《企业信息安全系建设方案V1.0》由会员分享,可在线阅读,更多相关《企业信息安全系建设方案V1.0(55页珍藏版)》请在金锄头文库上搜索。
1、Ankki ConfidentialAnkki 昂楷Copyright 1998-2010深圳昂楷科技有限公司Shenzhen Ankki Technologies Co.,Ltd企业信息安全体系建设方案企业信息安全体系建设方案V1.0邓生品邓生品 昂楷科技高级顾问昂楷科技高级顾问膨莎裕壤坐傅易禽蒸煎衷喇只视粘衣砒造筑睹粥戎闲艺肄猫受楚孪奋鲸快企业信息安全系建设方案V1.0企业信息安全系建设方案V1.0Copyright 1998-2010目录目录昂楷公司简介昂楷公司简介企业安全压力与挑战企业安全压力与挑战建设有效的企业信息安全体系建设有效的企业信息安全体系信息安全标杆信息安全标杆关键成功因素
2、关键成功因素雕戍赎所往位震剿莲思岁眺痒教醒绑豁六痒缨衷戒翼糙剁父扩戳电存炼档企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/2024Ankki Confidential3公司简介l深圳昂楷技术有限公司Shenzhen Ankki Technology CO.,Ltd.l由业内资深专家共同创立,集网络信息安全、存储、统一通信研发、生产、销售于一体的高新技术企业。l昂楷科技凝聚了约50人的资深网络信息安全与电信背景的专家团队,致力于网络信息安全、存储、统一通信产品及解决方案的创新与研究。l华为战略合作伙伴 。l全国信息技术人才培养工程华南授权培训机构。l华中科技大学信息安全产
3、学研合作单位。l国际顶级开源应用安全组织OWASP中国支持单位。蒸撰榔妊岗疆窿玻焰鸡艰么泰熄携涉垃淆漾歌碘彪嘻辕栓逾冤员狸谰且苔企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/20243Ankki Confidential创始人足迹l带队研发的UA5000为全球TOP电信运营商英国BT独家供货,世界排名第一。l卓越的成本控制多次获得华为公司嘉奖。l发明多篇专利获得公司奖励l所带领团队获得华为“金牌团队”荣誉奖l华赛安全研发总监任职期间成功主导与SYMANTEC技术合作8/26/2024Ankki Confidential4重途辅肤旁在袜骆遁垮葫锌岗匹鹏囤作寻纲折誉睹督铃歼
4、蝶迭希稳促漠捷企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/20244Ankki Confidential积极参与和组织国际OWASP峰会l首届OWASP中国峰会发布SOne解决方案。l荣获OWASP最佳服务奖。8/26/2024Ankki Confidential5http:/OWASP(Open Web Application Security Project)烤辱壹闹髓押咸饿娥腕统垄冯快牧存裳竹肃遥底耗狄航撼吝劳映掩铅渝擦企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/20245Ankki Confidential8/26/2024Ankki
5、 Confidential6昂楷科技技术与咨询并重是我们的独特优势技术整合技术整合技术整合技术整合进行安全、存储、统一通信技术层面的评估和分析整合IT环境,夯实基础架构规划架构规划架构规划架构规划进行管理策略、运行体系和战略愿景层面的咨询和规划辅助客户建立信息安全整体架构推广执行推广执行推广执行推广执行推广技术和管理策略落实咨询方案,实现业务保障和创新与客户共同成长,成为战略合作伙伴与客户共同成长,成为战略合作伙伴与客户共同成长,成为战略合作伙伴与客户共同成长,成为战略合作伙伴端到端解决方案瑟裙媒瓜肘桶诈愚农沤运奖汝哀稠等镍亭轧宣柱虽湾鸿网撵疯啦嗡摄话刊企业信息安全系建设方案V1.0企业信息安
6、全系建设方案V1.08/26/20246Ankki Confidential安全服务管理体系和技术体系无缝结合l昂楷科技的CISSP专家,ICRA安全主任审核员,有世界TOP10电信运营商的服务经验,能够很好的将管理体系和技术体系融合起来,提供全面深入的咨询服务。 l拥有自主研发的应用漏洞扫描系统Sone Hss,能够深入扫描和分析WEB系统漏洞。 l提供国际ISO27001和国家信息安全等级保护体系咨询顾问服务。8/26/2024Ankki Confidential7凭省攫卧褐烬乌留母桨祭圭脑核精熟庞度补荔符袍郎蜡版筏蟹叶出渺羌钒企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08
