企业信息安全体系建设计划书.ppt

2023/10/5,Ankki Confidential,1,企业信息安全管理体系建设计划书,昂楷科技 高级顾问,手机：159 8665 2300电话：0755-2698 0062传真：0755-2698 0060E-mail：,2023/10/5,Ankki Confidential,2,管理工程部 邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,3,公司生存、发展、壮大的推动，加上上市、融资、品牌建设的需求驱使，商业秘密、技术秘密等核心竞争力信息的规范有序流转与运用要求越来越明显。,公司大部分员工总体信息安全意识比较淡薄；各部门日常安全管理工作基本空白；公司没有形成系统化的安全管理持续优化系统。,1,2,企业信息安全压力与挑战,2023/10/5,Ankki Confidential,4,物理安全现状,企业信息安全现状,网络安全现状,人员安全现状,企业信息安全现状简报,2023/10/5,Ankki Confidential,5,问题重重叠加，风险时时攀升,公司内部研发网络和非研发网络整体互通，内部办公网与外部互联网整体互通，信息交流缺乏监控。,公司内部员工邮箱收发权限基本全部放开，但同时没有有效监控。,公司数据中心缺乏规范有序的容灾备份机制，缺乏规范的灾难恢复计划和演练机制，没有业务连续性计划和应对措施,办公网络上各类密级的信息无序流转，无分层分级控制和对应密级的安全管理,网络安全现状列举,2023/10/5,Ankki Confidential,6,TFJLLO;PO.J.IPOFIHJKGHLKGNFGNJHGC,MS,打印机、传真机等敏感设备放置在非受控的安全区域，设备所在部门也未落实有效监督。,公司研发等重要场地，存储和摄像功能的设备使用很随意。,非公司人员进出公司大楼来访证监管不力，容易被钻空子带来隐患。,使用公共区域的打印机、传真机、复印机，经常有敏感文件遗漏，所在部门也无人管理。,公司重要场地进出缺乏有效登记，门禁在人员变动时的权限调整无统一定期审视清理，出现重大安全事故时追求困难。,问题重重叠加，风险时时攀升,物理安全现状举例,2023/10/5,Ankki Confidential,7,没有执行检查监督和奖惩机制，也没有检查模板和奖惩标准,员工内部转岗或离职时，访问控制变更缺乏有效监督,未对不同岗位在职位描述书中加入安全方面的责任要求，特别是敏感岗位,招聘环节人员筛选和背景调查工作比较薄弱，敏感岗位人员入职未签订专门的保密协议。,缺乏规范有序的人员信息安全意识培训，也不知道如何培训和培训什么,问题重重叠加，风险时时攀升,人员安全现状举例,2023/10/5,Ankki Confidential,8,企业信息安全状态图解,无规范安全防御与评估体系，表面太平,建立管理组织体系、采取周期评估优化措施,安全规范可控，不断优化,破产,损失惨重基本无力回天,重大事故发生时“救火”,安全水平,安全形势越来越严峻麻痹者跌倒后，可能将永远倒下,2023/10/5,Ankki Confidential,9,管理工程部 邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,10,标杆企业信息安全管理体系,信息安全文件体系信息安全管理组织技术支撑体系,03年起，标杆公司持续投入重金，根据ISO27001标准，构建设置了其信息 安全管理体系，并通过了认证。有目共睹的事实证明，这个体系的运作，推动了标杆公司这列“火车”的市场更加高效、安全平稳地前行与增长，,2023/10/5,Ankki Confidential,11,构架规范的持续优化的信息安全文件金字塔体系,2023/10/5,Ankki Confidential,12,信息安全文件金字塔体系各层级文件列举,2023/10/5,Ankki Confidential,13,上下一体的的信息安全组织架构,2023/10/5,Ankki Confidential,14,管理手段,技术手段,信息安全管理与技术手段的有机融合运作,2023/10/5,Ankki Confidential,15,内部网,研发网,非研发网,Internet,安全VPN,分支机构防火墙,数据中心,交换机,ERP,文件共享,E-mail,分支机构,安全VPN,外部网,DMZ区,远端用户,标杆如何做到网路安全的有序控制？