公司信息安全体系1.0建设计划书

1、价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件同洲信息安全体系建设计划书同洲信息安全体系建设计划书客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长管理工程部管理工程部 邓生品邓生品价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件管理工程部 邓生品 2008年12月24日同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距同洲信息安全体系变革规划同洲信息安全

2、体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全管理混乱的几个案例总部高层的办公室，神秘人士可以越过“重重关卡”，自由出入；那么，其他办公场地呢？可想而知公司各类重要场地、业务系统，已有的或是新增的，从来没有定期的信息安全风险评估与管理优化这一说，反正，出了问题再“救火”，不但不被处罚，还能向公司体现“我” 的“工作绩效和工作付出”基地，保安与员工勾结，硬件资产被盗。那么，公司的重要设计方案、代码软件等电子信息资产，是否也被时时如此“算计”着

3、，不言自喻各类高危的设备带入研发等场地；USB端口开启、网络服务器搭建、测试申请时时发生着在没有任何隐患控制措施的情况下，还带着一副必须得为其开通的言语和表情价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件公司种种业务开展中的安全需求很急迫，但无安全系统支撑需要文档加密系统，支撑需要文档加密系统，支撑IPD等流程文档发布的发布，等流程文档发布的发布，但我们没有文档加密系统但我们没有文档加密系统价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件

4、公司种种业务开展中的安全需求很急迫，但无安全系统支撑需要文档加密系统，支撑公司研发核心代码、设计文档。需要文档加密系统，支撑公司研发核心代码、设计文档。但我们没有文档加密系统但我们没有文档加密系统价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件我们没有内网行为监控系统防火墙并没有详细的外发资料的记录，比如：通过防火墙并没有详细的外发资料的记录，比如：通过Web邮箱（邮箱（163、SOHU等）外发的邮件的记录或者是通过等）外发的邮件的记录或者是通过BBS发布的信息等发布的信息等从防火墙上能够看到种种违规数据传递、工作时

5、间的网络“闲逛”行为，但是防火墙却提供不了证据证明价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件公司具有FTP权限的人有200多个，占上网总人数的约1/7，FTP传输的信息系统也无法监控FTP是安全的高危通道。在管理上应该是部门统一出口，专人管理；同时，需要对传输的内容进行监控。但是，目前公司却没有做到其中的一点价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件我司目前安全控制水平我司目前安全控制水平无规范安全防御与无规范安全防御与评估体系

6、，评估体系，表面太平表面太平建立管理组织体建立管理组织体系、采取周期评系、采取周期评估优化措施估优化措施安全规范可控，安全规范可控，不断优化不断优化破产破产损失惨重损失惨重基本无力回天基本无力回天重大事故发生时重大事故发生时“救火救火”安全安全水平水平层次层次$同洲目前的位置在这里，我们应该向有阳光同洲目前的位置在这里，我们应该向有阳光的地方奋进！应该不会有人否定吧？的地方奋进！应该不会有人否定吧？同洲位置安全形势越来越严峻安全形势越来越严峻麻痹者跌倒后，将可能永远倒下麻痹者跌倒后，将可能永远倒下价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查

7、并行勇气反馈认真责任整理课件信息安全文件体系信息安全文件体系管理与技术支撑体系管理与技术支撑体系信息安全组织架构信息安全组织架构案例展示顺序，以安全架构案例展示顺序，以安全架构“核心层分类核心层分类”标准标准 为基础为基础我司安全各层面安全管理混乱案例分析价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件必须补充信息安全基础的“宪法”文件混乱表现混乱表现1：权限开：权限开通无视安全通无视安全混乱表现混乱表现2：开发测：开发测试无安全控制意识试无安全控制意识混乱表现混乱表现3：安全管：安全管理不能落地理不能落地混乱表现混

8、乱表现n没有统一的旗帜，所以迷失方向，百年同洲需要护航符，安全压力需要从高层局部扩展到全员，成为企业文化的一部分根据业务需要，我们根据业务需要，我们需要外部能访问内网需要外部能访问内网的服务器和计算机，的服务器和计算机，我们的领导都审批通我们的领导都审批通过了，过了，IT IT网络部赶快网络部赶快给我开通！给我开通！没有安全评估流程及标准，所以，领导审批通过了就是安全的了，客观上是否安全不重要了！我是在测试一个我是在测试一个IT IT方方面的平台系统，又不面的平台系统，又不是在做业务无关的事是在做业务无关的事，所以虽然是因为测，所以虽然是因为测试让研发的办公网络试让研发的办公网络瘫痪了瘫痪了5

