付物提交；大家好1001020304项目实施流程图简介项目实施流程图项目标准工程文档清单各阶段详细描述组织架构及角色能力说明05分析(Analysis)阶段阶段目标:确定项目业务需求，并由客户签字确认.工作内容:业务顾问围绕技术协议及售前调研结果，为业务需求调研进行准备，业务需求包括功能需求和非功能需求；业务顾问对项目所有业务需求进行调研和确认；业务顾问编写业务需求文档(BRD)并定义需求跟踪表(RTM)在分析阶段的内容；业务顾问对业务需求文档进行项目组评审及与客户进行评审，并由客户签字确认；工作要点:.保证所有业务需求符合原合同范围，包括功能需求和非功能需求；确保所有业务需求可实现，可衡量工作量；所有需求经过客户业务和IT用户签字确认，所有需求经过用户签字确认，本阶段才算结束，也才能进入设计阶段；初始化需求跟踪表，定义分析阶段的需求跟踪内容；阶段结束标志:客户签署全部项目需求文档；完成更新并完成提交确认需求跟踪表。设计(Design)阶段阶段目标：完成项目业务视图到技术视图的转化，确立项目技术架构并对具体功能规划技术细节；工作内容–架构师针对客户提出的功能需求和非功能需求，对系统进行架构设计；架构师基于架构设计确定项目最终的软硬件清单(BOM)，经过项目组评审和客户评审后由客户签字确认；–设计人员基于架构设计以及项目业务需求，对所有具体业务功能进行详细设计，并对系统详细设计文档(SDD)进行项目组评审；–设计人员以需求跟踪表为对照，确定所有业务蓝图阶段定义的需求都已经进行设计;工作要点–系统架构设计须满足所有功能需求和非功能需求；架构设计文档须经过项目组评审，如有必要还需客户签字确认；–最终软硬件清单须基于系统架构设计确定，并经由项目组和客户评审，由客户签字，如有变更须严格按项目变更流程执行；–系统详细设计须满足所有功能需求和非功能需求；详细设计文档须经过项目组评审，如有必要还需客户签字确认；–须核对并更新需求跟踪表，确保业务需求范围在设计阶段没有遗漏，也没有超出；阶段结束标志（可合并)–系统架构设计文档完成提交确认；–详细设计文档完成提交确认；–软硬件清单完成提交确认；–完成更新并完成提交确认需求跟踪表；大家好13开发(Construction)阶段阶段目标:将系统设计通过编码转化为系统程序，并完成各功能单元的初步验证;工作内容：程序员根据详细设计进行编码；开发负责人对各开发完成的功能点进行单元测试；开发负责人以需求跟踪表为对照，确定详细设计中所有需求都已经被开发并完成单元测试，并确保开发未超出业务范围；工作要点：系统开发必须严格按照详细设计和公司开发规范要求；每一功能点必须通过了单元测试才算完成了开发；阶段结束标志:单元测试报告完成提交确认；完成提交确认需求跟踪表；March24,202014测试(Test)阶段阶段目标：完成对系统程序系统性测试，确保系统功能满足用户需求，并达到既定的技术要求；工作内容?技术负责人部署系统到生产环境，并完成系统数据的设置；业务顾问对最终用户进行培训，确保其能正常使用系统；在生产环境中模拟生产数据，由最终用户进行操作，进行全流程冒烟测试，验证系统在实际生产环境下的功能使用；?冒烟测试后，系统正式上线使用，正式配合客户生产进行试运行，并不断完善修正试运行期间出现的问题；试运行结束，通过系统验收，关闭项目；工作要点?业务数据收集必须在集成测试前完成，并在集成测试和用户测试过程中进行验证和调整；功能测试/集成测试/压力测试和用户验收测试都需要测试人员定义测试案例并针对各案例的测试结果提交完整测试报告；按照程序发布规程，控制开发环境和测试环境的程序版本；阶段结束标志?系统用户验收测试报告完成提交并由用户签字确认；?完成更新并完成提交确认需求跟踪表；业务部署(Go-live)阶段阶段目标：把系统部署到生产环境，并将系统上线共最终用户使用，最终完成项目验收；?上线前须提交系统上线计划经项目组和客户审核批准后正式上线；验收报告必须由客户签字确认后，正式关闭项目；阶段结束标志?用户签署系统验收报告;工作内容?技术负责人部署系统到生产环境，并完成系统数据的设置；业务顾问对最终用户进行培训，确保其能正常使用系统；?在生产环境中模拟生产数据，由最终用户进行操作，进行全流程冒烟测试，验证系统在实际生产环境下的功能使用；冒烟测试后，系统正式上线使用，正式配合客户生产进行试运行，并不断完善修正试运行期间出现的问题；?试运行结束，通过系统验收，关闭项目；工作要点?系统部署前须提交系统部署安装手册，系统部署计划和用户权限分配手册。培训最终用户前须提交用户手册和用户培训手册，由项目组审核批准；如有需要交付给客户，还须提交客户审核并签署确认；010203项目实施流程图简介项目实施流程图项目标准工程文档清单各阶段详细描述组织架构及角色能力说明0405IT项目组织角色-项目经理工作职责–项目工作的最终决策人，按照公司项目管理标准流程，对项目成本、进度、人员、范围、沟通、质量、采购、风险进行管理；–制定项目计划，并与各方项目干系人沟通，对计划达成一致；–组织和协调各方干系人，推动项目按计划实施；–监控项目计划的执行，对项目实施过程中的变化进行管理，并适时对计划进行调整；–定期对项目实施进展进行汇报，确保所有干系人对项目进展的理解一致并推动项目问题的解决；–领导项目组按照公司项目实施方法执行项目；能力/知识要求–计划能力–对项目的成本、进度、人力资源、沟通、质量、风险、采购进行规划，并提交相应计划文档；–执行能力–通过对项目团队的组织和领导，确保各方面工作能够按计划进行；监控计划执行并对计划的执行结果进行分析，比对计划并对计划作出调整；–沟通能力–在制定计划、执行计划以及解决各种项目问题和风险的过程中，能够充分与各方项目干系人进行沟通，确保所有项目干系人对项目的理解一致，对项目的实施方法策略理解一致并能够得到各方干系人的支持；–熟悉公司IT项目实施方法和管理方法；大家好18IT项目组织角色-业务责任人工作职责–领导业务团队，带领业务顾问制定项目需求调研文卷，开展对客户业务需求的访谈，并确定项目的业务方案；–负责需求调研问卷的交付；负责领导业务方案的撰写、确认和签署；并在项目实施过程中根据实际情况对业务方案进行调整和确认；–在项目设计、开发阶段对设计团队和开发团队提供业务支持；在测试阶段对开发的系统进行测试验证系统与业务需求的符合程度；–培训用户，确保用户能开展验收测试，以及在系统上线后最终用户能够正常使用系统；能力/知识要求–行业专家，熟悉项目所属行业生产或管理流程，精通项目业务领域；–领导能