某大型集团信息安全管理体系优化咨询项目P

2年10月甲方集团

信息安全管理体系优化咨询项目

信息安全建设规划报告©2012DD华永会计师事务所有限公司版权所有

保留一切权利2报告目录信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入附件信息安全建设方案内容说明信息安全需求细部说明信息安全建设工作任务绩效指标其他补充信息安全建设需求分析3信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入甲方集团信息安全现况调研基准：

ISO27001:2013信息安全管理国际标准4供应商关系Ch1.适用范围(Scope)CH4.组织环境(ContextofOrganization)Ch2.规范性引用标准(Normativereferences)

Ch3.术语与定义(Termsanddefinitions)Ch5.领导力(Leadership)

Ch6.规划(Planning)Ch7.支持(Support)Ch8.

运行(Operation)控制域与控制措施信息安全方针信息安全组织人力资源安全资产管理访问控制加密物理与环境安全操作安全通信安全系统获取、开发与维护A.5A.6A.7A.8A.9A.11A.12A.13A.14A.15Ch9.绩效评估(Performanceevaluation)Ch10.

改进(Improvement)A.10信息安全事件管理A.16业务连续性管理A.17合规性A.18`信息安全方针信息安全组织人力资源安全资产管理访问控制加密物理与环境安全合规性业务连续性管理的信息安全层面信息安全事件管理供应商关系系统获取、开发及维护通信安全操作安全信息安全管理制度ISO

27001:2013是目前国际上公认的信息安全管理标准，它指引公司对于信息安全的议题，应该关注14个信息安全管理域，对于信息安全的管理才完整信息安全的范畴：

对应ISO27001:2013的14个信息安全管理域5内部人员/单位第三方服务厂商人员聘雇解雇绩效管理人力资源调研顾客信息市场区隔营销知识产权外包服务转包第三方会计预算企业资源计划财务合约

诉讼法务信息管理流程信息消费勘察客户关系管理销售商品研发运营战略研发客户信息个人身份信息客服运营流程财务系统客户关系管理系统…电销系统POS系统人力资源系统应用系统数据库数据仓库文件服务器……数据存储网络基础架构网络办公大楼(风火水电)物理环境人员安全业务数据安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全资产管理访问控制加密物理与环境安全操作安全信息安全方针系统获取开发与维护合规性信息安全事件管理业务连续性管理通信安全甲方集团在ISO27001:2013的14个信息安全管理域

的管理成熟度现况6初始级可重复级已定义级已管理级

可优化级

*目前14个信息安全管理域中，共有10个域在初始级或是可重复级业务数据安全人员安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全物理与环境安全资产管理(终端)访问控制加密操作安全通信安全(网络)系统获取、开发与维护信息安全事件管理信息安全方针业务连续性管理合规性项目团队透过调研活动所反馈到的信息安全主要发现事项

-依信息安全管理域分类7业务数据安全人员安全信息系统安全物理环境安全供应商关系信息安全组织人力资源安全物理与环境安全资产管理(终端)访问控制加密操作安全通信安全(网络)系统获取、开发与维护信息安全事件管理信息安全方针业务连续性管理合规性[集团]2个[SBU]3个[集团]1个[SBU]2个[集团]5个[SBU]3个[集团]5个[SBU]9个[SBU]13个[SBU]2个[SBU]3个[集团]3个[SBU]2个[集团]2个[SBU]10个[集团]6个[SBU]26个*本次调研汇整共97个主要发现事项，是指未符合ISO27001:2013的相关要求依据现况调研结果及分析，归纳出甲方集团的

七个主要信息安全管理问题

8Q7目前对于终端设备的管控薄弱，终端设备可能成为集团数据丢失的渠道或外部入侵的跳板资产管理(终端)Q6部分利润中心在网络层面的安全防御程度不足，在面对内部或外部网络攻击时可能影响到集团层次通信安全Q5信息系统及数据在开发与运维阶段，尚有许多安全控制需要强化及落实，才能保证系统安全运作系统获取、开发与维护Q4信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化信息安全事件管理业务连续性管理Q3系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险访问控制Q1集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分人力资源安全信息安全组织Q2以等保为核心的合规压力加重，加上内部信息安全管理标准不清，造成部分安全工作执行未到位合規性信息安全方针Q3访问控制Q4事件应变/灾备Q6网络管控Q7终端管控Q5应用系统安全根本原因归纳：由于安全权责不清，加上信息安全标准落实不彰，进而衍生出其他执行层面的问题(Q3~Q7)9Q2标准/合规Q1组织权责DD建议先厘清信息安全权责边界，并且建立完整的信息安全标准内容，再透过设定实施改善计划，逐一改善执行面的其他问题组织面管理面技术面信息安全建设蓝图规划10信息安全建设需求分析信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入信息安全建设目标梳理11信息安全建设目标信息安全管理现况问题管理目标：规范信息安全管理，合理控制信息安全风险，支持信息化战略目标的实现Q7.终端管控Q1.组织权责Q2.标准/合规Q3.人员管控Q5.应用系统安全Q6.网络管控Q4.事件应变/灾备信息安全建设目标：降低信息安全现况问题所带来的安全风险及对业务运营的影响，并可持续改善及落实控制的有效性信息安全建设蓝图规划12信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入12345671234567P1.组织权责整改方案13对于信息安全需求的细部说明，请参考附件2