9、 5小时，但是小时，但是这个是业务上需要！这个是业务上需要！ 他并没有意识到，在生产环境测试是违反安全基本标准的，也没有意识到这个一个严重的安全事故。而且还有要让网络瘫痪5天的架势制定实验室安全管理制定实验室安全管理细则？那是公司的事细则？那是公司的事情，实验室管理员是情，实验室管理员是做什么的我不是很清做什么的我不是很清楚，但是肯定不是负楚，但是肯定不是负责这方面的。责这方面的。自己的职责是什么很含糊，但是，怎样推卸职责是一点也不含糊。1.你是IT信息安全部而又不是全公司的信息安全部，所以只是负责你们部门范围的安全，我们部门的事情，什么时候轮到你来管了？2.我现在有一台私人电脑要带进来，你必

10、须给我解决，不然，我的工作事情你来负责做完 不知道怎么评价了！往往这个时候似乎感到自己的智商突然变低了价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全管理无安全管理无明确身份面明确身份面临的尴尬临的尴尬我们需象标杆企业一样，从公司管理制度上，我们需象标杆企业一样，从公司管理制度上，确认和保证安全建设与检查机构的确认和保证安全建设与检查机构的“法定法定” 身份和权威。身份和权威。你只是你只是IT IT部门下的一个小小主管部门下的一个小小主管，你是为我服务的！你以为你，你是为我服务的！你以为你是谁啊？是谁啊？N 华为

11、公司的安全机构，内部从高管到基层员工、外部从政府官员到各类来访人员，华为公司的安全机构，内部从高管到基层员工、外部从政府官员到各类来访人员，都都“惧怕惧怕”他们而事事注意遵从其安全要求。但是在同洲，不少人却对公司安全要求他们而事事注意遵从其安全要求。但是在同洲，不少人却对公司安全要求 不以为然的吆五喝六。难道，同洲的安全境界非常高了，已经达到不需安全管理的境地了吗？不以为然的吆五喝六。难道，同洲的安全境界非常高了，已经达到不需安全管理的境地了吗？我们部门的领导都审批同意了，你我们部门的领导都审批同意了，你凭什么不批？必须在凭什么不批？必须在5分钟内给我分钟内给我开通！开通！我没有违反规定，我们

12、部门的规我没有违反规定，我们部门的规定就是这样的，你无权干涉！定就是这样的，你无权干涉！是谁给你的权利，让我遵守是谁给你的权利，让我遵守这遵守那的？这遵守那的？价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件无统一安无统一安全监管机全监管机构导致的构导致的混乱混乱亟待建立贯穿高层至基层的安全管理体系总部行政中心保安负责总部大楼安全。但是，对环境安全保护是否到位、方案是否根据业务发展进行周期性调整优化？缺少专业的引导和评估，缺少统一的监督和检查。基地总务安全部负责基地的物业安全，但是，其安全措施标准是否与总部一致？其日

13、常的工作状态缺少明确独立的机构监督。IT系统维护部门，负责系统的配置等服务。但是，各系统之间的通信是否符合安全标准？系统的性能是否进行周期性评估以支撑业务连续性？没有评估，也没有标准及统一监管各外地分公司、办事处的物理安全是否有负责人在监管和落实？没有！IT网络部认为职责是负责日常网络的通畅。缺少开展网络安全状态周期性评估和周期优化巩固方案设计与实施。没有统一的安全要求标准及符合性监管统一负责整个公司安全体系的统一负责整个公司安全体系的标准制定、日常安全运作情况的标准制定、日常安全运作情况的评估与监管机构在哪里？没有！评估与监管机构在哪里？没有！我们必须建立起来！我们必须建立起来！总部、基地、

14、外地的各部门及员工日常形形色色的行为安全状况，是否有统一监管、优化？没有！价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全产品的选型、洽安全产品的选型、洽谈、考察、测试、安谈、考察、测试、安全人员接待与沟通全人员接待与沟通公司安全组织建设；各类权限申公司安全组织建设；各类权限申请电子流审批；员工日常安全事请电子流审批；员工日常安全事件调查；员工安全意识培训件调查；员工安全意识培训公司信息安全人手太过薄弱各类信息安全标准、制度、方案各类信息安全标准、制度、方案的制定；以及组织评审、签发的制定；以及组织评审、签发信息

