信息安全評(píng)估與實(shí)施項(xiàng)目–應(yīng)用要求

信息安全評(píng)估與實(shí)施項(xiàng)目–應(yīng)用要求本文件內(nèi)容范圍根據(jù)立項(xiàng)流程相關(guān)要求，本文件就《信息安全評(píng)估與實(shí)施項(xiàng)目》的應(yīng)用要求進(jìn)行詳細(xì)說明項(xiàng)目背景從外部環(huán)境來看，近年來，信息安全各方面威脅不斷增大；2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，并在北京召開了第一次會(huì)議，習(xí)近平親自擔(dān)任組長(zhǎng)，李克強(qiáng)、劉云山任副組長(zhǎng)，網(wǎng)絡(luò)信息安全上升為國家戰(zhàn)略。從內(nèi)部安全環(huán)境來看，近年發(fā)生了如下的信息安全事件：1、電商部分會(huì)員收到詐騙短信事件；2、敏感崗位和敏感部門存在數(shù)據(jù)防泄密問題。根據(jù)公司要求，需要進(jìn)一步健全信息安全體系，填補(bǔ)安全制度缺口和管理盲點(diǎn)，更好的滿足企業(yè)信息安全策略和管理要求，希望借助外部專業(yè)機(jī)構(gòu)協(xié)助公司啟動(dòng)信息安全體系建設(shè)工作。項(xiàng)目階段與具體應(yīng)用要求本此項(xiàng)目建設(shè)內(nèi)容主要分為如下三個(gè)階段：信息安全全面評(píng)估、信息安全體系規(guī)劃與方案制定、信息安全措施，詳細(xì)應(yīng)用要求內(nèi)容如下：信息安全全面評(píng)估應(yīng)用收益概述通過對(duì)信息安全的評(píng)估，根據(jù)所找到的風(fēng)險(xiǎn)點(diǎn)并結(jié)合華潤萬家的實(shí)際情況?？梢缘玫饺A潤萬家綜合性的安全評(píng)估報(bào)告。包括漏洞與風(fēng)險(xiǎn)類別、漏洞與風(fēng)險(xiǎn)名稱、嚴(yán)重程度排名、潛在業(yè)務(wù)影響風(fēng)險(xiǎn)、潛在聲譽(yù)影響風(fēng)險(xiǎn)、信息安全成熟度分析與國際國內(nèi)相關(guān)企業(yè)的差距、整改優(yōu)先級(jí)等。應(yīng)用實(shí)現(xiàn)要求外包專業(yè)機(jī)構(gòu)應(yīng)當(dāng)依據(jù)國家信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，對(duì)華潤萬家進(jìn)行信息安全管控現(xiàn)狀分析、風(fēng)險(xiǎn)評(píng)估，識(shí)別安全隱患，并提交風(fēng)險(xiǎn)評(píng)估報(bào)告。具體內(nèi)容如下：3.1.1．信息安全管理體系評(píng)估關(guān)注點(diǎn)信息安全管理體系內(nèi)容簡(jiǎn)介通過訪談，了解受訪者對(duì)信息安全的理解，并通過對(duì)相關(guān)管理體系的政策的審查，了解當(dāng)前在信息安全管理體系中制度建設(shè)與人員信息安全管理方面的問題與風(fēng)險(xiǎn)。具體步驟根據(jù)第三方咨詢公司的經(jīng)驗(yàn)以及最佳實(shí)踐標(biāo)準(zhǔn)進(jìn)行訪談內(nèi)容意見重點(diǎn)問題的提煉對(duì)管理層進(jìn)行訪談對(duì)信息安全管理體系中重點(diǎn)崗位負(fù)責(zé)人進(jìn)行訪談從三個(gè)方面即組織結(jié)構(gòu)中的決策、管理、執(zhí)行以及監(jiān)督策略(崗位、人員、授權(quán)、溝通、檢查)、人員安全中的意識(shí)、技能、職稱、培訓(xùn)、考核標(biāo)準(zhǔn)（錄用、離崗、考核、教育）以及標(biāo)準(zhǔn)制度中的方針政策、制度規(guī)范、流程表單（制定、發(fā)布、評(píng)審、修訂）三個(gè)角度對(duì)現(xiàn)階段實(shí)行的信息安全管理體系政策、制度進(jìn)行審查。