公司信息安全管理体系建设规划

同洲信息安全管理体系建设规划汇报人:信息安全部邓生品2008年5月24日,目录,公司信息安全现状调查结果,总体概况一方面，公司规模步入了中大型规模企业范畴，业务众多，信息交流方式各种各样，交流需求频繁，为了规范信息管理、保护公司核心竞争力、支撑公司长远发展和百年同洲的理想，需要构建公司信息安全管理体系，为公司的发展保驾护航；另一方面，公司目前信息安全管理基本空白，现有的安全管理水平基本停留在初级的物业安全监管水平，没有形成网络安全的规范和体系化管理；公司人员总体看安全意识比较淡薄，没有形成系统化的安全意识宣传培训机制和安全管理持续优化系统。,公司信息安全现状调查结果,网络安全现状1）企业内部研发网络和非研发网络整体互通，intranet与internet互通；2）公司员工内部邮箱()的收发权限基本全部开放；3）公司研发网和研发重要实验室网络基本互通。以上网络现状，基本使得公司内部信息网络对外开放，安全隐患比较严重。,公司信息安全现状调查结果,物理安全现状1）公司总部大楼门岗处，保安对员工的身份核实松散使得非同洲人员较容易进出，增加公司办公场地各类安全隐患；2）外来人员出入公司，缺乏系统有效的身份标识及登记管理，缺乏有效的陪同机制一方面，不利于外来人员办事效率和对同洲规范度好的整体印象，另一方面，外来人员若无意或者有意进入到不该进入的地方，带来较大的信息资产泄露隐患；3）公司大部分会议室隔音效果不佳使得一些重要信息容易被其他不该知悉此信息的人获悉；4）办公位各位文件资料摆放较为随意，下班后工作相关的信息资料大部分没有放置到有锁抽屉，下班后电脑显示器及主机时有没有关闭的现象办公文件资料留在办公位，有被恶意收集公司内部信息的人恶意收集的安全隐患；电脑电源没有关闭，电脑容易被他人侵入，同时容易引发火灾。,公司信息安全现状调查结果,人员安全现状1）公司目前没有自上而下的专职安全组织，严重缺乏安全工作专业人员，导致安全工作事务运作困难、缓慢；2）没有例行的安全检查标准（Check-list），没有例行的安全检查工作；3）没有组织起规范的周期性安全培训；4）公司高层重视信息安全，但基层人员整体信息安全意识不强需要通过规范化的安全管理组织建设、安全制度建设、系统化培训等改变这一现状，否则严重影响公司信息安全管理水平的提升。,公司信息安全现状调查结果,安全组织、制度现状1）公司没有组建起信息安全运作的组织架构，就如一把雨伞只有布而没有撑起雨伞的脊梁，信息安全工作只停留在高层意识（雨伞的布），但安全隐患的控制和落实没有得到有效和持续展开（缺少自上而下的安全组织）公司安全组织，需要至少以下三个部分：信息安全监管委员会（公司高层组成的代表公司利益和各部门安全需要，决定公司安全发展战略，决策重大安全事件等）；信息安全部（执行和落实公司安全战略，组织日常的安全运行工作，组织公司年度安全风险评估和督促控制措施的落实，调研业界各类安全现转和技术发展状况，以持续维持公司安全能力的提升等）；业务部门信息安全工作组（负责在各部门落实信息安全部的各项安全项目的推广、日常安全的例行检查、部门安全事件调查、部门人员安全培训和安全宣传等）；2）公司缺乏一个信息安全的纲领性文件，用以指导公司各项安全工作的开展、指引公司各体系部门安全的建设，为各类安全文件的制定提供基础。目前公司信息安全各项工作的开展零散无序，缺乏持续优化基础，核心原因就在于此；3）公司缺乏一个信息安全奖惩管理规定，她有利于树立安全工作在员工的意识中没有威信，避免安全工作成为一种停留在嘴上的摆设。在安全管理体系建立初期，以惩罚为主线，辅以安全意识培训和宣传；在安全管理体系水平较高时期，以奖励为主线，也辅以安全意识培训和宣传。