15、安全项目群的组织信息安全项目群的组织、开发、实施、推行、开发、实施、推行、以及项目日常管理以及项目日常管理其他工作：若干安全权其他工作：若干安全权限电子流审批；部门内限电子流审批；部门内部部QA组及验收测试部组及验收测试部的部门建设、标准制定的部门建设、标准制定、日常管理协调等工作、日常管理协调等工作目前目前, ,只有信息安全部主管只有信息安全部主管+ +一名新毕业大学生一名新毕业大学生公司信息安全工作价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理

16、标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件标杆核心层分析信息安全文件体系信息安全文件体系信息安全组织架构信息安全组织架构管理与技术支撑体系管理与技术支撑体系价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件不断完善的信息安全文件体系安全政策、安全政策、风险评估标准风险评估标准安全

17、制度、安全流程安全制度、安全流程谁，什么时候、谁，什么时候、做什么，在哪里做什么，在哪里各类安全符合性证据各类安全符合性证据Level 2Level 2各类安全管理规定、安各类安全管理规定、安全流程及流程文件全流程及流程文件Level 1Level 1安全手册安全手册描述任务及具体活动怎么做的描述任务及具体活动怎么做的各类模板、表单各类模板、表单Level 3Level 3操作指导、检操作指导、检查彪、模板等查彪、模板等Level 4Level 4各类记录各类记录 华为建立了以信息安全策略总纲为基础的、由各层级细化的安全管理规定、文件、 模板等组成的信息安全白皮书文件体系。它们分别由对应层级的

18、安全机构修订和实施价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件上下一体的的信息安全组织架构 03年起，华为持续投入重金，请DNV公司 协助其根据BS7799标准，构建设置了其信息 安全管理体系，并通过了企业BS7799认证。 有目共睹的事实证明，这个体系的运作，推动了华为这列“火车”更加高效、安全平稳地前行浑然一体、运作高效的信息安全体系公司信息安全监管委员会公司信息安全监管委员会信息安全部信息安全部（全球信息安全管理办公室（全球信息安全管理办公室）网络安全部网络安全部物业行政管理部物业行政管理部各各大大部部门门

19、信信管管办办各各子子公公司司信信管管办办各各部部门门信信息息安安全全专专员员团团队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处CIO价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件坚实的信息安全内控管理与技术支撑体系管理手段与技术管理手段与技术工具有机结合工具有机结合内网行为监管内网行为监管与审计系统与审计系统终端接入认证终端接入认证、终端软件标终端软件标准检查等准检查等系统系统文档加密、打文档加密、打印、印、USBUSB等控等控制系统制系统网络隔离；物网络隔离；物理划分安全等理划分安全

20、等级，并实施不级，并实施不同等级的配套同等级的配套保护保护信息安全工作纳入信息安全工作纳入部门绩效考核部门绩效考核周期性年度周期性年度风险评估风险评估畅通的安全问题畅通的安全问题反馈通道、严明反馈通道、严明的安全奖惩机制的安全奖惩机制全员日常全员日常例行安全检查例行安全检查价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的

21、支持信息安全介绍信息安全介绍价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件差距分析信息安全文件体系信息安全文件体系信息安全组织架构信息安全组织架构管理与技术支撑体系管理与技术支撑体系价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件我司安全内控与标杆的位置示意图我司安全内控与标杆的位置示意图无规范安全防御无规范安全防御与评估体系，与评估体系，表面太平表面太平建立管理组织体系建立管理组织体系、采取周期评估优、采取周期评估优化措施化措施安全规范

22、可控安全规范可控不断优化不断优化破产破产损失惨重损失惨重基本无力回天基本无力回天重大事故发生时重大事故发生时“救火救火”安全水平$华为位置同洲位置 有差距不可怕！可怕的是我们看不到差距，甚至看到了差距后，不是想办法赶上，而是找借口不为！价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件我司信息安全文件体系状况Level 2Level 2Level 3Level 3Level 4Level 4Level 1Level 1安全政策、安全政策、风险评估标准风险评估标准安全制度、安全流程安全制度、安全流程谁，什么时候、谁，什么

23、时候、做什么，在哪里做什么，在哪里各类安全符合性证据各类安全符合性证据各类安全管理规定、安全流各类安全管理规定、安全流程及流程文件程及流程文件安全手册安全手册描述任务及具体活动怎么做的描述任务及具体活动怎么做的各类模板、表单各类模板、表单操作指导、检查操作指导、检查表、模板等表、模板等各类记录各类记录 没有规矩，就没有方圆！所以，没有安全的 规范指导性文件，安全建设失去了引导和度量的标准。现代社会是契约型社会，公司的“安全契约”在哪里？没有。那我们就用心建立起来吧！无公司安全纲领文件无公司安全纲领文件有少部分散乱的安全制度及流程，不有少部分散乱的安全制度及流程，不全面且相互也缺乏互补，等待规范