力-计划、组织、领导和监控业务团队的工作，确保项目业务方面工作按项目要求完成；–业务规划验证能力–结合行业最佳实践，对客户业务现状进行系统性分析，提出需求调研问卷，并在访谈业务后能针对客户需求系统性地提出可执行的、符合项目成本、时间、质量要求的业务方案，并能准确撰写业务方案并更新RTM；–沟通能力–掌控与客户的业务访谈过程，结合行业最佳实践和项目成本、时间、质量、可行性方面的要求，在访谈和确认需求的过程中能引导客户需求，使最终业务方案既能满足客户需求，同时又能符合项目的成本、时间、质量、可行性等各方面约束条件；大家好19IT项目组织角色-业务顾问工作职责–在业务负责人的领导下，制定项目需求调研文卷，对客户业务需求进行访谈，并确定项目的业务方案；–配合业务负责人交付需求调研问卷，以及进行业务方案的撰写、确认和签署；并在项目实施过程中根据实际情况对业务方案进行调整和确认；–在项目设计、开发阶段对设计团队和开发团队提供业务支持；在测试阶段对开发的系统进行测试验证系统与业务需求的符合程度；能力/知识要求–行业专家，熟悉项目所属行业生产或管理流程，熟悉项目业务领域；–业务规划验证能力–在业务负责人领导下对客户业务现状进行系统性分析，提出需求调研问卷，并在访谈业务后能针对客户需求系统性地提出可执行的、符合项目成本、时间、质量要求的业务方案，并能准确撰写业务方案并更新RTM；同时，配合业务负责人在系统部署上线前规划用户权限和用户培训，撰写并提交用户权限分配手册、用户培训手册和用户手册；–沟通能力–在业务负责人的领导下，掌控与客户的业务访谈过程，结合行业最佳实践和项目成本、时间、质量、可行性方面的要求，在访谈和确认需求的过程中能引导客户需求，使最终业务方案既能满足客户需求；大家好20IT项目组织角色-系统架构师工作职责–领导技术团队，根据业务方案，带领设计人员对系统架构和详细功能进行设计，确定架构方案和功能设计方案，撰写架构文档和详细设计文档并确认，并在项目实施过程中根据实际情况对技术方案和功能细节设计进行调整和确认；–领导技术团队，根据系统架构，最终确定系统软硬件清单；–在项目设计、开发阶段对设计团队和开发团队提供技术指导和支持；在测试阶段对开发的系统进行测试（主要为性能测试和压力测试）以验证系统与非功能需求的符合程度；–制定部署方案，并带领技术团队进行上线前部署；能力/知识要求–技术专家，熟悉项目所属业务领域，精通系统设计和主流软件技术；–领导能力-计划、组织、领导和监控技术团队的工作，确保项目设计、开发、部署工作按项目要求完成；–设计能力–结合行业最佳实践，对客户业务需求进行系统性分析，结合公司的产品或平台技术，设计符合项目成本、时间、质量要求的系统架构方案及具体功能设计方案，并能准确撰写架构设计文档和详细设计文档并更新RTM；同时，还需要根据架构设计文档和详细设计文档撰写并提交系统部署计划和部署安装手册；–沟通能力–主导架构方案确定过程中的对内对外的各方面沟通；另外，还要能把项目架构设计、部署方案准确清晰地对其它项目干系人进行知识转移；准确汇报阶段状态和结果；大家好21IT项目组织角色-设计人员工作职责–在系统架构师的领导下，根据业务方案，对系统架构和详细功能进行设计，确定架构方案和功能设计方案，撰写架构文档和详细设计文档并确认，并在项目实施过程中根据实际情况对技术方案和功能细节设计进行调整和确认；–配合系统架构师，根据系统架构，最终确定系统软硬件清单；–在项目设计、开发阶段对设计团队和开发团队提供技术指导和支持；在测试阶段对开发的系统进行测试（主要为性能测试和压力测试）以验证系统与非功能需求的符合程度；能力/知识要求–技术专家，熟悉项目所属业务领域，熟悉系统设计和主流软件技术；–设计能力–在系统架构师的领导下，结合行业最佳实践，对客户业务需求进行系统性分析，结合公司的产品或平台技术，设计符合项目成本、时间、质量要求的具体功能设计方案甚至系统架构方案，并能准确撰写详细设计文档甚至架构设计文档并更新RTM；同时，还需要根据架构设计文档和详细设计文档，配合系统架构师撰写并提交系统部署计划和部署安装手册；–沟通能力–参与构方案确定过程中的对内对外的各方面沟通；另外，还要能把项目架构设计、功能设计、系统部署方案准确清晰地对其它项目干系人进行知识转移；大家好22IT项目组织角色-软件开发负责人工作职责–在系统架构师的领导下，根据技术设计方案，带领软件开发团队开发系统并进行单元测试，并在项目实施过程中根据调整的技术方案和功能细节设计进行开发和优化；–在项目开发阶段对软件开发团队提供技术指导和支持；在测试阶段配合测试人员的测试以验证系统与业务需求的符合程度；–带领软件开发团队对测试的程序问题进行修复和优化；–参与具体开发、单元测试工作；能力/知识要求–技术专家，精通主流软件开发技术；–领导能力-计划、组织、领导和监控软件开发团队的工作，确保项目开发工作按项目要求完成；并主导项目软件单元测试报告的编写和提交确认并更新RTM；–沟通能力–主导软件开发团队内的技术沟通及工作安排，能把项目设计方案准确清晰地对其它开发人员进行知识转移；并能准确汇报开发状态和结果；大家好23IT项目组织角色-软件开发人员工作职责–在软件开发负责人的领导下，开发软件系统并进行单元测试，并在项目实施过程中根据调整的技术方案和功能细节设计进行开发和优化；–在测试阶段配合测试人员的测试以验证系统与业务需求的符合程度；–对测试的软件程序问题进行修复和优化；能力/知识要求–熟悉主流软件技术；熟悉公司产品或平台技术；–能够理解系统的架构方案和详细功能设计，并把设计转化为具体的系统代码并进行单元测试；–能够与项目组成员进行开发相关工作的沟通以达成一致；大家好24IT项目组织角色-测试负责人工作职责–向项目经理负责，领导测试团队为各测试阶段分别制定并确认测试计划，编写测试案例，并在测试完成后编写并提交测试报告；–根据各阶段测试计划和测试案例，结合系统业务和技术方案，领导测试团队进行系统功能测试、集成测试、压力测试和用户测试，确保系统符合业务需求及达到上线标准；–定期(每周)对测试结果进行分析汇总，并将测试结果向项目经理及其它项目组成员反馈；能力/知识要求–测试专家，精通主流测试方法和工具，熟悉系统业务领域；熟悉公司产品或平台技术；–领导能力-计划、组织、领导和监控测试团队的工作，确保项目测试工作按项目要求完成；并主导项目各测试阶段的测试计划、测试案例、和测试报告的编写和提交确认并更新RTM；–测试分析能力–定期对测试结果进行分析汇总，并生成统计报表，用数据对项目的实施质量进行说明；–沟通能力–主导测试团队内的沟通及工作安排，能把项目测试方案准确清晰地对其它测试人员进行知识转移；并能准确汇报测试状态和结果；大家好25IT项目组织角色-测试工程师工作职责–主要由业务顾问组成；–配合测试负责人为各测试阶段分别制定并确认测试计划，编能力/知识要求–熟悉主流测试方法和工具；熟悉公司产品或平台技术；–能够理解测试计划和测试案例，在各阶段分别根据各阶段测写测试案例；–在测试负责人的领导下，根据系统各阶段的测试计划和测试案例，结合系统业务和技术方案进行系统功能测试、集成测试、压力测试和用户测试，确保系统符合业务需求及达到上线标准；试计划和测试案例对系统进行；–能够与项目组成员进行测试相关工作的沟通以达成一致；????