公司整體信息安全風(fēng)險(xiǎn)評(píng)估及工作情況匯報(bào)

公司整體信息平安風(fēng)險(xiǎn)評(píng)估及工作情況匯報(bào)信息平安部2021年12月21日整理課件目錄公司當(dāng)前信息平安保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息平安現(xiàn)狀及風(fēng)險(xiǎn)分析1信息平安工作面臨的阻礙4下一步行動(dòng)方案匯報(bào)及需要領(lǐng)導(dǎo)提供的支持整理課件研發(fā)體系全面分析公司信息平安存在問題IT管理平安問題研發(fā)體系職能體系IT網(wǎng)絡(luò)與終端物理環(huán)境及人員平安平安制度流程終端網(wǎng)絡(luò)數(shù)據(jù)中心平安制度流程物理環(huán)境整理課件從研發(fā)體系視角分析信息平安存在問題——網(wǎng)絡(luò)與終端存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.缺乏公司級(jí)統(tǒng)一備份管理機(jī)制；2.應(yīng)用層密碼設(shè)置存在隱患；3.應(yīng)用效勞器日志無審計(jì)；4.存儲(chǔ)介質(zhì)的管理存在重大平安隱患；5.網(wǎng)口管理存在重大平安隱患。1.建立公司級(jí)統(tǒng)一備份管理方法；2.優(yōu)化密碼策略，增強(qiáng)密碼復(fù)雜度；3.定期查看效勞器日志并做記錄；4.對(duì)存儲(chǔ)介質(zhì)造冊(cè)管理，明確責(zé)任人。5.標(biāo)準(zhǔn)公司網(wǎng)口管理。1.實(shí)現(xiàn)公司級(jí)統(tǒng)一備份管理；2.明確職責(zé)，專人專管，定期審計(jì)；3.優(yōu)化效勞器日志查看策略，并定期審計(jì)；4.引入U(xiǎn)SB監(jiān)控系統(tǒng)。整理課件從研發(fā)體系視角分析信息平安存在問題——物理環(huán)境及人員平安存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.研發(fā)網(wǎng)絡(luò)未實(shí)現(xiàn)真正的隔離；2.ADSL的使用存在重大平安隱患；3.員工平安意識(shí)薄弱；4.重要崗位人員背景調(diào)查。1.禁止研發(fā)人員訪問外網(wǎng)；2.ADSL使用整改〔按用途分類分權(quán)管理〕；3.定期培訓(xùn)；4.對(duì)重要崗位人員進(jìn)行背景調(diào)查。1.最大限度實(shí)現(xiàn)研發(fā)網(wǎng)絡(luò)隔離；2.對(duì)ADSL審計(jì)監(jiān)控并持續(xù)優(yōu)化；3.培訓(xùn)并考試，考核成績(jī)納入KPI；4.建立員工信用檔案。整理課件從研發(fā)體系視角分析信息平安存在問題——平安制度流程存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.信息平安相關(guān)政策未在部門落地；2.應(yīng)用效勞器內(nèi)部管理無成文的制度及操作流程；3.無重要崗位操作指導(dǎo)；4.對(duì)外信息流轉(zhuǎn)無控制方法。1.部門內(nèi)部宣貫落地信息平安相關(guān)制度并定期考試；2.對(duì)部門內(nèi)部重要應(yīng)用效勞器必須制定成文的制度標(biāo)準(zhǔn)及操作流程；3.建立重要崗位操作指南；4.制定對(duì)外信息發(fā)放管理方法。1.公司建立信息平安文件體系，并定期審核執(zhí)行情況；2.根據(jù)ISO27001建立效勞器基線；3.建立各崗位的操作指南；4.安裝文檔加密系統(tǒng)，標(biāo)準(zhǔn)外發(fā)流程。整理課件從職能體系視角分析信息平安存在問題存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.員工特殊情況離職后相應(yīng)權(quán)限賬號(hào)未作及時(shí)清理；2.