企業(yè)信息安全體系建設計劃書

1、2021-5-201 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標桿信息安全有序管理標桿 如何有效建設企業(yè)信息安全體系如何有效建設企業(yè)信息安全體系 關鍵成功因素關鍵成功因素 2021-5-202 公司生存、發(fā)展、壯大的推動，加上上市、融資、品牌建 設的需求驅(qū)使，商業(yè)秘密、技術秘密等核心競爭力信息的規(guī) 范有序流轉(zhuǎn)與運用要求越來越明顯。 公司大部分員工總體信息安全意識比較淡??；各部門日常 安全管理工作基本空白；公司沒有形成系統(tǒng)化的安全管理持 續(xù)優(yōu)化系統(tǒng)。 1 2 企業(yè)信息安全壓力與挑戰(zhàn)企業(yè)信息安全壓力與挑戰(zhàn) 2021-5-203 物理安物理安 全

2、現(xiàn)狀全現(xiàn)狀 企業(yè)信息企業(yè)信息 安全現(xiàn)狀安全現(xiàn)狀 網(wǎng)絡安網(wǎng)絡安 全現(xiàn)狀全現(xiàn)狀 人員安人員安 全現(xiàn)狀全現(xiàn)狀 企業(yè)信息安全現(xiàn)狀簡報企業(yè)信息安全現(xiàn)狀簡報 2021-5-204 問題重重疊加，風險時時攀升問題重重疊加，風險時時攀升 公司內(nèi)部研發(fā)網(wǎng) 絡和非研發(fā)網(wǎng)絡 整體互通，內(nèi)部 辦公網(wǎng)與外部互 聯(lián)網(wǎng)整體互通， 信息交流缺乏監(jiān) 控。 公司內(nèi)部員工郵 箱收發(fā)權限基本 全部放開，但同 時沒有有效監(jiān)控。 公司數(shù)據(jù)中心缺 乏規(guī)范有序的容 災備份機制，缺 乏規(guī)范的災難恢 復計劃和演練機 制，沒有業(yè)務連 續(xù)性計劃和應對 措施 辦公網(wǎng)絡上各類 密級的信息無序 流轉(zhuǎn)，無分層分 級控制和對應密 級的安全管理 網(wǎng)絡安全現(xiàn)狀列

3、舉網(wǎng)絡安全現(xiàn)狀列舉 2021-5-205 n TFJLLO;PO .J.IPOFIHJK GHLKG n NFGNJHGC, ,MS 打印機、傳真 機等敏感設備 放置在非受控 的安全區(qū)域， 設備所在部門 也未落實有效 監(jiān)督。 公司研發(fā)等 重要場地， 存儲和攝像 功能的設備 使用很隨意。 非公司人員進 出公司大樓來 訪證監(jiān)管不力， 容易被鉆空子 帶來隱患。 使用公共區(qū)域 的打印機、傳 真機、復印機， 經(jīng)常有敏感文 件遺漏，所在 部門也無人管 理。 公司重要場地進 出缺乏有效登記， 門禁在人員變動 時的權限調(diào)整無 統(tǒng)一定期審視清 理，出現(xiàn)重大安 全事故時追求困 難。 問題重重疊加，風險時時攀升問題

4、重重疊加，風險時時攀升 物理安全現(xiàn)狀舉例物理安全現(xiàn)狀舉例 2021-5-206 沒有執(zhí)行檢 查監(jiān)督和獎 懲機制，也 沒有檢查模 板和獎懲標 準 員工內(nèi)部轉(zhuǎn) 崗或離職時， 訪問控制變 更缺乏有效 監(jiān)督 未對不同崗 位在職位描 述書中加入 安全方面的 責任要求， 特別是敏感 崗位 招聘環(huán)節(jié)人員 篩選和背景調(diào) 查工作比較薄 弱，敏感崗位 人員入職未簽 訂專門的保密 協(xié)議。 缺乏規(guī)范有序 的人員信息安 全意識培訓， 也不知道如何 培訓和培訓什 么 問題重重疊加，風險時時攀升問題重重疊加，風險時時攀升 人員安全現(xiàn)狀舉例人員安全現(xiàn)狀舉例 2021-5-207 企業(yè)信息安全狀態(tài)圖解企業(yè)信息安全狀態(tài)圖解 無規(guī)