此項(xiàng)審查將根據(jù)一套全面的標(biāo)準(zhǔn)進(jìn)行，包括相關(guān)法律法規(guī)如國家標(biāo)準(zhǔn)，最佳實(shí)踐如ISO、ITIL，以及第三方咨詢公司內(nèi)部最佳實(shí)踐交付物訪談報(bào)告及其分析結(jié)果交付物內(nèi)容領(lǐng)導(dǎo)層以及關(guān)鍵崗位負(fù)責(zé)人對(duì)現(xiàn)階段信息安全管理體系的期望以及關(guān)注重點(diǎn)信息安全管理體系發(fā)現(xiàn)問題以及對(duì)應(yīng)風(fēng)險(xiǎn)信息安全管理體系問題以及風(fēng)險(xiǎn)分類結(jié)合華潤實(shí)際情況以及針對(duì)華潤萬家的業(yè)務(wù)影響程度，確認(rèn)信息安全管理體系問題嚴(yán)重程度信息安全管理體系整改方案訪談對(duì)象列表審查的信息管理體系相關(guān)政策、列表3.1.2．關(guān)鍵以及高風(fēng)險(xiǎn)的系統(tǒng)以及應(yīng)用全方位的滲透測(cè)試關(guān)注點(diǎn)信息安全技術(shù)體系內(nèi)容簡(jiǎn)介從數(shù)據(jù)、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、物理等五個(gè)維度，通過模擬黑客攻擊的高強(qiáng)度滲透測(cè)試，發(fā)現(xiàn)信息安全技術(shù)體系中的風(fēng)險(xiǎn)點(diǎn)具體步驟根據(jù)華潤萬家的內(nèi)部IT系統(tǒng)以及應(yīng)用實(shí)施程度，并結(jié)合對(duì)華潤萬家業(yè)務(wù)的潛在威脅和影響，確認(rèn)滲透測(cè)試的范圍和方式網(wǎng)頁應(yīng)用滲透測(cè)試：該項(xiàng)工作將從該網(wǎng)頁出發(fā)，對(duì)該系統(tǒng)進(jìn)行應(yīng)用層面的掃描。掃描器將主要通過注入非法字符并提交給服務(wù)器等手段，以判斷網(wǎng)絡(luò)購物系統(tǒng)是否存在常見的網(wǎng)絡(luò)應(yīng)用漏洞。在應(yīng)用層面掃描的基礎(chǔ)上，需要進(jìn)一步針對(duì)網(wǎng)絡(luò)購物系統(tǒng)的校驗(yàn)和流程，進(jìn)行手動(dòng)的測(cè)試。測(cè)試內(nèi)容主要參考TheOpenWebApplicationSecurityProject(OWASP)中十項(xiàng)最嚴(yán)重的網(wǎng)絡(luò)應(yīng)用程序安全風(fēng)險(xiǎn)（如注入、跨站腳本、未驗(yàn)證的復(fù)位向和轉(zhuǎn)發(fā)、跨站請(qǐng)求偽造等）進(jìn)行測(cè)試，并發(fā)現(xiàn)在重要應(yīng)用邏輯上漏洞。移動(dòng)應(yīng)用滲透測(cè)試：此項(xiàng)工作應(yīng)當(dāng)首先安裝移動(dòng)客戶端應(yīng)用程序，并根據(jù)第三方咨詢公司對(duì)于安卓手機(jī)以及蘋果手機(jī)系統(tǒng)的了解，對(duì)移動(dòng)客戶客戶端網(wǎng)絡(luò)購物應(yīng)用進(jìn)行滲透測(cè)試。