大型集團(tuán)公司信息安全整體規(guī)劃方案相關(guān)兩份資料

1報告目錄信息安全建設(shè)需求分析信息安全建設(shè)藍(lán)圖規(guī)劃信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實(shí)施排序開展信息安全建設(shè)工作藍(lán)圖信息安全建設(shè)方案設(shè)計(jì)成果說明開展信息安全建設(shè)藍(lán)圖開展信息安全建設(shè)工作藍(lán)圖梳理建設(shè)工作實(shí)施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入附件信息安全建設(shè)方案內(nèi)容說明信息安全需求細(xì)部說明信息安全建設(shè)工作任務(wù)績效指標(biāo)其他補(bǔ)充信息安全建設(shè)需求分析2信息安全建設(shè)需求分析信息安全建設(shè)藍(lán)圖規(guī)劃信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實(shí)施排序開展信息安全建設(shè)工作藍(lán)圖信息安全建設(shè)方案設(shè)計(jì)成果說明開展信息安全建設(shè)藍(lán)圖開展信息安全建設(shè)工作藍(lán)圖梳理建設(shè)工作實(shí)施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入華潤集團(tuán)信息安全現(xiàn)況調(diào)研基準(zhǔn)：

ISO27001:2013信息安全管理國際標(biāo)準(zhǔn)3供應(yīng)商關(guān)系Ch1.適用范圍(Scope)CH4.組織環(huán)境(ContextofOrganization)Ch2.規(guī)范性引用標(biāo)準(zhǔn)(Normativereferences)

Ch3.術(shù)語與定義(Termsanddefinitions)Ch5.領(lǐng)導(dǎo)力(Leadership)

Ch6.規(guī)劃(Planning)Ch7.支持(Support)Ch8.

運(yùn)行(Operation)控制域與控制措施信息安全方針信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全操作安全通信安全系統(tǒng)獲取、開發(fā)與維護(hù)A.5A.6A.7A.8A.9A.11A.12A.13A.14A.15Ch9.績效評估(Performanceevaluation)Ch10.

改進(jìn)(Improvement)A.10信息安全事件管理A.16業(yè)務(wù)連續(xù)性管理A.17合規(guī)性A.18`信息安全方針信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全合規(guī)性業(yè)務(wù)連續(xù)性管理的信息安全層面信息安全事件管理供應(yīng)商關(guān)系系統(tǒng)獲取、開發(fā)及維護(hù)通信安全操作安全信息安全管理制度ISO

27001:2013是目前國際上公認(rèn)的信息安全管理標(biāo)準(zhǔn)，它指引公司對于信息安全的議題，應(yīng)該關(guān)注14個信息安全管理域，對于信息安全的管理才完整信息安全的范疇：

對應(yīng)ISO27001:2013的14個信息安全管理域4人員/單位第三方服務(wù)廠商人員聘雇解雇績效管理人力資源調(diào)研顧客信息市場區(qū)隔營銷知識產(chǎn)權(quán)外包服務(wù)轉(zhuǎn)包第三方會計(jì)預(yù)算企業(yè)資源計(jì)劃財(cái)務(wù)合約

訴訟法務(wù)信息管理流程信息消費(fèi)勘察客戶關(guān)系管理銷售商品研發(fā)運(yùn)營戰(zhàn)略研發(fā)客戶信息個人身份信息客服運(yùn)營流程財(cái)務(wù)系統(tǒng)客戶關(guān)系管理系統(tǒng)…電銷系統(tǒng)POS系統(tǒng)人力資源系統(tǒng)應(yīng)用系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)倉庫文件服務(wù)器……數(shù)據(jù)存儲網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)辦公大樓(風(fēng)火水電)物理環(huán)境人員安全業(yè)務(wù)數(shù)據(jù)安全信息系統(tǒng)安全物理環(huán)境安全供應(yīng)商關(guān)系信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全操作安全信息安全方針系統(tǒng)獲取開發(fā)與維護(hù)合規(guī)性信息安全事件管理業(yè)務(wù)連續(xù)性管理通信安全華潤集團(tuán)在ISO27001:2013的14個信息安全管理域

的管理成熟度現(xiàn)況5初始級可重復(fù)級已定義級已管理級

可優(yōu)化級

*目前14個信息安全管理域中，共有10個域在初始級或是可重復(fù)級業(yè)務(wù)數(shù)據(jù)安全人員安全信息系統(tǒng)安全物理環(huán)境安全供應(yīng)商關(guān)系信息安全組織人力資源安全物理與環(huán)境安全資產(chǎn)管理(終端)訪問控制加密操作安全通信安全(網(wǎng)絡(luò))系統(tǒng)獲取、開發(fā)與維護(hù)信息安全事件管理信息安全方針業(yè)務(wù)連續(xù)性管理合規(guī)性項(xiàng)目團(tuán)隊(duì)透過調(diào)研活動所反饋到的信息安全主要發(fā)現(xiàn)事項(xiàng)

-依信息安全管理域分類6業(yè)務(wù)數(shù)據(jù)安全人員安全信息系統(tǒng)安全物理環(huán)境安全供應(yīng)商關(guān)系信息安全組織人力資源安全物理與環(huán)境安全資產(chǎn)管理(終端)訪問控制加密操作安全通信安全(網(wǎng)絡(luò))系統(tǒng)獲取、開發(fā)與維護(hù)信息安全事件管理信息安全方針業(yè)務(wù)連續(xù)性管理合規(guī)性[集團(tuán)]2個[SBU]3個[集團(tuán)]1個[SBU]2個[集團(tuán)]5個[SBU]3個[集團(tuán)]5個[SBU]9個[SBU]13個[SBU]2個[SBU]3個[集團(tuán)]3個[SBU]2個[集團(tuán)]2個[SBU]10個[集團(tuán)]6個[SBU]26個*本次調(diào)研匯整共97個主要發(fā)現(xiàn)事項(xiàng)，是指未符合ISO27001:2013的相關(guān)要求依據(jù)現(xiàn)況調(diào)研結(jié)果及分析，歸納出華潤集團(tuán)的

七個主要信息安全管理問題

7Q7目前對于終端設(shè)備的管控薄弱，終端設(shè)備可能成為集團(tuán)數(shù)據(jù)丟失的渠道或外部入侵的跳板資產(chǎn)管理(終端)Q6部分利潤中心在網(wǎng)絡(luò)層面的安全防御程度不足，在面對或外部網(wǎng)絡(luò)攻擊時可能影響到集團(tuán)層次通信安全Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運(yùn)維階段，尚有許多安全控制需要強(qiáng)化及落實(shí)，才能保證系統(tǒng)安全運(yùn)作系統(tǒng)獲取、開發(fā)與維護(hù)Q4信息系統(tǒng)缺乏審計(jì)紀(jì)錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復(fù)原能力需強(qiáng)化信息安全事件管理業(yè)務(wù)連續(xù)性管理Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實(shí)，信息系統(tǒng)面臨不當(dāng)取存的風(fēng)險訪問控制Q1集團(tuán)與利潤中心的信息安全責(zé)任邊界不清楚，部分安全工作與責(zé)任切分也未清楚劃分人力資源安全信息安全組織Q2以等保為核心的合規(guī)壓力加重，加上信息安全管理標(biāo)準(zhǔn)不清，造成部分安全工作執(zhí)行未到位合規(guī)性信息安全方針Q3訪問控制Q4事件應(yīng)變/災(zāi)備Q6網(wǎng)絡(luò)管控Q7終端管控Q5應(yīng)用系統(tǒng)安全根本原因歸納：由于安全權(quán)責(zé)不清，加上信息安全標(biāo)準(zhǔn)落實(shí)不彰，進(jìn)而衍生出其他執(zhí)行層面的問題(Q3~Q7)8Q2標(biāo)準(zhǔn)/合規(guī)Q1組織權(quán)責(zé)德勤建議先厘清信息安全權(quán)責(zé)邊界，并且建立完整的信息安全標(biāo)準(zhǔn)內(nèi)容，再透過設(shè)定實(shí)施改善計(jì)劃，逐一改善執(zhí)行面的其他問題組織面管理面技術(shù)面信息安全建設(shè)藍(lán)圖規(guī)劃9信息安全建設(shè)需求分析信息安全建設(shè)藍(lán)圖規(guī)劃信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實(shí)施排序開展信息安全建設(shè)工作藍(lán)圖信息安全建設(shè)方案設(shè)計(jì)成果說明開展信息安全建設(shè)藍(lán)圖開展信息安全建設(shè)工作藍(lán)圖梳理建設(shè)工作實(shí)施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入信息安全建設(shè)目標(biāo)梳理10信息安全建設(shè)目標(biāo)信息安全管理現(xiàn)況問題管理目標(biāo)：規(guī)范信息安全管理，合理控制信息安全風(fēng)險，支持信息化戰(zhàn)略目標(biāo)的實(shí)現(xiàn)Q7.終端管控Q1.組織權(quán)責(zé)Q2.標(biāo)準(zhǔn)/合規(guī)Q3.人員管控Q5.應(yīng)用系統(tǒng)安全Q6.網(wǎng)絡(luò)管控Q4.事件應(yīng)變/災(zāi)備信息安全建設(shè)目標(biāo)：降低信息安全現(xiàn)況問題所帶來的安全風(fēng)險及對業(yè)務(wù)運(yùn)營的影響，并可持續(xù)改善及落實(shí)控制的有效性信息安全建設(shè)藍(lán)圖規(guī)劃11信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍(lán)圖規(guī)劃信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實(shí)施排序開展信息安全建設(shè)工作藍(lán)圖信息安全建設(shè)方案設(shè)計(jì)成果說明開展信息安全建設(shè)藍(lán)圖開展信息安全建設(shè)工作藍(lán)圖梳理建設(shè)工作實(shí)施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入12345671234567P1.組織權(quán)責(zé)整改方案12對于信息安全需求的細(xì)部說明，請參考附件2