5、范安全防御與無規(guī)范安全防御與 評估體系，評估體系， 表面太平表面太平 建立管理組織體建立管理組織體 系、采取周期評系、采取周期評 估優(yōu)化措施估優(yōu)化措施 安全規(guī)范可控，安全規(guī)范可控， 不斷優(yōu)化不斷優(yōu)化 破產(chǎn)破產(chǎn) 損失慘重損失慘重 基本無力回天基本無力回天 重大事故發(fā)生時重大事故發(fā)生時 “救火救火” 安全安全 水平水平 $ 安全形勢越來越嚴峻安全形勢越來越嚴峻 麻痹者跌倒后，可能將永遠倒下麻痹者跌倒后，可能將永遠倒下 2021-5-208 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標桿信息安全有序管理標桿 如何有效建設企業(yè)信息安全體系如何有效建設

6、企業(yè)信息安全體系 關鍵成功因素關鍵成功因素 2021-5-209 標桿企業(yè)信息安全管理體系標桿企業(yè)信息安全管理體系 信息安全文件體系信息安全文件體系 信息安全管理組織信息安全管理組織 技術支撐體系技術支撐體系 03年起，標桿公司持續(xù)投入重金， 根據(jù)ISO27001標準，構建設置了其信息 安全管理體系，并通過了認證。 有目共睹的事實證明，這個體系的運作， 推動了標桿公司這列“火車”的市場更加 高效、安全平穩(wěn)地前行與增長， 2021-5-2010 構架規(guī)范的持續(xù)優(yōu)化的信息安全文件金字塔體系構架規(guī)范的持續(xù)優(yōu)化的信息安全文件金字塔體系 各分支領域安全管理規(guī)定各分支領域安全管理規(guī)定 安全手冊安全手冊 操

7、作指導、模板等操作指導、模板等 各類記錄表、檢查表各類記錄表、檢查表 2021-5-2011 信息安全文件金字塔體系各層級文件列舉信息安全文件金字塔體系各層級文件列舉 2021-5-2012 上下一體的的信息安全組織架構上下一體的的信息安全組織架構 公司信息安全監(jiān)管委員會公司信息安全監(jiān)管委員會 全球信息安全管理辦公室全球信息安全管理辦公室 網(wǎng)絡安全部網(wǎng)絡安全部物業(yè)行政管理部物業(yè)行政管理部 各各 大大 部部 門門 信信 管管 辦辦 各各 子子 公公 司司 信信 管管 辦辦 各各 部部 門門 信信 息息 安安 全全 專專 員員 團團 隊隊 國國 內(nèi)內(nèi) 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 海海

8、 外外 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 分管高官分管高官 2021-5-2013 管理手段管理手段 技術手段技術手段 信息安全管理與技術手段的有機融合運作信息安全管理與技術手段的有機融合運作 2021-5-2014 內(nèi)內(nèi) 部部 網(wǎng)網(wǎng) 研研 發(fā)發(fā) 網(wǎng)網(wǎng) 非非 研研 發(fā)發(fā) 網(wǎng)網(wǎng) InternetInternet 安全安全VPNVPN 分支機構防火墻分支機構防火墻 數(shù)據(jù)中心數(shù)據(jù)中心 交換機 ERP文件共享 E-mail 分支機構分支機構 控制臺控制臺 IDS 流 量 鏡 像 監(jiān)控引擎監(jiān)控引擎 入侵檢測入侵檢測WEB監(jiān)控監(jiān)控郵件監(jiān)控郵件監(jiān)控MSN監(jiān)控監(jiān)控文件傳輸監(jiān)控文件傳輸監(jiān)控會話監(jiān)控會話監(jiān)

9、控服務器監(jiān)控服務器監(jiān)控 安全安全VPNVPN 外外 部部 網(wǎng)網(wǎng) DMZDMZ區(qū)區(qū) 遠遠 端端 用用 戶戶 標桿如何做到網(wǎng)路安全的有序控制？標桿如何做到網(wǎng)路安全的有序控制？ OA 及 其 他 系 統(tǒng) 內(nèi)、外入侵 行為監(jiān)管 隔離梳理研發(fā) 與非研發(fā)網(wǎng)絡 安全梳理服務 器區(qū)域 2021-5-2015 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標桿信息安全有序管理標桿 如何有效建設企業(yè)信息安全體系如何有效建設企業(yè)信息安全體系 關鍵成功因素關鍵成功因素 2021-5-2016 什么是信息安全 安全 安全 安 全 安 全 信息 威脅 弱點 完整性 保護信息