并且建立面向移動(dòng)應(yīng)用客戶端的測(cè)試案例來針對(duì)性的尋找在關(guān)鍵流程以及賬戶管理上的潛在威脅。在此基礎(chǔ)上，應(yīng)該進(jìn)一步針對(duì)移動(dòng)客戶端網(wǎng)絡(luò)購物應(yīng)用程序的構(gòu)造，對(duì)移動(dòng)客戶端本地密匙儲(chǔ)存，日志文件，臨時(shí)文件以及系統(tǒng)快照進(jìn)行分析，并嘗試從中獲取敏感資料，可能包括用戶個(gè)人信息，賬戶密碼，以及信用卡資料等等。內(nèi)部網(wǎng)絡(luò)滲透測(cè)試：此項(xiàng)滲透測(cè)試將通過灰盒的方式進(jìn)行，模擬普通內(nèi)部員工接入內(nèi)部網(wǎng)絡(luò)以及使用有限的權(quán)限，結(jié)合對(duì)華潤萬家內(nèi)部系統(tǒng)的部分認(rèn)識(shí)，在通過使用一些黑客攻擊手段，如針對(duì)重點(diǎn)服務(wù)器的配置缺陷攻破主機(jī)防御、針對(duì)共享文件夾權(quán)限的配置失誤查看敏感信息、針對(duì)內(nèi)部應(yīng)用會(huì)話的保護(hù)缺失進(jìn)行會(huì)話劫持、竊聽攻擊等方式。確認(rèn)在內(nèi)部網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)，并確定對(duì)華潤萬家的業(yè)務(wù)影響外部網(wǎng)絡(luò)滲透測(cè)試：此項(xiàng)滲透測(cè)試將通過黑盒的方式進(jìn)行，模擬外部黑客進(jìn)行網(wǎng)絡(luò)攻擊，尋找攻擊突破點(diǎn)，建立外部網(wǎng)絡(luò)連接內(nèi)部網(wǎng)絡(luò)的連接橋梁，并滲透到內(nèi)部網(wǎng)絡(luò)進(jìn)行敏感資料竊取、客戶信息盜取等的攻擊。確認(rèn)在外部網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)，并確定對(duì)華潤萬家的業(yè)務(wù)影響交付物滲透測(cè)試報(bào)告交付物內(nèi)容滲透測(cè)試范圍滲透測(cè)試方法滲透測(cè)試發(fā)現(xiàn)的問題以及對(duì)應(yīng)的風(fēng)險(xiǎn)滲透測(cè)試發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)分類結(jié)合華潤實(shí)際情況以及針對(duì)華潤萬家的業(yè)務(wù)影響程度，確認(rèn)滲透測(cè)試中發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)嚴(yán)重程度滲透測(cè)試發(fā)現(xiàn)問題的整改方案3.1.3．通過掃描工具漏洞掃描關(guān)注點(diǎn)信息安全技術(shù)體系內(nèi)容簡(jiǎn)介通過漏洞掃描軟件，確認(rèn)現(xiàn)階段在華潤萬家內(nèi)部IT基礎(chǔ)設(shè)施重要系統(tǒng)、應(yīng)用中存在的漏洞（如配置失誤、過期補(bǔ)丁等）具體步驟根據(jù)華潤萬家系統(tǒng)特點(diǎn)，制定漏洞掃描范圍、掃描計(jì)劃以及掃描軟件配置通過內(nèi)部、外部漏洞掃描的方式該項(xiàng)工作將針對(duì)潤萬家內(nèi)部IT基礎(chǔ)設(shè)施重要系統(tǒng)、應(yīng)用展開，我們將從內(nèi)部、外部網(wǎng)絡(luò)直接利用網(wǎng)絡(luò)安全掃描工具掃描相關(guān)的系統(tǒng)以及相關(guān)網(wǎng)絡(luò)設(shè)備，包括但不限于（網(wǎng)頁服