項(xiàng)次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q1集團(tuán)與利潤中心的信息安全責(zé)任邊界不清楚，部分安全工作與責(zé)任切分也未清楚劃分P1.組織權(quán)責(zé)整改方案梳理集團(tuán)與利潤中心信息安全責(zé)任邊界O1.信息安全職責(zé)分工設(shè)計(jì)信息安全管控模式界定集團(tuán)與利潤中心安全責(zé)任梳理信息系統(tǒng)生命周期中建設(shè)、運(yùn)維、用戶及安全人員的角色責(zé)任O1.信息安全職責(zé)分工定義信息系統(tǒng)生命周期信息安全工作角色權(quán)責(zé)：按“集團(tuán)信息安全標(biāo)準(zhǔn)”中的人員職責(zé)分工，劃清工作邊界設(shè)置信息安全組織O2.信息安全管理組織設(shè)置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員配備信息安全專職人員O3.信息安全管理員定期更新信息安全體系運(yùn)維任務(wù)欄表定義信息安全管理員工作職能設(shè)置信息安全管理員梳理集團(tuán)與利潤中心信息安全責(zé)任邊界O1.信息安全職責(zé)分工設(shè)計(jì)信息安全管控模式界定集團(tuán)與利潤中心安全責(zé)任1234567P1.組織權(quán)責(zé)整改方案–信息安全責(zé)任邊界(管理層)13信息安全執(zhí)行組信息安全決策委員會利潤中心集團(tuán)信息安全管理委員會信息安全專職人員基礎(chǔ)設(shè)施管理員應(yīng)用管理員終端管理團(tuán)隊(duì)管理層執(zhí)行層管理層：1、確定和細(xì)化通用性安全標(biāo)準(zhǔn)2、為管理范圍的安全建設(shè)配備資源3、對利潤中心進(jìn)行信息安全績效考核（考核標(biāo)準(zhǔn)，依每年安全建設(shè)任務(wù)確定）管理層：1、確定和細(xì)化行業(yè)特定安全標(biāo)準(zhǔn)2、為管理范圍內(nèi)的安全建設(shè)配備資源3、可對下屬企業(yè)進(jìn)行信息安全績效考核集團(tuán)規(guī)劃通用性安全標(biāo)準(zhǔn)，并考核利潤中心實(shí)施狀況利潤中心建立特定安全標(biāo)準(zhǔn)，并考核下屬企業(yè)實(shí)施狀況集團(tuán)（信息部）：充當(dāng)裁判員，制定集團(tuán)通用性安全標(biāo)準(zhǔn)利潤中心管理層：充當(dāng)裁判員，制定個性化安全標(biāo)準(zhǔn)(如銀行、電力、燃?xì)獾?1234567P1.組織權(quán)責(zé)整改方案–信息安全責(zé)任邊界（執(zhí)行層）14數(shù)據(jù)中心場地核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫利潤中心個性系統(tǒng)辦公場地/服務(wù)器機(jī)房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員服務(wù)器機(jī)房核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫集團(tuán)共性與個性系統(tǒng)辦公場地/服務(wù)器機(jī)房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員利潤中心集團(tuán)個性系統(tǒng)部分移交集團(tuán)統(tǒng)一運(yùn)維目前管理邊界個性化安全標(biāo)準(zhǔn)：各單位充當(dāng)運(yùn)動員：落實(shí)解決方案信息系統(tǒng)與基礎(chǔ)設(shè)施：配合網(wǎng)絡(luò)集中，廣域網(wǎng)絡(luò)統(tǒng)一出口，廣域網(wǎng)絡(luò)由集團(tuán)集中管理。放入新一代數(shù)據(jù)中心的應(yīng)用系統(tǒng)技術(shù)類建設(shè)模式，集團(tuán)以工作協(xié)同的方式，依服務(wù)目錄提供服務(wù)與參考方案。各單位按性價比決定采用哪種方案利潤中心仍需負(fù)責(zé)未放入新一代數(shù)據(jù)中心的應(yīng)用系統(tǒng)相關(guān)信息環(huán)境、局域網(wǎng)及終端的技術(shù)類建設(shè)工作。通用性安全標(biāo)準(zhǔn)：集團(tuán)（潤聯(lián)）充當(dāng)運(yùn)動員：落實(shí)解決方案信息系統(tǒng)與基礎(chǔ)設(shè)施：集團(tuán)作為服務(wù)方，以服務(wù)目錄的方向，向各單位提供集團(tuán)的統(tǒng)一方案各單位需要協(xié)同集團(tuán)的方案對于托管在集團(tuán)的個性系統(tǒng)，個性化要求如在服務(wù)目錄中，可以由集團(tuán)落實(shí)集團(tuán)可充當(dāng)教練員，以服務(wù)目錄的方式，向各單位提供集團(tuán)的統(tǒng)一方案1234567架構(gòu)師P1.組織權(quán)責(zé)整改方案–信息安全責(zé)任邊界

（執(zhí)行層按項(xiàng)目生命周期）15項(xiàng)目生命周期設(shè)計(jì)階段立項(xiàng)階段定義階段實(shí)現(xiàn)階段交付階段運(yùn)維階段廢棄階段項(xiàng)目組應(yīng)用系統(tǒng)管理員安全專職人員主責(zé)人員應(yīng)用、中間件、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)的安全檢查應(yīng)用安全運(yùn)維應(yīng)用系統(tǒng)廢棄數(shù)據(jù)庫安全設(shè)計(jì)中間件安全設(shè)計(jì)操作系統(tǒng)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)用系統(tǒng)安全需求分析應(yīng)用系統(tǒng)安全方案設(shè)計(jì)應(yīng)用系統(tǒng)開發(fā)測試安全/商業(yè)軟件選型應(yīng)用安全部署應(yīng)用系統(tǒng)安全方案設(shè)計(jì)1234567深化、細(xì)化現(xiàn)有管理規(guī)范滿足新技術(shù)發(fā)展的需求P1.組織權(quán)責(zé)整改方案–各單位建立信息安全管理組織持續(xù)推動16信息安全決策委員會信息安全執(zhí)行組信息安全組織信息安全管理委員會信息安全專職人員各系統(tǒng)的信息安全管理員各部室信息安全聯(lián)絡(luò)員人數(shù)由各單位根據(jù)本行業(yè)的業(yè)務(wù)特點(diǎn)、業(yè)務(wù)規(guī)模、信息系統(tǒng)的數(shù)量和復(fù)雜度等因素確定。由各系統(tǒng)管理員兼任。由部室領(lǐng)導(dǎo)指定核心骨干人員擔(dān)任。信息安全組織：要求集團(tuán)和各單位建立信息安全組織管理框架，以啟動和控制組織范圍內(nèi)的信息安全實(shí)施和運(yùn)行。1234567P2.標(biāo)準(zhǔn)/合規(guī)整改方案17對于信息安全需求的細(xì)部說明，請參考附件2

項(xiàng)次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q2以等保為核心的合規(guī)壓力加重，加上信息安全管理標(biāo)準(zhǔn)不清，造成部分安全工作執(zhí)行未到位P2.標(biāo)準(zhǔn)/合規(guī)整改方案實(shí)施信息安全規(guī)范培訓(xùn)與意識宣貫M3.培訓(xùn)與宣貫定期辦理信息安全管理員職能培訓(xùn)定期辦理在崗人員信息安全知識宣貫定期辦理新進(jìn)人員信息安全意識宣貫建立通用性的信息安全標(biāo)準(zhǔn)與基線M1.信息安全標(biāo)準(zhǔn)建立信息安全管理辦法：進(jìn)行通用性的信息安全標(biāo)準(zhǔn)制定定期審閱與更新信息安全管理辦法實(shí)施信息系統(tǒng)等級保護(hù)M2.信息系統(tǒng)等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)定級實(shí)施信息系統(tǒng)安全等級保護(hù)備案實(shí)施信息系統(tǒng)安全等級保護(hù)安全建設(shè)整改實(shí)施信息安全規(guī)范培訓(xùn)與意識宣貫M3.培訓(xùn)與宣貫定期辦理信息安全管理員職能培訓(xùn)定期辦理在崗人員信息安全知識宣貫定期辦理新進(jìn)人員信息安全意識宣貫1234567P2.標(biāo)準(zhǔn)與合規(guī)整改方案-建立通用性的信息安全標(biāo)準(zhǔn)與基線18華潤（集團(tuán)）有限公司信息安全管理辦法華潤（集團(tuán)）有限公司信息安全標(biāo)準(zhǔn)信息系統(tǒng)安全管控要求信息資產(chǎn)管理人力資源安全供應(yīng)商和外部人員管理信息安全事件管理合規(guī)性管理業(yè)務(wù)連續(xù)性管理數(shù)據(jù)存儲備份應(yīng)用系統(tǒng)安全要求數(shù)據(jù)庫安全要求中間件安全要求操作系統(tǒng)安全要求網(wǎng)絡(luò)安全要求物理安全要求終端安全要求附錄：IT設(shè)備安全基線要求操作系統(tǒng)安全基線要求Web中間件安全基線要求數(shù)據(jù)庫系統(tǒng)安全基線要求網(wǎng)絡(luò)設(shè)備安全基線要求信息系統(tǒng)安全組織與職責(zé)信息安全組織對外合作與溝通信息安全角色與職責(zé)：信息系統(tǒng)：人員管理：終端1234567P2.標(biāo)準(zhǔn)與合規(guī)整改方案-實(shí)施信息系統(tǒng)等級保護(hù)191234567系統(tǒng)識別與描述等級確定定級保護(hù)對象框架建立選擇和調(diào)整安全措施安全規(guī)劃與方案設(shè)計(jì)安全措施實(shí)施等級評估符合等級保護(hù)要求？規(guī)劃與設(shè)計(jì)運(yùn)行監(jiān)控與改進(jìn)符合等級保護(hù)要求？是否實(shí)施、等級評估與改進(jìn)否是2015年底前集團(tuán)總部與利潤中心完成等保定級與備案。2016年底前集團(tuán)總部與利潤中心針對等保三級以上系統(tǒng)需完成整改與等保測評。P3.人員管控整改方案項(xiàng)次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實(shí)，信息系統(tǒng)面臨不當(dāng)取存的風(fēng)險P3.人員管控整改方案信息系統(tǒng)帳號權(quán)限審閱納入人員調(diào)離崗作業(yè)M4.人員安全管理簽署人員保密協(xié)議:職前背景調(diào)查、保密協(xié)議定期實(shí)施人員信息系統(tǒng)帳戶與權(quán)限復(fù)核：職前、職中、職后定期實(shí)施LDAP與個性系統(tǒng)帳號權(quán)限審閱T4.操作系統(tǒng)安全實(shí)施LDAP與個性系統(tǒng)帳號權(quán)限針對未經(jīng)授權(quán)或異常賬號進(jìn)行刪除或停用20對于信息安全需求的細(xì)部說明，請參考附件2