10、及其處理步驟保護信息及其處理步驟 不被未授權的修改不被未授權的修改 可用性 確保信息能夠被確保信息能夠被 授權的用戶授權的用戶 在需要時訪問在需要時訪問 風險 確保信息只被確保信息只被 授權的人訪問授權的人訪問 保密性 信息安全關注的信息安全關注的“三性三性” 2021-5-2017 信息安全之路4P 安全 策略與流程 (P Policy & P Process) 專業(yè)團隊 P People 支撐產(chǎn)品 (P(Product) ) 2021-5-2018 信息安全的組成領域總攬 信信 息息 安安 全全 11 11個控制領域個控制領域 3939個控制目標個控制目標 133133個控制項個控制項 安

11、全制度及流程 技術措施 管理措施 11 通信與操作管理 10 業(yè)務連 續(xù)性管理 2 組織安全 3 資產(chǎn)分類與控制 5 物理及環(huán)境安全 8 符合性 4 系統(tǒng)與維護 9信息安全事 件管理 6 訪問控制 7人員安全 1 安全策略 2021-5-2019 安全風險控制方案設計過程 23451 2021-5-2020 企業(yè)信息安全管理體系(ISMS)建設 做什么 怎么做 把計劃方案 轉(zhuǎn)化成現(xiàn)實 實際的情 況是否與 計劃一樣 得到控制 下一步 如何優(yōu)化 建立與公司策略與目標相適宜的安全建立與公司策略與目標相適宜的安全 策略、對象、目標、流程活動等，聚策略、對象、目標、流程活動等，聚 焦于風險管理和提升信息

12、的安全狀態(tài)。焦于風險管理和提升信息的安全狀態(tài)。 1.1.發(fā)起建設發(fā)起建設ISMSISMS 實施與運作各類安全策略、控制，以及安全流程與活動。實施與運作各類安全策略、控制，以及安全流程與活動。 2.2.實施與運作實施與運作ISMSISMS 基于安全策略，評估、度量各安全控基于安全策略，評估、度量各安全控 制過程的實際效用；制過程的實際效用； 形成評估結果報告提交管理層審視。形成評估結果報告提交管理層審視。 3.3.監(jiān)控與審視監(jiān)控與審視ISMSISMS 基于管理層對風險評估結果基于管理層對風險評估結果( (步驟步驟3 3的輸出的輸出) )的審視意見，采取的審視意見，采取 正確有效的正確有效的ISM

13、SISMS持續(xù)改進措施。持續(xù)改進措施。 4.4.維護與改進維護與改進ISMSISMS 計劃計劃 行動行動 檢查檢查 改進改進 做什么 怎么做 把計劃方案 轉(zhuǎn)化成現(xiàn)實 實際的情 況是否與 計劃一樣 得到控制 下一步 如何優(yōu)化 輸入輸入 輸出輸出 2021-5-2021 安全工作模塊總攬安全工作模塊總攬 安全風險安全風險 評估評估 安全基礎安全基礎 安全功能安全功能 安全優(yōu)化安全優(yōu)化 安全戰(zhàn)略安全戰(zhàn)略 安全管理安全管理安全技術安全技術 防火墻和防火墻和 邊界隔離邊界隔離 安全區(qū)域定安全區(qū)域定 義和劃分義和劃分 安全組織和安全組織和 責任劃分責任劃分 企業(yè)安全策企業(yè)安全策 略定義略定義 信息資產(chǎn)分信

14、息資產(chǎn)分 類和分級類和分級 緊急響應緊急響應 機制機制 業(yè)務持續(xù)業(yè)務持續(xù) 計劃計劃 核心安全核心安全 標準標準/流程流程 安全變更安全變更 管理管理 安全補丁安全補丁 管理管理 安全備份安全備份 管理管理 其它安全其它安全 標準標準/流程流程 安全培訓安全培訓 與教育與教育 第三方安全第三方安全 控制要求控制要求 安全策略和安全策略和 標準修訂標準修訂 系統(tǒng)安全系統(tǒng)安全 強化強化 網(wǎng)絡入侵檢網(wǎng)絡入侵檢 測體系測體系 高危數(shù)據(jù)高危數(shù)據(jù) 傳輸加密傳輸加密 關鍵系統(tǒng)關鍵系統(tǒng) 日志記錄日志記錄 病毒防范病毒防范 機制機制 身份認證身份認證 體系體系 訪問控制訪問控制 體系體系 可用性與可用性與 冗余性

