企业信息安全体系建设计划书.ppt

上传人：sccc

文档编号：6210654

上传时间：2023-10-05

格式：PPT

页数：44

大小：5.17MB

《企业信息安全体系建设计划书.ppt》由会员分享，可在线阅读，更多相关《企业信息安全体系建设计划书.ppt（44页珍藏版）》请在三一办公上搜索。

1、2023/10/5,Ankki Confidential,1,企业信息安全管理体系建设计划书,昂楷科技高级顾问,手机：159 8665 2300电话：0755-2698 0062传真：0755-2698 0060E-mail：,2023/10/5,Ankki Confidential,2,管理工程部邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,3,公司生存、发展、壮大的推动，加上上市、融资、品牌建设的需求驱使，商业秘密、技术秘密等核心竞争力信息的规范有序流转

2、与运用要求越来越明显。,公司大部分员工总体信息安全意识比较淡薄；各部门日常安全管理工作基本空白；公司没有形成系统化的安全管理持续优化系统。,1,2,企业信息安全压力与挑战,2023/10/5,Ankki Confidential,4,物理安全现状,企业信息安全现状,网络安全现状,人员安全现状,企业信息安全现状简报,2023/10/5,Ankki Confidential,5,问题重重叠加，风险时时攀升,公司内部研发网络和非研发网络整体互通，内部办公网与外部互联网整体互通，信息交流缺乏监控。,公司内部员工邮箱收发权限基本全部放开，但同时没有有效监控。,公司数据中心缺乏规范有序的容灾备份机制，缺乏

3、规范的灾难恢复计划和演练机制，没有业务连续性计划和应对措施,办公网络上各类密级的信息无序流转，无分层分级控制和对应密级的安全管理,网络安全现状列举,2023/10/5,Ankki Confidential,6,TFJLLO;PO.J.IPOFIHJKGHLKGNFGNJHGC,MS,打印机、传真机等敏感设备放置在非受控的安全区域，设备所在部门也未落实有效监督。,公司研发等重要场地，存储和摄像功能的设备使用很随意。,非公司人员进出公司大楼来访证监管不力，容易被钻空子带来隐患。,使用公共区域的打印机、传真机、复印机，经常有敏感文件遗漏，所在部门也无人管理。,公司重要场地进出缺乏有效登记，门禁在人员

4、变动时的权限调整无统一定期审视清理，出现重大安全事故时追求困难。,问题重重叠加，风险时时攀升,物理安全现状举例,2023/10/5,Ankki Confidential,7,没有执行检查监督和奖惩机制，也没有检查模板和奖惩标准,员工内部转岗或离职时，访问控制变更缺乏有效监督,未对不同岗位在职位描述书中加入安全方面的责任要求，特别是敏感岗位,招聘环节人员筛选和背景调查工作比较薄弱，敏感岗位人员入职未签订专门的保密协议。,缺乏规范有序的人员信息安全意识培训，也不知道如何培训和培训什么,问题重重叠加，风险时时攀升,人员安全现状举例,2023/10/5,Ankki Confidential,8,企业信

5、息安全状态图解,无规范安全防御与评估体系，表面太平,建立管理组织体系、采取周期评估优化措施,安全规范可控，不断优化,破产,损失惨重基本无力回天,重大事故发生时“救火”,安全水平,安全形势越来越严峻麻痹者跌倒后，可能将永远倒下,2023/10/5,Ankki Confidential,9,管理工程部邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,10,标杆企业信息安全管理体系,信息安全文件体系信息安全管理组织技术支撑体系,03年起，标杆公司持续投入重金，根据ISO

6、27001标准，构建设置了其信息安全管理体系，并通过了认证。有目共睹的事实证明，这个体系的运作，推动了标杆公司这列“火车”的市场更加高效、安全平稳地前行与增长，,2023/10/5,Ankki Confidential,11,构架规范的持续优化的信息安全文件金字塔体系,2023/10/5,Ankki Confidential,12,信息安全文件金字塔体系各层级文件列举,2023/10/5,Ankki Confidential,13,上下一体的的信息安全组织架构,2023/10/5,Ankki Confidential,14,管理手段,技术手段,信息安全管理与技术手段的有机融合运作,2023/

7、10/5,Ankki Confidential,15,内部网,研发网,非研发网,Internet,安全VPN,分支机构防火墙,数据中心,交换机,ERP,文件共享,E-mail,分支机构,安全VPN,外部网,DMZ区,远端用户,标杆如何做到网路安全的有序控制？,OA及其他系统,内、外入侵行为监管,2023/10/5,Ankki Confidential,16,管理工程部邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,17,什么是信息安全,安全,安全,安全,安全,信