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、防火墻、路由器以及交換機(jī)等）交付物漏洞掃描報(bào)告交付物內(nèi)容漏洞掃描范圍漏洞掃描時(shí)間以及掃描工具數(shù)據(jù)庫版本漏洞掃描發(fā)現(xiàn)的問題以及對(duì)應(yīng)的風(fēng)險(xiǎn)信息安全管理體系問題以及風(fēng)險(xiǎn)分類結(jié)合華潤實(shí)際情況以及針對(duì)華潤萬家的業(yè)務(wù)影響程度，確認(rèn)漏洞掃描中發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)嚴(yán)重程度漏洞掃描發(fā)現(xiàn)問題以及風(fēng)險(xiǎn)點(diǎn)整改方案3.1.4．系統(tǒng)及其組件安全配置審閱關(guān)注點(diǎn)信息安全技術(shù)體系內(nèi)容簡(jiǎn)介根據(jù)對(duì)關(guān)鍵或有代表行的系統(tǒng)及其組件進(jìn)行安全配置審閱，發(fā)現(xiàn)問題以及風(fēng)險(xiǎn)點(diǎn)

具體步驟確認(rèn)安全配置審閱范圍：根據(jù)原則選取關(guān)鍵或有代表性的系統(tǒng)及其相關(guān)組件的安全配置審查范圍（如，根據(jù)不同系統(tǒng)：Windows、Linux、AIX，根據(jù)不同設(shè)備：防火墻、路由器、交換機(jī)，根據(jù)不同業(yè)務(wù)需要：MSSQL、Oracle、DB2、Apache、Tomcat等）根據(jù)不同系統(tǒng)的特點(diǎn)，進(jìn)行定制化的系統(tǒng)安全配置審閱，并主要關(guān)注如下方面：訪問控制、權(quán)限配置、日志管理、審計(jì)能力、數(shù)據(jù)保護(hù)、通信保護(hù)等交付物系統(tǒng)配置問題交付物內(nèi)容系統(tǒng)安全配置審閱范圍系統(tǒng)安全配置審閱發(fā)現(xiàn)的問題以及對(duì)應(yīng)的風(fēng)險(xiǎn)系統(tǒng)安全配置審閱發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)分類結(jié)合華潤實(shí)際情況以及針對(duì)華潤萬家的業(yè)務(wù)影響程度，確認(rèn)安全配置審閱中發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)嚴(yán)重程度安全配置審閱發(fā)現(xiàn)問題以及風(fēng)險(xiǎn)點(diǎn)整改方案3.1.5．物理安全審查關(guān)注點(diǎn)信息安全技術(shù)體系內(nèi)容簡(jiǎn)介通過對(duì)相關(guān)物理安全控制的審查，尋找相關(guān)問題以及風(fēng)險(xiǎn)具體步驟通過對(duì)相關(guān)物理安全控制的全面審查，找到相關(guān)的控制薄弱點(diǎn)。具體審查范圍包括：數(shù)據(jù)中心：機(jī)房安全，災(zāi)難備份，基礎(chǔ)設(shè)施安全，人員設(shè)備出入控制等辦公區(qū)域：物理區(qū)域分割，人員出入控制，門禁管控等交付物物理安全漏洞交付物內(nèi)容物理安全審閱范圍物理安全審閱發(fā)現(xiàn)的問題以及對(duì)應(yīng)的風(fēng)險(xiǎn)物理安全審閱發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)分類結(jié)合華潤實(shí)際情況以及針對(duì)華潤萬家的業(yè)務(wù)影響程度，確認(rèn)物理安全審閱中發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)嚴(yán)重程度物理安全審閱發(fā)現(xiàn)問題以及風(fēng)險(xiǎn)點(diǎn)整改方案3.1.6．