24、全面且相互也缺乏互补，等待规范除了物业保安场地检查除了物业保安场地检查记录外，其他基本没有记录外，其他基本没有严重缺失没，基本没有严重缺失没，基本没有价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件没有没有总部、基地、各外总部、基地、各外地机构等物业监管地机构等物业监管隶属、考核关系，隶属、考核关系，以及管理标准等模以及管理标准等模糊不明，有待明确糊不明，有待明确和改善和改善需优化需优化上下一体的的信息安全组织架构上下一体的的信息安全组织架构公司信息安全监管委员会公司信息安全监管委员会信息安全部信息安全部（全球信息安

25、全管理办公室（全球信息安全管理办公室）网络安全部网络安全部物业行政管理部物业行政管理部各各大大部部门门信信管管办办各各子子公公司司信信管管办办各各部部门门信信息息安安全全专专员员团团队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处CIO1.1.只有一个专业人员和只有一个专业人员和一个新毕业大学生；一个新毕业大学生；2.2.没有从制度上明确安没有从制度上明确安全机构的责任和权利全机构的责任和权利力量薄弱力量薄弱 现状下的公司安全组织，就如“农民起义军”一样，有形无神！无统一的章程、无统一的中央机构，凭少数“起义发起者”在“点火”，员工和各部门缺失主动的安全防范措施和意

26、识。IT IT技术支持、网络维护人技术支持、网络维护人员在负责。没有规范的员在负责。没有规范的标准、没有标准、没有IT IT状态安全评状态安全评估、没有例行检查与优估、没有例行检查与优化化需加强需加强价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件我司安全内控管理与技术支撑体系状况部门安全绩效考核周期性风险评估畅通的问题反馈通道、明确的安全奖惩全员日常例行安全检查脆弱的安全内控终端接入安全认证系统（SPES）桌面软件标准检查系统（ACC）网络隔离；场地安全等级划分与配套管理等等内网行为防护与审计系统(CPM、PM、信

27、息出口监管系统) 只有ISA和Juniper 防火墙，无其他安全内控系统 物理安全有一定监控，其他防内部泄密监管基本空白！价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课

28、件什么是信息安全安全安全安全安全信息威胁弱点完整性保护信息及其处理步骤保护信息及其处理步骤不被未授权的修改不被未授权的修改可用性确保信息能够被确保信息能够被授权的用户授权的用户在需要时访问在需要时访问风险确保信息只被确保信息只被授权的人访问授权的人访问保密性信息安全关注的信息安全关注的“三性三性”价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件信息安全之路4P安全策略与流程(P Policy & P Process)专业团队P People支撑产品(P(Product) )价值观：客户第一 | 阳光沟通 | 团队协作

29、 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件信息安全的组成领域总揽信信息息安安全全 11 11个控制领域个控制领域 3939个控制目标个控制目标 133133个控制项个控制项安全制度及流程技术措施管理措施11 通信与操作管理10 业务连续性管理2 组织安全3 资产分类与控制 5 物理及环境安全8 符合性4 系统与维护9信息安全事件管理6 访问控制 7人员安全1 安全策略价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全风险控制方案设计过程23451价值观：客户第一 | 阳光沟通

30、 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件企业信息安全管理体系(ISMS)建设PDCA做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化建立与公司策略与目标相适宜的安全建立与公司策略与目标相适宜的安全策略、对象、目标、流程活动等，聚策略、对象、目标、流程活动等，聚焦于风险管理和提升信息的安全状态。焦于风险管理和提升信息的安全状态。1.1.发起建设发起建设ISMSISMS实施与运作各类安全策略、控制，以及安全流程与活动。实施与运作各类安全策略、控制，以及安全流程与活动。2.2.实施与运作实施与运作ISMSISMS基

31、于安全策略，评估、度量各安全控基于安全策略，评估、度量各安全控制过程的实际效用；制过程的实际效用；形成评估结果报告提交管理层审视。形成评估结果报告提交管理层审视。3.3.监控与审视监控与审视ISMSISMS基于管理层对风险评估结果基于管理层对风险评估结果( (步骤步骤3 3的输出的输出) )的审视意见，采取的审视意见，采取正确有效的正确有效的ISMSISMS持续改进措施。持续改进措施。4.4.维护与改进维护与改进ISMSISMS计划计划行动行动检查检查改进改进做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化输入输入输出输出价值观：客户第一 | 阳光沟通 | 团队协

