公司整體信息安全風(fēng)險(xiǎn)評(píng)估及工作情況匯報(bào)1課件

公司整體信息安全風(fēng)險(xiǎn)評(píng)估及工作情況匯報(bào)信息安全部2009年12月21日目錄公司當(dāng)前信息安全保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息安全現(xiàn)狀及風(fēng)險(xiǎn)分析1信息安全工作面臨的阻礙4下一步行動(dòng)計(jì)劃匯報(bào)及需要領(lǐng)導(dǎo)提供的支持研發(fā)體系全面分析公司信息安全存在問(wèn)題IT管理安全問(wèn)題研發(fā)體系職能體系IT網(wǎng)絡(luò)與終端物理環(huán)境及人員安全安全制度流程終端網(wǎng)絡(luò)數(shù)據(jù)中心安全制度流程物理環(huán)境從研發(fā)體系視角分析信息安全存在問(wèn)題——網(wǎng)絡(luò)與終端存在問(wèn)題優(yōu)化方案（現(xiàn)階段）優(yōu)化方案（未來(lái)）1.缺乏公司級(jí)統(tǒng)一備份管理機(jī)制；2.應(yīng)用層密碼設(shè)置存在隱患；3.應(yīng)用服務(wù)器日志無(wú)審計(jì)；4.存儲(chǔ)介質(zhì)的管理存在重大安全隱患；5.網(wǎng)口管理存在重大安全隱患。1.建立公司級(jí)統(tǒng)一備份管理辦法；2.優(yōu)化密碼策略，增強(qiáng)密碼復(fù)雜度；3.定期查看服務(wù)器日志并做記錄；4.對(duì)存儲(chǔ)介質(zhì)造冊(cè)管理，明確責(zé)任人。5.規(guī)范公司網(wǎng)口管理。1.實(shí)現(xiàn)公司級(jí)統(tǒng)一備份管理；2.明確職責(zé)，專(zhuān)人專(zhuān)管，定期審計(jì)；3.優(yōu)化服務(wù)器日志查看策略，并定期審計(jì)；4.引入U(xiǎn)SB監(jiān)控系統(tǒng)。從研發(fā)體系視角分析信息安全存在問(wèn)題——物理環(huán)境及人員安全存在問(wèn)題優(yōu)化方案（現(xiàn)階段）優(yōu)化方案（未來(lái)）1.研發(fā)網(wǎng)絡(luò)未實(shí)現(xiàn)真正的隔離；2.ADSL的使用存在重大安全隱患；3.員工安全意識(shí)薄弱；4.重要崗位人員背景調(diào)查。1.禁止研發(fā)人員訪(fǎng)問(wèn)外網(wǎng)；2.ADSL使用整改（按用途分類(lèi)分權(quán)管理）；3.定期培訓(xùn)；4.對(duì)重要崗位人員進(jìn)行背景調(diào)查。1.最大限度實(shí)現(xiàn)研發(fā)網(wǎng)絡(luò)隔離；2.對(duì)ADSL審計(jì)監(jiān)控并持續(xù)優(yōu)化；3.培訓(xùn)并考試，考核成績(jī)納入KPI；4.建立員工信用檔案。從研發(fā)體系視角分析信息安全存在問(wèn)題——安全制度流程存在問(wèn)題優(yōu)化方案（現(xiàn)階段）優(yōu)化方案（未來(lái)）1.信息安全相關(guān)政策未在部門(mén)落地；2.應(yīng)用服務(wù)器內(nèi)部管理無(wú)成文的制度及操作流程；3.無(wú)重要崗位操作指導(dǎo)；4.對(duì)外信息流轉(zhuǎn)無(wú)控制辦法。1.部門(mén)內(nèi)部宣貫落地信息安全相關(guān)制度并定期考試；2.對(duì)部門(mén)內(nèi)部重要應(yīng)用服務(wù)器必須制定成文的制度規(guī)范及操作流程；3.建立重要崗位操作指南；4.制定對(duì)外信息發(fā)放管理辦法。1.公司建立信息安全文件體系，并定期審核執(zhí)行情況；2.根據(jù)ISO27001建立服務(wù)器基線(xiàn)；3.建立各崗位的操作指南；4.安裝文檔加密系統(tǒng)，規(guī)范外發(fā)流程。從職能體系視角分析信息安全存在問(wèn)題存在問(wèn)題優(yōu)化方案（現(xiàn)階段）優(yōu)化方案（未來(lái)）1.員工特殊情況離職后相應(yīng)權(quán)限賬號(hào)未作及時(shí)清理；2.