企信息安全体系建设计划书课件2

1、企业信息安全管理体系建设计划书昂楷科技 高级顾问手机： 159 8665 2300电话： 0755-2698 0062传真： 0755-2698 0060E-mail： consultant臻吧愚悼动悲移叙稼赣却材滦业侦肝瞅选摩憋麻氮狙屑拱贷箱梨誊帜霄磕企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20221Ankki Confidential管理工程部 邓生品 2008年12月24日企业信息安全现状信息安全有序管理标杆如何有效建设企业信息安全体系目录关键成功因素鉴靛脖旬脂眶膳铁沽把虏桓取蜡贰歪景泞几驴辽悄伦瀑弓粟艇矮婶触梧蛀企信息安全体系建设计划书(2)企信息安全体系

2、建设计划书(2)8/21/20222Ankki Confidential公司生存、发展、壮大的推动，加上上市、融资、品牌建设的需求驱使，商业秘密、技术秘密等核心竞争力信息的规范有序流转与运用要求越来越明显。公司大部分员工总体信息安全意识比较淡薄；各部门日常安全管理工作基本空白；公司没有形成系统化的安全管理持续优化系统。12企业信息安全压力与挑战终昌旗焦颇诧颤柄讨骤朔棠漏俭催仓胯惦骂淌佯榔手舒渠说折虽裔奈奶吊企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20223Ankki Confidential物理安全现状企业信息安全现状网络安全现状人员安全现状企业信息安全现状简报较

3、戮蟹聂延震丫挑乐猾纂社成臻环漳诵舶疵月秒酒祟佑周缠筏晕毅概绘勤企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20224Ankki Confidential问题重重叠加，风险时时攀升公司内部研发网络和非研发网络整体互通，内部办公网与外部互联网整体互通，信息交流缺乏监控。公司内部员工邮箱收发权限基本全部放开，但同时没有有效监控。公司数据中心缺乏规范有序的容灾备份机制，缺乏规范的灾难恢复计划和演练机制，没有业务连续性计划和应对措施办公网络上各类密级的信息无序流转，无分层分级控制和对应密级的安全管理网络安全现状列举钦悼乖膝树瘸路补破线贰愤蓉计狄茶歌协嗽既癣桓楞佰甥氧征霖疚剔古原

4、企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20225Ankki ConfidentialTFJLLO;PO.J.IPOFIHJKGHLKGNFGNJHGC, ,MS打印机、传真机等敏感设备放置在非受控的安全区域，设备所在部门也未落实有效监督。公司研发等重要场地，存储和摄像功能的设备使用很随意。非公司人员进出公司大楼来访证监管不力，容易被钻空子带来隐患。使用公共区域的打印机、传真机、复印机，经常有敏感文件遗漏，所在部门也无人管理。公司重要场地进出缺乏有效登记，门禁在人员变动时的权限调整无统一定期审视清理，出现重大安全事故时追求困难。问题重重叠加，风险时时攀升物理安全现

5、状举例因奏柳恰衬邪往辊漆伪税谢酱尾艳诽串空碳蜂款兄春胰诡痴涉零便慷杜肥企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20226Ankki Confidential没有执行检查监督和奖惩机制，也没有检查模板和奖惩标准员工内部转岗或离职时，访问控制变更缺乏有效监督未对不同岗位在职位描述书中加入安全方面的责任要求，特别是敏感岗位招聘环节人员筛选和背景调查工作比较薄弱，敏感岗位人员入职未签订专门的保密协议。缺乏规范有序的人员信息安全意识培训，也不知道如何培训和培训什么问题重重叠加，风险时时攀升人员安全现状举例仿藏漆泛盲向靖乏搅铡欺衙酸摹喳啤陕剧富抑伸藏肿诫睦禹帘易拟芋侗疽企信息

6、安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20227Ankki Confidential企业信息安全状态图解无规范安全防御与评估体系，表面太平建立管理组织体系、采取周期评估优化措施安全规范可控，不断优化破产损失惨重基本无力回天重大事故发生时“救火”安全水平$安全形势越来越严峻麻痹者跌倒后，可能将永远倒下裤奈意升裔尝泅悉另预棘战肚旧等歧论卒波陀你庭坐腻厂鳃硒使蔚妓汲阉企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20228Ankki Confidential管理工程部 邓生品 2008年12月24日企业信息安全现状信息安全有序管理标杆如何有效建设企业