員工入職培訓(xùn)缺乏對(duì)信息平安的培訓(xùn)；3.績(jī)效考核未考慮信息平安因素；4.涉密部門未做好敏感信息的分級(jí)分類管理。1.增加特殊情況離職后相應(yīng)權(quán)限賬號(hào)清理；2.增加信息平安新員工培訓(xùn)課程；3.考核成績(jī)納入KPI；4.涉密部門對(duì)內(nèi)部信息資產(chǎn)進(jìn)行分級(jí)劃分。1.定期審計(jì)離職后相應(yīng)權(quán)限賬號(hào)的清理工作；2.信息平安成績(jī)作為考核作為員工轉(zhuǎn)正的依據(jù)；3.依據(jù)公司信息平安相關(guān)要求定期檢查審計(jì)。整理課件存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.便攜機(jī)的管理存在重大平安隱患；2.AD域用戶可以建立PC機(jī)本地管理員賬號(hào)；3.USB、打印機(jī)未作有效監(jiān)管；4.送外維修電腦數(shù)據(jù)無法監(jiān)管；1.辦理便攜卡登記備案；2.重新評(píng)估AD域策略；3.貼封條，設(shè)置BIOS密碼；4.送修機(jī)器由專人保管并登記。1.引入終端監(jiān)控系統(tǒng)、USB監(jiān)控系統(tǒng)、文檔機(jī)密系統(tǒng)對(duì)其信息及端口進(jìn)行控制和審計(jì)；2.定期對(duì)AD域策略進(jìn)行審計(jì)；3.新增第三方效勞操作流程。從IT視角分析信息平安存在問題——終端整理課件存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.上網(wǎng)權(quán)限開放審批不嚴(yán)格，導(dǎo)致多數(shù)用戶均有上網(wǎng)權(quán)限2.研發(fā)部門測(cè)試網(wǎng)絡(luò)比較混亂，造成ARP攻擊異常3.對(duì)網(wǎng)絡(luò)管控有限；1.重新審核用戶上網(wǎng)權(quán)限2.對(duì)研發(fā)部門網(wǎng)絡(luò)整改，隔離3.增加網(wǎng)絡(luò)監(jiān)控設(shè)備加強(qiáng)網(wǎng)絡(luò)管理；1、嚴(yán)格標(biāo)準(zhǔn)相關(guān)制度2、定期審核權(quán)限，日志從IT視角分析信息平安存在問題——網(wǎng)絡(luò)整理課件存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.數(shù)據(jù)中心沒有明確的管理維護(hù)制度2.數(shù)據(jù)中心對(duì)重要數(shù)據(jù)未作異地備份3.對(duì)數(shù)據(jù)未作分級(jí)分類管理，且與開發(fā)布部門進(jìn)行溝通確認(rèn)4、數(shù)據(jù)中心設(shè)備進(jìn)出入無標(biāo)準(zhǔn)5、數(shù)據(jù)中心未作災(zāi)難恢復(fù)測(cè)試1.制定數(shù)據(jù)中心管理維護(hù)制度及流程，明確工作流程及人員職責(zé)2.嚴(yán)格落實(shí)重要數(shù)據(jù)異地備份機(jī)制3.加強(qiáng)數(shù)據(jù)中心設(shè)備管理；4、制定整體容災(zāi)解決方案，確保數(shù)據(jù)平安1、根據(jù)標(biāo)桿企業(yè)先進(jìn)管理方法優(yōu)化部門管理2、定期審核權(quán)限，日志及記錄從IT視角分析信息平安存在問題——數(shù)據(jù)中心整理課件目錄公司當(dāng)前信息平安保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息平安現(xiàn)狀及風(fēng)險(xiǎn)分析1信息平安工作面臨的阻礙4下一步行動(dòng)方案匯報(bào)及需要領(lǐng)導(dǎo)提供的支持整理課件信息平安部工作ACT-改善Plan-方案Check-檢查Do-執(zhí)行評(píng