員工入職培訓(xùn)缺乏對(duì)信息安全的培訓(xùn)；3.績(jī)效考核未考慮信息安全因素；4.涉密部門(mén)未做好敏感信息的分級(jí)分類(lèi)管理。1.增加特殊情況離職后相應(yīng)權(quán)限賬號(hào)清理；2.增加信息安全新員工培訓(xùn)課程；3.考核成績(jī)納入KPI；4.涉密部門(mén)對(duì)內(nèi)部信息資產(chǎn)進(jìn)行分級(jí)劃分。1.定期審計(jì)離職后相應(yīng)權(quán)限賬號(hào)的清理工作；2.信息安全成績(jī)作為考核作為員工轉(zhuǎn)正的依據(jù)；3.依據(jù)公司信息安全相關(guān)要求定期檢查審計(jì)。存在問(wèn)題優(yōu)化方案（現(xiàn)階段）優(yōu)化方案（未來(lái)）1.數(shù)據(jù)中心沒(méi)有明確的管理維護(hù)制度2.數(shù)據(jù)中心對(duì)重要數(shù)據(jù)未作異地備份3.對(duì)數(shù)據(jù)未作分級(jí)分類(lèi)管理，且與開(kāi)發(fā)布部門(mén)進(jìn)行溝通確認(rèn)4、數(shù)據(jù)中心設(shè)備進(jìn)出入無(wú)規(guī)范5、數(shù)據(jù)中心未作災(zāi)難恢復(fù)測(cè)試1.制定數(shù)據(jù)中心管理維護(hù)制度及流程，明確工作流程及人員職責(zé)2.嚴(yán)格落實(shí)重要數(shù)據(jù)異地備份機(jī)制3.加強(qiáng)數(shù)據(jù)中心設(shè)備管理；4、制定整體容災(zāi)解決方案，確保數(shù)據(jù)安全1、根據(jù)標(biāo)桿企業(yè)先進(jìn)管理方法優(yōu)化部門(mén)管理2、定期審核權(quán)限，日志及記錄從IT視角分析信息安全存在問(wèn)題——數(shù)據(jù)中心目錄公司當(dāng)前信息安全保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息安全現(xiàn)狀及風(fēng)險(xiǎn)分析1信息安全工作面臨的阻礙4下一步行動(dòng)計(jì)劃匯報(bào)及需要領(lǐng)導(dǎo)提供的支持信息安全部工作ACT-改善Plan-計(jì)劃Check-檢查Do-執(zhí)行評(píng)估改善需求執(zhí)行改善工作報(bào)告執(zhí)行結(jié)果確認(rèn)目標(biāo)達(dá)成持續(xù)追蹤改善建立ISMS環(huán)境信息安全政策；信息安全目標(biāo)信息安全組織；執(zhí)行風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估；確認(rèn)控制目標(biāo)風(fēng)險(xiǎn)處理計(jì)劃執(zhí)行監(jiān)控程序風(fēng)險(xiǎn)再評(píng)估定期實(shí)施稽核績(jī)效評(píng)估建立管理文件體系建置控制方法信息安全程序文件營(yíng)運(yùn)持續(xù)運(yùn)作計(jì)劃執(zhí)行管理程序教育訓(xùn)練及宣導(dǎo)Do-研發(fā)與市場(chǎng)文檔加密需求反饋緊迫，二期增量采購(gòu)部門(mén)已進(jìn)行談判，信息安全部已做好部署方案與支持準(zhǔn)備1.解決方案部、移動(dòng)通信產(chǎn)品線(xiàn)等研發(fā)部門(mén)已多次提出，要求文檔加密支持；2.供應(yīng)鏈體系ISC變革文檔,袁總（華）專(zhuān)門(mén)組織會(huì)議研究討論，要求文檔加密系統(tǒng)支持；3.