项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q1集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分P1.组织权责整改方案梳理集团与利润中心信息安全责任边界O1.信息安全职责分工设计信息安全管控模式界定集团与利润中心安全责任梳理信息系统生命周期中建设、运维、用户及安全人员的角色责任O1.信息安全职责分工定义信息系统生命周期信息安全工作角色权责：按“集团信息安全标准”中的人员职责分工，划清工作边界设置信息安全组织O2.信息安全管理组织设置信息安全管理组织：各单位按“办法”要求，成立信息安全组织，并配备信息安全专职人员；指定各部室的信息安全接口人员配备信息安全专职人员O3.信息安全管理员定期更新信息安全体系运维任务栏表定义信息安全管理员工作职能设置信息安全管理员梳理集团与利润中心信息安全责任边界O1.信息安全职责分工设计信息安全管控模式界定集团与利润中心安全责任1234567P1.组织权责整改方案–信息安全责任边界(管理层)14信息安全执行组信息安全决策委员会利润中心集团信息安全管理委员会信息安全专职人员基础设施管理员应用管理员终端管理团队管理层执行层管理层：1、确定和细化通用性安全标准2、为管理范围的安全建设配备资源3、对利润中心进行信息安全绩效考核（考核标准，依每年安全建设任务确定）管理层：1、确定和细化行业特定安全标准2、为管理范围内的安全建设配备资源3、可对下属企业进行信息安全绩效考核集团规划通用性安全标准，并考核利润中心实施状况利润中心建立特定安全标准，并考核下属企业实施状况集团（信息部）：充当裁判员，制定集团通用性安全标准利润中心管理层：充当裁判员，制定个性化安全标准(如银行、电力、燃气等)1234567P1.组织权责整改方案–信息安全责任边界（执行层）15数据中心场地核心网操作系统中间件应用存储数据库利润中心个性系统办公场地/服务器机房接入网传统终端终端互联网智能终端内部人员供应商和外部人员服务器机房核心网操作系统中间件应用存储数据库集团共性与个性系统办公场地/服务器机房接入网传统终端终端互联网智能终端内部人员供应商和外部人员利润中心集团个性系统部分移交集团统一运维目前管理边界个性化安全标准：各单位充当运动员：落实解决方案信息系统与基础设施：配合网络集中，广域网络统一出口，广域网络由集团集中管理。放入新一代数据中心的应用系统技术类建设模式，集团以工作协同的方式，依服务目录提供服务与参考方案。各单位按性价比决定采用哪种方案利润中心仍需负责未放入新一代数据中心的应用系统相关信息环境、局域网及终端的技术类建设工作。通用性安全标准：集团（润联）充当运动员：落实解决方案信息系统与基础设施：集团作为服务方，以服务目录的方向，向各单位提供集团的统一方案各单位需要协同集团的方案对于托管在集团的个性系统，个性化要求如在服务目录中，可以由集团落实集团可充当教练员，以服务目录的方式，向各单位提供集团的统一方案1234567架构师P1.组织权责整改方案–信息安全责任边界

（执行层按项目生命周期）16项目生命周期设计阶段立项阶段定义阶段实现阶段交付阶段运维阶段废弃阶段项目组应用系统管理员安全专职人员主责人员应用、中间件、数据库、操作系统、网络的安全检查应用安全运维应用系统废弃数据库安全设计中间件安全设计操作系统安全设计网络安全设计应用系统安全需求分析应用系统安全方案设计应用系统开发测试安全/商业软件选型应用安全部署应用系统安全方案设计1234567深化、细化现有管理规范满足新技术发展的需求P1.组织权责整改方案–各单位建立信息安全管理组织持续推动17信息安全决策委员会信息安全执行组信息安全组织信息安全管理委员会信息安全专职人员各系统的信息安全管理员各部室信息安全联络员人数由各单位根据本行业的业务特点、业务规模、信息系统的数量和复杂度等因素确定。由各系统管理员兼任。由部室领导指定核心骨干人员担任。信息安全组织：要求集团和各单位建立信息安全组织管理框架，以启动和控制组织范围内的信息安全实施和运行。1234567P2.标准/合规整改方案18对于信息安全需求的细部说明，请参考附件2

项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q2以等保为核心的合规压力加重，加上内部信息安全管理标准不清，造成部分安全工作执行未到位P2.标准/合规整改方案实施信息安全规范培训与意识宣贯M3.培训与宣贯定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯建立通用性的信息安全标准与基线M1.信息安全标准建立信息安全管理办法：进行通用性的信息安全标准制定定期审阅与更新信息安全管理办法实施信息系统等级保护M2.信息系统等级保护实施信息系统安全等级保护定级实施信息系统安全等级保护备案实施信息系统安全等级保护安全建设整改实施信息安全规范培训与意识宣贯M3.培训与宣贯定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯1234567P2.标准与合规整改方案-建立通用性的信息安全标准与基线19甲方（集团）有限公司信息安全管理办法甲方（集团）有限公司信息安全标准信息系统安全管控要求信息资产管理人力资源安全供应商和外部人员管理信息安全事件管理合规性管理业务连续性管理数据存储备份应用系统安全要求数据库安全要求中间件安全要求操作系统安全要求网络安全要求物理安全要求终端安全要求附录：IT设备安全基线要求操作系统安全基线要求Web中间件安全基线要求数据库系统安全基线要求网络设备安全基线要求信息系统安全组织与职责信息安全组织对外合作与沟通信息安全角色与职责：信息系统：人员管理：终端1234567P2.标准与合规整改方案-实施信息系统等级保护201234567系统识别与描述等级确定定级保护对象框架建立选择和调整安全措施安全规划与方案设计安全措施实施等级评估符合等级保护要求？规划与设计运行监控与改进符合等级保护要求？是否实施、等级评估与改进否是2015年底前集团总部与利润中心完成等保定级与备案。2016年底前集团总部与利润中心针对等保三级以上系统需完成整改与等保测评。P3.人员管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q3系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险P3.人员管控整改方案信息系统帐号权限审阅纳入人员调离岗作业M4.人员安全管理签署人员保密协议:职前背景调查、保密协议定期实施人员信息系统帐户与权限复核：职前、职中、职后定期实施LDAP与个性系统帐号权限审阅T4.操作系统安全实施LDAP与个性系统帐号权限针对未经授权或异常账号进行删除或停用21对于信息安全需求的细部说明，请参考附件2