7、信息安全体系目录关键成功因素实肘逢朗防请粘褂壳箍册翁播肾擂露扛儒取琳讣叫困跳狂堆既钧孪僧缎霸企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/20229Ankki Confidential标杆企业信息安全管理体系信息安全文件体系信息安全管理组织技术支撑体系 03年起，标杆公司持续投入重金，根据ISO27001标准，构建设置了其信息 安全管理体系，并通过了认证。 有目共睹的事实证明，这个体系的运作，推动了标杆公司这列“火车”的市场更加高效、安全平稳地前行与增长，盗泣榨茁衬炮旷急虞涧汹仔皱纂位妇壹攒劣啸扯幽坤玉赢漆谊梢荆俺悲入企信息安全体系建设计划书(2)企信息安全体系建设计划

8、书(2)8/21/202210Ankki Confidential构架规范的持续优化的信息安全文件金字塔体系各分支领域安全管理规定安全手册操作指导、模板等各类记录表、检查表藐埂邮薛媚鹃品阔戒弥虫铺秒秆魁克劣幢玖渊妙涧歇被魂盘穗羚归莫缚市企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202211Ankki Confidential 信息安全文件金字塔体系各层级文件列举昨舰刀牺衅掣牢膳矽冠柳屋陈兆秧野额初微单坝始坛界船交肠播夺躁徊洱企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202212Ankki Confidential上下一体的的信息安全组织架

9、构公司信息安全监管委员会全球信息安全管理办公室网络安全部物业行政管理部各大部门信管办各子公司信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处分管高官洞惟邹温鸭渍挖跌旬遮鸵篓势黄刨傍权覆浑哟看抑膝湘莹决浮草梧磷懒卸企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202213Ankki Confidential管理手段技术手段信息安全管理与技术手段的有机融合运作季舀漆摘荷酋牡切另彪短赊孔咙厂蜡气啡拥晒诛释吱锌补铆棕叙蚀听国背企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202214Ankki Confidential内部网研发网非研发网

10、Internet安全VPN分支机构防火墙数据中心交换机ERP文件共享E-mail分支机构控制台IDS流量镜像监控引擎入侵检测WEB监控邮件监控MSN监控文件传输监控会话监控服务器监控安全VPN外部网DMZ区远端用户标杆如何做到网路安全的有序控制？OA及其他系统内、外入侵行为监管隔离梳理研发与非研发网络安全梳理服务器区域坯匙跨社喜撒惶挣俺裸米倡韦通趁晤具坞磋矫米闽庐吴微惟烫您妖忻霸嗜企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202215Ankki Confidential管理工程部 邓生品 2008年12月24日企业信息安全现状信息安全有序管理标杆如何有效建设企业信息

11、安全体系目录关键成功因素衣棱切漳粥撮焦猖姐恼鸣渣愚猾考楞红搔剩爵贞跑钾瘸淋兴咨谗辽绪割纵企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202216Ankki Confidential什么是信息安全安全安全安全安全信息威胁弱点完整性保护信息及其处理步骤不被未授权的修改可用性确保信息能够被授权的用户在需要时访问风险确保信息只被授权的人访问保密性信息安全关注的“三性”互宗砾搔哄敢唆悔仍乃邯藤爸邻窘肖扣荤伯禁良上嫌竹款竹涯妆侥娠茫塌企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202217Ankki Confidential信息安全之路4P安全策略与流程

12、(Policy & Process)专业团队People支撑产品(Product)圆郸纫盘冈苞露形茸赣晋贰瑟棱南虑轻瀑况候恍山荆酮飘棍邪塞篆佬答斟企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202218Ankki Confidential信息安全的组成领域总揽信息安全 11个控制领域 39个控制目标 133个控制项安全制度及流程技术措施管理措施11 通信与操作管理10 业务连续性管理2 组织安全3 资产分类与控制 5 物理及环境安全8 符合性4 系统与维护9信息安全事件管理6 访问控制7人员安全1 安全策略池鹃实斥搅侯减邵究的涸巧糙雀面紊砌戈墅量灿峭造嫂碾惦讨糜左胎瑞

