企业信息安全体系建设方案V10

Copyright©1998-2021深圳昂楷科技

ShenzhenAnkkiTechnologiesCo.,Ltd企业信息平安体系建设方案V1.0邓生品昂楷科技高级参谋目录昂楷公司简介企业平安压力与挑战建设有效的企业信息平安体系信息平安标杆关键成功因素2025/4/3AnkkiConfidential3公司简介创始人足迹2025/4/3AnkkiConfidential4积极参与和组织国际OWASP峰会首届OWASP中国峰会发布SOne解决方案。荣获OWASP最正确效劳奖。2025/4/3AnkkiConfidential5://OWASP〔OpenWebApplicationSecurityProject〕2025/4/3AnkkiConfidential6进行安全、存储、统一通信技术层面的评估和分析整合IT环境，夯实基础架构规划进行管理策略、运行体系和战略愿景层面的咨询和规划辅助客户建立信息安全整体架构推广执行推广技术和管理策略落实咨询方案，实现业务保障和创新与客户共同成长，成为战略合作伙伴端到端解决方案2025/4/3AnkkiConfidential7ANKKITMSone

深度业务平安解决方案随着平安威胁不断升级，传统网络级的平安解决方案已不能满足丰富多彩的业务应用平安保障需要。昂楷科技不断研发创新，研发出SOne深度业务平安解决方案，满足金融、政府、证券、互联网、电信、电力、高校、制造业等各行各业对应用系统平安日趋强烈的需要——业务平安，昂楷领航！2025/4/3AnkkiConfidential8支持HTTPS独有的透明工作模式，方便部署平安的Bypass自学习自适应功能Web应用安全灵活定义群组、用户的细粒度权限可靠容灾机制，保护文件不被破坏灵活分级控制策略，适合超大规模组织机构ALL-IN-ONE，防止多软件客户端带来的种种困扰知识产权防泄密DLP多达200条的检测基准独特的可信管理机制业界独有的风险级别量化机制效劳于德国电信DT、法国电信FT可配置可管理的全自动化加固机制可根据平安标准、风险级别灵活定制的策略包主机基线检查和加固网站防篡改系统WDS效劳于德国电信DT、法国电信FT全面支持6大主流数据库类型多达150多条的检测基准数据库基线检查和加固独有的双向审计机制领先的三层审计机制数据库审计与风险控制系统认证培训ISO27001/ISO20000LA审核员认证培训COBIT/ITIL认证培训CCIECCNPNSACE认证〔初级/中级/高级〕－可颁发工信部证书数据库主机平安培训〔专项技能培训〕Windows系统平安培训〔专项技能培训〕Linux系统平安培训〔专项技能培训〕2025/4/3AnkkiConfidential9效劳承诺2025/4/3AnkkiConfidential10我们承诺销售的产品解决方案提供终身免费远程支持效劳效劳的客户2025/4/3AnkkiConfidential11大亚湾核电站第二职校易斯博舜全电子惠科电子海能达思博伦北京富兰电子千色店目录昂楷公司简介企业平安压力与挑战建设有效的企业信息平安体系信息平安标杆关键成功因素我们公司信息平安管理体系水平，处于哪个状态？无标准平安防御与评估体系，外表太平建立管理组织体系、采取周期评估优化措施平安标准可控，不断优化破产损失沉重根本无力回天平安水平$平安形势越来越严峻麻痹者跌倒后，可能将永远倒下典型的信息平安事件ISO27001对企业的意义ISO27001对企业的意义公司大局部员工总体信息平安意识比较淡薄；各部门日常平安管理工作根本空白；公司没有形成系统化的平安管理持续优化系统。需求现实企业信息平安压力与挑战物理平安现状企业信息平安现状网络平安现状人员平安现状企业信息平安现状简报问题重重叠加，风险时时攀升公司高密级网络与低密级网络无隔离；内部网络与外部网络无有效隔离公司内部员工之间、内部员工与外网之间的通信，缺乏内容的监控与过滤公司数据中心缺乏容灾备份机制、缺乏灾难恢复方案，重大问题不知道如何恢复，缺乏持续的灾难恢复演练各类密级信息无序流转，无分层分级控制网络平安现状列举TFJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC,,MS打印机、机等敏感设备放置在非受控的平安区域，缺乏有效监控在公司重要场地，存储和摄像功能的设备随意使用公司办公场地出入无有效证件登记与监管、公司各区域门禁系统管理混乱门禁权限缺乏定期审核、清理，处于实验室、数据中心等机要场地时未严格落实登记问题重重叠加，风险时时攀升物理平安现状举例平安要求的落地情况没有人检查，也没有检查标准、奖惩标准员工内部转岗或离职时，工作文件、权限等没有及时交接或清理公司岗位职责缺乏平安要求定义，缺乏平安保密协议模板或者签署的习惯敏感岗位缺乏有效的平安背景调查，既要岗位缺乏详实的保密协议的签署与执行监督没有进行定期的全员平安意识培训、考试，没有将各部门的信息平安情况纳入考核指标问题重重叠加，风险时时攀升人员平安现状举例目录昂楷公司简介企业平安压力与挑战建设有效的企业信息平安体系信息平安标杆关键成功因素什么是信息平安平安平安平安平安信息威胁弱点完整性保护信息及其处理步骤不被未授权的修改可用性确保信息能够被授权的用户在需要时访问风险确保信息只被授权的人访问保密性信息平安关注的“三性〞信息平安的4P平安策略与流程(Policy&Process)专业团队和较高平安意识的员工People支撑产品(Product)信息平安的组成领域总揽信息平安11个控制领域