1234567P3.人員管控整改方案–信息系統(tǒng)帳號權(quán)限審閱211234567用人部門確定任用人員到崗確認(rèn)帳號權(quán)限人員調(diào)崗人員離崗人力資源部門發(fā)布到崗?fù)ㄖl(fā)布調(diào)崗?fù)ㄖl(fā)布離崗?fù)ㄖ畔⒐芾聿块T接收到崗?fù)ㄖ_認(rèn)帳號權(quán)限移除帳號權(quán)限HR系統(tǒng)LDAP開立帳號設(shè)置帳號/權(quán)限調(diào)整人員屬性停用帳號/權(quán)限與HR系統(tǒng)同步與HR系統(tǒng)同步與HR系統(tǒng)同步與LDAP介接之個性系統(tǒng)與LDAP同步與LDAP同步與LDAP同步未與LDAP介接之個性系統(tǒng)開立帳號設(shè)置帳號/權(quán)限停用帳號/權(quán)限發(fā)布調(diào)崗?fù)ㄖ_認(rèn)帳號權(quán)限是否調(diào)整帳號權(quán)限審核調(diào)整帳號權(quán)限與LDAP同步調(diào)整帳號/權(quán)限帳號權(quán)限審核P4.事件應(yīng)變/災(zāi)備整改方案–總覽項(xiàng)次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q4信息系統(tǒng)缺乏審計(jì)紀(jì)錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復(fù)原能力需強(qiáng)化P4.事件應(yīng)變/災(zāi)備整改方案實(shí)施信息系統(tǒng)安全日志集中留存M6.信息安全事件管理信息系統(tǒng)及基礎(chǔ)設(shè)施安全日志異地留存至數(shù)據(jù)中心SIEM平臺實(shí)施信息系統(tǒng)安全日志事件分析M6.信息安全事件管理定期檢視SIEM平臺安全事件建立SIEM平臺安全監(jiān)控策略建立緊急聯(lián)系清單及通報程序:包含信息安全事件報告、應(yīng)急處理和原因調(diào)查建立信息資產(chǎn)分級與管控機(jī)制M5.信息資產(chǎn)管理定期實(shí)施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實(shí)施信息系統(tǒng)安全風(fēng)險評估：進(jìn)行定期信息安全檢查和加固方案制定或更新信息系統(tǒng)應(yīng)急預(yù)案M7.業(yè)務(wù)連續(xù)性與災(zāi)備定期審閱與更新信息系統(tǒng)災(zāi)備方案定期審閱與更新信息系統(tǒng)應(yīng)急預(yù)案建立業(yè)務(wù)連續(xù)性計(jì)畫(BCP)：包含同城災(zāi)備中心建設(shè)規(guī)劃/異地災(zāi)備中心建設(shè)規(guī)劃實(shí)施信息系統(tǒng)應(yīng)急預(yù)案演練M7.業(yè)務(wù)連續(xù)性與災(zāi)備定期實(shí)施信息系統(tǒng)應(yīng)急預(yù)案22對于信息安全需求的細(xì)部說明，請參考附件2

1234567P4.事件應(yīng)變/災(zāi)備整改方案–信息系統(tǒng)安全日志集中留存與分析23遠(yuǎn)程管理即時監(jiān)控告警進(jìn)階事件分析事件管理介面信息安全知識庫SIEM控制臺信息系統(tǒng)漏洞通報信息安全事件通報外部資源事件關(guān)聯(lián)平臺收集器事件管理系統(tǒng)信息資產(chǎn)管理系統(tǒng)報表系統(tǒng)信息安全事件響應(yīng)平臺電子郵件短信告警系統(tǒng)SIEM管理後臺SIEM平臺數(shù)據(jù)庫信息安全設(shè)備服務(wù)器網(wǎng)絡(luò)設(shè)備信息系統(tǒng)信息安全管理員安全組HTTPS/HTTPSMSSMTP集團(tuán)總部利潤中心配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，信息系統(tǒng)安全日志留存由集團(tuán)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，信息系統(tǒng)安全日志事件分析由集團(tuán)集中處理與告警，利潤中心負(fù)責(zé)事件響應(yīng)、處理與通報123456724P4.事件應(yīng)變/災(zāi)備整改方案–制定或更新信息系統(tǒng)應(yīng)急預(yù)案1234567業(yè)務(wù)復(fù)原優(yōu)先級業(yè)務(wù)所需資源演練情境執(zhí)行回復(fù)之程序業(yè)務(wù)沖擊分析RTO復(fù)原時間目標(biāo)風(fēng)險評估威脅種類備份策略RPO數(shù)據(jù)回復(fù)目標(biāo)業(yè)務(wù)所需最小資源資產(chǎn)造成損害之機(jī)率信息系統(tǒng)應(yīng)急預(yù)案系統(tǒng)復(fù)原優(yōu)先級系統(tǒng)所需之軟硬件資源系統(tǒng)回復(fù)之程序系統(tǒng)備份策略信息系統(tǒng)災(zāi)備需考慮軟硬件可能之建置時間依應(yīng)急預(yù)案回復(fù)程序執(zhí)行演練P5.應(yīng)用系統(tǒng)安全整改方案項(xiàng)次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運(yùn)維階段，尚有許多安全控制需要強(qiáng)化及落實(shí)，才能保證系統(tǒng)安全運(yùn)作P5.應(yīng)用系統(tǒng)安全整改方案建立覆蓋信息系統(tǒng)生命周期的信息安全標(biāo)準(zhǔn)與基線M1.信息安全標(biāo)準(zhǔn)建立共通性的信息安全標(biāo)準(zhǔn)與基線：銀行、資產(chǎn)、電力、醫(yī)藥等單位進(jìn)行個性化信息安全標(biāo)準(zhǔn)制定定期審閱與更新信息安全管理辦法建立信息資產(chǎn)分級與管控機(jī)制M5.信息資產(chǎn)管理定期實(shí)施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期檢視與調(diào)整信息資產(chǎn)分級定期實(shí)施系統(tǒng)帳號審閱T4.操作系統(tǒng)安全實(shí)施個性系統(tǒng)帳號審閱針對未經(jīng)授權(quán)或異常賬號進(jìn)行刪除或停用實(shí)施數(shù)據(jù)脫敏機(jī)制T3.數(shù)據(jù)庫/中間件安全評估數(shù)據(jù)脫敏實(shí)施需求強(qiáng)化測試環(huán)境安全管控建立測試模擬數(shù)據(jù)或數(shù)據(jù)脫敏工具定期實(shí)施信息信息系統(tǒng)安全檢測T2.應(yīng)用系統(tǒng)安全定期實(shí)施信息系統(tǒng)安全檢測定期實(shí)施信息系統(tǒng)整改方案25對于信息安全需求的細(xì)部說明，請參考附件2

1234567P5.應(yīng)用系統(tǒng)安全整改方案–信息系統(tǒng)生命周期的安全管理工作26信息系統(tǒng)生命周期設(shè)計(jì)階段實(shí)現(xiàn)階段定義階段立項(xiàng)階段廢棄階段運(yùn)維階段項(xiàng)目組/應(yīng)用管理員基礎(chǔ)設(shè)施管理團(tuán)隊(duì)數(shù)據(jù)庫安全設(shè)計(jì)安全需求調(diào)研和定義開發(fā)測試安全商業(yè)軟件安全選型應(yīng)用安全部署安全方案設(shè)計(jì)應(yīng)用安全運(yùn)維應(yīng)用安全廢棄數(shù)據(jù)存儲備份數(shù)據(jù)庫管理員數(shù)據(jù)庫安全部署數(shù)據(jù)庫安全運(yùn)維數(shù)據(jù)庫安全回收存儲備份管理員中間件管理員操作系統(tǒng)管理員網(wǎng)絡(luò)管理員場地管理員中間件安全設(shè)計(jì)中間件安全部署中間件安全運(yùn)維中間件安全回收操作系統(tǒng)安全設(shè)計(jì)操作系統(tǒng)安全部署操作系統(tǒng)安全運(yùn)維操作系統(tǒng)安全廢棄網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全建設(shè)網(wǎng)絡(luò)安全運(yùn)維網(wǎng)絡(luò)設(shè)備安全廢棄場地安全設(shè)計(jì)場地安全建設(shè)場地安全運(yùn)維信息安全專職人員安全方案協(xié)同設(shè)計(jì)或評審上線前安全檢查定期安全檢查介質(zhì)消磁安全事件發(fā)現(xiàn)與處理存儲備份系統(tǒng)配置數(shù)據(jù)存儲備份方案設(shè)計(jì)數(shù)據(jù)安全廢棄場地安全廢棄1234567P6.網(wǎng)絡(luò)管控整改方案項(xiàng)次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q6部分利潤中心在網(wǎng)絡(luò)層面的安全防御程度不足，在面對或外部網(wǎng)絡(luò)攻擊時可能影響到集團(tuán)層次

P6.網(wǎng)絡(luò)管控整改方案建置外網(wǎng)新一代防火墻或入侵防御系統(tǒng)T5.網(wǎng)絡(luò)安全建設(shè)外網(wǎng)新一代防火墻或入侵防御系統(tǒng)布署終端防病毒軟件T6.終端安全實(shí)現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新布署終端數(shù)據(jù)防泄漏T6.終端安全實(shí)施終端安全整改，實(shí)現(xiàn)終端數(shù)據(jù)防泄漏安裝全覆蓋，至少包含外設(shè)管控、硬盤加密等定期實(shí)施終端系統(tǒng)漏洞檢測T6.終端安全定期實(shí)施終端系統(tǒng)漏洞檢測定期實(shí)施終端系統(tǒng)補(bǔ)丁更新建置內(nèi)網(wǎng)新一代防火墻T5.網(wǎng)絡(luò)安全評估內(nèi)網(wǎng)網(wǎng)絡(luò)傳輸管道安全風(fēng)險實(shí)現(xiàn)內(nèi)網(wǎng)與下屬公司各網(wǎng)絡(luò)端口新一代防火墻全覆蓋實(shí)施生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔T5.網(wǎng)絡(luò)安全評估生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)傳輸管道安全風(fēng)險實(shí)現(xiàn)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)端口網(wǎng)關(guān)全覆蓋27對于信息安全需求的細(xì)部說明，請參考附件2