,目录,公司信息安全建设愿景及目标,为公司百年同洲的理想，提供保驾护航的安全支撑平台组建公司自上而下的信息安全管理体系组建公司系统化的信息安全管理文件体系组建并培养一支专业的、可持续发展的信息安全工作队伍提升公司内部员工的信息意识，提升公司对内及对外的安全攻击的预防与抵制能力,目录,确定公司ISMS建设范围确定各一级业务部门信息安全接口人，提出信息安全部人力资源标准及需求组织公司范围的信息安全风险评估、调研编制并签发公司信息安全策略总纲编制并签发公司信息安全奖惩管理规定建立公司ISMS体系1.O,COSHIPInformationSecurity,实施导入ISMS3.0组织公司的信息安全年度风险评估活动优化并升级公司信息安全控制措施编撰、修订公司安全文件日常安全问题受理、安全问题调查、安全整改持续优化公司ISMS体系，形成企业标杆，考虑对外提供安全方案咨询服务,实施导入ISMS1.0组织公司的第一次年度风险评估活动策划较为系统化的信息安全控制措施并实施，编修、修订安全文件(基于年度风险评估结果的分析)引入信息安全专业咨询公司咨询服务，为公司进行ISO27001认证做准备，并培训IS专职人才日常安全问题受理、安全问题调查、安全整改等规划ISMS2.O,2008.6-12,2009.1-12,2010.1-12,2011.1-12,公司信息安全推行Roadmap,实施导入ISMS2.0组织公司的第二次年度风险评估活动优化并升级公司安全控制措施编撰并修订公司安全文件准备工作，申请公司ISO27001认证实现ISMS管理体系从规范级到可度量级建立公司安全知识库1.0，培养并提升信息安全部人员水平规划ISMS3.0,目录,下一步工作计划,确立安全工作组织架构及职责组织公司全范围的信息安全风险评估基于风险评估信息，建设并实施公司ISMS体系1.0架构提出“设计开发公司安全问题反馈电子流”的需求，并参与开发评审,确立安全工作组织架构及职责,确立各部门安全工作组织架构及职责建议公司高层组建信息安全监管委员会，为安全工作在全公司顺利展开提供组织上的支持和监督（目前公司在安全组织架构上有“信息安全部”，上层缺少代表公司各大体系安全意志的“信息安全监管委员会”，下层缺少各体系的“信息安全工作接口人”）确立各一级部门信息安全接口人名单-即信息安全专员（请公司高层向各一级部门发文，提供各一级部门信息安全接口人名单，请卢总（强）给予协调支持）拟定并签发各部门信息安全接口人工作职责规范1.0；编制安全技能培训材料、培训各部门安全接口人（责任人:公司信息安全部；完成时间:工作职责规范1.0在7月20日前输出，所有部门信息安全接口人的培训工作，信息安全部承诺在各接口人确定后的2周内完成）,公司安全组织架构,信息安全部组织架构,组织公司的风险评估,组织公司全范围的信息安全风险评估设计风险评估引导材料、培训各部门信息安全接口人风险评估技能（责任人:公司信息安全部;完成时间:在各接口人确定后的两周内）编制公司安全现状调查统计分析表；到公司各办公场地实地考察、访谈部门主管及员工、组织风险评估（责任人:公司信息安全部、各部门信息安全接口人;完成时间:在各部门信息安全接口人确定后,两月内完成）分析整理风险评估信息（责任人:公司信息安全部;完成时间:在各接口人确定后的两周内）,建设并实施公司ISMS体系1.0,根据风险评估信息，建设并实施公司ISMS体系1.0拟定并签发公司信息安全策略总纲、公司信息安全奖惩管理规定，并组织培训、宣传（拟定责任人及完成时间:公司信息安全部,两周内完成拟定；签发完成时间:决定于公司信息安全监管委员会审视结束时间；文件培训责任人：公司信息安全部；文件宣传责任人：公司信息安全部、各部门信息安全接口人）拟定公司信息安全文件层级结构管理规定-确定公司信息安全文件层级结构、评审、签发、发送范围的等规则（责任人:公司信息安全部；完成时间:2008.7.30）从公司核心竞争力信息所在部门着手，开始实施风险控制措施，然后逐步铺开（责任人:公司信息安全部、各部门信息安全工作组；工作时段:后续根据实际工作量的评估确定）并行于风险控制措施的推行，采用PDCA方式优化和完善各类安全控制措施、同时拟定各层安全管理规范和标准（责任人:公司信息安全监管委员会、公司信息安全部、公司各体系信息安全工作组）,安全问题反馈电子流,设计开发公司安全问题反馈电子流一方面，基于ISO27001:2005标准关于安全问题反馈及咨询沟通