32、作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全工作模块总揽安全工作模块总揽安全风险安全风险 评估评估安全基础安全基础安全功能安全功能安全优化安全优化安全战略安全战略安全管理安全管理安全技术安全技术防火墙和防火墙和 边界隔离边界隔离安全区域定安全区域定义和划分义和划分安全组织和安全组织和 责任划分责任划分企业安全策企业安全策略定义略定义信息资产分信息资产分类和分级类和分级紧急响应紧急响应 机制机制业务持续业务持续 计划计划核心安全核心安全 标准标准/流程流程安全变更安全变更 管理管理安全补丁安全补丁 管理管理安全备份安全备份 管理管理其它安全其它安全 标

33、准标准/流程流程安全培训安全培训与教育与教育第三方安全第三方安全控制要求控制要求安全策略和安全策略和标准修订标准修订系统安全系统安全 强化强化网络入侵检网络入侵检测体系测体系高危数据高危数据 传输加密传输加密关键系统关键系统 日志记录日志记录病毒防范病毒防范 机制机制身份认证身份认证 体系体系访问控制访问控制 体系体系可用性与可用性与 冗余性冗余性远程访问远程访问 安全机制安全机制时间同步时间同步 机制机制集中安全集中安全 审计体系审计体系安全事件安全事件 管理平台管理平台企业身份企业身份 认证平台认证平台其它内容其它内容 安全机制安全机制其它数据传其它数据传输加密输加密主机入侵主机入侵 检测

34、体系检测体系数据存储数据存储 安全体系安全体系安全体系全面整合和控管安全体系全面整合和控管国际或国内安全认证国际或国内安全认证价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整

35、理课件本期目标：搭建我司安全防御大厦框架怎么做？怎么做？HowHow谁做？谁做？WhoWho什么时候做？什么时候做？WhenWhen做什么？做什么？WhatWhatWhat is the BaseWhatWhatWhatWhatWhatWhat价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件 做什么？做什么？WhatWhat这三项，是业界标杆用重金构建起来、用成功实践证明了的安全大厦的“脊梁”安全“大厦”的脊梁是什么？公司安全大厦坚固的基石是什么？公司安全大厦坚固的基石是什么？WhatWhatWhatWhatWhat

36、What建立信息建立信息安全文件体系安全文件体系框架框架建立公司信息建立公司信息安全组织安全组织架构架构建立初级的建立初级的管理与技术支撑体系管理与技术支撑体系价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件建立并落实公司信息安全文件体系框架建立并落实公司信息安全文件体系框架 基于IPD的文件架构标准，确定公司信息安全类文件体系架构 确定各层文件内容框架及编撰的责任部门12确立公司信息安全纲领性文件设计并签发同洲信息安全管理手册3建立公司安全策略被执行的确保机制设计并签发同洲信息安全奖惩管理规定安全文件体系架构安全文

37、件体系架构安全纲领性文件安全纲领性文件安全基准奖惩制度安全基准奖惩制度价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件建立公司信息安全组织架构公司信息安全监管委员会公司信息安全监管委员会信息安全部信息安全部（全球信息安全管理办公室（全球信息安全管理办公室）网络安全部网络安全部物业行政管理部物业行政管理部各各大大部部门门信信管管办办各各子子公公司司信信管管办办各各部部门门信信息息安安全全专专员员团团队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处公司公司CIO 业界最佳实践标杆安全组织架构B

38、R&ITBR&IT信息安全部是公司安全组织的信息安全部是公司安全组织的“行业领导行业领导”机构，虚线安全层级的行政领导关系机构，虚线安全层级的行政领导关系和人事关系在原部门体系和人事关系在原部门体系对照分析价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件技术监控技术监控管理监控管理监控技技术术监监控控管管理理监监控控建立初级的管理与技术支撑体系建立并运作建立并运作各业务体系各业务体系日常安全检日常安全检查机制查机制加固物理安全优化加固物理安全优化及监督机制及监督机制部署内网部署内网行为监控行为监控系统系统部署电子部署

39、电子文档安全文档安全管理系统管理系统初步的技术系统与安全管理流程配合，治本！初步的技术系统与安全管理流程配合，治本！ 如果还不改变事后如果还不改变事后“救火救火”的治标方式，公司早晚要被玩完！的治标方式，公司早晚要被玩完！明确明确IT IT网络网络体系、体系、IT IT应应用体系风用体系风险评估与险评估与控制机制控制机制价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件知道了“大厦”的各要素后，怎么做出来呢？高层支持、全员参与、有效协作、定期高层支持、全员参与、有效协作、定期检查、独立审计、周期性评估与优化，检查、独立