7、/26/20247Ankki ConfidentialANKKITM Sone深度业务安全解决方案 随着安全威胁不断升级,传统网络级的安全解决方案已不能满足丰富多彩的业务应用安全保障需要。昂楷科技不断随着安全威胁不断升级,传统网络级的安全解决方案已不能满足丰富多彩的业务应用安全保障需要。昂楷科技不断研发创新,研发出研发创新,研发出SOne 深度业务安全解决方案,满足金融、政府、证券、互联网、电信、电力、高校、制造业等各行深度业务安全解决方案,满足金融、政府、证券、互联网、电信、电力、高校、制造业等各行各业对应用系统安全日趋强烈的需要各业对应用系统安全日趋强烈的需要业务安全,昂楷领航!业务安全,
8、昂楷领航!8/26/2024Ankki Confidential8支持HTTPS独有的透明工作模式,方便部署安全的Bypass自学习自适应功能WebWeb应用安全应用安全灵活定义群组、用户的细粒度权限可靠容灾机制,保护文件不被破坏灵活分级控制策略,适合超大规模组织机构ALL-IN-ONE,避免多软件客户端带来的种种困扰知识产权防泄密知识产权防泄密DLPDLP多达200条的检测基准独特的可信管理机制业界独有的风险级别量化机制服务于德国电信DT、法国电信FT可配置可管理的全自动化加固机制可根据安全标准、风险级别灵活定制的策略包主机基线检查和加固主机基线检查和加固第三代防篡改技术多平台、多架构支持网
9、站防篡改系统网站防篡改系统WDSWDS服务于德国电信DT、法国电信FT全面支持6大主流数据库类型多达150多条的检测基准数据库基线检查和加固数据库基线检查和加固独有的双向审计机制领先的三层审计机制数据库审计与风险控制系统数据库审计与风险控制系统佑炼垄逊姨拙汹姬但邻攒准锁蒋呜剪厦挑撞烃扎仿貉牢侨颂抑购怒乓诉鹿企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/20248Ankki Confidential认证培训lISO 27001 / ISO20000 LA审核员认证培训lCOBIT / ITIL认证培训lCCIElCCNPlNSACE认证(初级/中级/高级)可颁发工信部证书
10、l数据库主机安全培训(专项技能培训)lWindows系统安全培训(专项技能培训)lLinux系统安全培训(专项技能培训)8/26/2024Ankki Confidential9丢粕由厨浪他淋舶酿屏燥贝此今时几螟矾铸钳界睬壹婿趁帮船嚼擦忌扯悍企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/20249Ankki Confidential服务承诺8/26/2024Ankki Confidential10我们承诺销售的产品解决方案提供终身免费远程支持服务我们承诺销售的产品解决方案提供终身免费远程支持服务我们承诺销售的产品解决方案提供终身免费远程支持服务我们承诺销售的产品解决方案提
11、供终身免费远程支持服务l不断拓展和完善的服务网络保障您的权益 热线电话:4006228990 l总部地址总部地址: 深圳市福田区新闻路一号中电信息大厦13181319室l研发中心研发中心: 深圳市南山区高新技术园北区清华源兴大厦(源政创新大厦)四楼邓醚刘秆呵隘污斤缮渭滴德邱驰拾铂庙蝗芯虏缎氢床扑拔休曼齿棘载凶雪企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202410Ankki Confidential服务的客户8/26/2024Ankki Confidential11大亚湾核电站第二职校易斯博舜全电子惠科电子海能达思博伦北京富兰电子千色店紧竖谨熬肿摧运蛊驾瘸旧恃哇粹矿
12、控氏径馁穿挛梭阉婉右槐洲迢汞逛锌诈企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202411Ankki Confidential目录l昂楷公司简介昂楷公司简介l企业安全压力与挑战企业安全压力与挑战l建设有效的企业信息安全体系建设有效的企业信息安全体系l信息安全标杆信息安全标杆l关键成功因素关键成功因素谋课非霜围赋悍裸亲荚角肪奸尉吼手阐败庭以惫凤郭预消惯捣吉拽度赡养企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202412Ankki Confidential我们公司信息安全管理体系水平,处于哪个状态?我们公司信息安全管理体系水平,处于哪个状态?无规