1234567P3.人员管控整改方案–信息系统帐号权限审阅221234567用人部门确定任用人员到岗确认帐号权限人员调岗人员离岗人力资源部门发布到岗通知发布调岗通知发布离岗通知信息管理部门接收到岗通知确认帐号权限移除帐号权限HR系统LDAP开立帐号设置帐号/权限调整人员属性停用帐号/权限与HR系统同步与HR系统同步与HR系统同步与LDAP介接之个性系统与LDAP同步与LDAP同步与LDAP同步未与LDAP介接之个性系统开立帐号设置帐号/权限停用帐号/权限发布调岗通知确认帐号权限是否调整帐号权限审核调整帐号权限与LDAP同步调整帐号/权限帐号权限审核P4.事件应变/灾备整改方案–总览项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q4信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化P4.事件应变/灾备整改方案实施信息系统安全日志集中留存M6.信息安全事件管理信息系统及基础设施安全日志异地留存至数据中心SIEM平台实施信息系统安全日志事件分析M6.信息安全事件管理定期检视SIEM平台安全事件建立SIEM平台安全监控策略建立紧急联系清单及通报程序:包含信息安全事件报告、应急处理和原因调查建立信息资产分级与管控机制M5.信息资产管理定期实施信息资产分级管理：信息资产登记定期实施信息系统安全风险评估：进行定期信息安全检查和加固方案制定或更新信息系统应急预案M7.业务连续性与灾备定期审阅与更新信息系统灾备方案定期审阅与更新信息系统应急预案建立业务连续性计画(BCP)：包含同城灾备中心建设规划/异地灾备中心建设规划实施信息系统应急预案演练M7.业务连续性与灾备定期实施信息系统应急预案23对于信息安全需求的细部说明，请参考附件2

1234567P4.事件应变/灾备整改方案–信息系统安全日志集中留存与分析24远程管理即时监控告警进阶事件分析事件管理介面信息安全知识库SIEM控制台信息系统漏洞通报信息安全事件通报外部资源事件关联平台收集器事件管理系统信息资产管理系统报表系统信息安全事件响应平台电子邮件短信告警系统SIEM管理後台SIEM平台数据库信息安全设备服务器网络设备信息系统信息安全管理员安全组HTTPS/HTTPSMSSMTP集团总部利润中心配合新一代数据中心建成，信息系统集中於新一代数据中心代管，信息系统安全日志留存由集团统一规划、统一建设，信息系统安全日志事件分析由集团集中处理与告警，利润中心负责事件响应、处理与通报123456725P4.事件应变/灾备整改方案–制定或更新信息系统应急预案1234567业务复原优先级业务所需资源演练情境执行回复之程序业务冲击分析RTO复原时间目标风险评估威胁种类备份策略RPO数据回复目标业务所需最小资源资产造成损害之机率信息系统应急预案系统复原优先级系统所需之软硬件资源系统回复之程序系统备份策略信息系统灾备需考虑软硬件可能之建置时间依应急预案回复程序执行演练P5.应用系统安全整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q5信息系统及数据在开发与运维阶段，尚有许多安全控制需要强化及落实，才能保证系统安全运作P5.应用系统安全整改方案建立覆盖信息系统生命周期的信息安全标准与基线M1.信息安全标准建立共通性的信息安全标准与基线：银行、资产、电力、医药等单位进行个性化信息安全标准制定定期审阅与更新信息安全管理办法建立信息资产分级与管控机制M5.信息资产管理定期实施信息资产分级管理：信息资产登记定期检视与调整信息资产分级定期实施系统帐号审阅T4.操作系统安全实施个性系统帐号审阅针对未经授权或异常账号进行删除或停用实施数据脱敏机制T3.数据库/中间件安全评估数据脱敏实施需求强化测试环境安全管控建立测试模拟数据或数据脱敏工具定期实施信息信息系统安全检测T2.应用系统安全定期实施信息系统安全检测定期实施信息系统整改方案26对于信息安全需求的细部说明，请参考附件2

1234567P5.应用系统安全整改方案–信息系统生命周期的安全管理工作27信息系统生命周期设计阶段实现阶段定义阶段立项阶段废弃阶段运维阶段项目组/应用管理员基础设施管理团队数据库安全设计安全需求调研和定义开发测试安全商业软件安全选型应用安全部署安全方案设计应用安全运维应用安全废弃数据存储备份数据库管理员数据库安全部署数据库安全运维数据库安全回收存储备份管理员中间件管理员操作系统管理员网络管理员场地管理员中间件安全设计中间件安全部署中间件安全运维中间件安全回收操作系统安全设计操作系统安全部署操作系统安全运维操作系统安全废弃网络安全设计网络安全建设网络安全运维网络设备安全废弃场地安全设计场地安全建设场地安全运维信息安全专职人员安全方案协同设计或评审上线前安全检查定期安全检查介质消磁安全事件发现与处理存储备份系统配置数据存储备份方案设计数据安全废弃场地安全废弃1234567P6.网络管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q6部分利润中心在网络层面的安全防御程度不足，在面对内部或外部网络攻击时可能影响到集团层次

P6.网络管控整改方案建置外网新一代防火墙或入侵防御系统T5.网络安全建设外网新一代防火墙或入侵防御系统布署终端防病毒软件T6.终端安全实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新布署终端数据防泄漏T6.终端安全实施终端安全整改，实现终端数据防泄漏安装全覆盖，至少包含外设管控、硬盘加密等定期实施终端系统漏洞检测T6.终端安全定期实施终端系统漏洞检测定期实施终端系统补丁更新建置内网新一代防火墙T5.网络安全评估内网网络传输管道安全风险实现内网与下属公司各网络端口新一代防火墙全覆盖实施生产网络与办公网络区隔T5.网络安全评估生产网络与办公网络传输管道安全风险实现生产网络与办公网络端口网关全覆盖28对于信息安全需求的细部说明，请参考附件2

1234567P6.网络管控整改方案–利润中心内网新一代防火墙29利润中心下属公司互联网出口集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司局域网利润中心下属公司仍保有独立对外互联网者，利润中心需评估利润中心与下属公司间的网络传输需求。如利润中心与下属公司仍需通过网络传输数据或使用利润中心系统，利润中心需建设内网新一代防火墙。集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网现况问题整改方案病毒恶意软件APT病毒恶意软件APT1234567P6.网络管控整改方案–生产网络与办公网络区隔30集团互联网集中出口数据中心局域网利润中心局域网如利润中心自行运维的个性系统为面向客户提供服务、行业监管要求需区隔生产网络与办公网络及与生产制造相关系统者，利润中心需评估办公网络与生产网络间的网络传输需求，并实施生产网络与办公网络区隔。生产网络与办公网络区隔需采用防火墙划分，生产网络与办公网络间的访问控制需依梳理结果设置於防火墙。集团互联网集中出口数据中心局域网利润中心局域网办公网络现况问题整改方案病毒恶意软件APT办公设备生产系统扩散生产网络病毒恶意软件APT1234567集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网P6.网络管控整改方案–终端防病毒软件31现况问题整改方案病毒恶意软件APT集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司互联网出口利润中心下属公司局域网病毒恶意软件APT

区域功能需求集中管控功能单机版本免费软件利润中心总部VXX利润中心下属公司VXX利润中心下属公司外点(门店或营销网点)视需选用VX1234567P6.网络管控整改方案–数据防泄漏32集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司办公环境现况问题设备丢失U磐云盘共享集团互联网集中出口数据中心局域网利润中心局域网利润中心下属公司办公环境整改方案硬盘加密外设管控上网管理文档审计文档加密1234567P7.终端管控整改方案项次信息安全现况问题对应建设方案安全需求对应工作任务主要工作内容Q7目前对于终端设备的管控薄弱，终端设备可能成为集团数据丢失的渠道或外部入侵的跳板P7.终端管控整改方案移除用户本地权限T6.终端安全评估终端用户使用行为要求终端用户需加入域管控收回用户本地最高权限强制启用智能终端安全配置T6.终端安全实施智能终端安全解决方案设计智能终端管理准则加入用户智能终端与生效设计终端数据备份方案T1.数据安全评估终端数据备份解决方案终端数据解决方案建置实施实施内网网络准入T5.网络安全建立内网网络准入解决方案盘点内网网络使用资源内网网络准入管控生效建立用户终端安全配置基线T6.终端安全定期实施终端安全检测定期实施终端安全整改:实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新终端用户权限调整（由本地管理员权限调为普通用户权限）硬盘加密，防止终端丢失时产生数据泄露对智能终端存储的业务数据加密存储，在终端丢失时，可以远程安全擦除业务数据(MDM)33对于信息安全需求的细部说明，请参考附件2

1234567P7.终端管控整改方案–移除用户本地权限34通过用户本地最大权限现况问题整改方案域管理配置防病毒软件预设安全配置未授权软件变更系统配置防止用户端强制加入域并移除用户本地最大权限域管理配置防病毒软件预设安全配置未授权软件变更系统配置用户本地环境数据中心局域网用户本地环境数据中心局域网禁止禁止移除安装病毒恶意软件APT破坏病毒恶意软件APT

1234567P7.终端管控整改方案–智能终端强制启用安全配置35现况问题集团互联网出口数据中心局域网服务器智能手机平板电脑推信丢失恶意软件窥探配合网络集中，广域网络统一出口，由集团总部集中管理。配合新一代数据中心建成，信息系统集中於新一代数据中心代管，智能终端存取配置由集团总部统一规划、统一建设。丢失恶意软件窥探

集团互联网出口数据中心局域网服务器智能手机平板电脑推信整改方案强制设置开机密码启用远程数据清除不符合的设备禁止取存服务推信1234567P7.终端管控整改方案–实施内网网络准入36现况问题整改方案集团互联网出口数据中心局域网办公环境网络办公环境未安装防病毒软件未加入域未安装补丁未安装防病毒软件未加入域未安装补丁集团互联网出口数据中心局域网办公环境网络办公环境

配合网络集中，广域网络统一出口，由集团总部集中管理。配合新一代数据中心建成，信息系统集中於新一代数据中心代管，内网网络准入方案由集团总部统一规划、统一建设。在新一代数据中心建成前的过渡期间，利润中心仍需评估更新或新增内网网络准入方案。实施网络准入，禁止不符合规定的设备使用集团网络1234567P7.终端管控整改方案–终端数据备份方案37现况问题整改方案集团互联网出口数据中心局域网办公环境网络办公环境部门自行架设网盘U盘集团互联网出口数据中心局域网办公环境网络办公环境丢失毁损部门自行架设网盘U盘

终端数据备份方案丢失毁损1234567信息安全现况问题、建设方案与工作任务对应38Q1Q2Q3Q4Q5Q6Q7P7.终端管控整改方案P1.标准/合规整改方案P2.组织权责整改方案P3.人员管控整改方案P5.应用系统安全整改方案P6.网络管控整改方案P4.事件应变/灾备整改方案T6.终端安全T1.数据安全T5.网络安全M1.信息安全标准M2.信息系统等级保护M3.培训与宣贯O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员M4.人员安全管理T4.操作系统安全M5.信息资产管理T3.数据库/中间件安全M6.信息安全事件管理M7.业务连续性与灾备T2.应用系统安全组织管理技术问题建设方案建设方案工作任务信息安全建设方案总览(续)39M7、业务连续性与灾备管理O2、信息安全管理组织组织技术M2、信息系统等级保护M6、信息安全事件管理M3、培训与宣贯M1、信息安全标准M5、信息资产管理O3、信息安全管理员O1、信息安全职责分工T3、数据库/中间件安全T5、终端安全T2、应用系统安全T4、操作系统安全T1、数据安全T6、网络安全M4、人员安全管理P7.终端管控整改方案P1.标准/合规整改方案P2.组织权责整改方案P3.人员管控整改方案P5.应用系统安全整改方案P6.网络管控整改方案P4.事件应变/灾备整改方案信息安全建设目标：降低信息安全现况问题所带来的安全风险及对业务运营的影响，并可持续改善及落实控制的有效性信息安全建设蓝图规划40信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入梳理信息安全建设路径规划原则41不需要额外投入、投入较少的安全要求先实施；人员安全管理：保密协议、培训、安全知识宣贯；终端用户权限改为普通用户权限，减少病毒危害（通过AD策略实现）终端补丁管理：架设补丁服务器，或通过互联网直接升级；优先实施最基础的、紧迫度高的安全要求先实施：发生过安全事件的：终端防病毒U盘等外设控制网络准入网络攻击检测有利于发现和避免重大安全事件的：开启系统审计日志（个别系统日志审计未开启或日志保存时间过短）安全检查和整改评估计算原则：类别人力需求预算需求复杂度迫切性比重10%30%20%40%说明人力投入需求分为三级。<1分最高>预算投入需求分为三级。<1分最高>方案执行复杂度分为三级。<1分最高>方案实施迫切性分为三级。<3分最高>梳理信息安全建设路径规划原则(续)42数据应用系统数据库/中间件操作系统接入网络场地基础设施终端互联网个性系统办公环境核心网络数据应用系统数据库/中间件操作系统接入网络场地基础设施终端核心网络互联网个性协同办公环境数据应用系统数据库/中间件操作系统接入网络场地基础设施终端核心网络互联网共性系统办公环境场地基础设施场地基础设施场地基础设施利润中心机房数据中心机房数据中心机房信息系统类型终端地点应用系统与基础设施信息系统地点终端互联网应用系统数据库/中间件操作系统核心网络场地基础设施互联网大运维服务机房信息安全建設方案優先序分析人力需求10%<1分最高>预算需求30%<1分最高>复杂度20%<1分最高>迫切性40%<3分最高>总分优先序P1.组织权责整改方案33132.61P2.标准/合规整改方案23132.52P3.人员管控整改方案13222.25P4.事件应变/灾备整改方案32322.34P5.应用系统整改方案21221.77P6.网络管控整改方案32222.16P7.终端管控整改方案32232.5343确立信息安全演进路线44第三方单位内部人员实施层面：继续推广，扩大推广范围，各单位将种子单位的经验在本单位内推广，推广的下属企业数量达80%以上效果要求：推广单位的信息安全成熟度达到3级水平建设规划阶段（14年底）体系试点阶段（2015-2016）体系推广阶段（2017-2020）管理边界：确定集团与利润中心信息安全管理边界标准与规划：设计通用性信息安全标准,制定信息安全建设规划,并完成对各单位信息管理部门的宣贯组织建设：各单位建议安全组织、配备信息安全专职人员标准：个别单位依监管要求，制定个性化安全标准实施层面：落实“基础级”的安全要求，解决最紧迫度高的安全问题，特别是发生过安全事件的如终端防病毒、U盘控制、网络攻击检测，及不需要额外投入的安全要求，如保密协议，安全培训、开启系统审计日志、安全检查和加固落实策略：各单位在本单位选择1-2种子单位进行试点落实实施层面：继续推广落实信息安全标准与基线的安全要求；落实策略：各单位将种子单位的经验在本单位内推广，推广的下属企业数量达40%-50%；效果要求：推广单位的信息安全成熟度达到3级水平2016年底2018年底2014年底2020年底信息安全建设蓝图规划45信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入开展信息安全建设工作蓝图年度试点阶段推广阶段201520162017201820192020建设方案Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4P1.组织权责整改方案P2.标准/合规整改方案P3.人员管控整改方案P4.事件应变/灾备整改方案P5.应用系统整改方案P6.网络管控整改方案P7.终端管控整改方案建立组织各单位持续落实建立标准持续落实集团试点与布建集团试点实施与推广集团实施各单位持续落实集团推广与方案优化各单位按需实施制定标准细化安全标准与落实46目前针对P1与P2建设方案，己经由DD与甲方集团项目成员共同完成设计工作，将于后面章节细部说明开展信息安全建设工作蓝图–