)估改善需求執(zhí)行改善工作報(bào)告執(zhí)行結(jié)果確認(rèn)目標(biāo)達(dá)成持續(xù)追蹤改善建立ISMS環(huán)境信息平安政策；信息平安目標(biāo)信息平安組織；執(zhí)行風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估；確認(rèn)控制目標(biāo)風(fēng)險(xiǎn)處理方案執(zhí)行監(jiān)控程序風(fēng)險(xiǎn)再評(píng)估定期實(shí)施稽核績(jī)效評(píng)估建立管理文件體系建置控制方法信息平安程序文件營(yíng)運(yùn)持續(xù)運(yùn)作方案執(zhí)行管理程序教育訓(xùn)練及宣導(dǎo)整理課件Do-管理文件體系建設(shè)情況信息平安政策管理程序標(biāo)準(zhǔn)，要點(diǎn)指引記錄，日志信息平安部各業(yè)務(wù)部門整理課件ISO27001Do-建置控制方法記錄，日志內(nèi)網(wǎng)隔離USB端口管控打印管控文件加密物理控制全員宣導(dǎo)制度政策信息安全專員信息資產(chǎn)ISMS上網(wǎng)行為監(jiān)控第三方信息流轉(zhuǎn)管控防火墻ADSL管控防病毒網(wǎng)關(guān)整理課件Do-關(guān)鍵控制方法部署進(jìn)展：文檔加密系統(tǒng)已使用在全公司IPD變革各領(lǐng)域使用，效果顯著整理課件Do-研發(fā)與市場(chǎng)文檔加密需求反響緊迫，二期增量采購(gòu)部門已進(jìn)行談判，信息平安部已做好部署方案與支持準(zhǔn)備1.解決方案部、移動(dòng)通信產(chǎn)品線等研發(fā)部門已屢次提出，要求文檔加密支持；2.供給鏈體系ISC變革文檔,袁總〔華〕專門組織會(huì)議研究討論，要求文檔加密系統(tǒng)支持；3.同洲大學(xué)等功能支撐部門，屢次提出對(duì)參謀咨詢材料、公司重要課件等提出加密請(qǐng)求…………整理課件有效過濾控制各類機(jī)密信息的外傳降低法律風(fēng)險(xiǎn)，滿足國(guó)家法律要求Do-關(guān)鍵系統(tǒng)情況匯報(bào)：終端上網(wǎng)行為平安監(jiān)控整理課件Do-終端上網(wǎng)行為平安監(jiān)控系統(tǒng)功能解析整理課件Do-終端上網(wǎng)行為監(jiān)控系統(tǒng)上線，前期準(zhǔn)備工作狀況整理課件企業(yè)核心機(jī)密引入平安管理系統(tǒng)1.對(duì)USB平安管理系統(tǒng)、打印監(jiān)控系統(tǒng)進(jìn)行測(cè)試。2。已完成采購(gòu)申請(qǐng)流程，待招標(biāo)采購(gòu)?？刂朴?jì)算機(jī)端口泄密控制打印泄密利于事前防范，事后審計(jì)Do-關(guān)鍵系統(tǒng)情況匯報(bào)：USB端口、打印等管控系統(tǒng)整理課件Do-USB端口、打印等管控系統(tǒng)引進(jìn)進(jìn)展整理課件Do-平安根底設(shè)施引進(jìn)總體進(jìn)度時(shí)間表整理課件Do-執(zhí)行管理程序目前已建立從上至下的信息平安組織架構(gòu)，下一步將充分發(fā)揮信息平安專員的職能，從基層落實(shí)信息平安…目前信息平安是一個(gè)治理過程，而不是一個(gè)工程產(chǎn)物；現(xiàn)階段的任務(wù)是：各個(gè)部門內(nèi)部進(jìn)行自我風(fēng)險(xiǎn)評(píng)估改進(jìn)信息平安部將以ISO27001標(biāo)準(zhǔn)來持續(xù)改善公司的信息平安，對(duì)各個(gè)部門將定期不定期進(jìn)行審計(jì)，以確保信息平安的真正落實(shí)123組織推行審計(jì)IT部門風(fēng)險(xiǎn)評(píng)估整理課件Do-執(zhí)行管理程序信息平安部將以ISO27001標(biāo)準(zhǔn)來持續(xù)改善公司的信息平安，對(duì)各個(gè)部門將定期不定期進(jìn)行審計(