13、范安全防御与无规范安全防御与评估体系,评估体系,表面太平表面太平建立管理组织体建立管理组织体系、采取周期评系、采取周期评估优化措施估优化措施安全规范可控,安全规范可控,不断优化不断优化破产破产损失惨重损失惨重基本无力回天基本无力回天重大事故发生时重大事故发生时“救火救火”安全安全水平水平$安全形势越来越严峻安全形势越来越严峻麻痹者跌倒后,可能将永远倒下麻痹者跌倒后,可能将永远倒下色盖走诌搏廷迁邮纹蛛刺丝违轻笛苛剖蚌擞绦玖夜申焊掘斟篡腊吏渗春旁企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202413Ankki Confidential典型的信息安全事件lHW事件nHW到
14、中东某国投标,、人住当地一家酒店。辛苦了很长时间,开标时却发现竞争对手的标书中多了很多HW特有的东西,报价也较自己低n经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭时,有人到其中一个房间取走了笔记本电脑中的硬盘lLM事件nLM一直与中国军方关系密切,承接过国家级信息安全项目n骨干中一人离职出国,带出很多涉密文件,结果LM被封杀l艳照门n很傻很天真捆掇来寡散扶尊若春莎滓枉戒嘲超咖酥增帐秆傈州磅蔗妇镑棵像礁尖揣酪企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202414Ankki ConfidentialISO27001对企业的意义对企业的意义推炉昌味怂灵热塔侠己沁给
15、瘪秒娱咯薪欧吉纺粹编奋掐份惦展枝队档命仅企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202415Ankki ConfidentialISO27001对企业的意义对企业的意义擦纸铀枢儿遏稍团嘉歉韶翟酵碴做迎粳瑞朔存资伞畅鳞墟浴京晃盖智眶滩企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202416Ankki Confidential公司生存、发展、壮大的推动,加上上市、融资、品牌建设的需求驱使,商业秘密、技术秘密等核心竞争力信息的规范有序流转与运用要求越来越明显。公司大部分员工总体信息安全意识比较淡薄;各部门日常安全管理工作基本空白;公司没有形成系
16、统化的安全管理持续优化系统。需求需求现实现实企业信息安全压力与挑战缸蒋绰姓鸣耿漂躇恢尤奇晌脆垦谁荧何沽摹浆岛舱淹篱毅缴甚任震采旨恿企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202417Ankki Confidential物理安物理安全现状全现状企业信息企业信息安全现状安全现状网络安网络安全现状全现状人员安人员安全现状全现状企业信息安全现状简报铂惟早粱硅换栓受黑庶纤侣予擂瞩恶夸勉炭椰害敷瓤像啡堵甚期汕赴疥搅企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202418Ankki Confidential问题重重叠加,风险时时攀升问题重重叠加,风险时
17、时攀升公司高密级网络与低密级网络无隔离;内部网络与外部网络无有效隔离公司内部员工之间、内部员工与外网之间的通信,缺乏内容的监控与过滤公司数据中心缺乏容灾备份机制、缺乏灾难恢复计划,重大问题不知道如何恢复,缺乏持续的灾难恢复演练各类密级信息无序流转,无分层分级控制网络安全现状列举网络安全现状列举热欲蛆曾斡替贺驮衷掠屉赶扼簿瘁衔宛捍溜桓姆仟讽睛诉戈茧阮概镶淤学企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202419Ankki ConfidentialnTFJLLO;PO.J.IPOFIHJKGHLKGnNFGNJHGC, ,MS打印机、传真机等敏感设备放置在非受控的安全区
18、域,缺乏有效监控在公司重要场地,存储和摄像功能的设备随意使用公司办公场地出入无有效证件登记与监管、公司各区域门禁系统管理混乱打印件、传真件经常遗漏,导致重大商务与技术信息泄密门禁权限缺乏定期审核、清理,处于实验室、数据中心等机要场地时未严格落实登记问题重重叠加,风险时时攀升问题重重叠加,风险时时攀升物理安全现状举例物理安全现状举例味扒家船淮巴帆悸摹墒摸儿顾哎弊亏酪禁喧童屁默萎嫂呈夫峙氰钵敷魔斥企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202420Ankki Confidential安全要求的落地情况没有人检查,也没有检查标准、奖惩标准员工内部转岗或离职时,工作文件、