设计信息安全建设实施路线(集团总部)47建设方案工作任务201520162017201820192020P1.组织权责整改方案O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员P2.标准/合规整改方案M3.培训与宣贯

M1.信息安全标准M2.信息系统等级保护P3.人员管控整改方案M4.人员安全管理

T4.操作系统安全

P4.事件应变与灾备整改方案M6.信息安全事件管理M5.信息资产管理M7.业务连续性与灾备P5.应用系统安全整改方案M1.信息安全标准

M5.信息资产管理T4.操作系统安全T3.数据库/中间件安全

T2.应用系统安全

P6.网络管控整改方案T6.网络安全T5.终端安全

P7.终端安全整改方案T5.终端安全

T1.数据安全

T6.网络安全

开展信息安全建设工作蓝图–

设计信息安全建设实施路线(利润中心)48建设方案工作任务201520162017201820192020P1.组织权责整改方案O1.信息安全职责分工O2.信息安全管理组织O3.信息安全管理员P2.标准/合规整改方案M3.培训与宣贯

M1.信息安全标准M2.信息系统等级保护P3.人员管控整改方案M4.人员安全管理

T4.操作系统安全

P4.事件应变与灾备整改方案M6.信息安全事件管理M5.信息资产管理M7.业务连续性与灾备P5.应用系统安全整改方案M1.信息安全标准

M5.信息资产管理T4.操作系统安全T3.数据库/中间件安全

T2.应用系统安全

P6.网络管控整改方案T6.网络安全T5.终端安全

P7.终端安全整改方案T5.终端安全

T1.数据安全

T6.网络安全

信息安全建设方案说明49信息安全建设需求分析信息安全现况问题信息安全发展趋势信息安全建设需求汇整信息安全建设蓝图规划信息安全建设目标梳理信息安全建设工作汇整梳理建设工作实施排序开展信息安全建设工作蓝图信息安全建设方案设计成果说明开展信息安全建设蓝图开展信息安全建设工作蓝图梳理建设工作实施排序信息安全建设工作汇整信息安全建设目标梳理信息安全建设需求分析信息安全建设需求汇整信息安全现况问题信息安全发展趋势输入开展信息安全建设方案输入P1.组织权责整改方案-信息安全管理什么？50着重于业务层面的数据保密与数据质量如：数据保密数据质量….保密管理部门业务部门着重于人员职前职中职后的要求如：聘雇前背景调查保密协议离职前回收…人力资源管理部门着重于信息系统生命周期安全管控如：场地基础设施安全IT基础设施安全应用系统安全…信息管理部门着重于物理环境安全之管控如：物理门禁管控外部人员访问…..物理环境管理部门管理范畴负责单位集团信息安全内容业务数据安全人力资源安全信息系统安全物理环境安全透过四个领域：业务数据安全、人力资源安全、信息系统安全、物理环境安全的强化，确保信息安全管理目标实现，并降低潜在风险立项定义设计实现运维废弃用户供应商建设方运维方P1.组织权责整改方案–信息系统安全的管理对象51数据应用系统数据库/中间件操作系统网络场地基础设施智能终端笔记本台式机P1.组织权责整改方案-信息安全体系框架52ISO27001:2013信息安全管理国际标准最佳实务甲方集团信息治理框架人员安全管理数据安全管理应用系统安全管理数据库/中间件安全管理操作系统安全管理终端安全管理场地基础设施安全管理网络安全管理行业监管信息安全合规遵循信息安全绩效评价与内部评审信息安全组织/管控模式信息安全事件管理信息系统的业务连续性管理供应商安全管理信息安全管理标准/基线信息安全管理框架人员安全管理数据安全管理应用系统安全管理数据库/中间件安全管理操作系统安全管理终端安全管理场地基础设施安全管理网络安全管理行业监管信息安全合规遵循信息安全绩效评价与内部评审信息安全组织/管控模式信息安全事件管理信息系统的业务连续性管理供应商安全管理信息安全管理标准/基线P1.组织权责整改方案-管理层工作边界53信息安全执行组信息安全决策委员会利润中心集团信息安全管理委员会信息安全专职人员基础设施管理员应用管理员终端管理团队管理层执行层管理层：1、确定和细化通用性安全标准2、为管理范围的安全建设配备资源3、对利润中心进行信息安全绩效考核（考核标准，依每年安全建设任务确定）管理层：1、确定和细化行业特定安全标准2、为管理范围内的安全建设配备资源3、可对下属企业进行信息安全绩效考核集团规划通用性安全标准，并考核利润中心实施状况利润中心建立特定安全标准，并考核下属企业实施状况集团（信息部）：充当裁判员，制定集团通用性安全要求利润中心管理层：充当裁判员，制定个性化标准(如银行、电力、燃气等)P1.组织权责整改方案

