華為數(shù)據(jù)安全管理實(shí)踐_第1頁
華為數(shù)據(jù)安全管理實(shí)踐_第2頁
華為數(shù)據(jù)安全管理實(shí)踐_第3頁
華為數(shù)據(jù)安全管理實(shí)踐_第4頁
華為數(shù)據(jù)安全管理實(shí)踐_第5頁
已閱讀5頁,還剩17頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

H為數(shù)據(jù)安全管理實(shí)踐孫穎H為信息安全運(yùn)營總監(jiān)目錄1234需求及解決方案機(jī)要信息資產(chǎn)識別與管控安全運(yùn)營保障方案成果展示內(nèi)外部環(huán)境變化驅(qū)動H為加大力度保護(hù)核心信息資產(chǎn)隨著H為競爭力的提升,居于業(yè)界領(lǐng)先地位的自主研發(fā)的智力資產(chǎn)越來越多,信息資產(chǎn)價值越來越大信息資產(chǎn)安全建設(shè)勢在必行云計(jì)算、移動化等IT技術(shù)在提升業(yè)務(wù)效率同時,引入漏洞威脅構(gòu)建與H為業(yè)務(wù)發(fā)展和競爭態(tài)勢相匹配的信息安全體系了更多的安全風(fēng)險覬覦H為核心競爭力的競爭對手越來越多找到H為核心信息資產(chǎn),從流程、組織、技術(shù)三個方面構(gòu)建數(shù)據(jù)安全整體解決方案目錄1234需求及解決方案機(jī)要信息資產(chǎn)識別與管控安全運(yùn)營保障方案成果展示信息:識別核心信息資產(chǎn)在流程中在系統(tǒng)中的位置人:識別使用待保護(hù)資產(chǎn)的人在流程中在系統(tǒng)中的位置管控模式:什么人在什么時間什么地點(diǎn)如何使用哪些資產(chǎn)(4W1H)目錄1234需求及解決方案機(jī)要信息資產(chǎn)識別與管控安全運(yùn)營保障方案成果展示安全控制要素融入業(yè)務(wù)流程安全要求:關(guān)鍵項(xiàng)目的源代碼集成測試通過后要上載到PDM系統(tǒng)只允許最小授權(quán)范圍可讀,并刪除本地源碼。產(chǎn)品研發(fā)流程關(guān)鍵信息安全要求化整為零,融入業(yè)務(wù)流程,完成對業(yè)務(wù)流程的安全改造,實(shí)現(xiàn)“潤物細(xì)無聲”的安全管理目標(biāo)立項(xiàng)報(bào)告代碼BOMPDM資產(chǎn)清單IT環(huán)境員工PC安全控制要素增加項(xiàng)目屬性“是否關(guān)鍵項(xiàng)目”??PDM系統(tǒng)需對關(guān)鍵項(xiàng)目源代碼的訪問范圍設(shè)置進(jìn)行校驗(yàn),如不得設(shè)置為全員可讀增加評審Checklist關(guān)于“是否關(guān)鍵項(xiàng)目”的判斷要求增加指南“關(guān)鍵項(xiàng)目”的判斷原則研發(fā)信息安全專員????檢查源代碼是否上載PDM檢查PDM授權(quán)是否符合要求檢查員工PC上的源代碼是否刪除安全組織要上有支持下有支撐,持續(xù)運(yùn)營推動改進(jìn)CISO有向老板直接匯報(bào)的通道和權(quán)力各部門一把手是本部門信息安全的第一責(zé)任人公司信息安全監(jiān)管委員會信息安全部首席信息安全官CISO決策層管理層戰(zhàn)略市場研發(fā)體系銷服體系流程&IT體系戰(zhàn)略市場體系流程&IT信管辦研發(fā)體系信管辦銷服體系信管辦信管辦運(yùn)營商BG信管專員終端BG信管專員企業(yè)網(wǎng)BG信管專員亞太信管專員南太信管專員西歐信管專員……安全運(yùn)營推動整個體系持續(xù)改進(jìn)強(qiáng)大的技術(shù)支撐實(shí)現(xiàn)能力,形成安全威懾操作層技術(shù)實(shí)現(xiàn)層網(wǎng)絡(luò)安全部行政管理業(yè)務(wù)管理安全管控、安全服務(wù)、安全監(jiān)控三位一體打造管理落地的技術(shù)基石包含運(yùn)營解決方案的安全管控方案

導(dǎo)出:只有關(guān)鍵角色才能擁有包含關(guān)鍵信息資產(chǎn)關(guān)鍵屬性界面的導(dǎo)出權(quán)限,且只能在公司內(nèi)網(wǎng)指定地點(diǎn)使用客戶端進(jìn)行導(dǎo)出操作??刂泣c(diǎn)二:如何控制新增關(guān)鍵界面?控制點(diǎn)一:如何保證機(jī)要崗位人員在指定地點(diǎn)訪問?控制點(diǎn)三:如何控制新增機(jī)要角色和新增機(jī)要崗位人員?

打印:只提供對單張報(bào)表進(jìn)行打印的功能,無法對批量數(shù)據(jù)進(jìn)行打印安全運(yùn)營管控舉例:新增關(guān)鍵界面的管控方案新增刪除CRM關(guān)鍵界面清單新增CRM關(guān)鍵界面的管控方案上線后,發(fā)動全體業(yè)務(wù)人員發(fā)現(xiàn)關(guān)鍵界面,通過獎勵舉報(bào)的方式,消除死角信息安全科和項(xiàng)目組業(yè)務(wù)成員逐一檢查和審視所有界面解決存量風(fēng)險CRM上線解決新增風(fēng)險新配置界面會產(chǎn)生配置傳輸日志,定期對配置傳輸日志進(jìn)行審計(jì),通過審計(jì)配置傳輸日志能夠發(fā)現(xiàn)新建界面是否調(diào)用關(guān)鍵屬性安全服務(wù)提升運(yùn)營體驗(yàn)從而促成管控目標(biāo)的達(dá)成在服務(wù)中管控:需要通過良好的服務(wù)來降低安全對業(yè)務(wù)效率的影響。安全服務(wù)舉例:關(guān)鍵崗位人員一鍵式獲得關(guān)鍵權(quán)限?

一鍵式:業(yè)務(wù)人員只要提交一次申請即可獲得所有相關(guān)的資源?

安全職責(zé)告知:在申請流程中備注具體的安全管理要求和應(yīng)盡職責(zé)義務(wù),無須業(yè)務(wù)人員自行查找相關(guān)規(guī)定?

直接主管負(fù)責(zé)制:直接主管對授權(quán)負(fù)責(zé),無須多層審批安全監(jiān)控是建立安全威懾的重要保障關(guān)鍵崗位張三用賬號zhangsan登陸CRM,進(jìn)入客戶管理界面,搜索“客戶360信息”,之后批量導(dǎo)出到excel文檔,然后發(fā)送給主管李四。目錄1234需求及解決方案機(jī)要信息資產(chǎn)識別與管控安全運(yùn)營保障方案成果展示安全運(yùn)營藍(lán)圖:一個團(tuán)隊(duì)、一份報(bào)告安全運(yùn)營機(jī)制安全運(yùn)營報(bào)告安全運(yùn)營團(tuán)隊(duì)評估、指導(dǎo)、監(jiān)控業(yè)務(wù)人員在業(yè)務(wù)流程中對關(guān)鍵信息資產(chǎn)的使用,每月向公司管理層匯報(bào)關(guān)鍵信息資產(chǎn)安全狀況。運(yùn)營

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論