1234567P6.網(wǎng)絡(luò)管控整改方案–利潤中心內(nèi)網(wǎng)新一代防火墻28利潤中心下屬公司互聯(lián)網(wǎng)出口集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司局域網(wǎng)利潤中心下屬公司仍保有獨(dú)立對外互聯(lián)網(wǎng)者，利潤中心需評估利潤中心與下屬公司間的網(wǎng)絡(luò)傳輸需求。如利潤中心與下屬公司仍需通過網(wǎng)絡(luò)傳輸數(shù)據(jù)或使用利潤中心系統(tǒng)，利潤中心需建設(shè)內(nèi)網(wǎng)新一代防火墻。集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)現(xiàn)況問題整改方案病毒惡意軟件APT病毒惡意軟件APT1234567P6.網(wǎng)絡(luò)管控整改方案–生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔29集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)如利潤中心自行運(yùn)維的個性系統(tǒng)為面向客戶提供服務(wù)、行業(yè)監(jiān)管要求需區(qū)隔生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)及與生產(chǎn)制造相關(guān)系統(tǒng)者，利潤中心需評估辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)間的網(wǎng)絡(luò)傳輸需求，并實(shí)施生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔。生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔需采用防火墻劃分，生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)間的訪問控制需依梳理結(jié)果設(shè)置於防火墻。集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)辦公網(wǎng)絡(luò)現(xiàn)況問題整改方案病毒惡意軟件APT辦公設(shè)備生產(chǎn)系統(tǒng)擴(kuò)散生產(chǎn)網(wǎng)絡(luò)病毒惡意軟件APT1234567集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)P6.網(wǎng)絡(luò)管控整改方案–終端防病毒軟件30現(xiàn)況問題整改方案病毒惡意軟件APT集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)病毒惡意軟件APT

區(qū)域功能需求集中管控功能單機(jī)版本免費(fèi)軟件利潤中心總部VXX利潤中心下屬公司VXX利潤中心下屬公司外點(diǎn)(門店或營銷網(wǎng)點(diǎn))視需選用VX1234567P6.網(wǎng)絡(luò)管控整改方案–數(shù)據(jù)防泄漏31集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司辦公環(huán)境現(xiàn)況問題設(shè)備丟失U磐云盤共享集團(tuán)互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司辦公環(huán)境整改方案硬盤加密外設(shè)管控上網(wǎng)管理文檔審計(jì)文檔加密1234567P7.終端管控整改方案項(xiàng)次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q7目前對于終端設(shè)備的管控薄弱，終端設(shè)備可能成為集團(tuán)數(shù)據(jù)丟失的渠道或外部入侵的跳板P7.終端管控整改方案移除用戶本地權(quán)限T6.終端安全評估終端用戶使用行為要求終端用戶需加入域管控收回用戶本地最高權(quán)限強(qiáng)制啟用智能終端安全配置T6.終端安全實(shí)施智能終端安全解決方案設(shè)計(jì)智能終端管理準(zhǔn)則加入用戶智能終端與生效設(shè)計(jì)終端數(shù)據(jù)備份方案T1.數(shù)據(jù)安全評估終端數(shù)據(jù)備份解決方案終端數(shù)據(jù)解決方案建置實(shí)施實(shí)施內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入T5.網(wǎng)絡(luò)安全建立內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入解決方案盤點(diǎn)內(nèi)網(wǎng)網(wǎng)絡(luò)使用資源內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入管控生效建立用戶終端安全配置基線T6.終端安全定期實(shí)施終端安全檢測定期實(shí)施終端安全整改:實(shí)現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新終端用戶權(quán)限調(diào)整（由本地管理員權(quán)限調(diào)為普通用戶權(quán)限）硬盤加密，防止終端丟失時產(chǎn)生數(shù)據(jù)泄露對智能終端存儲的業(yè)務(wù)數(shù)據(jù)加密存儲，在終端丟失時，可以遠(yuǎn)程安全擦除業(yè)務(wù)數(shù)據(jù)(MDM)32對于信息安全需求的細(xì)部說明，請參考附件2

1234567P7.終端管控整改方案–移除用戶本地權(quán)限33通過用戶本地最大權(quán)限現(xiàn)況問題整改方案域管理配置防病毒軟件預(yù)設(shè)安全配置未授權(quán)軟件變更系統(tǒng)配置防止用戶端強(qiáng)制加入域并移除用戶本地最大權(quán)限域管理配置防病毒軟件預(yù)設(shè)安全配置未授權(quán)軟件變更系統(tǒng)配置用戶本地環(huán)境數(shù)據(jù)中心局域網(wǎng)用戶本地環(huán)境數(shù)據(jù)中心局域網(wǎng)禁止禁止移除安裝病毒惡意軟件APT破壞病毒惡意軟件APT

1234567P7.終端管控整改方案–智能終端強(qiáng)制啟用安全配置34現(xiàn)況問題集團(tuán)互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)服務(wù)器智能手機(jī)平板電腦推信丟失惡意軟件窺探配合網(wǎng)絡(luò)集中，廣域網(wǎng)絡(luò)統(tǒng)一出口，由集團(tuán)總部集中管理。配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，智能終端存取配置由集團(tuán)總部統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)。丟失惡意軟件窺探

集團(tuán)互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)服務(wù)器智能手機(jī)平板電腦推信整改方案強(qiáng)制設(shè)置開碼啟用遠(yuǎn)程數(shù)據(jù)清除不符合的設(shè)備禁止取存服務(wù)推信1234567P7.終端管控整改方案–實(shí)施內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入35現(xiàn)況問題整改方案集團(tuán)互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境未安裝防病毒軟件未加入域未安裝補(bǔ)丁未安裝防病毒軟件未加入域未安裝補(bǔ)丁集團(tuán)互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境

配合網(wǎng)絡(luò)集中，廣域網(wǎng)絡(luò)統(tǒng)一出口，由集團(tuán)總部集中管理。配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入方案由集團(tuán)總部統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)。在新一代數(shù)據(jù)中心建成前的過渡期間，利潤中心仍需評估更新或新增內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入方案。實(shí)施網(wǎng)絡(luò)準(zhǔn)入，禁止不符合規(guī)定的設(shè)備使用集團(tuán)網(wǎng)絡(luò)1234567P7.終端管控整改方案–終端數(shù)據(jù)備份方案36現(xiàn)況問題整改方案集團(tuán)互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境部門自行架設(shè)網(wǎng)盤U盤集團(tuán)互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境丟失毀損部門自行架設(shè)網(wǎng)盤U盤