-执行层工作边界（集团执行层）54数据中心场地核心网操作系统中间件应用存储数据库L3、L4类系统办公场地/服务器机房接入网传统终端终端互联网智能终端内部人员供应商和外部人员服务器机房核心网操作系统中间件应用存储数据库L1、L2类系统办公场地/服务器机房接入网传统终端终端互联网智能终端内部人员供应商和外部人员利润中心集团L3、L4类系统部分移交集团统一运维目前管理边界未来管理边界集团以工作协同的方式，提供参考方案各单位按性价比决定采用哪种方案集团充当教练员，以服务目录的方式，向各单位提供集团的统一方案通用性安全标准：集团（润联）充当运动员：落实解决方案集团作为服务方，以服务目录的方式，向各单位提供集团的统一方案各单位需要协同集团的方案P1.组织权责整改方案

-执行层工作边界（利润中心执行层）55数据中心场地核心网操作系统中间件应用存储数据库L3、L4类系统办公场地/服务器机房接入网传统终端终端互联网智能终端内部人员供应商和外部人员服务器机房核心网操作系统中间件应用存储数据库L1、L2类系统办公场地/服务器机房接入网传统终端终端互联网智能终端内部人员供应商和外部人员利润中心集团L3、L4类系统部分移交集团统一运维目前管理边界未来管理边界对于托管在集团的系统，个性化要求如在服务目录中，可以由集团落实个性化安全标准：各单位自己充当运动员落实P2.标准与合规整改方案-信息安全标准设计思路56ISO27001:2013信息安全管理国际标准最佳实务行业监管部门要求信息系统等级保护信息安全标准信息安全工作领域P2.标准与合规整改方案-信息安全标准框架57甲方（集团）有限公司信息安全管理办法信息系统安全管控要求信息资产管理人力资源安全供应商和外部人员管理信息安全事件管理合规性管理业务连续性管理甲方（集团）有限公司信息安全标准数据存储备份应用系统安全要求数据库安全要求中间件安全要求操作系统安全要求网络安全要求物理安全要求终端安全要求附录：IT设备安全基线要求操作系统安全基线要求Web中间件安全基线要求数据库系统安全基线要求网络设备安全基线要求信息系统安全组织与职责信息安全组织对外合作与沟通信息安全角色与职责：信息系统：人员管理：终端P2.标准与合规整改方案

–信息安全标准覆盖项目全生命周期、各对象层面58项目生命周期设计阶段实现阶段定义阶段立项阶段废弃阶段运维阶段项目组/应用管理员基础设施管理团队数据库安全设计安全需求调研和定义开发测试安全商业软件安全选型应用安全部署安全方案设计应用安全运维应用安全废弃数据存储备份数据库管理员数据库安全部署数据库安全运维数据库安全回收存储备份管理员中间件管理员操作系统管理员网络管理员场地管理员中间件安全设计中间件安全部署中间件安全运维中间件安全回收操作系统安全设计操作系统安全部署操作系统安全运维操作系统安全废弃网络安全设计网络安全建设网络安全运维网络设备安全废弃场地安全设计场地安全建设场地安全运维信息安全专职人员安全方案协同设计或评审上线前安全检查定期安全检查介质消磁安全事件发现与处理存储备份系统配置数据存储备份方案设计数据安全废弃场地安全废弃P2.标准与合规整改方案

–信息安全标准要求控制措施（示例）控制措施：也称控制活动，包括管理控制活动和技术控制活动；实施时间点：控制活动实施的最佳时期；启动条件：触发控制措施实施的前提条件；技术方法：在控制措施实施过程中所使用的各种技术性方法，如漏洞扫描、QoS等；执行人：执行控制措施的主责部门或人员；工作步骤：工作步骤是指某项控制措施从启动到完成，所必须经过的技术环节或过程，不包括管理环节（如审批）；完成标准：控制措施完成的标志；输入：控制措施执行时需要遵循的信息安全要求；输出：控制措施执行的成果5960谢谢！

61附件1

-信息安全需求细部说明信息安全需求细部说明编号信息安全现况问题安全需求细部说明后续强划建议备注Q1以等保为核心的合规压力加重，加上内部信息安全管理标准不清，造成部分安全工作执行未到位实施信息安全规范培训与意识宣贯执行信息安全培训，强化人员对于安全的认知定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯建立通用性的信息安全标准与基线建立通用性信息安全标准供集团使用建立信息安全管理办法：进行通用性的信息安全标准制定定期审阅与更新信息安全管理办法