jì)，以確保信息平安的真正落實(shí)整理課件Do-教育訓(xùn)練及宣導(dǎo)部門信息平安意識(shí)提升全員信息安全意識(shí)培育員工入職及入職后信息平安教育培訓(xùn)信息平安績(jī)效考核整理課件Do-員工入職及入職后信息平安教育培訓(xùn)整理課件Do-全員信息平安意識(shí)培育堅(jiān)持具有我司特色的信息安全意識(shí)建設(shè)——信息安全每周談，進(jìn)行專業(yè)安全防護(hù)專業(yè)知識(shí)宣講，同時(shí)進(jìn)行信息安全案例警示核心安全防護(hù)習(xí)慣時(shí)刻顯示在眼前整理課件Do-部門信息平安意識(shí)提升推動(dòng)部門開展各類形式的日常平安意識(shí)培育與宣講整理課件Do-信息平安績(jī)效考核KPI整理課件目錄公司當(dāng)前信息平安保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息平安現(xiàn)狀及風(fēng)險(xiǎn)分析1信息平安工作面臨的阻礙4下一步行動(dòng)方案匯報(bào)及需要領(lǐng)導(dǎo)提供的支持整理課件信息平安工作面臨的阻礙信息平安部風(fēng)險(xiǎn)管理展開面臨挑戰(zhàn)個(gè)別部門風(fēng)險(xiǎn)管理存在方向性錯(cuò)誤平安工作認(rèn)識(shí)存在局限整理課件平安工作認(rèn)識(shí)存在局限信息資產(chǎn)平安信息平安，人人有責(zé)Securityisaprocess，notaproduct整理課件信息平安部風(fēng)險(xiǎn)管理展開受到挑戰(zhàn)信息平安工作部門成立時(shí)間短，權(quán)威性處于建設(shè)初期，當(dāng)前非常弱勢(shì)各部門對(duì)信息平安部的標(biāo)準(zhǔn)參照度不高信息平安部共5人，須負(fù)責(zé)制度及意識(shí)宣導(dǎo)、管控技術(shù)預(yù)研與引進(jìn)，以及各部門的協(xié)調(diào)工作等個(gè)別各部門信息平安工作基于自身的理解和要求開展，效度有限，導(dǎo)致后期重復(fù)工作與資源浪費(fèi)業(yè)界知名標(biāo)桿企業(yè)在建立ISMS體制初期，均有第三方咨詢機(jī)構(gòu)協(xié)助進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和標(biāo)準(zhǔn)制度導(dǎo)入，我們當(dāng)前還沒有，更增加部門弱勢(shì)與工作難度各部門正在開展部門自我風(fēng)險(xiǎn)評(píng)估，平安咨詢需求增大整理課件個(gè)別部門風(fēng)險(xiǎn)管理存在方向性錯(cuò)誤最正確實(shí)踐的風(fēng)險(xiǎn)評(píng)估過程平安專業(yè)人員參與，提供基于平安最正確標(biāo)準(zhǔn)、最正確實(shí)踐的指導(dǎo)被評(píng)估領(lǐng)域業(yè)務(wù)代表，進(jìn)行充分風(fēng)險(xiǎn)分析和識(shí)別平安專業(yè)部門聚集和分析風(fēng)險(xiǎn)信息，進(jìn)行風(fēng)險(xiǎn)嚴(yán)重等級(jí)劃分和控制措施設(shè)計(jì)，并進(jìn)行匯報(bào)被評(píng)估領(lǐng)域組織落實(shí)風(fēng)險(xiǎn)控制措施、整改整改完畢，平安專業(yè)部門進(jìn)行稽核與審計(jì)不斷循環(huán)改進(jìn)個(gè)別部門的風(fēng)險(xiǎn)管理過程無安全標(biāo)準(zhǔn)參照，自我內(nèi)部評(píng)估根據(jù)自身需要匯集篩選風(fēng)險(xiǎn)信息參照部門業(yè)務(wù)設(shè)計(jì)風(fēng)險(xiǎn)控制措施內(nèi)部成立項(xiàng)目組進(jìn)行整改，然后解散項(xiàng)目組，不接受安全稽核風(fēng)險(xiǎn)管理“一陣風(fēng)”吹過整理課件方向性錯(cuò)誤的風(fēng)險(xiǎn)管理過程對(duì)公司的危害…………12345整改行為一陣風(fēng)吹過，風(fēng)險(xiǎn)缺乏持續(xù)控制躲避后期平安稽核，凌駕于第三方平安監(jiān)管之上風(fēng)險(xiǎn)整改無章法，不參照專業(yè)指導(dǎo)，浪費(fèi)本錢且效果有限內(nèi)部自我評(píng)估發(fā)現(xiàn)的漏洞，可能反而被內(nèi)部人員利用泄密重大風(fēng)險(xiǎn)不上報(bào)，潛伏并威脅著公司信息資產(chǎn)平安整理課件過去信息平安工作的反省對(duì)公司平安工作開展阻力思考不夠深入，認(rèn)識(shí)缺乏需要改善推動(dòng)各部門平安工作開展的方式整理課件目錄公司當(dāng)前信息平安保護(hù)建設(shè)進(jìn)展匯報(bào)238公司信息平安現(xiàn)狀及風(fēng)險(xiǎn)分析1信息平安工作面臨的阻礙4下一步行動(dòng)方案匯報(bào)及需要領(lǐng)導(dǎo)提供的支持整理課件夯實(shí)公司信息安全風(fēng)險(xiǎn)控制的每一層“土”信息平安部下一步總體行動(dòng)方案匯報(bào)加大工作量投入，穩(wěn)步有效測(cè)試采購(gòu)及IT部門同事推薦的USB、打印、網(wǎng)關(guān)防毒等平安工具，配合采購(gòu)的工作方案，引入U(xiǎn)TM集成工具，盡快〔方案2021年二月底前〕控制公司當(dāng)前重大平安隱患立即分析研發(fā)、IT兩大重點(diǎn)體系風(fēng)險(xiǎn)評(píng)估信息，輸出統(tǒng)一風(fēng)險(xiǎn)評(píng)估及控制措施正式報(bào)告，提請(qǐng)審核后，交付并跟蹤責(zé)任部門整改，同時(shí)，規(guī)劃整改后的平安稽核方案籌劃根底建設(shè)期平安支撐工具的宣傳培訓(xùn)工作，組織部署平安根底建設(shè)期支撐工具，并推動(dòng)在全公司運(yùn)行。落實(shí)對(duì)研發(fā)、IT兩大重點(diǎn)體系整改后的平安審計(jì)工作，助力推動(dòng)整改措施落地，并系統(tǒng)化啟動(dòng)其他業(yè)務(wù)領(lǐng)域的風(fēng)險(xiǎn)評(píng)估工作整理課件需要領(lǐng)導(dǎo)提供的支持1為防止“自我評(píng)估，自我整改，脫離最正確實(shí)踐參照指導(dǎo)〞的風(fēng)險(xiǎn)管理在公司蔓延開來、并將公司信息平安管理引到“水溝〞里的這一隱患的發(fā)生，請(qǐng)領(lǐng)導(dǎo)支持我們?cè)诠拘麑?dǎo)并執(zhí)行經(jīng)過業(yè)界實(shí)踐檢驗(yàn)后的最正確風(fēng)險(xiǎn)管理過程，將公司風(fēng)險(xiǎn)管理與控制引向良序開展之路。整理課件需要領(lǐng)導(dǎo)提供的支持2基于風(fēng)險(xiǎn)控制工作的性質(zhì)所決定，公司平安監(jiān)管部門應(yīng)該是“強(qiáng)勢(shì)〞的，但是，目前由于公司信息平安部門成立時(shí)間短、人手緊迫〔本來12月21號(hào)到位的平安專業(yè)人員，HR反響對(duì)方認(rèn)為上班路途遠(yuǎn)不來了〕，也沒有咨詢公司的支持效勞，使得信息平安部當(dāng)前相當(dāng)弱勢(shì)。參照業(yè)界標(biāo)桿最正確實(shí)踐的經(jīng)驗(yàn)，ISMS體系建立初期，應(yīng)該引入優(yōu)質(zhì)第三方咨詢效勞支持平安建設(shè)，ISMS架構(gòu)建立后，每?jī)赡曛芷谛哉?qǐng)第三方平安機(jī)構(gòu)復(fù)核優(yōu)化ISMS體系。請(qǐng)領(lǐng)導(dǎo)支持我們?cè)?021年引入優(yōu)質(zhì)第三方平安資訊效勞〔咨詢費(fèi)10萬元左右〕，優(yōu)化公司平安管理，培育支撐公司藍(lán)海戰(zhàn)略落地的平安風(fēng)險(xiǎn)控制文化。整理課件需要領(lǐng)導(dǎo)提供的支