39个控制目标

133个控制项平安制度及流程管理措施11通信与操作管理10业务连续性管理2组织安全3资产分类与控制

5物理及环境安全8符合性4系统与维护9信息安全事件管理6访问控制7人员安全1安全策略平安风险控制方案设计过程23451如何保证企业平安控制水平持续优化？做什么怎么做把方案方案转化成现实实际的情况是否与方案一样得到控制下一步如何优化建立与公司策略与目标相适宜的安全策略、对象、目标、流程活动等，聚焦于风险管理和提升信息的安全状态。1.发起建设ISMS实施与运作各类安全策略、控制，以及安全流程与活动。2.实施与运作ISMS基于安全策略，评估、度量各安全控制过程的实际效用；形成评估结果报告提交管理层审视。3.监控与审视ISMS基于管理层对风险评估结果(步骤3的输出)的审视意见，采取正确有效的ISMS持续改进措施。4.维护与改进ISMSCDPA实际的情况是否与计划一样得到控制把计划方案转化成现实下一步如何优化输入输出做什么怎么做平安工作模块细分，全貌是什么？平安风险评估平安根底平安功能平安优化平安战略平安管理平安区域定义和划分平安组织和责任划分企业平安策略定义信息资产分类和分级紧急响应机制业务持续方案核心平安标准/流程平安变更管理平安补丁管理平安备份管理其它平安标准/流程平安培训与教育第三方平安控制要求平安策略和标准修订系统平安强化网络入侵检测体系高危数据传输加密关键系统日志记录病毒防范机制身份认证体系访问控制体系可用性与冗余性远程访问平安机制时间同步机制集中平安审计体系平安事件管理平台企业身份认证平台其它内容平安机制其它数据传输加密主机入侵检测体系数据存储平安体系平安体系全面整合和控管国际或国内平安认证这三项，是业界标杆用重金构建起来、用成功实践证明了的平安大厦的“脊梁〞信息安全体系WhatWhatWhat建立信息平安文件体系框架建立公司信息平安组织如何搭建企业信息平安防御大厦？公司信息平安文件体系如何建设与运维？确定公司信息安全类文件体系架构确定各层文件内容框架及编撰的责任部门12确立公司信息安全纲领性文件3建立公司安全策略被执行的确保机制和各类流程模板平安文件体系架构平安纲领性文件平安基准奖惩制度构建反响灵敏、运作高效的平安管理组织公司信息安全监管委员会全球信息安全管理办公室网络安全部物业行政管理部各大部门信管办各子公司信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处…………分管高管1.网关平安防御系统〔入侵检测、入侵防御系统〕。2.终端计算机上网行为监管系统。3.核心文档、代码等电子信息加密工具。4.计算机端口、打印机监控工具。5.终端计算机监控检查与平安接入控制工具。6.移动计算机设备、移动存储介质平安认证工具。信息安全评估和差距分析建立信息安全组织和政策体系