实施信息系统等级保护落实等保规定实施信息系统安全等级保护定级实施信息系统安全等级保护备案实施系统安全等级保护安全建设整改62信息安全需求细部说明(续)编号信息安全现况问题安全需求细部说明后续强划建议备注Q2集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分梳理集团与利润中心信息安全责任边界厘清集团与利润中心在信息安全的管理边界设计信息安全管控模式界定集团与利润中心安全责任梳理信息系统生命周期中建设、运维、用户及安全人员角色责任配合信息系统生命周期明订安全人员权责定义信息系统生命周期信息安全工作角色权责：按“集团信息安全标准”中的人员职责分工，划清工作边界设置信息安全组织建立信息安全组织、选派人员与运作设置信息安全管理组织：各单位按“办法”要求，成立信息安全组织，并配备信息安全专职人员；指定各部室的信息安全接口人员配备信息安全专职人员配置专职人员执行信息安全工作定期更新信息安全体系运维任务栏表定义信息安全管理员工作职能设置信息安全管理员63信息安全需求细部说明(续)编号信息安全现况问题安全需求细部说明后续强划建议备注Q3系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险信息系统帐号权限审阅纳入人员调离岗作业强化人员调离岗与账号的同步连动签署人员保密协议:职前背景调查、保密协议定期实施人员信息系统帐户与权限复核：职前、职中、职后定期实施LDAP与个性系统帐号权限审阅建立账号定期审阅，减少异常账号被利用的机率实施LDAP与个性系统帐号权限针对未经授权或异常账号进行删除或停用64信息安全需求细部说明(续)编号信息安全现况问题安全需求细部说明后续强划建议备注Q4信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化实施信息系统安全日志集中留存。保护系统安全日志的完整性及不可否认性信息系统及基础设施安全日志异地留存至数据中心SIEM平台实施信息系统安全日志事件分析。针对系统安全日志进行分析，以便于极早发现异常定期检视SIEM平台安全事件建立SIEM平台安全监控策略建立紧急联系清单及通报程序:包含信息安全事件报告、应急处理和原因调查建立信息资产分级与管控机制。建立信息资产分级与定期检查机制定期实施信息资产分级管理：信息资产登记定期实施信息系统安全风险评估：进行定期信息安全检查和加固方案制定或更新信息系统应急预案。强化信息系统对于重大灾害发生时的复员能力定期审阅与更新信息系统灾备方案定期审阅与更新信息系统应急预案建立业务连续性计画(BCP)：包含同城灾备中心建设规划/异地灾备中心建设规划实施信息系统应急预案演练。强化同仁对于应急预案的熟悉程度定期实施信息系统应急预案65信息安全需求细部说明(续)编号信息安全现况问题安全需求细部说明后续强划建议备注Q5信息系统及数据在开发与运维阶段，尚有许多安全控制需要强化及落实，才能保证系统安全运作建立覆盖信息系统生命周期的信息安全标准与基线建立通用性信息安全标准供集团使用建立共通性的信息安全标准与基线定期审阅与更新信息安全管理办法建立信息资产分级与管控机制。建立信息资产分级与定期检查机制定期实施信息资产分级管理：信息资产登记定期实施信息系统安全风险评估：进行定期信息安全检查和加固方案定期实施系统帐号权限审阅。建立账号定期审阅，减少异常账号被利用的机率实施个性系统帐号权限审阅针对未经授权或异常账号进行删除或停用实施数据脱敏机制。对于测试环境内不应存在正式机敏数据评估数据脱敏实施需求建立测试模拟数据或数据脱敏工具定期实施信息系统安全检测。定期对于信息系统进行检测确认安全防御程度定期实施信息系统安全检测定期实施信息系统整改方案66信息安全需求细部说明(续)编号信息安全现况问题安全需求细部说明后续强划建议备注Q6部分利润中心在网络层面的安全防御程度不足，在面对内部或外部网络攻击时可能影响到集团层次

建置外网新一代防火墙或入侵防御系统。强化对于外部网络攻击的防御程度建设外网新一代防火墙或入侵防御系统。布署终端防病毒软件。强化终端设备对于病毒或恶意软件的防御程度实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新布署终端数据防泄漏。强化终端设备防御程度实施终端安全整改，实现终端数据防泄漏安装全覆盖，至少包含外设管控、硬盘加密等定期实施终端系统漏洞检测。确认终端系统防御强度定期实施终端系统漏洞检测定期实施终端系统补丁更新建置内网新一代防火墙。强化对于内部网络攻击的防御程度评估内网网络传输管道安全风险实现内网与下属公司各网络端口新一代防火墙全覆盖实施生产网络与办公网络区隔。透过网络区隔，避免网络损害迅速扩大，能够先将损失控制在某一个区域评估生产网络与办公网络传输管道安全风险实现生产网络与办公网络端口网关全覆盖67信息安全需求细部说明(续)编号信息安全现况问题安全需求细部说明后续强划建议备注Q7目前对于终端设备的管控薄弱，终端设备可能成为集团数据丢失的渠道或外部入侵的跳板移除用户本地权限移除收回用户本地最高权限，降为用户权力，如有特殊需要另外开放与管理评估终端用户使用行为要求终端用户需加入域管控收回用户本地最高权限强制启用智能终端安全配置透过解决方案有效管理智能终端设定及使用行为，同时保护放在智能终端中的业务数据实施智能终端安全解决方案对智能终端存储的业务数据加密存储，在终端丢失时，可以远程安全擦除业务数据(MDM)设计终端数据方案建立完整的数据备份及使用机制，同时禁止同仁使用其他有风险的数据传输管道(如U盘、云端网碟)评估终端数据备份解决方案终端数据解决方案建置实施实施内网网络准入确保仅有通过申请的设备才能够连入内部网络，管控内网安全建立内网网络准入解决方案盘点内网网络使用资源内网网络准入管控生效建立用户终端安全配置基线强化终端设备的自身防御能力，包含防毒侦测、笔记本硬盘加密定期实施终端安全检测定期实施终端安全整改:实现终端防病毒软件安装全覆盖，并及时更新病毒库到最新硬盘加密，防止终端丢失时产生数据泄露6869附件2