40、审计、周期性评估与优化，是公司安全大厦坚固的基石！是公司安全大厦坚固的基石！安安全全件件体体系系框框架架安安全全组组织织架架构构管管理理与与技技术术支支撑撑体体系系建立基础：签发建立基础：签发同洲信息安全管理手册同洲信息安全管理手册，建立安全，建立安全文件体系架构；建立贯穿上下的公司信息安全组织，明文件体系架构；建立贯穿上下的公司信息安全组织，明确各部门及员工安全防护要求、。确各部门及员工安全防护要求、。确立各部门安全专员，与秘书体系确立各部门安全专员，与秘书体系合并，设计日常安全检查表，引导开展合并，设计日常安全检查表，引导开展日常的安全检查，并落实奖惩机制日常的安全检查，并落实奖惩机制实施

41、公司研发与非研发网络、物实施公司研发与非研发网络、物理场地的隔离理场地的隔离部署文档加密系统、内部署文档加密系统、内部入侵检测系统部入侵检测系统怎么做？怎么做？HowHow如此建立公司信息安全大厦！如此建立公司信息安全大厦！公司安全大厦逐步建立公司安全大厦逐步建立安全项目安全项目1从从零零开开始始成长着成长着成长着成长着安全项目安全项目2安全项目安全项目3安全项目安全项目n价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全体系建设项目群总揽序号序号名称名称项目目标项目目标备注备注1 12 23 34 45 5公司安

42、全组织架构搭建项目确定公司从上至下的安全组织架构体系，签发安全纲领文件确定各安全组织的职责分工及及工作汇报关系项目详细计划续后日常办公行为安全整改项目建立各业务体系安全专员组织（与公司秘书体系合并）输出安全专员工作操作指导办法输出日常安全状态监管CheckList指导专员工作，开展落实例行检查建立全员参与的安全问题反馈通道项目详细计划续后研发网络安全隔离项目定义研发业务研发物理场地与非研发各类研发网络与非研发网络隔离加固研发门禁权限项目详细计划续后公司电子文档安全内控项目部署电子文档加密系统确定公司文档密级分类及对应密级定义、确定公司各类文档密级并落实文档密级标识确定公司各类密级文档加密规则确

43、定跨部门文档获取规则项目详细计划续后公司物理场地安全优化项目协作行政中心，明确以总部为首的各地物业保安管理体系，统一明确物业安全标准和监管机制确立公司物理场地安全等级划分标准，确立配套的物理安全管理措施确立公司物理场地安全状态定期风险评估、安全监督与措施优化机制项目详细计划续后价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全项目细化介绍安全项目细化介绍安全组织架构建设项目安全组织架构建设项目( (以及以及BR&ITBR&IT信息安全部人力薄弱问题解决信息安全部人力薄弱问题解决) )研发网络安全隔离项目研发网络安全

44、隔离项目物理场地安全优化项目物理场地安全优化项目日常办公安全状态监管与优化项目日常办公安全状态监管与优化项目电子文档加密保护项目电子文档加密保护项目价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件组织架构组织架构公司安全组织架构问题解决方案对应职责对应职责 1.安全行业领导关系;2.下级机构落实上级机构的策略; 3.上级机构对下级机构 的安全工作，有绩效考评结果的建议权总裁办全体人员组成，审批公司重大安全策略、方案等，提供决策支持总裁办全体人员组成，审批公司重大安全策略、方案等，提供决策支持日常工作中，代表安全监管委

45、员会行使职责，提供决策支持日常工作中，代表安全监管委员会行使职责，提供决策支持负责公司信息安全管理体系负责公司信息安全管理体系(ISMS)(ISMS)的维护与建设；牵头规划或制定公司安全策的维护与建设；牵头规划或制定公司安全策略、方案、制度、标准等；导各业务部门开展周期性风险评估；安全项目规划略、方案、制度、标准等；导各业务部门开展周期性风险评估；安全项目规划与实施；日常安全监管；安全事故调查处理与实施；日常安全监管；安全事故调查处理物业行政管理部：物业行政管理部：物理安全方面策略的落地，具体安全制度的细化与控制措施周期性评估优化公司各项安全要求在本部门的落地与日常检查监管；公司安公司各项安全

46、要求在本部门的落地与日常检查监管；公司安全项目在本部门的宣传与推行；协助参与与本部门员工有关全项目在本部门的宣传与推行；协助参与与本部门员工有关的安全事件调查与处理的安全事件调查与处理IT IT网络及应用维护部门：网络及应用维护部门：公司网络安全方面策略的细化和落地，具体网络安全制度、流程的制定与周期性评估优化价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件公司信息安全部人力薄弱的解决方案公司信息安全部人力薄弱的解决方案部门间的责任躲避或者推委 1.1.负责公司信息安全管理体系负责公司信息安全管理体系(ISMS)(I