初步推行和落实信息安全管理体系启动信息安全基础设置建设实现监控的制度化，流程化和经常化建立安全配置管理，实现安全风险的量化管理机制

建立安全管理持续优化机制全面审视，优化和深化信息安全管理体系建立整体的信息安全防护体系建立集中监控平台建立数据中心和应急机制基础保证策略固化集中建设20xx.xx20xx.xx20xx.xx20xx.xx企业信息平安管理体系建设如何有效规划？信息平安体系建设总流程发动部署阶段体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审文件化阶段总结经验稳固成果阶段进度控制、各子工程关系协调等如何开展？公司安全组织建设20xx.xx……15301515151515151530303030303030日常安全状态检查与维护文档分层分级管理与加密网络分区与安全隔离办公场地安全梳理与优化12345项目成功完成办公网络安全分区、数据中心服务与应用安全分区4

安全组织建设与培育项目成功完成1例行维护与优化……项目成功完成日常安全状态检查与维护建设2例行维护与优化……物理环境安全梳理与优化项目项目成功完成5例行维护与优化……文档分层分级管理，对应各层文档加密控制项目成功完成3例行维护与优化……20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx总体质量与进度如何控制？详细信息双击此文件展开WBS分解计划甘特图阻碍企业平安体系建设成功的主要风险是什么，怎样控制？40%思想观念现存体制缺乏使命感缺乏领导不现实的预期缺乏团队组织人员素质技术支持项目授权20%60%80%风险识别控制措施安全人力薄弱，项目实施进度延迟，影响业务部门对安全项目建设的信心成立跨部门项目组，关联部门领导给予有力的人力的支持；信息安全部确定安全兼职人员，补充安全力量。安全组织结构调整后，相关部门并不配合安全专业机构的工作，或者推诿，造成安全项目质量受到严重影响完善绩效考评机制。确认对部门及安全工作人员的绩效，公司信息安全监管委员会或信息安全部有建议权。安全专业人员目前无“备份”力量，公司安全大厦搭建起来以后，影响安全整体的运作质量关注培养公司内部信息安全人员，加大引入有经验的专业安全人员力度目录昂楷公司简介企业平安压力与挑战建设有效的企业信息平安体系信息平安标杆关键成功因素标杆公司信息平安管理体系简介反响高效、上下一体的公司信息平安“神经系统〞公司信息安全监管委员会信息安全部（全球信息安全管理办公室）网络安全部物业行政管理部各大部门信管办各子公司信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处…………公司高管

业界最佳实践标杆安全组织架构管理手段技术手段内部网研发网非研发网Internet平安VPN数据中心交换机ERP文件共享E-mail分支机构控制台IDS流量镜像监控引擎入侵检测WEB监控邮件监控MSN监控文件传输监控会话监控服务器监控平安VPN外部网DMZ区远端用户管理有序、布局标准而平安的公司网络系统OA及其他系统内、外入侵行为监管隔离梳理研发与非研发网络安全梳理服务器区域清晰明了、有效搭配的信息平安金字塔文件体系各分支领域安全管理规定安全手册操作指导、模板等各类记录表、检查表信息平安金字塔文件体系关键文件展示目录昂楷公司简介企