此项目组织能力模型之规定了Ethan方项目组成员的角色职责和要求，对于客户方的成员的能力模型，将在需要的情况下后续进行定义；此模型为标准项目组织能力模型，各项目售前、售后组织架构设立项目角色时都将以此模型为蓝本，如需对组织角色进行调整，须征得各个部门同意；根据项目的实际情况，一个人员可以兼任多个角色；系统上线计划和系统运营维护计划将由项目经理主导编写和提交；大家好26项目组织参考图简要说明项目负责人直接相关人间接相关人员其他名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司名字，职位，公司28IT项目标准组织架构说明组织机构项目变更委项目实施组织职责人员组成项目指导委员会项目集管理委员会项目管理办公室(PMO)项目质量保证团队项目方案领导小组员会成员团队是否是否是是是是否是项目最高管理组织，为项目提供资金、资源，并提供决策、领导支持，具体包括：?客户业务部门主管高层领导；?提供资金、人员、工作环境设施、知识技术等任何执行项目所必须的资源；?客户IT部门主管高层领导；?对项目的范围、成本、时间等任何项目变更进行最终审批决策，把握项目执行的总体方向；?Ethan部门主管高层领导；?定期听取项目汇报，监督项目实施进度；?直接对项目管理工作进行指导，监控项目质量；?客户业务部门主管领导；?对项目变更进行审批决策；?客户IT部门主管领导；?协调项目资源，协调跨项目沟通，推动项目问题解决；?Ethan部门主管领导；?建立组织内项目管理的支撑环境。包括统一的项目实施流程、项目过程实施指南和文档模板、项目管理工具、项目管理信息系统；?提供项目管理的指导和咨询。最大限度集中项目管理专家，提供项目管理的咨询和顾问服务；?客户IT部门项目经理；?组织内的多项目管理和监控。Ethan部门项目经理；其他需要这些信息的组织或部门进行报告。；PMO统一收集和汇总所有项目的信息和绩效，并对组织高层或??客户业务部门项目经理?项目组合管理。包括将组织战略和项目关联，项目选择和优先级排定。组合所关心的是适配、制要求，建议配备)；(不强效用和平衡；?审核项目计划，监控项目计划的执行情况；?客户业务部门相关负责人；?监控项目实施质量，定期对项目质量进行检查；?客户IT部门相关负责人；?定期向项目指导委员会/项目集管理委员会汇报项目质量状况；?Ethan部门相关负责人；?对PMO负责，全面负责项目的业务及技术整体解决方案；?领导项目的业务和技术工作的开展，对项目整体质量负责；?客户业务部门业务负责人；?监控项目具体工作进展，推动项目按计划完成各项具体工作；?客户IT部门业务/技术负责人；?监控各实施人员的工作质量，必要时提供相应指导；?Ethan业务负责人/系统架构师；29IT项目标准组织架构说明组织机构项目变更委项目实施员会成员团队组织职责?对PMO负责，全面负责项目的业务方案；?在项目方案领导小组的指导下，完成项目业务方案相关具体工作，确保业务方案签署落地；?在项目实施过程中根据实际情况对业务方案进行适当调整并确认；?对PMO负责，全面负责项目的技术方案；?在项目方案领导小组的指导下，完成项目技术方案相关具体设计工作，确保技术方案签署落地；?在项目实施过程中根据实际情况对技术方案进行适当调整并确认；人员组成?客户关键业务用户；?客户IT部门业务负责人/业务顾问；?Ethan业务负责人/业务顾问；?客户IT部门技术负责人/系统架构师；?Ethan系统架构师/设计人员；项目业务团队否是项目设计团队否是项目开发团队否是?在项目方案领导小组和设计团队的指导下，根据项目设计完成系统的开发(含单元测试)，建造?客户软件/自动化开发负责人最终的IT系统；(不强制要求，建议配备)；?在项目实施过程中根据设计的调整进行开发的调整；?Ethan软件/自动化开发负责人；?在项目实施过程中根据测试的结果对系统问题进行修复；?Ethan软件/自动化开发人员?对PMO负责，制定测试计划、测试案例，对系统进行全面测试；?根据项目业务和技术方案，对项目的各项具体功能进行测试，并将测试结果反馈给方案领导小组、业务、设计及开发团队；?向PMO和质量保证团队会把项目测试结果；?不是项目实施的核心团队，但对项目的顺利进展提供必要的软件、硬件、网络及其它基础设施方面的支持；?不是项目实施的核心团队，但作为与项目所构建系统存在交互的其它系统的实施团队，必然需要与项目组进行相应通信接口方面的技术沟通确认和计划协调，并提供必要支持；?客户关键业务用户(UAT)；?客户IT测试负责人；?Ethan测试负责人/测试人员；?客户IT基础设施负责人；?客户IT数据管理负责人；?客户IT运营及其他支持人员；项目测试团队否是项目支持团队否是项目相关系统团队???否是?其它相关系统团队负责人；此架构为标准组织架构，各项目售前、售后组织架构设立都将以此架构为蓝本，如需对组织架构进行调整，须征得高层领导同意；组织架构必须兼顾Ethan、客户业务、客户IT三方人员，并要求客户配备；一个人员可以兼任多个角色属于多个团队；IT项目标准管理领域及流程?项目的管理流程涉及到各个不同的部门。?流程之间有重合的部分。?未来在整体项目实施水平提升后，再进一步抽象更多的项目管理方法（比如，质量/依赖等）。?详细内容需要参考”项目管理流程.vsd”。资源时间沟通变更成本&采购IT项目标准管理文档1项目时间计划(时间质量管理)2项目成本计划(成本采购管理)3项目资源计划(人员管理)4项目行动清单(风险管理)5项目依赖项清单(风险管理)6项目报告管理()7沟通管理(定期会议等)大家好演讲完毕谢谢您的聆听汇报人：Ethantaba时间：2019年X月X日大家好谢谢观看单击此处添加副标题内容2年10月甲方集团