終端數(shù)據(jù)備份方案丟失毀損1234567信息安全現(xiàn)況問題、建設(shè)方案與工作任務(wù)對應(yīng)37Q1Q2Q3Q4Q5Q6Q7P7.終端管控整改方案P1.標(biāo)準(zhǔn)/合規(guī)整改方案P2.組織權(quán)責(zé)整改方案P3.人員管控整改方案P5.應(yīng)用系統(tǒng)安全整改方案P6.網(wǎng)絡(luò)管控整改方案P4.事件應(yīng)變/災(zāi)備整改方案T6.終端安全T1.數(shù)據(jù)安全T5.網(wǎng)絡(luò)安全M1.信息安全標(biāo)準(zhǔn)M2.信息系統(tǒng)等級保護(hù)M3.培訓(xùn)與宣貫O1.信息安全職責(zé)分工O2.信息安全管理組織O3.信息安全管理員M4.人員安全管理T4.操作系統(tǒng)安全M5.信息資產(chǎn)管理T3.數(shù)據(jù)庫/中間件安全M6.信息安全事件管理M7.業(yè)務(wù)連續(xù)性與災(zāi)備T2.應(yīng)用系統(tǒng)安全組織管理技術(shù)問題建設(shè)方案建設(shè)方案工作任務(wù)信息安全建設(shè)方案總覽(續(xù))38M7、業(yè)務(wù)連續(xù)性與災(zāi)備管理O2、信息安全管理組織組織技術(shù)M2、信息系統(tǒng)等級保護(hù)M6、信息安全事件管理M3、培訓(xùn)與宣貫M1、信息安全標(biāo)準(zhǔn)M5、信息資產(chǎn)管理O3、信息安全管理員O1、信息安全職責(zé)分工T3、數(shù)據(jù)庫/中間件安全T5、終端安全T2、應(yīng)用系統(tǒng)安全T4、操作系統(tǒng)安全T1、數(shù)據(jù)安全T6、網(wǎng)絡(luò)安全M4、人員安全管理P7.終端管控整改方案P1.標(biāo)準(zhǔn)/合規(guī)整改方案P2.組織權(quán)責(zé)整改方案P3.人員管控整改方案P5.應(yīng)用系統(tǒng)安全整改方案P6.網(wǎng)絡(luò)管控整改方案P4.事件應(yīng)變/災(zāi)備整改方案信息安全建設(shè)目標(biāo)：降低信息安全現(xiàn)況問題所帶來的安全風(fēng)險及對業(yè)務(wù)運(yùn)營的影響，并可持續(xù)改善及落實(shí)控制的有效性信息安全建設(shè)藍(lán)圖規(guī)劃39信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍(lán)圖規(guī)劃信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實(shí)施排序開展信息安全建設(shè)工作藍(lán)圖信息安全建設(shè)方案設(shè)計(jì)成果說明開展信息安全建設(shè)藍(lán)圖開展信息安全建設(shè)工作藍(lán)圖梳理建設(shè)工作實(shí)施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入梳理信息安全建設(shè)路徑規(guī)劃原則40不需要額外投入、投入較少的安全要求先實(shí)施；人員安全管理：保密協(xié)議、培訓(xùn)、安全知識宣貫；終端用戶權(quán)限改為普通用戶權(quán)限，減少病毒危害（通過AD策略實(shí)現(xiàn)）終端補(bǔ)丁管理：架設(shè)補(bǔ)丁服務(wù)器，或通過互聯(lián)網(wǎng)直接升級；優(yōu)先實(shí)施最基礎(chǔ)的、緊迫度高的安全要求先實(shí)施：發(fā)生過安全事件的：終端防病毒U盤等外設(shè)控制網(wǎng)絡(luò)準(zhǔn)入網(wǎng)絡(luò)攻擊檢測有利于發(fā)現(xiàn)和避免重大安全事件的：開啟系統(tǒng)審計(jì)日志（個別系統(tǒng)日志審計(jì)未開啟或日志保存時間過短）安全檢查和整改評估計(jì)算原則：類別人力需求預(yù)算需求復(fù)雜度迫切性比重10%30%20%40%說明人力投入需求分為三級。<1分最高>預(yù)算投入需求分為三級。<1分最高>方案執(zhí)行復(fù)雜度分為三級。<1分最高>方案實(shí)施迫切性分為三級。<3分最高>梳理信息安全建設(shè)路徑規(guī)劃原則(續(xù))41數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施終端互聯(lián)網(wǎng)個性系統(tǒng)辦公環(huán)境核心網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施終端核心網(wǎng)絡(luò)互聯(lián)網(wǎng)個性協(xié)同辦公環(huán)境數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施終端核心網(wǎng)絡(luò)互聯(lián)網(wǎng)共性系統(tǒng)辦公環(huán)境場地基礎(chǔ)設(shè)施場地基礎(chǔ)設(shè)施場地基礎(chǔ)設(shè)施利潤中心機(jī)房數(shù)據(jù)中心機(jī)房數(shù)據(jù)中心機(jī)房信息系統(tǒng)類型終端地點(diǎn)應(yīng)用系統(tǒng)與基礎(chǔ)設(shè)施信息系統(tǒng)地點(diǎn)終端互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)核心網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施互聯(lián)網(wǎng)大運(yùn)維服務(wù)機(jī)房信息安全建設(shè)方案優(yōu)先序分析人力需求10%<1分最高>預(yù)算需求30%<1分最高>復(fù)雜度20%<1分最高>迫切性40%<3分最高>總分優(yōu)先序P1.組織權(quán)責(zé)整改方案33132.61P2.標(biāo)準(zhǔn)/合規(guī)整改方案23132.52P3.人員管控整改方案13222.25P4.事件應(yīng)變/災(zāi)備整改方案32322.34P5.應(yīng)用系統(tǒng)整改方案21221.77P6.網(wǎng)絡(luò)管控整改方案32222.16P7.終端管控整改方案32232.5342確立信息安全演進(jìn)路線43第三方單位人員實(shí)施層面：繼續(xù)推廣，擴(kuò)大推廣范圍，各單位將種子單位的經(jīng)驗(yàn)在本單位內(nèi)推廣，推廣的下屬企業(yè)數(shù)量達(dá)80%以上效果要求：推廣單位的信息安全成熟度達(dá)到3級水平建設(shè)規(guī)劃階段（14年底）體系試點(diǎn)階段（2015-2016）體系推廣階段（2017-2020）管理邊界：確定集團(tuán)與利潤中心信息安全管理邊界標(biāo)準(zhǔn)與規(guī)劃：設(shè)計(jì)通用性信息安全標(biāo)準(zhǔn),制定信息安全建設(shè)規(guī)劃,并完成對各單位信息管理部門的宣貫組織建設(shè)：各單位建議安全組織、配備信息安全專職人員標(biāo)準(zhǔn)：個別單位依監(jiān)管要求，制定個性化安全標(biāo)準(zhǔn)實(shí)施層面：落實(shí)“基礎(chǔ)級”的安全要求，解決最緊迫度高的安全問題，特別是發(fā)生過安全事件的如終端防病毒、U盤控制、網(wǎng)絡(luò)攻擊檢測，及不需要額外投入的安全要求，如保密協(xié)議，安全培訓(xùn)、開啟系統(tǒng)審計(jì)日志、安全檢查和加固落實(shí)策略：各單位在本單位選擇1-2種子單位進(jìn)行試點(diǎn)落實(shí)實(shí)施層面：繼續(xù)推廣落實(shí)信息安全標(biāo)準(zhǔn)與基線的安全要求；落實(shí)策略：各單位將種子單位的經(jīng)驗(yàn)在本單位內(nèi)推廣，推廣的下屬企業(yè)數(shù)量達(dá)40%-50%；效果要求：推廣單位的信息安全成熟度達(dá)到3級水平2016年底2018年底2014年底2020年底信息安全建設(shè)藍(lán)圖規(guī)劃44信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍(lán)圖規(guī)劃信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實(shí)施排序開展信息安全建設(shè)工作藍(lán)圖信息安全建設(shè)方案設(shè)計(jì)成果說明開展信息安全建設(shè)藍(lán)圖開展信息安全建設(shè)工作藍(lán)圖梳理建設(shè)工作實(shí)施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入開展信息安全建設(shè)工作藍(lán)圖年度試點(diǎn)階段推廣階段201520162017201820192020建設(shè)方案Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4P1.組織權(quán)責(zé)整改方案P2.標(biāo)準(zhǔn)/合規(guī)整改方案P3.人員管控整改方案P4.事件應(yīng)變/災(zāi)備整改方案P5.應(yīng)用系統(tǒng)整改方案P6.網(wǎng)絡(luò)管控整改方案P7.終端管控整改方案建立組織各單位持續(xù)落實(shí)建立標(biāo)準(zhǔn)持續(xù)落實(shí)集團(tuán)試點(diǎn)與布建集團(tuán)試點(diǎn)實(shí)施與推廣集團(tuán)實(shí)施各單位持續(xù)落實(shí)集團(tuán)推廣與方案優(yōu)化各單位按需實(shí)施制定標(biāo)準(zhǔn)細(xì)化安全標(biāo)準(zhǔn)與落實(shí)45目前針對P1與P2建設(shè)方案，己經(jīng)由德勤與華潤集團(tuán)項(xiàng)目成員共同完成設(shè)計(jì)工作，將于后面章節(jié)細(xì)部說明開展信息安全建設(shè)工作藍(lán)圖–

設(shè)計(jì)信息安全建設(shè)實(shí)施路線(集團(tuán)總部)46建設(shè)方案工作任務(wù)201520162017201820192020P1.組織權(quán)責(zé)整改方案O1.信息安全職責(zé)分工O2.信息安全管理組織O3.信息安全管理員P2.標(biāo)準(zhǔn)/合規(guī)整改方案M3.培訓(xùn)與宣貫

M1.信息安全標(biāo)準(zhǔn)M2.信息系統(tǒng)等級保護(hù)P3.人員管控整改方案M4.人員安全管理

T4.操作系統(tǒng)安全

P4.事件應(yīng)變與災(zāi)備整改方案M6.信息安全事件管理M5.信息資產(chǎn)管理M7.業(yè)務(wù)連續(xù)性與災(zāi)備P5.應(yīng)用系統(tǒng)安全整改方案M1.信息安全標(biāo)準(zhǔn)

M5.信息資產(chǎn)管理T4.操作系統(tǒng)安全T3.數(shù)據(jù)庫/中間件安全

T2.應(yīng)用系統(tǒng)安全

P6.網(wǎng)絡(luò)管控整改方案T6.網(wǎng)絡(luò)安全T5.終端安全

P7.終端安全整改方案T5.終端安全

T1.數(shù)據(jù)安全

T6.網(wǎng)絡(luò)安全

開展信息安全建設(shè)工作藍(lán)圖–

設(shè)計(jì)信息安全建設(shè)實(shí)施路線(利潤中心)47建設(shè)方案工作任務(wù)201520162017201820192020P1.組織權(quán)責(zé)整改方案O1.信息安全職責(zé)分工O2.信息安全管理組織O3.信息安全管理員P2.標(biāo)準(zhǔn)/合規(guī)整改方案M3.培訓(xùn)與宣貫

M1.信息安全標(biāo)準(zhǔn)M2.信息系統(tǒng)等級保護(hù)P3.人員管控整改方案M4.人員安全管理

T4.操作系統(tǒng)安全

P4.事件應(yīng)變與災(zāi)備整改方案M6.信息安全事件管理M5.信息資產(chǎn)管理M7.業(yè)務(wù)連續(xù)性與災(zāi)備P5.應(yīng)用系統(tǒng)安全整改方案M1.信息安全標(biāo)準(zhǔn)