8、息,威胁,弱点,风险,信息安全关注的“三性”,2023/10/5,Ankki Confidential,18,信息安全之路4P,安全,策略与流程(Policy&Process),专业团队People,支撑产品(Product),2023/10/5,Ankki Confidential,19,信息安全的组成领域总揽,信息安全,11个控制领域 39个控制目标 133个控制项,安全制度及流程,技术措施,管理措施,2023/10/5,Ankki Confidential,20,安全风险控制方案设计过程,2,3,4,5,1,2023/10/5,Ankki Confidential,21,企业信息安全管理

9、体系(ISMS)建设,做什么怎么做,把计划方案转化成现实,实际的情况是否与计划一样得到控制,下一步如何优化,2023/10/5,Ankki Confidential,22,安全工作模块总揽,安全风险评估,安全基础,安全功能,安全优化,安全战略,安全管理,安全技术,防火墙和边界隔离,安全区域定义和划分,安全组织和责任划分,企业安全策略定义,信息资产分类和分级,紧急响应机制,业务持续计划,核心安全标准/流程,安全变更管理,安全补丁管理,安全备份管理,其它安全标准/流程,安全培训与教育,第三方安全控制要求,安全策略和标准修订,系统安全强化,网络入侵检测体系,高危数据传输加密,

10、关键系统日志记录,病毒防范机制,身份认证体系,访问控制体系,可用性与冗余性,远程访问安全机制,时间同步机制,集中安全审计体系,安全事件管理平台,企业身份认证平台,其它内容安全机制,其它数据传输加密,主机入侵检测体系,数据存储安全体系,安全体系全面整合和控管,国际或国内安全认证,2023/10/5,Ankki Confidential,23,如何搭建企业信息安全防御大厦？,怎么做？How,谁做？Who,什么时候做？When,做什么？What,2023/10/5,Ankki Confidential,24,信息安全大厦的脊梁是什么？,建立信息安全文件体系框架,建立公司信息

11、安全组织架构,建立初级的管理与技术支撑体系,2023/10/5,Ankki Confidential,25,建立并落实公司信息安全文件体系框架,确定公司信息安全类文件体系架构确定各层文件内容框架及编撰的责任部门,1,2,3,安全文件体系架构,安全纲领性文件,安全基准奖惩制度,2023/10/5,Ankki Confidential,26,建立公司信息安全组织架构,2023/10/5,Ankki Confidential,27,建立初级的管理与技术支撑体系,2023/10/5,Ankki Confidential,28,技术支撑体系,公司的信息安全技术架构体系，包括但不限于以下信息安全策略支撑

12、工具,1.网关安全防御系统（入侵检测、入侵防御系统）。,2.终端计算机上网行为监管系统。,3.核心文档、代码等电子信息加密工具。,4.计算机端口、打印机监控工具。,5.终端计算机监控检查与安全接入控制工具。,6.移动计算机设备、移动存储介质安全认证工具。,7.防火墙、防病毒、容灾备份等系统和工具,2023/10/5,Ankki Confidential,29,企业信息安全管理体系建设总体计划示意,2023/10/5,Ankki Confidential,30,项目质量管理与风险控制ISO27001安全体系建设项目群实施总体进度计划,2023/10/5,Ankki Confidential,31

13、,项目质量管理与风险控制WBS分解计划,详细信息双击此文件展开,2023/10/5,Ankki Confidential,32,项目质量管理与风险控制甘特图,2023/10/5,Ankki Confidential,33,项目群风险控制主要风险及控制措施,风险,控制措施,2023/10/5,Ankki Confidential,34,管理工程部邓生品 2008年12月24日,企业信息安全现状,信息安全有序管理标杆,如何有效建设企业信息安全体系,目录,关键成功因素,2023/10/5,Ankki Confidential,35,信息安全方针、目标和活动反映业务目标,关键成功因素,2023/10

14、/5,Ankki Confidential,36,与组织文化一致的信息安全方法,关键成功因素,2023/10/5,Ankki Confidential,37,所有管理层可见的支持和承诺,关键成功因素,2023/10/5,Ankki Confidential,38,对信息安全要求、风险评估和风险管理有好的理解,关键成功因素,2023/10/5,Ankki Confidential,39,有效地对员工和其他人推销信息安全,关键成功因素,2023/10/5,Ankki Confidential,40,向所有员工和其他人分发信息安全指南,关键成功因素,2023/10/5,Ankki Confidential,41,足够的财务支持,关键成功因素,2023/10/5,Ankki Confidential,42,适当的意识、培训和教育,关键成功因素,2023/10/5,Ankki Confidential,43,有效的信息安全事故管理过程,关键成功因素,2023/10/5,Ankki Confidential,44,Thanks!,