信息安全管理体系优化咨询项目

信息安全建设规划报告©2012DD华永会计师事务所有限公司版权所有

保留一切权利35报告目录信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入附件信息安全建设方案内容说明信息安全需求细部说明信息安全建设工作任务绩效指标其他补充信息安全建设需求分析36信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入甲方集团信息安全现况调研基准：

ISO27001:2013信息安全管理国际标准37供应商关系Ch1.适用范围(Scope)CH4.组织环境(ContextofOrganization)Ch2.规范性引用标准(Normativereferences)

Ch3.术语与定义(Termsanddefinitions)Ch5.领导力(Leadership)

Ch6.规划(Planning)Ch7.支持(Support)Ch8.运行(Operation)控制域与控制措施信息安全方针信息安全组织人力资源安全资产管理访问控制加密物理与环境安全操作安全通信安全系统获取、开发与维护A.5A.6A.7A.8A.9A.11A.12A.13A.14A.15Ch9.绩效评估(Performanceevaluation)Ch10.

改进(Improvement)A.10信息安全事件管理A.16业务连续性管理A.17合规性A.18`信息安全方针信息安全组织人力资源安全资产管理访问控制加密物理与环境安全合规性业务连续性管理的信息安全层面信息安全事件管理供应商关系系统获取、开发及维护通信安全操作安全信息安全管理制度ISO

27001:2013是目前国际上公认的信息安全管理标准，它指引公司对于信息安全的议题，应该关注14个信息安全管理域，对于信息安全的管理才完整信息安全的范畴：

对应ISO27001:2013的14个信息安全管理域38人员/单位第三方服务厂商人员聘雇解雇绩效管理人力资源调研顾客信息市场区隔营销知识产权外包服务转包第三方会计预算企业资源计划财务合约

诉讼法务信息管理流程信息消费勘察客户关系管理销售商品研发运营战略研发客户信息个人身份信息客服运营流程财务系统客户关系管理系统…电销系统POS系统人力资源系统应用系统数据库数据仓库文件服务器……数据存储网络基础架构网络办公大楼(风火水电)物理环境人员安全业务数据安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全资产管理访问控制加密物理与环境安全操作安全信息安全方针系统获取开发与维护合规性信息安全事件管理业务连续性管理通信安全甲方集团在ISO27001:2013的14个信息安全管理域

的管理成熟度现况39初始级可重复级已定义级已管理级

可优化级

*目前14个信息安全管理域中，共有10个域在初始级或是可重复级业务数据安全人员安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全物理与环境安全资产管理(终端)访问控制加密操作安全通信安全(网络)系统获取、开发与维护信息安全事件管理信息安全方针业务连续性管理合规性项目团队透过调研活动所反馈到的信息安全主要发现事项

-依信息安全管理域分类40业务数据安全人员安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全物理与环境安全资产管理(终端)访问控制加密操作安全通信安全(网络)系统获取、开发与维护信息安全事件管理信息安全方针业务连续性管理合规性[集团]2个[SBU]3个[集团]1个[SBU]2个[集团]5个[SBU]3个[集团]5个[SBU]9个[SBU]13个[SBU]2个[SBU]3个[集团]3个[SBU]2个[集团]2个[SBU]10个[集团]6个[SBU]26个*本次调研汇整共97个主要发现事项，是指未符合ISO27001:2013的相关要求依据现况调研结果及分析，归纳出甲方集团的