19、权限等没有及时交接或清理公司岗位职责缺乏安全要求定义,缺乏安全保密协议模板或者签署的习惯敏感岗位缺乏有效的安全背景调查,既要岗位缺乏详实的保密协议的签署与执行监督没有进行定期的全员安全意识培训、考试,没有将各部门的信息安全情况纳入考核指标问题重重叠加,风险时时攀升问题重重叠加,风险时时攀升人员安全现状举例人员安全现状举例血策瘟胖何悠盲订绪重啃郑兆渔像晌阻贿滁兼在峭牟护萤糙聪伎担滩蚂先企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202421Ankki Confidential目录l昂楷公司简介昂楷公司简介l企业安全压力与挑战企业安全压力与挑战l建设有效的企业信息安全体系
20、建设有效的企业信息安全体系l信息安全标杆信息安全标杆l关键成功因素关键成功因素哭导鬼钟惕抹沽才益木洽李肾蛇邮赞粮霖熊旋颁峙头逸瓣契乙侥咕删痘晒企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202422Ankki Confidential什么是信息安全什么是信息安全安全安全安全安全信息威胁弱点完整性保护信息及其处理步骤保护信息及其处理步骤不被未授权的修改不被未授权的修改可用性确保信息能够被确保信息能够被授权的用户授权的用户在需要时访问在需要时访问风险确保信息只被确保信息只被授权的人访问授权的人访问保密性信息安全关注的信息安全关注的“三性三性”昂莉淄靶泌楷叼泳境膜冉拴蚂贯噪
21、投琐臣言为锁睦看绰斋钞墅淬强莱豪茹企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202423Ankki Confidential信息安全的信息安全的4P4P安全策略与流程策略与流程(Policy & Process)(Policy & Process)专业团队和较高专业团队和较高安全意识的员工安全意识的员工PeoplePeople支撑产品支撑产品(Product)(Product)爷蓝钨骂疗踞狭斯唆碗藤奇夏搜底牙届路象抢晒毯巧苑僧妹琼赘青僚愈损企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202424Ankki Confidential信息安全的
22、组成领域总揽信息安全的组成领域总揽信信息息安安全全 11 11个控制领域个控制领域 39 39个控制目标个控制目标 133 133个控制项个控制项安全制度及流程技术措施管理措施11 通信与操作管理10 业务连续性管理2 组织安全3 资产分类与控制 5 物理及环境安全8 符合性4 系统与维护9信息安全事件管理6 访问控制 7人员安全1 安全策略牛君犹骂记堤蛹德绿誉澄脱谐瑟脸菱乞讨躇颈枢脖视拷脓帐测围伙夺忻开企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202425Ankki Confidential安全风险控制方案设计过程安全风险控制方案设计过程23451质英侵盒翠记乐鸦
23、欣泼湖审齿桓芜窘畸付拭望仙搅柯抒尊游小腰小曾唬褪企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202426Ankki Confidential如何保证企业安全控制水平持续优化?如何保证企业安全控制水平持续优化?做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化建立与公司策略与目标相适宜的安全建立与公司策略与目标相适宜的安全策略、对象、目标、流程活动等,聚策略、对象、目标、流程活动等,聚焦于风险管理和提升信息的安全状态。焦于风险管理和提升信息的安全状态。1.1.发起建设发起建设ISMSISMS实施与运作各类安全策略、控制,以及安全流程与活动。实
24、施与运作各类安全策略、控制,以及安全流程与活动。2.2.实施与运作实施与运作ISMSISMS基于安全策略,评估、度量各安全控基于安全策略,评估、度量各安全控制过程的实际效用;制过程的实际效用;形成评估结果报告提交管理层审视。形成评估结果报告提交管理层审视。3.3.监控与审视监控与审视ISMSISMS基于管理层对风险评估结果基于管理层对风险评估结果( (步骤步骤3 3的输出的输出) )的审视意见,采取的审视意见,采取正确有效的正确有效的ISMSISMS持续改进措施。持续改进措施。4.4.维护与改进维护与改进ISMSISMSCCD DP PA A实际的情况是否与计划一样得到控制把计划方案转化成现实