15、冗余性 遠程訪問遠程訪問 安全機制安全機制 時間同步時間同步 機制機制 集中安全集中安全 審計體系審計體系 安全事件安全事件 管理平臺管理平臺 企業(yè)身份企業(yè)身份 認證平臺認證平臺 其它內(nèi)容其它內(nèi)容 安全機制安全機制 其它數(shù)據(jù)傳其它數(shù)據(jù)傳 輸加密輸加密 主機入侵主機入侵 檢測體系檢測體系 數(shù)據(jù)存儲數(shù)據(jù)存儲 安全體系安全體系 安全體系全面整合和控管安全體系全面整合和控管 國際或國內(nèi)安全認證國際或國內(nèi)安全認證 2021-5-2022 如何搭建企業(yè)信息安全防御大廈？ 怎么做？怎么做？HowHow 誰做？誰做？WhoWho 什么時候做？什么時候做？WhenWhen 做什么？做什么？WhatWhat公司安

16、全大廈 What is the Base WhatWhatWhatWhatWhatWhat 2021-5-2023 做什么？做什么？WhatWhat 這三項，是業(yè)界標桿用重金構建起來、用成功實踐 證明了的安全大廈的“脊梁” 信息安全大廈的脊梁是什么？信息安全大廈的脊梁是什么？ 公司安全大廈公司安全大廈 公司安全大廈堅固的基石是什么？公司安全大廈堅固的基石是什么？ WhatWhatWhatWhat WhatWhat 建立信息建立信息安全文件體系安全文件體系框架框架 建立公司信息建立公司信息安全組織安全組織架構架構 建立初級的建立初級的管理與技術支撐體系管理與技術支撐體系 2021-5-2024

17、建立并落實公司信息安全文件體系框架建立并落實公司信息安全文件體系框架 確定公司信息 安全類文件體系架構 確定各層文件內(nèi)容框 架及編撰的責任部門 12 確立公司信息安全綱領性文件 3 建立公司安全策略被執(zhí)行的確 保機制和各類流程模板 安全文件體系架構安全文件體系架構安全綱領性文件安全綱領性文件安全基準獎懲制度安全基準獎懲制度 2021-5-2025 建立公司信息安全組織架構 公司信息安全監(jiān)管委員會公司信息安全監(jiān)管委員會 信息安全部信息安全部 （全球信息安全管理辦公室（全球信息安全管理辦公室） 網(wǎng)絡安全部網(wǎng)絡安全部物業(yè)行政管理部物業(yè)行政管理部 各各 大大 部部 門門 信信 管管 辦辦 各各 子子

18、公公 司司 信信 管管 辦辦 各各 部部 門門 信信 息息 安安 全全 專專 員員 團團 隊隊 國國 內(nèi)內(nèi) 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 海海 外外 各各 地地 物物 業(yè)業(yè) 安安 全全 處處 公司高管公司高管 業(yè)界最佳實踐安全組織架構 2021-5-2026 技術監(jiān)控技術監(jiān)控 管理監(jiān)控管理監(jiān)控 技技 術術 監(jiān)監(jiān) 控控 管管 理理 監(jiān)監(jiān) 控控 建立初級的管理與技術支撐體系 2021-5-2027 技術支撐體系技術支撐體系 公司的信息安全技術公司的信息安全技術 架構體系，包括但不架構體系，包括但不 限于以下信息安全策限于以下信息安全策 略支撐工具略支撐工具 1.網(wǎng)關安全防御系統(tǒng)（入侵檢

19、測、入侵防御系統(tǒng)）。 2.終端計算機上網(wǎng)行為監(jiān)管系統(tǒng)。 3.核心文檔、代碼等電子信息加密工具。 4.計算機端口、打印機監(jiān)控工具。 5.終端計算機監(jiān)控檢查與安全接入控制工具。 6.移動計算機設備、移動存儲介質(zhì)安全認證工具。 7.防火墻、防病毒、容災備份等系統(tǒng)和工具 2021-5-2028 信息安全評估和差距分 析 建立信息安全組織和政 策體系 初步推行和落實信息安 全管理體系 啟動信息安全基礎設置 建設 實現(xiàn)監(jiān)控的制度化， 流程化和經(jīng)?；?建立安全配置管理， 實現(xiàn)安全風險的量化 管理機制 建立安全管理持續(xù) 優(yōu)化機制 全面審視，優(yōu)化和深 化信息安全管理體系 建立整體的信息安 全防護體系 建立集中監(jiān)

20、控平臺 建立數(shù)據(jù)中心和應 急機制 基礎保證基礎保證 策略固化策略固化 集中建設集中建設 20 xx.xx20 xx.xx20 xx.xx20 xx.xx 企業(yè)信息安全管理體系建設總體計劃示意企業(yè)信息安全管理體系建設總體計劃示意 2021-5-2029 項目質(zhì)量管理與風險控制項目質(zhì)量管理與風險控制ISO27001ISO27001安全體系建設安全體系建設 項目群實施總體進度計劃項目群實施總體進度計劃 公司安全組公司安全組 織架構搭建織架構搭建 項目項目 20 xx.xx20 xx.xx 15301515151515151530303030303030 日常安全狀態(tài)日常安全狀態(tài) 檢查與監(jiān)管項檢查與監(jiān)