M5.信息資產(chǎn)管理T4.操作系統(tǒng)安全T3.數(shù)據(jù)庫/中間件安全

T2.應(yīng)用系統(tǒng)安全

P6.網(wǎng)絡(luò)管控整改方案T6.網(wǎng)絡(luò)安全T5.終端安全

P7.終端安全整改方案T5.終端安全

T1.數(shù)據(jù)安全

T6.網(wǎng)絡(luò)安全

信息安全建設(shè)方案說明48信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍(lán)圖規(guī)劃信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實(shí)施排序開展信息安全建設(shè)工作藍(lán)圖信息安全建設(shè)方案設(shè)計(jì)成果說明開展信息安全建設(shè)藍(lán)圖開展信息安全建設(shè)工作藍(lán)圖梳理建設(shè)工作實(shí)施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標(biāo)梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入P1.組織權(quán)責(zé)整改方案-信息安全管理什么？49著重于業(yè)務(wù)層面的數(shù)據(jù)保密與數(shù)據(jù)質(zhì)量如：數(shù)據(jù)保密數(shù)據(jù)質(zhì)量….保密管理部門業(yè)務(wù)部門著重于人員職前職中職后的要求如：聘雇前背景調(diào)查保密協(xié)議離職前回收…人力資源管理部門著重于信息系統(tǒng)生命周期安全管控如：場地基礎(chǔ)設(shè)施安全I(xiàn)T基礎(chǔ)設(shè)施安全應(yīng)用系統(tǒng)安全…信息管理部門著重于物理環(huán)境安全之管控如：物理門禁管控外部人員訪問…..物理環(huán)境管理部門管理范疇負(fù)責(zé)單位集團(tuán)信息安全內(nèi)容業(yè)務(wù)數(shù)據(jù)安全人力資源安全信息系統(tǒng)安全物理環(huán)境安全透過四個領(lǐng)域：業(yè)務(wù)數(shù)據(jù)安全、人力資源安全、信息系統(tǒng)安全、物理環(huán)境安全的強(qiáng)化，確保信息安全管理目標(biāo)實(shí)現(xiàn)，并降低潛在風(fēng)險立項(xiàng)定義設(shè)計(jì)實(shí)現(xiàn)運(yùn)維廢棄用戶供應(yīng)商建設(shè)方運(yùn)維方P1.組織權(quán)責(zé)整改方案–信息系統(tǒng)安全的管理對象50數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施智能終端筆記本臺式機(jī)P1.組織權(quán)責(zé)整改方案-信息安全體系框架51ISO27001:2013信息安全管理國際標(biāo)準(zhǔn)最佳實(shí)務(wù)華潤集團(tuán)信息治理框架人員安全管理數(shù)據(jù)安全管理應(yīng)用系統(tǒng)安全管理數(shù)據(jù)庫/中間件安全管理操作系統(tǒng)安全管理終端安全管理場地基礎(chǔ)設(shè)施安全管理網(wǎng)絡(luò)安全管理行業(yè)監(jiān)管信息安全合規(guī)遵循信息安全績效評價與評審信息安全組織/管控模式信息安全事件管理信息系統(tǒng)的業(yè)務(wù)連續(xù)性管理供應(yīng)商安全管理信息安全管理標(biāo)準(zhǔn)/基線信息安全管理框架人員安全管理數(shù)據(jù)安全管理應(yīng)用系統(tǒng)安全管理數(shù)據(jù)庫/中間件安全管理操作系統(tǒng)安全管理終端安全管理場地基礎(chǔ)設(shè)施安全管理網(wǎng)絡(luò)安全管理行業(yè)監(jiān)管信息安全合規(guī)遵循信息安全績效評價與評審信息安全組織/管控模式信息安全事件管理信息系統(tǒng)的業(yè)務(wù)連續(xù)性管理供應(yīng)商安全管理信息安全管理標(biāo)準(zhǔn)/基線P1.組織權(quán)責(zé)整改方案-管理層工作邊界52信息安全執(zhí)行組信息安全決策委員會利潤中心集團(tuán)信息安全管理委員會信息安全專職人員基礎(chǔ)設(shè)施管理員應(yīng)用管理員終端管理團(tuán)隊(duì)管理層執(zhí)行層管理層：1、確定和細(xì)化通用性安全標(biāo)準(zhǔn)2、為管理范圍的安全建設(shè)配備資源3、對利潤中心進(jìn)行信息安全績效考核（考核標(biāo)準(zhǔn)，依每年安全建設(shè)任務(wù)確定）管理層：1、確定和細(xì)化行業(yè)特定安全標(biāo)準(zhǔn)2、為管理范圍內(nèi)的安全建設(shè)配備資源3、可對下屬企業(yè)進(jìn)行信息安全績效考核集團(tuán)規(guī)劃通用性安全標(biāo)準(zhǔn)，并考核利潤中心實(shí)施狀況利潤中心建立特定安全標(biāo)準(zhǔn)，并考核下屬企業(yè)實(shí)施狀況集團(tuán)（信息部）：充當(dāng)裁判員，制定集團(tuán)通用性安全要求利潤中心管理層：充當(dāng)裁判員，制定個性化標(biāo)準(zhǔn)(如銀行、電力、燃?xì)獾?P1.組織權(quán)責(zé)整改方案

-執(zhí)行層工作邊界（集團(tuán)執(zhí)行層）53數(shù)據(jù)中心場地核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L3、L4類系統(tǒng)辦公場地/服務(wù)器機(jī)房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員服務(wù)器機(jī)房核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L1、L2類系統(tǒng)辦公場地/服務(wù)器機(jī)房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員利潤中心集團(tuán)L3、L4類系統(tǒng)部分移交集團(tuán)統(tǒng)一運(yùn)維目前管理邊界未來管理邊界集團(tuán)以工作協(xié)同的方式，提供參考方案各單位按性價比決定采用哪種方案集團(tuán)充當(dāng)教練員，以服務(wù)目錄的方式，向各單位提供集團(tuán)的統(tǒng)一方案通用性安全標(biāo)準(zhǔn)：集團(tuán)（潤聯(lián)）充當(dāng)運(yùn)動員：落實(shí)解決方案集團(tuán)作為服務(wù)方，以服務(wù)目錄的方式，向各單位提供集團(tuán)的統(tǒng)一方案各單位需要協(xié)同集團(tuán)的方案P1.組織權(quán)責(zé)整改方案

-執(zhí)行層工作邊界（利潤中心執(zhí)行層）54數(shù)據(jù)中心場地核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L3、L4類系統(tǒng)辦公場地/服務(wù)器機(jī)房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員服務(wù)器機(jī)房核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L1、L2類系統(tǒng)辦公場地/服務(wù)器機(jī)房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員利潤中心集團(tuán)L3、L4類系統(tǒng)部分移交集團(tuán)統(tǒng)一運(yùn)維目前管理邊界未來管理邊界對于托管在集團(tuán)的系統(tǒng)，個性化要求如在服務(wù)目錄中，可以由集團(tuán)落實(shí)個性化安全標(biāo)準(zhǔn)：各單位自己充當(dāng)運(yùn)動員落實(shí)P2.標(biāo)準(zhǔn)與合規(guī)整改方案-信息安全標(biāo)準(zhǔn)設(shè)計(jì)思路55ISO27001:2013信息安全管理國際標(biāo)準(zhǔn)最佳實(shí)務(wù)行業(yè)監(jiān)管部門要求信息系統(tǒng)等級保護(hù)信息安全標(biāo)準(zhǔn)信息安全工作領(lǐng)域P2.標(biāo)準(zhǔn)與合規(guī)整改方案-信息安全標(biāo)準(zhǔn)框架56華潤（集團(tuán)）有限公司信息安全管理辦法信息系統(tǒng)安全管控要求信息資產(chǎn)管理人力資源安全供應(yīng)商和外部人員管理信息安全事件管理合規(guī)性管理業(yè)務(wù)連續(xù)性管理華潤（集團(tuán)）有限公司信息安全標(biāo)準(zhǔn)數(shù)據(jù)存儲備份應(yīng)用系統(tǒng)安全要求數(shù)據(jù)庫安全要求中間件安全要求操作系統(tǒng)安全要求網(wǎng)絡(luò)安全要求物理安全要求終端安全要求附錄：IT設(shè)備安全基線要求操作系統(tǒng)安全基線要求Web中間件安全基線要求數(shù)據(jù)庫系統(tǒng)安全基線要求網(wǎng)絡(luò)設(shè)備安全基線要求信息系統(tǒng)安全組織與職責(zé)信息安全組織對外合作與溝通信息安全角色與職責(zé)：信息系統(tǒng)：人員管理：終端P2.標(biāo)準(zhǔn)與合規(guī)整改方案

–信息安全標(biāo)準(zhǔn)覆蓋項(xiàng)目全生命周期、各對象層面57項(xiàng)目生命周期設(shè)計(jì)階段實(shí)現(xiàn)階段定義階段立項(xiàng)階段廢棄階段運(yùn)維階段項(xiàng)目組/應(yīng)用管理員基礎(chǔ)設(shè)施管理團(tuán)隊(duì)數(shù)據(jù)庫安全設(shè)計(jì)安全需求調(diào)研和定義開發(fā)測試安全商業(yè)軟件安全選型應(yīng)用安全部署安全方案設(shè)計(jì)應(yīng)用安全運(yùn)維應(yīng)用安全廢棄數(shù)據(jù)存儲備份數(shù)據(jù)庫管理員數(shù)據(jù)庫安全部署數(shù)據(jù)庫安全運(yùn)維數(shù)據(jù)庫安全回收存儲備份管理員中間件管理員操作系統(tǒng)管理員網(wǎng)絡(luò)管理員場地管理員中間件安全設(shè)計(jì)中間件安全部署中間件安全運(yùn)維中間件安全回收操作系統(tǒng)安全設(shè)計(jì)操作系統(tǒng)安全部署操作系統(tǒng)安全運(yùn)維操作系統(tǒng)安全廢棄網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全建設(shè)網(wǎng)絡(luò)安全運(yùn)維網(wǎng)絡(luò)設(shè)備安全廢棄場地安全設(shè)計(jì)場地安全建設(shè)場地安全運(yùn)維信息安全專職人員安全方案協(xié)同設(shè)計(jì)或評審上線前安全檢查定期安全檢查介質(zhì)消磁安全事件發(fā)現(xiàn)與處理存儲備份系統(tǒng)配置數(shù)據(jù)存儲備份方案設(shè)計(jì)數(shù)據(jù)安全廢棄場地安全廢棄P2.標(biāo)準(zhǔn)與合規(guī)整改方案

–信息安全標(biāo)準(zhǔn)要求控制措施（示例）控制措施：也稱控制活動，包括管理控制活動和技術(shù)控制活動；實(shí)施時間點(diǎn)：控制活動實(shí)施的最佳時期；啟動條件：觸發(fā)控制措施實(shí)施的前提條件；技術(shù)方法：在控制措施實(shí)施過程中所使用的各種技術(shù)性方法，如漏洞掃描、QoS等；執(zhí)行人：執(zhí)行控制措施的主責(zé)部門或人員；工作步驟：工作步驟是指某項(xiàng)控制措施從啟動到完成，所必須經(jīng)過的技術(shù)環(huán)節(jié)或過程，不包括管理環(huán)節(jié)（如審批）；完成標(biāo)準(zhǔn)：控制措施完成的標(biāo)志；輸入：控制措施執(zhí)行時需要遵循的信息安全要求；輸出：控制措施執(zhí)行的成果5859謝謝！

60附件1

-信息安全需求細(xì)部說明信息安全需求細(xì)部說明編號信息安全現(xiàn)況問題安全需求細(xì)部說明后續(xù)強(qiáng)劃建議備注Q1以等保為核心的合規(guī)壓力加重，加上信息安全管理標(biāo)準(zhǔn)不清，造成部分安全工作執(zhí)行未到位實(shí)施信息安全規(guī)范培訓(xùn)與意識宣貫執(zhí)行信息安全培訓(xùn)，強(qiáng)化人員對于安全的認(rèn)知定期辦理信息安全管理員職能培訓(xùn)定期辦理在崗人員信息安全知識宣貫定期辦理新進(jìn)人員信息安全意識宣貫建立通用性的信息安全標(biāo)準(zhǔn)與基線建立通用性信息安全標(biāo)準(zhǔn)供集團(tuán)使用建立信息安全管理辦法：進(jìn)行通用性的信息安全標(biāo)準(zhǔn)制定定期審閱與更新信息安全管理辦法