七个主要信息安全管理问题

41Q7目前对于终端设备的管控薄弱，终端设备可能成为集团数据丢失的渠道或外部入侵的跳板资产管理(终端)Q6部分利润中心在网络层面的安全防御程度不足，在面对或外部网络攻击时可能影响到集团层次通信安全Q5信息系统及数据在开发与运维阶段，尚有许多安全控制需要强化及落实，才能保证系统安全运作系统获取、开发与维护Q4信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化信息安全事件管理业务连续性管理Q3系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险访问控制Q1集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分人力资源安全信息安全组织Q2以等保为核心的合规压力加重，加上信息安全管理标准不清，造成部分安全工作执行未到位合規性信息安全方针Q3访问控制Q4事件应变/灾备Q6网络管控Q7终端管控Q5应用系统安全根本原因归纳：由于安全权责不清，加上信息安全标准落实不彰，进而衍生出其他执行层面的问题(Q3~Q7)42Q2标准/合规Q1组织权责DD建议先厘清信息安全权责边界，并且建立完整的信息安全标准内容，再透过设定实施改善计划，逐一改善执行面的其他问题组织面管理面技术面信息安全建设蓝图规划43信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入信息安全建设目标梳理44信息安全建设目标信息安全管理现况问题管理目标：规范信息安全管理，合理控制信息安全风险，支持信息化战略目标的实现Q7.终端管控Q1.组织权责Q2.标准/合规Q3.人员管控Q5.应用系统安全Q6.网络管控Q4.事件应变/灾备信息安全建设目标：降低信息安全现况问题所带来的安全风险及对业务运营的影响，并可持续改善及落实控制的有效性信息安全建设蓝图规划45信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入12345671234567P1.组织权责整改方案46对于信息安全需求的细部说明，请参考附件2

项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q1集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分P1.组织权责整改方案梳理集团与利润中心信息安全责任边界O1.信息安全职责分工设计信息安全管控模式界定集团与利润中心安全责任梳理信息系统生命周期中建设、运维、用户及安全人员的角色责任O1.信息安全职责分工定义信息系统生命周期信息安全工作角色权责：按“集团信息安全标准”中的人员职责分工，划清工作边界设置信息安全组织O2.信息安全管理组织设置信息安全管理组织：各单位按“办法”要求，成立信息安全组织，并配备信息安全专职人员；指定各部室的信息安全接口人员配备信息安全专职人员O3.信息安全管理员定期更新信息安全体系运维任务栏表定义信息安全管理员工作职能设置信息安全管理员梳理集团与利润中心信息安全责任边界O1.信息安全职责分工设计信息安全管控模式界定集团与利润中心安全责任1234567P1.组织权责整改方案–信息安全责任边界(管理层)47信息安全执行组信息安全决策委员会利润中心集团信息安全管理委员会信息安全专职人员基础设施管理员应用管理员终端管理团队管理层执行层管理层：1、确定和细化通用性安全标准2、为管理范围的安全建设配备资源3、对利润中心进行信息安全绩效考核（考核标准，依每年安全建设任务确定）管理层：1、确定和细化行业特定安全标准2、为管理范围内的安全建设配备资源3、可对下属企业进行信息安全绩效考核集团规划通用性安全标准，并考核利润中心实施状况利润中心建立特定安全标准，并考核下属企业实施状况集团（信息部）：充当裁判员，制定集团通用性安全标准利润中心管理层：充当裁判员，制定个性化安全标准(如银行、电力、燃气等)1234567P1.组织权责整改方案–信息安全责任边界（执行层）48数据中心场地核心网操作系统中间件应用存储数据库利润中心个性系统办公场地/服务器机房接入网传统终端终端互联网智能终端人员供应商和外部人员服务器机房核心网操作系统中间件应用存储数据库集团共性与个性系统办公场地/服务器机房接入网传统终端终端互联网智能终端人员供应商和外部人员利润中心集团个性系统部分移交集团统一运维目前管理边界个性化安全标准：各单位充当运动员：落实解决方案信息系统与基础设施：配合网络集中，广域网络统一出口，广域网络由集团集中管理。放入新一代数据中心的应用系统技术类建设模式，集团以工作协同的方式，依服务目录提供服务与参考方案。各单位按性价比决定采用哪种方案利润中心仍需负责未放入新一代数据中心的应用系统相关信息环境、局域网及终端的技术类建设工作。通用性安全标准：集团（润联）充当运动员：落实解决方案信息系统与基础设施：集团作为服务方，以服务目录的方向，向各单位提供集团的统一方案各单位需要协同集团的方案对于托管在集团的个性系统，个性化要求如在服务目录中，可以由集团落实集团可充当教练员，以服务目录的方式，向各单位提供集团的统一方案1234567架构师P1.组织权责整改方案–信息安全责任边界

（执行层按项目生命周期）49项目生命周期设计阶段立项阶段定义阶段实现阶段交付阶段运维阶段废弃阶段项目组应用系统管理员安全专职人员主责人员应用、中间件、数据库、操作系统、网络的安全检查应用安全运维应用系统废弃数据库安全设计中间件安全设计操作系统安全设计网络安全设计应用系统安全需求分析应用系统安全方案设计应用系统开发测试安全/商业软件选型应用安全部署应用系统安全方案设计1234567深化、细化现有管理规范满足新技术发展的需求P1.组织权责整改方案–各单位建立信息安全管理组织持续推动50信息安全决策委员会信息安全执行组信息安全组织信息安全管理委员会信息安全专职人员各系统的信息安全管理员各部室信息安全联络员人数由各单位根据本行业的业务特点、业务规模、信息系统的数量和复杂度等因素确定。由各系统管理员兼任。由部室领导指定核心骨干人员担任。信息安全组织：要求集团和各单位建立信息安全组织管理框架，以启动和控制组织范围内的信息安全实施和运行。1234567P2.标准/合规整改方案51对于信息安全需求的细部说明，请参考附件2