信息安全行業(yè)標(biāo)桿對(duì)標(biāo)分析關(guān)注點(diǎn)信息安全運(yùn)行體系內(nèi)容簡(jiǎn)介對(duì)現(xiàn)階段的信息安全運(yùn)行體系進(jìn)行全方位審查，對(duì)比同行業(yè)或者同地域的企業(yè)標(biāo)桿，發(fā)現(xiàn)信息安全的弱點(diǎn)以及痛點(diǎn)具體步驟針對(duì)信息安全運(yùn)行體系，對(duì)現(xiàn)有信息安全流程文檔進(jìn)行審閱，并通過對(duì)關(guān)鍵崗位負(fù)責(zé)人進(jìn)行訪談了解不同流程落地情況以及效率，包括系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維以及應(yīng)急響應(yīng)等不同維度，對(duì)比同行業(yè)或者同地域的企業(yè)標(biāo)桿，發(fā)現(xiàn)信息安全的弱點(diǎn)以及痛點(diǎn)。交付物信息安全行業(yè)標(biāo)桿對(duì)標(biāo)分析報(bào)告交付物內(nèi)容現(xiàn)階段華潤萬家情況，華潤萬家內(nèi)部期望，同行業(yè)同地域企業(yè)的標(biāo)桿現(xiàn)階段華潤萬家信息安全現(xiàn)狀，以及華潤萬家內(nèi)部期望，并對(duì)比同行業(yè)同地域企業(yè)的標(biāo)桿分析結(jié)果現(xiàn)階段信息安全弱點(diǎn)、痛點(diǎn)信息安全運(yùn)行體系整改措施信息安全體系規(guī)劃與方案制定應(yīng)用收益概述根據(jù)評(píng)估報(bào)告，并結(jié)合建議措施的細(xì)節(jié)進(jìn)行成本效益分析，確定具體整改措施以及方案，并規(guī)劃出未來1至3年的路線圖與年度方案目標(biāo)（如：易實(shí)施成效高的措施為短期目標(biāo)年內(nèi)實(shí)施，難實(shí)施成效高以及易實(shí)施成效低的措施為中期目標(biāo)等）。明確信息安全建設(shè)提高的不同階段目標(biāo)，清晰相關(guān)措施的實(shí)施方案，為最終的實(shí)施階段做好充分準(zhǔn)備。應(yīng)用實(shí)現(xiàn)要求根據(jù)評(píng)估報(bào)告進(jìn)行問題分析，制定華潤萬家信息安全建設(shè)進(jìn)行短期和長(zhǎng)期規(guī)劃，明確未來信息安全工作方向；根據(jù)華潤萬家現(xiàn)有安全薄弱環(huán)節(jié)進(jìn)行有針對(duì)性的信息安全建設(shè)方案設(shè)計(jì)，提高華潤萬家安全水平。具體內(nèi)容如下：3.2.1．信息安全管理體系整改規(guī)劃方案關(guān)注點(diǎn)信息安全管理體系內(nèi)容簡(jiǎn)介根據(jù)上一階段評(píng)估發(fā)現(xiàn)，并結(jié)合華潤萬家實(shí)際情況，規(guī)劃出整改方案細(xì)節(jié)具體步驟根據(jù)上一階段發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)點(diǎn)，結(jié)合華潤萬家的實(shí)際情況，進(jìn)行可行性分析，并結(jié)合成本效益分析，得出相應(yīng)整改路線圖：易實(shí)施、成效高為短期目標(biāo)，難實(shí)施、成效高以及易實(shí)施、成效低為中期目標(biāo)等。