同洲大學(xué)等功能支撐部門(mén)，多次提出對(duì)顧問(wèn)咨詢(xún)材料、公司重要課件等提出加密請(qǐng)求…………有效過(guò)濾控制各類(lèi)機(jī)密信息的外傳降低法律風(fēng)險(xiǎn)，滿(mǎn)足國(guó)家法律要求Do-關(guān)鍵系統(tǒng)情況匯報(bào)：終端上網(wǎng)行為安全監(jiān)控Do-終端上網(wǎng)行為安全監(jiān)控系統(tǒng)功能解析Do-終端上網(wǎng)行為監(jiān)控系統(tǒng)上線(xiàn)，前期準(zhǔn)備工作狀況Do-USB端口、打印等管控系統(tǒng)引進(jìn)進(jìn)展Do-安全基礎(chǔ)設(shè)施引進(jìn)總體進(jìn)度時(shí)間表Do-執(zhí)行管理程序目前已建立從上至下的信息安全組織架構(gòu)，下一步將充分發(fā)揮信息安全專(zhuān)員的職能，從基層落實(shí)信息安全…目前信息安全是一個(gè)治理過(guò)程，而不是一個(gè)項(xiàng)目產(chǎn)物；現(xiàn)階段的任務(wù)是：各個(gè)部門(mén)內(nèi)部進(jìn)行自我風(fēng)險(xiǎn)評(píng)估改進(jìn)信息安全部將以ISO27001標(biāo)準(zhǔn)來(lái)持續(xù)改善公司的信息安全，對(duì)各個(gè)部門(mén)將定期不定期進(jìn)行審計(jì)，以確保信息安全的真正落實(shí)123組織推行審計(jì)IT部門(mén)風(fēng)險(xiǎn)評(píng)估Do-執(zhí)行管理程序信息安全部將以ISO27001標(biāo)準(zhǔn)來(lái)持續(xù)改善公司的信息安全，對(duì)各個(gè)部門(mén)將定期不定期進(jìn)行審計(jì)，以確保信息安全的真正落實(shí)Do-教育訓(xùn)練及宣導(dǎo)部門(mén)信息安全意識(shí)提升全員信息安全意識(shí)培育員工入職及入職后信息安全教育培訓(xùn)信息安全績(jī)效考核Do-員工入職及入職后信息安全教育培訓(xùn)Do-全員信息安全意識(shí)培育堅(jiān)持具有我司特色的信息安全意識(shí)建設(shè)——信息安全每周談，進(jìn)行專(zhuān)業(yè)安全防護(hù)專(zhuān)業(yè)知識(shí)宣講，同時(shí)進(jìn)行信息安全案例警示核心安全防護(hù)習(xí)慣時(shí)刻顯示在眼前Do-部門(mén)信息安全意識(shí)提升推動(dòng)部門(mén)開(kāi)展各類(lèi)形式的日常安全意識(shí)培育與宣講Do-信息安全績(jī)效考核KPI目錄公司當(dāng)前信息安全保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息安全現(xiàn)狀及風(fēng)險(xiǎn)分析1信息安全工作面臨的阻礙4下一步行動(dòng)計(jì)劃匯報(bào)及需要領(lǐng)導(dǎo)提供的支持信息安全工作面臨的阻礙信息安全部風(fēng)險(xiǎn)管理展開(kāi)面臨挑戰(zhàn)個(gè)別部門(mén)風(fēng)險(xiǎn)管理存在方向性錯(cuò)誤安全工作認(rèn)識(shí)存在局限安全工作認(rèn)識(shí)存在局限信息資產(chǎn)安全信息安全，人人有責(zé)Securityisaprocess，notaproduct信息安全部風(fēng)險(xiǎn)管理展開(kāi)受到挑戰(zhàn)信息安全工作部門(mén)成立時(shí)間短，權(quán)威性處于建設(shè)初期，當(dāng)前非常弱勢(shì)各部門(mén)對(duì)信息安全部的標(biāo)準(zhǔn)參照度不高信息安全部共5人，須負(fù)責(zé)制度及意識(shí)宣導(dǎo)、管控技術(shù)預(yù)研與引進(jìn)，以及各部門(mén)的協(xié)調(diào)工作等個(gè)別各部門(mén)信息安全工作基于自身的理解和要求開(kāi)展，效度有限，導(dǎo)致后期重復(fù)工作與資源浪費(fèi)業(yè)界知名標(biāo)桿企業(yè)在建立ISMS體制初期，均有第三方咨詢(xún)機(jī)構(gòu)協(xié)助進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和標(biāo)準(zhǔn)制度導(dǎo)入，我們當(dāng)前還沒(méi)有，更增加部門(mén)弱勢(shì)與工作難度各部門(mén)正在開(kāi)展部門(mén)自我風(fēng)險(xiǎn)評(píng)估，安全咨詢(xún)需求增大個(gè)別部門(mén)風(fēng)險(xiǎn)管理存在方向性錯(cuò)誤最佳實(shí)踐的風(fēng)險(xiǎn)評(píng)估過(guò)程安全專(zhuān)業(