项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q2以等保为核心的合规压力加重，加上信息安全管理标准不清，造成部分安全工作执行未到位P2.标准/合规整改方案实施信息安全规范培训与意识宣贯M3.培训与宣贯定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯建立通用性的信息安全标准与基线M1.信息安全标准建立信息安全管理办法：进行通用性的信息安全标准制定定期审阅与更新信息安全管理办法实施信息系统等级保护M2.信息系统等级保护实施信息系统安全等级保护定级实施信息系统安全等级保护备案实施信息系统安全等级保护安全建设整改实施信息安全规范培训与意识宣贯M3.培训与宣贯定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯1234567P2.标准与合规整改方案-建立通用性的信息安全标准与基线52甲方（集团）有限公司信息安全管理办法甲方（集团）有限公司信息安全标准信息系统安全管控要求信息资产管理人力资源安全供应商和外部人员管理信息安全事件管理合规性管理业务连续性管理数据存储备份应用系统安全要求数据库安全要求中间件安全要求操作系统安全要求网络安全要求物理安全要求终端安全要求附录：IT设备安全基线要求操作系统安全基线要求Web中间件安全基线要求数据库系统安全基线要求网络设备安全基线要求信息系统安全组织与职责信息安全组织对外合作与沟通信息安全角色与职责：信息系统：人员管理：终端1234567P2.标准与合规整改方案-实施信息系统等级保护531234567系统识别与描述等级确定定级保护对象框架建立选择和调整安全措施安全规划与方案设计安全措施实施等级评估符合等级保护要求？规划与设计运行监控与改进符合等级保护要求？是否实施、等级评估与改进否是2015年底前集团总部与利润中心完成等保定级与备案。2016年底前集团总部与利润中心针对等保三级以上系统需完成整改与等保测评。P3.人员管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q3系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险P3.人员管控整改方案信息系统帐号权限审阅纳入人员调离岗作业M4.人员安全管理签署人员保密协议:职前背景调查、保密协议定期实施人员信息系统帐户与权限复核：职前、职中、职后定期实施LDAP与个性系统帐号权限审阅T4.操作系统安全实施LDAP与个性系统帐号权限针对未经授权或异常账号进行删除或停用54对于信息安全需求的细部说明，请参考附件2

1234567P3.人员管控整改方案–信息系统帐号权限审阅551234567用人部门确定任用人员到岗确认帐号权限人员调岗人员离岗人力资源部门发布到岗通知发布调岗通知发布离岗通知信息管理部门接收到岗通知确认帐号权限移除帐号权限HR系统LDAP开立帐号设置帐号/权限调整人员属性停用帐号/权限与HR系统同步与HR系统同步与HR系统同步与LDAP介接之个性系统与LDAP同步与LDAP同步与LDAP同步未与LDAP介接之个性系统开立帐号设置帐号/权限停用帐号/权限发布调岗通知确认帐号权限是否调整帐号权限审核调整帐号权限与LDAP同步调整帐号/权限帐号权限审核P4.事件应变/灾备整改方案–总览项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q4信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化P4.事件应变/灾备整改方案实施信息系统安全日志集中留存M6.信息安全事件管理信息系统及基础设施安全日志异地留存至数据中心SIEM平台实施信息系统安全日志事件分析M6.信息安全事件管理定期检视SIEM平台安全事件建立SIEM平台安全监控策略建立紧急联系清单及通报程序:包含信息安全事件报告、应急处理和原因调查建立信息资产分级与管控机制M5.信息资产管理定期实施信息资产分级管理：信息资产登记定期实施信息系统安全风险评估：进行定期信息安全检查和加固方案制定或更新信息系统应急预案M7.业务连续性与灾备定期审阅与更新信息系统灾备方案定期审阅与更新信息系统应急预案建立业务连续性计画(BCP)：包含同城灾备中心建设规划/异地灾备中心建设规划实施信息系统应急预案演练M7.业务连续性与灾备定期实施信息系统应急预案56对于信息安全需求的细部说明，请参考附件2

1234567P4.事件应变/灾备整改方案–信息系统安全日志集中留存与分析57远程管理即时监控告警进阶事件分析事件管理介面信息安全知识库SIEM控制台信息系统漏洞通报信息安全事件通报外部资源事件关联平台收集器事件管理系统信息资产管理系统报表系统信息安全事件响应平台电子邮件短信告警系统SIEM管理後台SIEM平台数据库信息安全设备服务器网络设备信息系统信息安全管理员安全组HTTPS/HTTPSMSSMTP集团总部利润中心配合新一代数据中心建成，信息系统集中於新一代数据中心代管，信息系统安全日志留存由集团统一规划、统一建设，信息系统安全日志事件分析由集团集中处理与告警，利润中心负责事件响应、处理与通报123456758P4.事件应变/灾备整改方案–制定或更新信息系统应急预案1234567业务复原优先级业务所需资源演练情境执行回复之程序业务冲击分析RTO复原时间目标风险评估威胁种类备份策略RPO数据回复目标业务所需最小资源资产造成损害之机率信息系统应急预案系统复原优先级系统所需之软硬件资源系统回复之程序系统备份策略信息系统灾备需考虑软硬件可能之建置时间依应急预案回复程序执行演练P5.应用系统安全整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q5信息系统及数据在开发与运维阶段，尚有许多安全控制需要强化及落实，才能保证系统安全运作P5.应用系统安全整改方案建立覆盖信息系统生命周期的信息安全标准与基线M1.信息安全标准建立共通性的信息安全标准与基线：银行、资产、电力、医药等单位进行个性化信息安全标准制定定期审阅与更新信息安全管理办法建立信息资产分级与管控机制M5.信息资产管理定期实施信息资产分级管理：信息资产登记定期检视与调整信息资产分级定期实施系统帐号审阅T4.操作系统安全实施个性系统帐号审阅针对未经授权或异常账号进行删除或停用实施数据脱敏机制T3.数据库/中间件安全评估数据脱敏实施需求强化测试环境安全管控建立测试模拟数据或数据脱敏工具定期实施信息信息系统安全检测T2.应用系统安全定期实施信息系统安全检测定期实施信息系统整改方案59对于信息安全需求的细部说明，请参考附件2

1234567P5.应用系统安全整改方案–信息系统生命周期的安全管理工作60信息系统生命周期设计阶段实现阶段定义阶段立项阶段废弃阶段运维阶段项目组/应用管理员基础设施管理团队数据库安全设计安全需求调研和定义开发测试安全商业软件安全选型应用安全部署安全方案设计应用安全运维应用安全废弃数据存储备份数据库管理员数据库安全部署数据库安全运维数据库安全回收存储备份管理员中间件管理员操作系统管理员网络管理员场地管理员中间件安全设计中间件安全部署中间件安全运维中间件安全回收操作系统安全设计操作系统安全部署操作系统安全运维操作系统安全废弃网络安全设计网络安全建设网络安全运维网络设备安全废弃场地安全设计场地安全建设场地安全运维信息安全专职人员安全方案协同设计或评审上线前安全检查定期安全检查介质消磁安全事件发现与处理存储备份系统配置数据存储备份方案设计数据安全废弃场地安全废弃1234567P6.网络管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q6部分利润中心在网络层面的安全防御程度不足，在面对或外部网络攻击时可能影响到集团层次