實(shí)施信息系統(tǒng)等級保護(hù)落實(shí)等保規(guī)定實(shí)施信息系統(tǒng)安全等級保護(hù)定級實(shí)施信息系統(tǒng)安全等級保護(hù)備案實(shí)施系統(tǒng)安全等級保護(hù)安全建設(shè)整改61信息安全需求細(xì)部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細(xì)部說明后續(xù)強(qiáng)劃建議備注Q2集團(tuán)與利潤中心的信息安全責(zé)任邊界不清楚，部分安全工作與責(zé)任切分也未清楚劃分梳理集團(tuán)與利潤中心信息安全責(zé)任邊界厘清集團(tuán)與利潤中心在信息安全的管理邊界設(shè)計(jì)信息安全管控模式界定集團(tuán)與利潤中心安全責(zé)任梳理信息系統(tǒng)生命周期中建設(shè)、運(yùn)維、用戶及安全人員角色責(zé)任配合信息系統(tǒng)生命周期明訂安全人員權(quán)責(zé)定義信息系統(tǒng)生命周期信息安全工作角色權(quán)責(zé)：按“集團(tuán)信息安全標(biāo)準(zhǔn)”中的人員職責(zé)分工，劃清工作邊界設(shè)置信息安全組織建立信息安全組織、選派人員與運(yùn)作設(shè)置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員配備信息安全專職人員配置專職人員執(zhí)行信息安全工作定期更新信息安全體系運(yùn)維任務(wù)欄表定義信息安全管理員工作職能設(shè)置信息安全管理員62信息安全需求細(xì)部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細(xì)部說明后續(xù)強(qiáng)劃建議備注Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實(shí)，信息系統(tǒng)面臨不當(dāng)取存的風(fēng)險信息系統(tǒng)帳號權(quán)限審閱納入人員調(diào)離崗作業(yè)強(qiáng)化人員調(diào)離崗與賬號的同步連動簽署人員保密協(xié)議:職前背景調(diào)查、保密協(xié)議定期實(shí)施人員信息系統(tǒng)帳戶與權(quán)限復(fù)核：職前、職中、職后定期實(shí)施LDAP與個性系統(tǒng)帳號權(quán)限審閱建立賬號定期審閱，減少異常賬號被利用的機(jī)率實(shí)施LDAP與個性系統(tǒng)帳號權(quán)限針對未經(jīng)授權(quán)或異常賬號進(jìn)行刪除或停用63信息安全需求細(xì)部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細(xì)部說明后續(xù)強(qiáng)劃建議備注Q4信息系統(tǒng)缺乏審計(jì)紀(jì)錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復(fù)原能力需強(qiáng)化實(shí)施信息系統(tǒng)安全日志集中留存。保護(hù)系統(tǒng)安全日志的完整性及不可否認(rèn)性信息系統(tǒng)及基礎(chǔ)設(shè)施安全日志異地留存至數(shù)據(jù)中心SIEM平臺實(shí)施信息系統(tǒng)安全日志事件分析。針對系統(tǒng)安全日志進(jìn)行分析，以便于極早發(fā)現(xiàn)異常定期檢視SIEM平臺安全事件建立SIEM平臺安全監(jiān)控策略建立緊急聯(lián)系清單及通報程序:包含信息安全事件報告、應(yīng)急處理和原因調(diào)查建立信息資產(chǎn)分級與管控機(jī)制。建立信息資產(chǎn)分級與定期檢查機(jī)制定期實(shí)施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實(shí)施信息系統(tǒng)安全風(fēng)險評估：進(jìn)行定期信息安全檢查和加固方案制定或更新信息系統(tǒng)應(yīng)急預(yù)案。強(qiáng)化信息系統(tǒng)對于重大災(zāi)害發(fā)生時的復(fù)員能力定期審閱與更新信息系統(tǒng)災(zāi)備方案定期審閱與更新信息系統(tǒng)應(yīng)急預(yù)案建立業(yè)務(wù)連續(xù)性計(jì)畫(BCP)：包含同城災(zāi)備中心建設(shè)規(guī)劃/異地災(zāi)備中心建設(shè)規(guī)劃實(shí)施信息系統(tǒng)應(yīng)急預(yù)案演練。強(qiáng)化同仁對于應(yīng)急預(yù)案的熟悉程度定期實(shí)施信息系統(tǒng)應(yīng)急預(yù)案64信息安全需求細(xì)部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細(xì)部說明后續(xù)強(qiáng)劃建議備注Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運(yùn)維階段，尚有許多安全控制需要強(qiáng)化及落實(shí)，才能保證系統(tǒng)安全運(yùn)作建立覆蓋信息系統(tǒng)生命周期的信息安全標(biāo)準(zhǔn)與基線建立通用性信息安全標(biāo)準(zhǔn)供集團(tuán)使用建立共通性的信息安全標(biāo)準(zhǔn)與基線定期審閱與更新信息安全管理辦法建立信息資產(chǎn)分級與管控機(jī)制。建立信息資產(chǎn)分級與定期檢查機(jī)制定期實(shí)施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實(shí)施信息系統(tǒng)安全風(fēng)險評估：進(jìn)行定期信息安全檢查和加固方案定期實(shí)施系統(tǒng)帳號權(quán)限審閱。建立賬號定期審閱，減少異常賬號被利用的機(jī)率實(shí)施個性系統(tǒng)帳號權(quán)限審閱針對未經(jīng)授權(quán)或異常賬號進(jìn)行刪除或停用實(shí)施數(shù)據(jù)脫敏機(jī)制。對于測試環(huán)境內(nèi)不應(yīng)存在正式機(jī)敏數(shù)據(jù)評估數(shù)據(jù)脫敏實(shí)施需求建立測試模擬數(shù)據(jù)或數(shù)據(jù)脫敏工具定期實(shí)施信息系統(tǒng)安全檢測。定期對于信息系統(tǒng)進(jìn)行檢測確認(rèn)安全防御程度定期實(shí)施信息系統(tǒng)安全檢測定期實(shí)施信息系統(tǒng)整改方案65信息安全需求細(xì)部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細(xì)部說明后續(xù)強(qiáng)劃建議備注Q6部分利潤中心在網(wǎng)絡(luò)層面的安全防御程度不足，在面對或外部網(wǎng)絡(luò)攻擊時可能影響到集團(tuán)層次

建置外網(wǎng)新一代防火墻或入侵防御系統(tǒng)。強(qiáng)化對于外部網(wǎng)絡(luò)攻擊的防御程度建設(shè)外網(wǎng)新一代防火墻或入侵防御系統(tǒng)。布署終端防病毒軟件。強(qiáng)化終端設(shè)備對于病毒或惡意軟件的防御程度實(shí)現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新布署終端數(shù)據(jù)防泄漏。強(qiáng)化終端設(shè)備防御程度實(shí)施終端安全整改，實(shí)現(xiàn)終端數(shù)據(jù)防泄漏安裝全覆蓋，至少包含外設(shè)管控、硬盤加密等定期實(shí)施終端系統(tǒng)漏洞檢測。確認(rèn)終端系統(tǒng)防御強(qiáng)度定期實(shí)施終端系統(tǒng)漏洞檢測定期實(shí)施終端系統(tǒng)補(bǔ)丁更新建置內(nèi)網(wǎng)新一代防火墻。強(qiáng)化對于網(wǎng)絡(luò)攻擊的防御程度評估內(nèi)網(wǎng)網(wǎng)絡(luò)傳輸管道安全風(fēng)險實(shí)現(xiàn)內(nèi)網(wǎng)與下屬公司各網(wǎng)絡(luò)端口新一代防火墻全覆蓋實(shí)施生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔。透過網(wǎng)絡(luò)區(qū)隔，避免網(wǎng)絡(luò)損害迅速擴(kuò)大，能夠先將損失控制在某一個區(qū)域評估生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)傳輸管道安全風(fēng)險實(shí)現(xiàn)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)端口網(wǎng)關(guān)全覆蓋66信息安全需求細(xì)部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細(xì)部說明后續(xù)強(qiáng)劃建議備注Q7目前對于終端設(shè)備的管控薄弱，終端設(shè)備可能成為集團(tuán)數(shù)據(jù)丟失的渠道或外部入侵的跳板移除用戶本地權(quán)限移除收回用戶本地最高權(quán)限，降為用戶權(quán)力，如有特殊需要另外開放與管理評估終端用戶使用行為要求終端用戶需加入域管控收回用戶本地最高權(quán)限強(qiáng)制啟用智能終端安全配置透過解決方案有效管理智能終端設(shè)定及使用行為，同時保護(hù)放在智能終端中的業(yè)務(wù)數(shù)據(jù)實(shí)施智能終端安全解決方案對智能終端存儲的業(yè)務(wù)數(shù)據(jù)加密存儲，在終端丟失時，可以遠(yuǎn)程安全擦除業(yè)務(wù)數(shù)據(jù)(MDM)設(shè)計(jì)終端數(shù)據(jù)方案建立完整的數(shù)據(jù)備份及使用機(jī)制，同時禁止同仁使用其他有風(fēng)險的數(shù)據(jù)傳輸管道(如U盤、云端網(wǎng)碟)評估終端數(shù)據(jù)備份解決方案終端數(shù)據(jù)解決方案建置實(shí)施實(shí)施內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入確保僅有通過申請的設(shè)備才能夠連入網(wǎng)絡(luò)，管控內(nèi)網(wǎng)安全建立內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入解決方案盤點(diǎn)內(nèi)網(wǎng)網(wǎng)絡(luò)使用資源內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入管控生效建立用戶終端安全配置基線強(qiáng)化終端設(shè)備的自身防御能力，包含防毒偵測、筆記本硬盤加密定期實(shí)施終端安全檢測定期實(shí)施終端安全整改:實(shí)現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新硬盤加密，防止終端丟失時產(chǎn)生數(shù)據(jù)泄露6768附件2