yè)人員參與，提供基于安全最佳標(biāo)準(zhǔn)、最佳實(shí)踐的指導(dǎo)被評(píng)估領(lǐng)域業(yè)務(wù)代表，進(jìn)行充分風(fēng)險(xiǎn)分析和識(shí)別安全專(zhuān)業(yè)部門(mén)匯集和分析風(fēng)險(xiǎn)信息，進(jìn)行風(fēng)險(xiǎn)嚴(yán)重等級(jí)劃分和控制措施設(shè)計(jì)，并進(jìn)行匯報(bào)被評(píng)估領(lǐng)域組織落實(shí)風(fēng)險(xiǎn)控制措施、整改整改完畢，安全專(zhuān)業(yè)部門(mén)進(jìn)行稽核與審計(jì)不斷循環(huán)改進(jìn)個(gè)別部門(mén)的風(fēng)險(xiǎn)管理過(guò)程無(wú)安全標(biāo)準(zhǔn)參照，自我內(nèi)部評(píng)估根據(jù)自身需要匯集篩選風(fēng)險(xiǎn)信息參照部門(mén)業(yè)務(wù)設(shè)計(jì)風(fēng)險(xiǎn)控制措施內(nèi)部成立項(xiàng)目組進(jìn)行整改，然后解散項(xiàng)目組，不接受安全稽核風(fēng)險(xiǎn)管理“一陣風(fēng)”吹過(guò)方向性錯(cuò)誤的風(fēng)險(xiǎn)管理過(guò)程對(duì)公司的危害重大風(fēng)險(xiǎn)不上報(bào)，潛伏并威脅著公司信息資產(chǎn)安全………個(gè)別部門(mén)風(fēng)險(xiǎn)拒絕匯集到安全專(zhuān)業(yè)部門(mén)統(tǒng)一分析，導(dǎo)致對(duì)風(fēng)險(xiǎn)的嚴(yán)重等級(jí)判斷沒(méi)有站在公司全局的視角進(jìn)行，使得個(gè)別嚴(yán)重隱患被部門(mén)“抹掉”，潛伏隱患時(shí)時(shí)在威脅公司規(guī)避信息安全專(zhuān)業(yè)人員的指導(dǎo)，整改效果參差不齊，風(fēng)險(xiǎn)繼續(xù)存在，同時(shí)造成人力物力重復(fù)使用和浪費(fèi)這類(lèi)部門(mén)的風(fēng)險(xiǎn)整改多是以項(xiàng)目方式開(kāi)展，結(jié)束了即關(guān)閉，然后人員解散，其直接與“風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的過(guò)程”規(guī)則相違背，最后風(fēng)險(xiǎn)管理是“一陣風(fēng)”，吹過(guò)了安全隱患又迅速生長(zhǎng)起來(lái)拒絕安全監(jiān)管，導(dǎo)致公司安全總體情況不可控，也導(dǎo)致在此類(lèi)部門(mén)的各類(lèi)安全威脅處于“潛伏”狀態(tài)風(fēng)險(xiǎn)整改無(wú)章法，浪費(fèi)成本且效果有限整改行為一陣風(fēng)吹過(guò)，風(fēng)險(xiǎn)缺乏持續(xù)控制規(guī)避后期安全稽核，凌駕于第三方安全監(jiān)管之上目錄公司當(dāng)前信息安全保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息安全現(xiàn)狀及風(fēng)險(xiǎn)分析1信息安全工作面臨的阻礙4下一步行動(dòng)計(jì)劃匯報(bào)及需要領(lǐng)導(dǎo)提供的支持夯實(shí)公司信息安全風(fēng)險(xiǎn)控制每一層“土”信息安全部下一步總體行動(dòng)計(jì)劃匯報(bào)

加大工作量投入，穩(wěn)步有效測(cè)試采購(gòu)及IT部門(mén)同事推薦的USB、打印、網(wǎng)關(guān)防毒等安全工具，配合采購(gòu)的工作計(jì)劃，引入U(xiǎn)TM集成工具，盡快（計(jì)劃2010年二月底前）控制公司當(dāng)前重大安全隱患

立即分析研發(fā)、IT兩大重點(diǎn)體系風(fēng)險(xiǎn)評(píng)估信息，輸出統(tǒng)一風(fēng)險(xiǎn)評(píng)估及控制措施

正式報(bào)告，提請(qǐng)審核后，交付并跟蹤責(zé)任部門(mén)整改，同時(shí)，規(guī)劃整改后的安全稽核方案

策劃基礎(chǔ)建