P6.网络管控整改方案建置外网新一代防火墙或入侵防御系统T5.网络安全建设外网新一代防火墙或入侵防御系统布署终端防病毒软件T6.终端安全实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新布署终端数据防泄漏T6.终端安全实施终端安全整改，实现终端数据防泄漏安装全覆盖，至少包含外设管控、硬盘加密等定期实施终端系统漏洞检测T6.终端安全定期实施终端系统漏洞检测定期实施终端系统补丁更新建置内网新一代防火墙T5.网络安全评估内网网络传输管道安全风险实现内网与下属公司各网络端口新一代防火墙全覆盖实施生产网络与办公网络区隔T5.网络安全评估生产网络与办公网络传输管道安全风险实现生产网络与办公网络端口网关全覆盖61对于信息安全需求的细部说明，请参考附件2

1234567P6.网络管控整改方案–利润中心内网新一代防火墙62利润中心下属公司互联网出口集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司局域网利润中心下属公司仍保有独立对外互联网者，利润中心需评估利润中心与下属公司间的网络传输需求。如利润中心与下属公司仍需通过网络传输数据或使用利润中心系统，利润中心需建设内网新一代防火墙。集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网现况问题整改方案病毒恶意软件APT病毒恶意软件APT1234567P6.网络管控整改方案–生产网络与办公网络区隔63集团互联网集中出口数据中心局域网利润中心局域网如利润中心自行运维的个性系统为面向客户提供服务、行业监管要求需区隔生产网络与办公网络及与生产制造相关系统者，利润中心需评估办公网络与生产网络间的网络传输需求，并实施生产网络与办公网络区隔。生产网络与办公网络区隔需采用防火墙划分，生产网络与办公网络间的访问控制需依梳理结果设置於防火墙。集团互联网集中出口数据中心局域网利润中心局域网办公网络现况问题整改方案病毒恶意软件APT办公设备生产系统扩散生产网络病毒恶意软件APT1234567集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网P6.网络管控整改方案–终端防病毒软件64现况问题整改方案病毒恶意软件APT集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网病毒恶意软件APT

区域功能需求集中管控功能单机版本免费软件利润中心总部VXX利润中心下属公司VXX利润中心下属公司外点(门店或营销网点)视需选用VX1234567P6.网络管控整改方案–数据防泄漏65集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司办公环境现况问题设备丢失U磐云盘共享集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司办公环境整改方案硬盘加密外设管控上网管理文档审计文档加密1234567P7.终端管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q7目前对于终端设备的管控薄弱，终端设备可能成为集团数据丢失的渠道或外部入侵的跳板P7.终端管控整改方案移除用户本地权限T6.终端安全评估终端用户使用行为要求终端用户需加入域管控收回用户本地最高权限强制启用智能终端安全配置T6.终端安全实施智能终端安全解决方案设计智能终端管理准则加入用户智能终端与生效设计终端数据备份方案T1.数据安全评估终端数据备份解决方案终端数据解决方案建置实施实施内网网络准入T5.网络安全建立内网网络准入解决方案盘点内网网络使用资源内网网络准入管控生效建立用户终端安全配置基线T6.终端安全定期实施终端安全检测定期实施终端安全整改:实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新终端用户权限调整（由本地管理员权限调为普通用户权限）硬盘加密，防止终端丢失时产生数据泄露对智能终端存储的业务数据加密存储，在终端丢失时，可以远程安全擦除业务数据(MDM)66对于信息安全需求的细部说明，请参考附件2

1234567P7.终端管控整改方案–移除用户本地权限67通过用户本地最大权限现况问题整改方案域管理配置防病毒软件预设安全配置未授权软件变更系统配置防止用户端强制加入域并移除用户本地最大权限域管理配置防病毒软件预设安全配置未授权软件变更系统配置用户本地环境数据中心局域网用户本地环境数据中心局域网禁止禁止移除安装病毒恶意软件APT破坏病毒恶意软件APT

1234567P7.终端管控整改方案–智能终端强制启用安全配置68现况问题集团互联网出口数据中心局域网服务器智能手机平板电脑推信丢失恶意软件窥探配合网络集中，广域网络统一出口，由集团总部集中管理。配合新一代数据中心建成，信息系统集中於新一代数据中心代管，智能终端存取配置由集团总部统一规划、统一建设。丢失恶意软件窥探

集团互联网出口数据中心局域网服务器智能手机平板电脑推信整改方案强制设置开码启用远程数据清除不符合的设备禁止取存服务推信1234567P7.终端管控整改方案–实施内网网络准入69现况问题整改方案集团互联网出口数据中心局域网办公环境网络办公环境未安装防病毒软件未加入域未安装补丁未安装防病毒软件未加入域未安装补丁集团互联网出口数据中心局域网办公环境网络办公环境

配合网络集中，广域网络统一出口，由集团总部集中管理。配合新一代数据中心建成，信息系统集中於新一代数据中心代管，内网网络准入方案由集团总部统一规划、统一建设。在新一代数据中心建成前的过渡期间，利润中心仍需评估更新或新增内网网络准入方案。实施网络准入，禁止不符合规定的设备使用集团网络1234567P7.终端管控整改方案–终端数据备份方案70现况问题整改方案集团互联网出口数据中心局域网办公环境网络办公环境部门自行架设网盘U盘集团互联网出口数据中心局域网办公环境网络办公环境丢失毁损部门自行架设网盘U盘