,OA及其他系统,内、外入侵行为监管,2023/10/5,Ankki Confidential,16,管理工程部 邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,17,什么是信息安全,安全,安全,安全,安全,信息,威胁,弱点,风险,信息安全关注的“三性”,2023/10/5,Ankki Confidential,18,信息安全之路4P,安全,策略与流程(Policy&Process),专业团队People,支撑产品(Product),2023/10/5,Ankki Confidential,19,信息安全的组成领域总揽,信息安全,11个控制领域 39个控制目标 133个控制项,安全制度及流程,技术措施,管理措施,2023/10/5,Ankki Confidential,20,安全风险控制方案设计过程,2,3,4,5,1,2023/10/5,Ankki Confidential,21,企业信息安全管理体系(ISMS)建设,做什么怎么做,把计划方案转化成现实,实际的情况是否与计划一样得到控制,下一步如何优化,2023/10/5,Ankki Confidential,22,安全工作模块总揽,安全风险 评估,安全基础,安全功能,安全优化,安全战略,安全管理,安全技术,防火墙和 边界隔离,安全区域定义和划分,安全组织和 责任划分,企业安全策略定义,信息资产分类和分级,紧急响应 机制,业务持续 计划,核心安全 标准/流程,安全变更 管理,安全补丁 管理,安全备份 管理,其它安全 标准/流程,安全培训与教育,第三方安全控制要求,安全策略和标准修订,系统安全 强化,网络入侵检测体系,高危数据 传输加密,关键系统 日志记录,病毒防范 机制,身份认证 体系,访问控制 体系,可用性与 冗余性,远程访问 安全机制,时间同步 机制,集中安全 审计体系,安全事件 管理平台,企业身份 认证平台,其它内容 安全机制,其它数据传输加密,主机入侵 检测体系,数据存储 安全体系,安全体系全面整合和控管,国际或国内安全认证,2023/10/5,Ankki Confidential,23,如何搭建企业信息安全防御大厦？,怎么做？How,谁做？Who,什么时候做？When,做什么？What,2023/10/5,Ankki Confidential,24,信息安全大厦的脊梁是什么？,建立信息安全文件体系框架,建立公司信息安全组织架构,建立初级的管理与技术支撑体系,2023/10/5,Ankki Confidential,25,建立并落实公司信息安全文件体系框架,确定公司信息安全类文件体系架构 确定各层文件内容框架及编撰的责任部门,1,2,3,安全文件体系架构,安全纲领性文件,安全基准奖惩制度,2023/10/5,Ankki Confidential,26,建立公司信息安全组织架构,2023/10/5,Ankki Confidential,27,建立初级的管理与技术支撑体系,2023/10/5,Ankki Confidential,28,技术支撑体系,公司的信息安全技术架构体系，包括但不限于以下信息安全策略支撑工具,1.网关安全防御系统（入侵检测、入侵防御系统）。,2.终端计算机上网行为监管系统。,3.核心文档、代码等电子信息加密工具。,4.计算机端口、打印机监控工具。,5.终端计算机监控检查与安全接入控制工具。,6.移动计算机设备、移动存储介质安全认证工具。,7.防火墙、防病毒、容灾备份等系统和工具,2023/10/5,Ankki Confidential,29,企业信息安全管理体系建设总体计划示意,2023/10/5,Ankki Confidential,30,项目质量管理与风险控制ISO27001安全体系建设项目群实施总体进度计划,2023/10/5,Ankki Confidential,31,项目质量管理与风险控制WBS分解计划,详细信息双击此文件展开,2023/10/5,Ankki Confidential,32,项目质量管理与风险控制甘特图,2023/10/5,Ankki Confidential,33,项目群风险控制主要风险及控制措施,风险,控制措施,2023/10/5,Ankki Confidential,34,管理工程部 邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,35,信息安全方针、目标和活动反映业务目标,关键成功因素,2023/10/5,Ankki Confidential,36,与组织文化一致的信息安全方法,关键成功因素,2023/10/5,Ankki Confidential,37,所有管理层可见的支持和承诺,关键成功因素,2023/10/5,Ankki Confidential,38,对信息安全要求、风险评估和风险管理有好的理解,关键成功因素,2023/10/5,Ankki Confidential,39,有效地对员工和其他人推销信息安全,关键成功因素,2023/10/5,Ankki Confidential,40,向所有员工和其他人分发信息安全指南,关键成功因素,2023/10/5,Ankki Confidential,41,足够的财务支持,关键成功因素,2023/10/5,Ankki Confidential,42,适当的意识、培训和教育,关键成功因素,2023/10/5,Ankki Confidential,43,有效的信息安全事故管理过程,关键成功因素,2023/10/5,Ankki Confidential,44,Thanks!,