交付物信息安全管理體系整改規(guī)劃方案交付物內(nèi)容整改路線圖（1-3年）成本效益分析具體實(shí)施方案包括：項(xiàng)目負(fù)責(zé)人牽涉部門實(shí)施日期實(shí)施方法參考標(biāo)準(zhǔn)實(shí)施過程中關(guān)鍵里程碑實(shí)施工程中的風(fēng)險(xiǎn)控制實(shí)施驗(yàn)收標(biāo)準(zhǔn)，等3.2.2．安全培訓(xùn)計(jì)劃制定關(guān)注點(diǎn)信息安全管理體系內(nèi)容簡(jiǎn)介根據(jù)上一階段對(duì)于人員安全發(fā)現(xiàn)的問題，并結(jié)合華潤萬家實(shí)際情況，規(guī)劃出整改方案細(xì)節(jié)具體步驟根據(jù)人員安全發(fā)現(xiàn)的問題，結(jié)合管理層以及關(guān)鍵崗位負(fù)責(zé)人對(duì)現(xiàn)階段信息安全的關(guān)注重點(diǎn)問題，規(guī)劃出下階段信息安全培訓(xùn)的計(jì)劃具體細(xì)節(jié)交付物培訓(xùn)計(jì)劃培訓(xùn)大綱交付物內(nèi)容培訓(xùn)具體計(jì)劃，包括培訓(xùn)日程、參加方式、考核方式培訓(xùn)大綱，包括所覆蓋內(nèi)容，重點(diǎn)關(guān)注點(diǎn)，重點(diǎn)考核范圍3.2.3．信息安全技術(shù)體系整改計(jì)劃制定關(guān)注點(diǎn)信息安全技術(shù)體系內(nèi)容簡(jiǎn)介根據(jù)上一階段評(píng)估發(fā)現(xiàn)，并結(jié)合華潤萬家實(shí)際情況，規(guī)劃出整改方案細(xì)節(jié)具體步驟根據(jù)上一階段發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)點(diǎn)，結(jié)合華潤萬家的實(shí)際情況，進(jìn)行可行性分析，并結(jié)合成本效益分析，得出相應(yīng)整改路線圖：易實(shí)施、成效高為短期目標(biāo)，難實(shí)施、成效高以及易實(shí)施、成效低為中期目標(biāo)等。交付物漏洞修復(fù)時(shí)間表安全編碼標(biāo)準(zhǔn)開發(fā)標(biāo)準(zhǔn)監(jiān)控系統(tǒng)優(yōu)化方案信息安全技術(shù)檢查標(biāo)準(zhǔn)防黑、以及防泄密解決方案選型報(bào)告交付物內(nèi)容整改路線圖（1-3年）成本效益分析具體實(shí)施方案包括：解決方案選型報(bào)告（如有）項(xiàng)目負(fù)責(zé)人牽涉部門實(shí)施日期實(shí)施方法參考標(biāo)準(zhǔn)實(shí)施過程中關(guān)鍵里程碑實(shí)施工程中的風(fēng)險(xiǎn)控制實(shí)施驗(yàn)收標(biāo)準(zhǔn)，等安全編碼標(biāo)準(zhǔn)以及開發(fā)標(biāo)準(zhǔn)應(yīng)當(dāng)考慮到在之前評(píng)估過程做發(fā)現(xiàn)問題原因分析，從根本減小評(píng)估階段發(fā)現(xiàn)問題的再發(fā)生的可能性3.2.4．信息安全運(yùn)行體系流程優(yōu)化方案制定關(guān)注點(diǎn)信息安全運(yùn)行體系內(nèi)容簡(jiǎn)介根據(jù)上一階段評(píng)估發(fā)現(xiàn)，并結(jié)合華潤萬家實(shí)際情況，規(guī)劃出整改方案細(xì)節(jié)具體步驟根據(jù)上一階段發(fā)現(xiàn)的問題以及風(fēng)險(xiǎn)點(diǎn)，結(jié)合華潤萬家的實(shí)際情況，進(jìn)行可行性分析，并結(jié)合成本效益分析，得出相應(yīng)整改路線圖：易實(shí)施、成效高為短期目標(biāo)，難實(shí)施、成效高以及易實(shí)施、成效低為中期目標(biāo)等。