终端数据备份方案丢失毁损1234567信息安全现况问题、建设方案与工作任务对应71Q1Q2Q3Q4Q5Q6Q7P7.终端管控整改方案P1.标准/合规整改方案P2.组织权责整改方案P3.人员管控整改方案P5.应用系统安全整改方案P6.网络管控整改方案P4.事件应变/灾备整改方案T6.终端安全T1.数据安全T5.网络安全M1.信息安全标准M2.信息系统等级保护M3.培训与宣贯O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员M4.人员安全管理T4.操作系统安全M5.信息资产管理T3.数据库/中间件安全M6.信息安全事件管理M7.业务连续性与灾备T2.应用系统安全组织管理技术问题建设方案建设方案工作任务信息安全建设方案总览(续)72M7、业务连续性与灾备管理O2、信息安全管理组织组织技术M2、信息系统等级保护M6、信息安全事件管理M3、培训与宣贯M1、信息安全标准M5、信息资产管理O3、信息安全管理员O1、信息安全职责分工T3、数据库/中间件安全T5、终端安全T2、应用系统安全T4、操作系统安全T1、数据安全T6、网络安全M4、人员安全管理P7.终端管控整改方案P1.标准/合规整改方案P2.组织权责整改方案P3.人员管控整改方案P5.应用系统安全整改方案P6.网络管控整改方案P4.事件应变/灾备整改方案信息安全建设目标：降低信息安全现况问题所带来的安全风险及对业务运营的影响，并可持续改善及落实控制的有效性信息安全建设蓝图规划73信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入梳理信息安全建设路径规划原则74不需要额外投入、投入较少的安全要求先实施；人员安全管理：保密协议、培训、安全知识宣贯；终端用户权限改为普通用户权限，减少病毒危害（通过AD策略实现）终端补丁管理：架设补丁服务器，或通过互联网直接升级；优先实施最基础的、紧迫度高的安全要求先实施：发生过安全事件的：终端防病毒U盘等外设控制网络准入网络攻击检测有利于发现和避免重大安全事件的：开启系统审计日志（个别系统日志审计未开启或日志保存时间过短）安全检查和整改评估计算原则：类别人力需求预算需求复杂度迫切性比重10%30%20%40%说明人力投入需求分为三级。<1分最高>预算投入需求分为三级。<1分最高>方案执行复杂度分为三级。<1分最高>方案实施迫切性分为三级。<3分最高>梳理信息安全建设路径规划原则(续)75数据应用系统数据库/中间件操作系统接入网络场地基础设施终端互联网个性系统办公环境核心网络数据应用系统数据库/中间件操作系统接入网络场地基础设施终端核心网络互联网个性协同办公环境数据应用系统数据库/中间件操作系统接入网络场地基础设施终端核心网络互联网共性系统办公环境场地基础设施场地基础设施场地基础设施利润中心机房数据中心机房数据中心机房信息系统类型终端地点应用系统与基础设施信息系统地点终端互联网应用系统数据库/中间件操作系统核心网络场地基础设施互联网大运维服务机房信息安全建設方案優先序分析人力需求10%<1分最高>预算需求30%<1分最高>复杂度20%<1分最高>迫切性40%<3分最高>总分优先序P1.组织权责整改方案33132.61P2.标准/合规整改方案23132.52P3.人员管控整改方案13222.25P4.事件应变/灾备整改方案32322.34P5.应用系统整改方案21221.77P6.网络管控整改方案32222.16P7.终端管控整改方案32232.5376确立信息安全演进路线77第三方单位人员实施层面：继续推广，扩大推广范围，各单位将种子单位的经验在本单位内推广，推广的下属企业数量达80%以上效果要求：推广单位的信息安全成熟度达到3级水平建设规划阶段（14年底）体系试点阶段（2015-2016）体系推广阶段（2017-2020）管理边界：确定集团与利润中心信息安全管理边界标准与规划：设计通用性信息安全标准,制定信息安全建设规划,并完成对各单位信息管理部门的宣贯组织建设：各单位建议安全组织、配备信息安全专职人员标准：个别单位依监管要求，制定个性化安全标准实施层面：落实“基础级”的安全要求，解决最紧迫度高的安全问题，特别是发生过安全事件的如终端防病毒、U盘控制、网络攻击检测，及不需要额外投入的安全要求，如保密协议，安全培训、开启系统审计日志、安全检查和加固落实策略：各单位在本单位选择1-2种子单位进行试点落实实施层面：继续推广落实信息安全标准与基线的安全要求；落实策略：各单位将种子单位的经验在本单位内推广，推广的下属企业数量达40%-50%；效果要求：推广单位的信息安全成熟度达到3级水平2016年底2018年底2014年底2020年底信息安全建设蓝图规划78信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入开展信息安全建设工作蓝图年度试点阶段推广阶段201520162017201820192020建设方案Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4P1.组织权责整改方案P2.标准/合规整改方案P3.人员管控整改方案P4.事件应变/灾备整改方案P5.应用系统整改方案P6.网络管控整改方案P7.终端管控整改方案建立组织各单位持续落实建立标准持续落实集团试点与布建集团试点实施与推广集团实施各单位持续落实集团推广与方案优化各单位按需实施制定标准细化安全标准与落实79目前针对P1与P2建设方案，己经由DD与甲方集团项目成员共同完成设计工作，将于后面章节细部说明开展信息安全建设工作蓝图–

设计信息安全建设实施路线(集团总部)80建设方案工作任务201520162017201820192020P1.组织权责整改方案O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员P2.标准/合规整改方案M3.培训与宣贯

M1.信息安全标准M2.信息系统等级保护P3.人员管控整改方案M4.人员安全管理

T4.操作系统安全

P4.事件应变与灾备整改方案M6.信息安全事件管理M5.信息资产管理M7.业务连续性与灾备P5.应用系统安全整改方案M1.信息安全标准

M5.信息资产管理T4.操作系统安全T3.数据库/中间件安全

T2.应用系统安全

P6.网络管控整改方案T6.网络安全T5.终端安全

P7.终端安全整改方案T5.终端安全

T1.数据安全

T6.网络安全

开展信息安全建设工作蓝图–

设计信息安全建设实施路线(利润中心)81建设方案工作任务201520162017201820192020P1.组织权责整改方案O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员P2.标准/合规整改方案M3.培训与宣贯

M1.信息安全标准M2.信息系统等级保护P3.人员管控整改方案M4.人员安全管理