-信息安全建設(shè)方案內(nèi)容說明P1.組織權(quán)責(zé)整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團(tuán)責(zé)任利潤中心責(zé)任備注O1信息安全職責(zé)分工設(shè)計(jì)信息安全管控模式界定集團(tuán)與利潤中心安全責(zé)任項(xiàng)目性工作2015/Q12015/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)O1信息安全職責(zé)分工定義信息系統(tǒng)生命周期信息安全工作角色權(quán)責(zé)：按“集團(tuán)信息安全標(biāo)準(zhǔn)”中的人員職責(zé)分工，劃清工作邊界日常性工作2015/Q12015/Q4定義權(quán)責(zé)(P)落實(shí)規(guī)定(D)進(jìn)行檢核(C)落實(shí)規(guī)定(D)進(jìn)行改善(A)集團(tuán)與利潤中心需要共同執(zhí)行O2信息安全管理組織設(shè)置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員日常性工作2015/Q12015/Q4建立規(guī)范(P)進(jìn)行檢核(C)建立組織(D)進(jìn)行改善(A)集團(tuán)已完成規(guī)范建立O3信息安全管理員定期更新信息安全體系運(yùn)維任務(wù)欄表定義信息安全管理員工作職能設(shè)置信息安全管理員項(xiàng)目性工作2015/Q12015/Q4定義職能(P)設(shè)置人員(D)設(shè)置人員(D)整體方案規(guī)劃時程預(yù)估投入成本對業(yè)務(wù)單位潛在風(fēng)險預(yù)防程度約12個月低度投入，僅需人力成本低度，但屬于基本的安全管控問題1:集團(tuán)與利潤中心的信息安全責(zé)任邊界不清楚，部分安全工作與責(zé)任切分也未清楚劃分*細(xì)部執(zhí)行方式請參照<<華潤（集團(tuán)）公司信息安全管理辦法>>、<<華潤（集團(tuán)）公司信息安全標(biāo)準(zhǔn)>>具體內(nèi)容69P1P1P2P3P4P5P6P7完成P2.標(biāo)準(zhǔn)與合規(guī)整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團(tuán)責(zé)任利潤中心責(zé)任備注M3培訓(xùn)與宣貫定期辦理信息安全管理員職能培訓(xùn)定期辦理在崗人員信息安全知識宣貫定期辦理新進(jìn)人員信息安全意識宣貫日常性工作2015/Q12015/Q4建立規(guī)范(P)辦理培訓(xùn)(D)進(jìn)行檢核(C)辦理培訓(xùn)(D)M1信息安全標(biāo)準(zhǔn)建立信息安全管理辦法：進(jìn)行通用性的信息安全標(biāo)準(zhǔn)制定定期審閱與更新信息安全管理辦法日常性工作2015/Q12016/Q4建立辦法(P)落實(shí)規(guī)定(D)定期審閱(C)更新規(guī)定(A)細(xì)化辦法(P)落實(shí)規(guī)定(D)定期審閱(C)更新規(guī)定(A)集團(tuán)已完成規(guī)范建立M2信息系統(tǒng)等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)定級實(shí)施信息系統(tǒng)安全等級保護(hù)備案實(shí)施信息系統(tǒng)安全等級保護(hù)安全建設(shè)整改日常性工作2015/Q12015/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)整體方案規(guī)劃時程預(yù)估投入成本對業(yè)務(wù)單位潛在風(fēng)險預(yù)防程度約24個月低度投入，僅需人力成本低度，但屬于基本的安全管控問題2:以等保為核心的合規(guī)壓力加重，加上信息安全管理標(biāo)準(zhǔn)不清，造成部分安全工作執(zhí)行未到位*細(xì)部執(zhí)行方式請參照<<華潤（集團(tuán)）公司信息安全管理辦法>>、<<華潤（集團(tuán)）公司信息安全標(biāo)準(zhǔn)>>具體內(nèi)容70P1P1P2P2P3P4P5P6P7完成P3.人員管控整改方案71編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團(tuán)責(zé)任利潤中心責(zé)任備注M4人員安全管理簽署人員保密協(xié)議:職前背景調(diào)查、保密協(xié)議定期實(shí)施人員信息系統(tǒng)帳戶與權(quán)限復(fù)核：職前、職中、職后日常性工作2015/Q12015/Q4建立規(guī)范(P)落實(shí)管控(D)進(jìn)行檢核(C)落實(shí)管控(D)T4操作系統(tǒng)安全實(shí)施LDAP與個性系統(tǒng)帳號權(quán)限針對未經(jīng)授權(quán)或異常賬號進(jìn)行刪除或停用日常性工作2015/Q12015/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)整體方案規(guī)劃時程預(yù)估投入成本對業(yè)務(wù)單位潛在風(fēng)險預(yù)防程度約12個月低度投入，僅需人力成本高度，能降低業(yè)務(wù)單位遭受攻擊之機(jī)率問題3:系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實(shí)，信息系統(tǒng)面臨不當(dāng)取存的風(fēng)險P1P1P2P2P3P3P4P4P5P6P7*細(xì)部執(zhí)行方式請參照<<華潤（集團(tuán)）公司信息安全管理辦法>>、<<華潤（集團(tuán)）公司信息安全標(biāo)準(zhǔn)>>具體內(nèi)容P4.事件應(yīng)變/災(zāi)備整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團(tuán)責(zé)任利潤中心責(zé)任備注M6信息安全事件管理信息系統(tǒng)及基礎(chǔ)設(shè)施安全日志異地留存至數(shù)據(jù)中心SIEM平臺項(xiàng)目性工作2015/Q12016/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)M6信息安全事件管理定期檢視SIEM平臺安全事件建立SIEM平臺安全監(jiān)控策略建立緊急聯(lián)系清單及通報程序:包含信息安全事件報告、應(yīng)急處理和原因調(diào)查日常性工作2015/Q32016/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)按利潤中心需求實(shí)施M5信息資產(chǎn)管理定期實(shí)施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實(shí)施信息系統(tǒng)安全風(fēng)險評估：進(jìn)行定期信息安全檢查和加固方案日常性工作2015/Q12016/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)利潤中心可采購集團(tuán)的服務(wù)，或采購第三方的服務(wù)整體方案規(guī)劃時程預(yù)估投入成本對業(yè)務(wù)單位潛在風(fēng)險預(yù)防程度約24個月中度投入，可能添購解決方案中度，能夠降低重大事件所帶來之沖擊*細(xì)部執(zhí)行方式請參照<<華潤（集團(tuán)）公司信息安全管理辦法>>、<<華潤（集團(tuán)）公司信息安全標(biāo)準(zhǔn)>>具體內(nèi)容問題4:信息系統(tǒng)缺乏審計(jì)紀(jì)錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復(fù)原能力需強(qiáng)化72P1P1P2P2P3P3P4P4P5P6P7P4.事件應(yīng)變/災(zāi)備整改方案(續(xù))編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團(tuán)責(zé)任利潤中心責(zé)任備注M7業(yè)務(wù)連續(xù)性與災(zāi)備定期審閱與更新信息系統(tǒng)災(zāi)備方案定期審閱與更新信息系統(tǒng)應(yīng)急預(yù)案建立業(yè)務(wù)連續(xù)性計(jì)畫(BCP)：包含同城災(zāi)備中心建設(shè)規(guī)劃/異地災(zāi)備中心建設(shè)規(guī)劃日常性工作2015/Q12016/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)M7業(yè)務(wù)連續(xù)性與災(zāi)備定期實(shí)施信息系統(tǒng)應(yīng)急預(yù)案日常性工作2015/Q12016/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)整體方案規(guī)劃時程預(yù)估投入成本對業(yè)務(wù)單位潛在風(fēng)險預(yù)防程度約24個月中度投入，可能添購解決方案中度，能夠降低重大事件所帶來之沖擊*細(xì)部執(zhí)行方式請參照<<華潤（集團(tuán)）公司信息安全管理辦法>>、<<華潤（集團(tuán)）公司信息安全標(biāo)準(zhǔn)>>具體內(nèi)容問題4:信息系統(tǒng)缺乏審計(jì)紀(jì)錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復(fù)原能力需強(qiáng)化73P1P1P2P2P3P3P4P4P5P6P7P5.應(yīng)用系統(tǒng)安全整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團(tuán)責(zé)任利潤中心責(zé)任備注M1信息安全標(biāo)準(zhǔn)建立共通性的信息安全標(biāo)準(zhǔn)與基線：銀行、資產(chǎn)、電力、醫(yī)藥等單位進(jìn)行個性化信息安全標(biāo)準(zhǔn)制定定期審閱與更新信息安全管理辦法日常性工作2015/Q12016/Q4建立辦法(P)落實(shí)規(guī)定(D)定期審閱(C)更新規(guī)定(A)細(xì)化辦法(P)落實(shí)規(guī)定(D)定期審閱(C)更新規(guī)定(A)集團(tuán)已完成規(guī)范建立M5信息資產(chǎn)管理定期實(shí)施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實(shí)施信息系統(tǒng)安全風(fēng)險評估：進(jìn)行定期信息安全檢查和加固方案日常性工作2015/Q12016/Q4建立規(guī)范(P)落實(shí)管控(D)進(jìn)行檢核(C)落實(shí)管控(D)利潤中心可采購集團(tuán)或采購第三方的服務(wù)T4操作系統(tǒng)安全實(shí)施個性系統(tǒng)帳號權(quán)限審閱針對未經(jīng)授權(quán)或異常賬號進(jìn)行刪除或停用日常性工作2015/Q12015/Q4建立規(guī)范(P)落實(shí)規(guī)范(D)進(jìn)行檢核(C)落實(shí)規(guī)范(D)整體方案規(guī)劃時程預(yù)估投入成本對業(yè)務(wù)單位潛在風(fēng)險預(yù)防程度約48個月高度投入，需購置配套解決方案高度，能降低業(yè)務(wù)單位遭受外來攻擊之機(jī)率問題5:信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運(yùn)維階段，尚有許多安全控制需要強(qiáng)化及落實(shí)，才能保證系統(tǒng)安全運(yùn)作P1P1P2P2P3P3P4