47、SMS)的维护与建设；的维护与建设；2.2.牵头规划或制定公司安全策略、方案、制度、标准等；牵头规划或制定公司安全策略、方案、制度、标准等；3.3.引导各业务部门开展周期性风险评估；引导各业务部门开展周期性风险评估；4 4。安全项目规划与实施；。安全项目规划与实施；5 5。日常安全监管；。日常安全监管；6 6。安全事故调查处理。安全事故调查处理繁重的任务繁重的任务薄弱的人力：一个安全专业人员+一名新大学生重重的问题和障碍员工单薄的安全责任意识薄弱的安全支撑技术设施BR&IT信息安全部信息安全部安安全全制制度度设设计计小小组组安安全全技技术术架架构构小小组组安安全全系系统统开开发发维维护护小小组

48、组安安全全审审计计小小组组现状现状 充分利用现有部门人力资源，确定4名合适的兼职人员，在安全主 管的指导下，分解“安全制度制定、安全技术架构、安全系统维护、日常安全审计” 四个方面工作，提高安全各层面兼顾及防护效率；同时，时刻关注引进有专业经验的人才价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件研发网络安全隔离项目细化介绍研发网络安全隔离项目细化介绍价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件内内部部网网控制台控制台研研发发网网非非研

49、研发发网网安全安全VPNVPN分支机构防火墙分支机构防火墙数据中心数据中心IDS交换机流量镜像监控引擎监控引擎ERP文件共享E-mail分支机构分支机构入侵检测入侵检测WEB监控监控邮件监控邮件监控MSN监控监控文件传输监控文件传输监控会话监控会话监控服务器监控服务器监控安全安全VPNVPN外外部部网网DMZDMZ区区远远端端用用户户研发、非研发网络隔离方案top图OA及其他系统价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件内内部部网网研研发发网网非非研研发发网网安全安全VPNVPN分支机构防火墙分支机构防火墙数据

50、中心数据中心交换机ERP文件共享E-mail分支机构分支机构控制台控制台IDS流量镜像监控引擎监控引擎入侵检测入侵检测WEB监控监控邮件监控邮件监控MSN监控监控文件传输监控文件传输监控会话监控会话监控服务器监控服务器监控安全安全VPNVPN外外部部网网DMZDMZ区区远远端端用用户户隔离方案top图解析OA及其他系统内、外入侵行为监管隔离梳理研发与非研发网络安全梳理服务器区域此部分目前没有，建设增加价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件物理场地安全优化项目细化介绍物理场地安全优化项目细化介绍价值观：客户第

51、一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件物理安全物理安全整改策略整改策略公司物理安全隐患整改策略各类不同业务性质、不同安全等级要求的人员在一起办公，隐患控制难度大，怎么办？怎么办？确定公司物理场地确定公司物理场地安全等级划分标准安全等级划分标准1结合实际场地情况，落实划分结合实际场地情况，落实划分公司不同安全等级的物理区域公司不同安全等级的物理区域2对不同安全等级的物理区域，对不同安全等级的物理区域，部署配套的安全控制措施部署配套的安全控制措施比如研发区域、高层办公区域等场地加固访问控制措施3价值观：客户第一 | 阳光沟通

52、 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件我司物理安全防护方案总部总部4、5楼隔离成研发办公区域，与楼隔离成研发办公区域，与6楼楼高层办公室等区域，安全控制级别最高高层办公室等区域，安全控制级别最高设计更为严密的安全例行检查设计更为严密的安全例行检查CheckList并开展周期性日常安全检查。并开展周期性日常安全检查。物理安全具体方案物理安全具体方案在最高级被安全区域，增设身份认证在最高级被安全区域，增设身份认证设备和保安岗；高层配置指纹鼠标设备和保安岗；高层配置指纹鼠标关闭研发办公区所有关闭研发办公区所有USB口。口。重要办公场地出入口，

53、增设工卡有效重要办公场地出入口，增设工卡有效性识别设备和保安岗。性识别设备和保安岗。研发区总部大楼总部大楼4 4、5 5层层总部大楼总部大楼6 6层层重要办公室评估基地及各地办公场地的安全等级，参评估基地及各地办公场地的安全等级，参照实施配套的物理安全防护措施。照实施配套的物理安全防护措施。价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件日常安全状态检查与监管项目细化介绍日常安全状态检查与监管项目细化介绍价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真