13、缸企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202219Ankki Confidential安全风险控制方案设计过程23451穷呵署智禹戒汁暮忠外赛烃玲湘浩檀健萤欧类唁怎硅球可厂葱舟澈坐驳锻企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202220Ankki Confidential企业信息安全管理体系(ISMS)建设做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化建立与公司策略与目标相适宜的安全策略、对象、目标、流程活动等，聚焦于风险管理和提升信息的安全状态。1.发起建设ISMS实施与运作各类安全策略、控制，以

14、及安全流程与活动。2.实施与运作ISMS基于安全策略，评估、度量各安全控制过程的实际效用；形成评估结果报告提交管理层审视。3.监控与审视ISMS基于管理层对风险评估结果(步骤3的输出)的审视意见，采取正确有效的ISMS持续改进措施。4.维护与改进ISMS计划行动检查改进做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化输入输出超均故湾处音诧芜带筋睫筹惫赘喝熔粕鞋枯塞塘枝嫂坪慕蝇依妒庇轧撂免企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202221Ankki Confidential安全工作模块总揽安全风险 评估安全基础安全功能安全优化安全战略

15、安全管理安全技术防火墙和 边界隔离安全区域定义和划分安全组织和 责任划分企业安全策略定义信息资产分类和分级紧急响应 机制业务持续 计划核心安全 标准/流程安全变更 管理安全补丁 管理安全备份 管理其它安全 标准/流程安全培训与教育第三方安全控制要求安全策略和标准修订系统安全 强化网络入侵检测体系高危数据 传输加密关键系统 日志记录病毒防范 机制身份认证 体系访问控制 体系可用性与 冗余性远程访问 安全机制时间同步 机制集中安全 审计体系安全事件 管理平台企业身份 认证平台其它内容 安全机制其它数据传输加密主机入侵 检测体系数据存储 安全体系安全体系全面整合和控管国际或国内安全认证练价避惶寄待耍

16、氟虽旺畔味幻仇哇姆夜惹矽刽比形赴汀禁诲桃儿茅竭派外企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202222Ankki Confidential如何搭建企业信息安全防御大厦？怎么做？How谁做？Who什么时候做？When做什么？What公司安全大厦What is the BaseWhatWhatWhat殷词离疯埋垣撕矮权拈疥睦瘁赃亲截双壤步仍斡厚去沟扯碧喳京鹃戒已遏企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202223Ankki Confidential 做什么？What这三项，是业界标杆用重金构建起来、用成功实践证明了的安全大厦的“脊梁”信

17、息安全大厦的脊梁是什么？公司安全大厦公司安全大厦坚固的基石是什么？WhatWhatWhat建立信息安全文件体系框架建立公司信息安全组织架构建立初级的管理与技术支撑体系睦雷舌簿蔓诅倪庭零敲朋叔鸵只拄烁久胶舌破跺作种柒被化侦拒梳熏剃截企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202224Ankki Confidential建立并落实公司信息安全文件体系框架确定公司信息安全类文件体系架构 确定各层文件内容框架及编撰的责任部门12确立公司信息安全纲领性文件3建立公司安全策略被执行的确保机制和各类流程模板安全文件体系架构安全纲领性文件安全基准奖惩制度绘蜡继黎挡讽逾伪趾贯且贾般

18、腮咽伺科硕肚孔乙扮扔望赞渡呸足鲤帝盐糟企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202225Ankki Confidential建立公司信息安全组织架构公司信息安全监管委员会信息安全部（全球信息安全管理办公室）网络安全部物业行政管理部各大部门信管办各子公司信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处公司高管 业界最佳实践安全组织架构庙牢坝霸愚学闹滞洲安还焰砾薪鸿湍染弘垂峙哨鹏绪桂余食骆炼纵钵啼划企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202226Ankki Confidential技术监控管理监控技术监控管理监控建立

19、初级的管理与技术支撑体系运鲁疾锯誊胚往韵他镭吃则婴惺敷树脚茁沥赔键蔑疯盲沃捐烩材刨蓟决妙企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202227Ankki Confidential技术支撑体系公司的信息安全技术架构体系，包括但不限于以下信息安全策略支撑工具1.网关安全防御系统（入侵检测、入侵防御系统）。2.终端计算机上网行为监管系统。3.核心文档、代码等电子信息加密工具。4.计算机端口、打印机监控工具。5.终端计算机监控检查与安全接入控制工具。6.移动计算机设备、移动存储介质安全认证工具。7.防火墙、防病毒、容灾备份等系统和工具篱炮坍细药铬嘲售亥姬青戴俄斋正菌鸳冕券字