交付物信息安全運(yùn)行體系流程優(yōu)化方案交付物內(nèi)容1.整改路線圖（1-3年）2.成本效益分析3.具體實(shí)施方案包括：技術(shù)解決方案選型報(bào)告（如有）項(xiàng)目負(fù)責(zé)人牽涉部門實(shí)施日期實(shí)施方法參考標(biāo)準(zhǔn)實(shí)施過程中關(guān)鍵里程碑實(shí)施工程中的風(fēng)險(xiǎn)控制實(shí)施驗(yàn)收標(biāo)準(zhǔn)，等3.2.5．信息安全運(yùn)行體系流程審查標(biāo)準(zhǔn)關(guān)注點(diǎn)信息安全運(yùn)行體系內(nèi)容簡(jiǎn)介根據(jù)上一階段評(píng)估發(fā)現(xiàn)，并結(jié)和信息安全運(yùn)行體系流程優(yōu)化方案，制定信息安全運(yùn)行體系流程審查標(biāo)準(zhǔn)具體步驟根據(jù)上一階段評(píng)估發(fā)現(xiàn)，并結(jié)和信息安全運(yùn)行體系流程優(yōu)化方案，提煉出相關(guān)流程審查標(biāo)準(zhǔn)，為日后的定期審查做好準(zhǔn)備交付物信息安全運(yùn)行體系流程審查標(biāo)準(zhǔn)交付物內(nèi)容審查范圍審查頻率審查方式審查負(fù)責(zé)人審查重點(diǎn)范圍審查通過條件審查發(fā)現(xiàn)問題后續(xù)跟進(jìn)工作需求信息安全措施應(yīng)用收益概述通過對(duì)安全實(shí)施路線圖中的短期目標(biāo)的實(shí)施，快速聚焦信息安全高風(fēng)險(xiǎn)，如：降低系統(tǒng)攻擊風(fēng)險(xiǎn)、防止敏感信息泄露、降低信息安全事件對(duì)業(yè)務(wù)的影響、提高攻擊檢測(cè)能力、提高敏感信息保護(hù)能力，起到保護(hù)公司聲譽(yù)、部分完善華潤萬家的信息安全管理、技術(shù)、以及運(yùn)行體系的作用。應(yīng)用實(shí)現(xiàn)要求在年內(nèi)落實(shí)多項(xiàng)重點(diǎn)措施，包括：人員信息安全培訓(xùn)；信息安全制度優(yōu)化；電商、會(huì)員系統(tǒng)的數(shù)據(jù)加固措施監(jiān)理；數(shù)據(jù)防泄密措施。3.3.1．員工培訓(xùn)、考核關(guān)注點(diǎn)信息安全管理體系內(nèi)容簡(jiǎn)介編寫員工培訓(xùn)資料，制定考核標(biāo)準(zhǔn)具體步驟根據(jù)規(guī)劃和方案階段制定的培訓(xùn)計(jì)劃進(jìn)行相應(yīng)的培訓(xùn)，考核：?jiǎn)T工培訓(xùn)課件的編寫員工培訓(xùn)考核標(biāo)準(zhǔn)的制定進(jìn)行員工的培訓(xùn)和考核安全宣傳手冊(cè)的起草交付物員工培訓(xùn)課件員工培訓(xùn)考核標(biāo)準(zhǔn)員工培訓(xùn)、考核記錄安全宣傳手冊(cè)交付物內(nèi)容結(jié)合規(guī)劃和方案階段所指定方案的員工培訓(xùn)課件、考核標(biāo)準(zhǔn)考核記錄的分析結(jié)合華潤萬家實(shí)際情況以及關(guān)注的信息安全點(diǎn)的安全宣傳手冊(cè)3.3.2．信息安全管理體系流程制度體系優(yōu)化關(guān)注點(diǎn)信息安全管理體系內(nèi)容簡(jiǎn)介根據(jù)計(jì)劃和方案對(duì)信息安全管理體系流程制度進(jìn)行優(yōu)化建設(shè)具體步驟按照計(jì)劃和方案階段制定的整改路線和實(shí)施方案細(xì)節(jié)，幫助華潤萬家或第三方