54、责任整理课件 秘书之“秘”，在于有效保证公司的“秘密”信息为支撑其所在部门及公司的业务高效运作服务。 秘书体系，天然就是信息安全管理体系的有机组成部分！秘书体系，天然就是信息安全管理体系的有机组成部分！日常安全状态检查与监管实施方案安全专业人员与秘书体系之间、秘书体系与所在部门各业务之间，加强日常工作的充分沟通与商讨，实施安全控制措施秘秘书书安安全全职职责责部门日常安全状况检查部门日常安全状况检查部门安全问题反馈部门安全问题反馈部门安全问题跟踪与解决部门安全问题跟踪与解决价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课

55、件去年已汇报并通过审批立项，具体项目去年已汇报并通过审批立项，具体项目CharterCharter电子文档安全系统项目电子文档安全系统项目价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件电子文档安全系统实施方案电子文档安全系统实施方案vs直接购买加密系统直接购买加密系统与供应商定制开发方式提供与供应商定制开发方式提供总体成本总体成本.后期系统升级与维护后期系统升级与维护.业务衔接度业务衔接度.公司未来安全系统升级客观需求公司未来安全系统升级客观需求.国家政策资金扶持国家政策资金扶持.文档加密系统定制合作开发实施方案收

56、益分析报告文档加密系统定制合作开发实施方案收益分析报告结论：以结论：以“合作定制开发合作定制开发”为优先攻关选择供应商；为优先攻关选择供应商；如果不行再退其次，选择如果不行再退其次，选择“直接购买加密系统直接购买加密系统”价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件公司信息安全管理体系（公司信息安全管理体系（ISMSISMS）安全项目群开展进度计划安全项目群开展进度计划价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件安全项目群的各项目范

57、围公司安全组织架构公司安全组织架构搭建项目搭建项目确定公司安全组织架构、各组织职责确定公司安全文件体系架构、设计输出基础基础性安全文件设计公司安全状态监管与优化情况评估的会议机制，确保公司安全运作有序可控1日常安全状态检查日常安全状态检查与监管项目与监管项目设计输出公司各部门、业务公用的日常安全监管检查表内容模板CheckList根据秘书体系建设项目组的需要，提供有效的配合工作设计输出部门安全工作开展培训课件，培训秘书成员，推动各部门秘书安全工作的开展2研发网络安全隔离研发网络安全隔离项目项目规划设计输出公司研发隔离网络架构方案图设计适合公司业务运作的研发物理安全方案规划部署支撑研发网络安全隔

58、离的技术防御系统研发人员与非研发人员办公场地隔离3公司电子文档安全公司电子文档安全内控项目内控项目确定公司电子文档密级划分标准，落地公司各类电子文档的密级标识工作调研分析公司电子文档流转情况，分析输出适合公司业务和安全需求的各类文件加密标准部署文档加密服务器系统，完成各电脑终端加密客户端的安装提供配套支撑研发网络隔离实施工作4公司物理环境安全公司物理环境安全优化项目优化项目确定公司办公场地安全等级划分标准基于办公场地的安全等级标准，优化落实各场地的安全控制措施建立各办公场地安全状态定期评估与优化的会议机制5价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简

59、单重用检查并行勇气反馈认真责任整理课件公司安全组织公司安全组织架构搭建项目架构搭建项目项目群实施总体进度计划15301515151515151530303030303030日常安全状态日常安全状态检查与监管项检查与监管项公司电子文档公司电子文档安全内控项目安全内控项目研发网络安研发网络安全隔离项目全隔离项目公司物理环境公司物理环境安全优化项目安全优化项目12345项项目目成成功功完完成成文档安全项目成果为重要支撑环节，其关闭后试运行一个月，研发网络隔离项目关闭文档安全项目成果为重要支撑环节，其关闭后试运行一个月，研发网络隔离项目关闭4 安全组织架构项目项项目目成成功功完完成成1例行维护与优化例

60、行维护与优化项项目目成成功功完完成成配合秘书体系建设项目，部分工作进度视情况作调整2例行维护与优化例行维护与优化物理环境安全优化项目项项目目成成功功完完成成5例行维护与优化例行维护与优化电子文档安全项目项项目目成成功功完完成成3例行维护与优化例行维护与优化价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件WBSWBS分解计划分解计划详细信息双击此文件展开详细信息双击此文件展开价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则：尊重简单重用检查并行勇气反馈认真责任整理课件甘特图甘特图价值观：