21、管項 公司電子文公司電子文 檔安全內(nèi)控檔安全內(nèi)控 項目項目 研發(fā)網(wǎng)絡安研發(fā)網(wǎng)絡安 全隔離項目全隔離項目 公司物理環(huán)公司物理環(huán) 境安全優(yōu)化境安全優(yōu)化 項目項目 12345 項項 目目 成成 功功 完完 成成 文檔安全項目成果為重要支撐環(huán)節(jié)，其關閉后試運行一個月，研發(fā)網(wǎng)絡隔離項目文檔安全項目成果為重要支撐環(huán)節(jié)，其關閉后試運行一個月，研發(fā)網(wǎng)絡隔離項目 關閉關閉 4 安全組織架構項目 項項 目目 成成 功功 完完 成成 1 例行維護與優(yōu)化例行維護與優(yōu)化 項項 目目 成成 功功 完完 成成 配合秘書體系建設項目，部分工作進度視情況作調(diào)整 2 例行維護與優(yōu)化例行維護與優(yōu)化 物理環(huán)境安全優(yōu)化項目 項項 目目

22、 成成 功功 完完 成成 5 例行維護與優(yōu)化例行維護與優(yōu)化 電子文檔安全項目 項項 目目 成成 功功 完完 成成 3 例行維護與優(yōu)化例行維護與優(yōu)化 20 xx.xx20 xx.xx 20 xx.xx20 xx.xx 20 xx.xx20 xx.xx 20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx20 xx.xx 2021-5-2030 項目質(zhì)量管理與風險控制項目質(zhì)量管理與風險控制WBSWBS分解計劃分解計劃 詳細信息雙擊此文件展開詳細信息雙擊此文件展開 2021-5-2031 項目質(zhì)量管理與風險控制項目質(zhì)量管理與風險控制甘特圖甘

23、特圖 2021-5-2032 項目群風險控制項目群風險控制主要風險及控制措施主要風險及控制措施 風險風險控制措施控制措施 1.1.安全人力薄弱，項目實施進度延安全人力薄弱，項目實施進度延 遲，影響業(yè)務部門對安全項目建遲，影響業(yè)務部門對安全項目建 設的信心設的信心 1.1.成立跨部門項目組，關聯(lián)部門領成立跨部門項目組，關聯(lián)部門領 導給予有力的人力的支持；信息導給予有力的人力的支持；信息 安全部確定安全兼職人員，補充安全部確定安全兼職人員，補充 安全力量。安全力量。 2.2.安全組織結構調(diào)整后，相關部門安全組織結構調(diào)整后，相關部門 并不配合安全專業(yè)機構的工作，并不配合安全專業(yè)機構的工作， 或者推諉

24、，造成安全項目質(zhì)量受或者推諉，造成安全項目質(zhì)量受 到嚴重影響到嚴重影響 2.2.完善績效考評機制。確認對部門完善績效考評機制。確認對部門 及安全工作人員的績效，公司信及安全工作人員的績效，公司信 息安全監(jiān)管委員會或信息安全部息安全監(jiān)管委員會或信息安全部 有建議權有建議權。 3.3.安全專業(yè)人員目前無安全專業(yè)人員目前無“備份備份”力力 量，公司安全大廈搭建起來以后量，公司安全大廈搭建起來以后 ，影響安全整體的運作質(zhì)量，影響安全整體的運作質(zhì)量 3.3.關注培養(yǎng)公司內(nèi)部信息安全人員關注培養(yǎng)公司內(nèi)部信息安全人員 ，加大引入有經(jīng)驗的專業(yè)安全人，加大引入有經(jīng)驗的專業(yè)安全人 員力度員力度 2021-5-2033 管理工程部 鄧生品 2008年12月24日 企業(yè)信息安全現(xiàn)狀企業(yè)信息安全現(xiàn)狀 信息安全有序管理標桿信息安全有序管理標桿 如何有效建設企業(yè)信息安全體系如何有效建設企業(yè)信息安全體系 關鍵成功因素關鍵成功因素 2021-5-2034 信息安全方針、目標和活動反映業(yè)務目標 關鍵成功因素 2021-5-2035 與組織文化一致的信 息安全方法 關鍵成功因素 2021-5-2036 所有管理層可見的支持和承諾 關鍵成功因素 2021-5-2037 對信息安全要求、風險評估和風險管理 有好的理解 關鍵成