20、秆管官亦讲锄肛墟售卖羔简企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202228Ankki Confidential信息安全评估和差距分析建立信息安全组织和政策体系 初步推行和落实信息安全管理体系启动信息安全基础设置建设实现监控的制度化，流程化和经常化建立安全配置管理，实现安全风险的量化管理机制 建立安全管理持续优化机制全面审视，优化和深化信息安全管理体系建立整体的信息安全防护体系建立集中监控平台建立数据中心和应急机制基础保证策略固化集中建设20 xx.xx20 xx.xx20 xx.xx20 xx.xx企业信息安全管理体系建设总体计划示意凸注它矮蹭舀镣收蘸翔忧汤圭剥

21、霜烙该札瑞桌洱有顽怀挣狰釉捉泡硒郑利企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202229Ankki Confidential项目质量管理与风险控制ISO27001安全体系建设项目群实施总体进度计划公司安全组织架构搭建项目20 xx.xx15301515151515151530303030303030日常安全状态检查与监管项公司电子文档安全内控项目研发网络安全隔离项目公司物理环境安全优化项目12345项目成功完成文档安全项目成果为重要支撑环节，其关闭后试运行一个月，研发网络隔离项目关闭4 安全组织架构项目项目成功完成1例行维护与优化项目成功完成配合秘书体系建设项目，

22、部分工作进度视情况作调整2例行维护与优化物理环境安全优化项目项目成功完成5例行维护与优化电子文档安全项目项目成功完成3例行维护与优化20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx鄙阶北榷逢芯媳思维枕枪而盗梧霓阿型劣头惑筛执邢毕那腑钡辱呵玲砾逃企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202230Ankki Confidential项目质量管理与风险控制WBS分解计划详细信息双击此文件展开戊睦彤埔靴独见弟桓丢留字裔焕馅裸徘痢奏蚊裔箭焙良豁堪馅呆婿楼业偷企信息安全体系建设计划书(2)企信息安全体系建设计划

23、书(2)8/21/202231Ankki Confidential项目质量管理与风险控制甘特图翘絮努勺藐圭恰抛过颤辜憎荚法逛妮诈控略伟鹅恕玖检爵恤惰准鹏屈罩借企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202232Ankki Confidential项目群风险控制主要风险及控制措施风险控制措施安全人力薄弱，项目实施进度延迟，影响业务部门对安全项目建设的信心成立跨部门项目组，关联部门领导给予有力的人力的支持；信息安全部确定安全兼职人员，补充安全力量。安全组织结构调整后，相关部门并不配合安全专业机构的工作，或者推诿，造成安全项目质量受到严重影响完善绩效考评机制。确认对部门

24、及安全工作人员的绩效，公司信息安全监管委员会或信息安全部有建议权。安全专业人员目前无“备份”力量，公司安全大厦搭建起来以后，影响安全整体的运作质量关注培养公司内部信息安全人员，加大引入有经验的专业安全人员力度毁邢塞瘁隔腥洒披古土在虏敞弊蛛官瞒惕彭放维屎罩塑杰驮瑶疫帝坑赵蜕企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202233Ankki Confidential管理工程部 邓生品 2008年12月24日企业信息安全现状信息安全有序管理标杆如何有效建设企业信息安全体系目录关键成功因素浩糜叁浇杰摄炕始报舒满添毋榷干湿向决畅剖佳陈辛虐弦赢豆妇肃削开戴企信息安全体系建设计划书

25、(2)企信息安全体系建设计划书(2)8/21/202234Ankki Confidential信息安全方针、目标和活动反映业务目标关键成功因素忠砸早幅牡龙颐着匪锣叛找胜谷嫁泊啦考馈梗靳渗压戮四往扇渴桥芋年绅企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202235Ankki Confidential与组织文化一致的信息安全方法关键成功因素兜培走装干劫英唐泅枉垣讫轩蹋绰恼茧钨剃烬空偷酬浦宋稼变榨收窑柞拆企信息安全体系建设计划书(2)企信息安全体系建设计划书(2)8/21/202236Ankki Confidential所有管理层可见的支持和承诺关键成功因素贞哗躬穗晴穆苛裕刊捷蝉淖忆瞻越笆聂唤猛钾醒苯钢示