-信息安全建设方案內容说明P1.组织权责整改方案编号工作任务主要工作任务内容活动类别规划开始日期规划结束日期集团责任利润中心责任备注O1信息安全职责分工设计信息安全管控模式界定集团与利润中心安全责任项目性工作2015/Q12015/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)O1信息安全职责分工定义信息系统生命周期信息安全工作角色权责：按“集团信息安全标准”中的人员职责分工，划清工作边界日常性工作2015/Q12015/Q4定义权责(P)落实规定(D)进行检核(C)落实规定(D)进行改善(A)集团与利润中心需要共同执行O2信息安全管理组织设置信息安全管理组织：各单位按“办法”要求，成立信息安全组织，并配备信息安全专职人员；指定各部室的信息安全接口人员日常性工作2015/Q12015/Q4建立规范(P)进行检核(C)建立组织(D)进行改善(A)集团已完成规范建立O3信息安全管理员定期更新信息安全体系运维任务栏表定义信息安全管理员工作职能设置信息安全管理员项目性工作2015/Q12015/Q4定义职能(P)设置人员(D)设置人员(D)整体方案规划时程预估投入成本对业务单位潜在风险预防程度约12个月低度投入，仅需内部人力成本低度，但属于基本的安全管控问题1:集团与利润中心的信息安全责任边界不清楚，部分安全工作与责任切分也未清楚划分*细部执行方式请参照<<甲方（集团）公司信息安全管理办法>>、<<甲方（集团）公司信息安全标准>>具体内容70P1P1P2P3P4P5P6P7完成P2.标准与合规整改方案编号工作任务主要工作任务内容活动类别规划开始日期规划结束日期集团责任利润中心责任备注M3培训与宣贯定期办理信息安全管理员职能培训定期办理在岗人员信息安全知识宣贯定期办理新进人员信息安全意识宣贯日常性工作2015/Q12015/Q4建立规范(P)办理培训(D)进行检核(C)办理培训(D)M1信息安全标准建立信息安全管理办法：进行通用性的信息安全标准制定定期审阅与更新信息安全管理办法日常性工作2015/Q12016/Q4建立办法(P)落实规定(D)定期审阅(C)更新规定(A)细化办法(P)落实规定(D)定期审阅(C)更新规定(A)集团已完成规范建立M2信息系统等级保护实施信息系统安全等级保护定级实施信息系统安全等级保护备案实施信息系统安全等级保护安全建设整改日常性工作2015/Q12015/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)整体方案规划时程预估投入成本对业务单位潜在风险预防程度约24个月低度投入，仅需内部人力成本低度，但属于基本的安全管控问题2:以等保为核心的合规压力加重，加上内部信息安全管理标准不清，造成部分安全工作执行未到位*细部执行方式请参照<<甲方（集团）公司信息安全管理办法>>、<<甲方（集团）公司信息安全标准>>具体内容71P1P1P2P2P3P4P5P6P7完成P3.人员管控整改方案72编号工作任务主要工作任务内容活动类别规划开始日期规划结束日期集团责任利润中心责任备注M4人员安全管理签署人员保密协议:职前背景调查、保密协议定期实施人员信息系统帐户与权限复核：职前、职中、职后日常性工作2015/Q12015/Q4建立规范(P)落实管控(D)进行检核(C)落实管控(D)T4操作系统安全实施LDAP与个性系统帐号权限针对未经授权或异常账号进行删除或停用日常性工作2015/Q12015/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)整体方案规划时程预估投入成本对业务单位潜在风险预防程度约12个月低度投入，仅需内部人力成本高度，能降低业务单位遭受攻击之机率问题3:系统账号管理未覆盖全账号生命周期，许多安全控制仍未被制定与落实，信息系统面临不当取存的风险P1P1P2P2P3P3P4P4P5P6P7*细部执行方式请参照<<甲方（集团）公司信息安全管理办法>>、<<甲方（集团）公司信息安全标准>>具体内容P4.事件应变/灾备整改方案编号工作任务主要工作任务内容活动类别规划开始日期规划结束日期集团责任利润中心责任备注M6信息安全事件管理信息系统及基础设施安全日志异地留存至数据中心SIEM平台项目性工作2015/Q12016/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)M6信息安全事件管理定期检视SIEM平台安全事件建立SIEM平台安全监控策略建立紧急联系清单及通报程序:包含信息安全事件报告、应急处理和原因调查日常性工作2015/Q32016/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)按利润中心需求实施M5信息资产管理定期实施信息资产分级管理：信息资产登记定期实施信息系统安全风险评估：进行定期信息安全检查和加固方案日常性工作2015/Q12016/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)利润中心可采购集团的服务，或采购第三方的服务整体方案规划时程预估投入成本对业务单位潜在风险预防程度约24个月中度投入，可能添购解决方案中度，能够降低重大事件所带来之冲击*细部执行方式请参照<<甲方（集团）公司信息安全管理办法>>、<<甲方（集团）公司信息安全标准>>具体内容问题4:信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化73P1P1P2P2P3P3P4P4P5P6P7P4.事件应变/灾备整改方案(续)编号工作任务主要工作任务内容活动类别规划开始日期规划结束日期集团责任利润中心责任备注M7业务连续性与灾备定期审阅与更新信息系统灾备方案定期审阅与更新信息系统应急预案建立业务连续性计画(BCP)：包含同城灾备中心建设规划/异地灾备中心建设规划日常性工作2015/Q12016/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)M7业务连续性与灾备定期实施信息系统应急预案日常性工作2015/Q12016/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)整体方案规划时程预估投入成本对业务单位潜在风险预防程度约24个月中度投入，可能添购解决方案中度，能够降低重大事件所带来之冲击*细部执行方式请参照<<甲方（集团）公司信息安全管理办法>>、<<甲方（集团）公司信息安全标准>>具体内容问题4:信息系统缺乏审计纪录，人员不易快速排除异常，且发生重要系统中断服务时的复原能力需强化74P1P1P2P2P3P3P4P4P5P6P7P5.应用系统安全整改方案编号工作任务主要工作任务内容活动类别规划开始日期规划结束日期集团责任利润中心责任备注M1信息安全标准建立共通性的信息安全标准与基线：银行、资产、电力、医药等单位进行个性化信息安全标准制定定期审阅与更新信息安全管理办法日常性工作2015/Q12016/Q4建立办法(P)落实规定(D)定期审阅(C)更新规定(A)细化办法(P)落实规定(D)定期审阅(C)更新规定(A)集团已完成规范建立M5信息资产管理定期实施信息资产分级管理：信息资产登记定期实施信息系统安全风险评估：进行定期信息安全检查和加固方案日常性工作2015/Q12016/Q4建立规范(P)落实管控(D)进行检核(C)落实管控(D)利润中心可采购集团或采购第三方的服务T4操作系统安全实施个性系统帐号权限审阅针对未经授权或异常账号进行删除或停用日常性工作2015/Q12015/Q4建立规范(P)落实规范(D)进行检核(C)落实规范(D)整体方案规划时程预估