25、下一步如何优化输入输入输出输出做什么做什么怎么做怎么做劲词聚墒荣祁始逆自呼向没炊垒领碎唆琢勾灸荷掖粒家谋这像氏娘江庚阻企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202427Ankki Confidential安全工作模块细分,全貌是什么?安全工作模块细分,全貌是什么?安全安全风险风险 评评估估安全基础安全基础安全功能安全功能安全优化安全优化安全战略安全战略安全管理安全管理安全技术安全技术防火防火墙墙和和 边边界隔离界隔离安全区域定安全区域定义义和划分和划分安全安全组织组织和和 责责任划分任划分企企业业安全策安全策略定略定义义信息信息资产资产分分类类和分和分级级紧紧急
26、响急响应应 机制机制业务业务持持续续 计计划划核心安全核心安全 标标准准/流程流程安全安全变变更更 管理管理安全安全补补丁丁 管理管理安全安全备备份份 管理管理其它安全其它安全 标标准准/流程流程安全培安全培训训与与教育教育第三方安第三方安全控制要全控制要求求安全策略安全策略和和标标准修准修订订系系统统安全安全 强强化化网网络络入侵入侵检检测测体系体系高危数据高危数据 传输传输加密加密关关键键系系统统 日志日志记录记录病毒防范病毒防范 机制机制身份身份认证认证 体系体系访问访问控制控制 体系体系可用性与可用性与 冗余性冗余性远远程程访问访问 安全机制安全机制时间时间同步同步 机制机制集中安全集
27、中安全 审计审计体系体系安全事件安全事件 管理平台管理平台企企业业身份身份 认证认证平台平台其它内容其它内容 安全机制安全机制其它数据其它数据传传输输加密加密主机入侵主机入侵 检测检测体系体系数据存数据存储储 安全体系安全体系安全体系全面整合和控管安全体系全面整合和控管国际或国内安全认证国际或国内安全认证造甸辑年贵陕凹雪怎岛隐纂瓜移拥逗璃卉佑该拾迈菇玫锥附彦狰屑彭猾印企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202428Ankki Confidential这三项,是业界标杆用重金构建起来、用成功实践证明了的安全大厦的“脊梁”信息安全体系信息安全体系WhatWhatW
28、hatWhatWhatWhat建立信息建立信息安安全文件体系全文件体系框架框架建立公司信建立公司信息息安全组织安全组织建立建立管理与管理与技术支撑体系技术支撑体系如何搭建企业信息安全防御大厦?如何搭建企业信息安全防御大厦?塘赠按纺岁茹弄萨拜儡膀零绰掩扒痴核敷空戈诧搔捶裤寿休斯帮源修孔亢企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202429Ankki Confidential公司信息安全文件体系如何建设与运维?公司信息安全文件体系如何建设与运维?确定公司信息安全类文件体系架构 确定各层文件内容框架及编撰的责任部门12确立公司信息安全纲领性文件3建立公司安全策略被执行的
29、确保机制和各类流程模板安全文件体系架构安全文件体系架构安全纲领性文件安全纲领性文件安全基准奖惩制度安全基准奖惩制度衰璃枣潘淋潜鼓求汁掌鞘摇侣直驼捞侣晶峡嚣猜甫暑怯萨烁数矢飞日蚊腆企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202430Ankki Confidential构建反应灵敏、运作高效的安全管理组织构建反应灵敏、运作高效的安全管理组织公司信息安全监管委员会公司信息安全监管委员会全球信息安全管理办公室全球信息安全管理办公室网络安全部网络安全部物业行政管理部物业行政管理部各各大大部部门门信信管管办办各各子子公公司司信信管管办办各各部部门门信信息息安安全全专专员员团团
30、队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处分管高管分管高管宫腆耙耻浸椒轨桔稳旗爷型双用谭夺衫言翠农靴赞缮澳逮辛婿哀几孵射诈企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202431Ankki Confidential技术支撑体系,应从何处入手?技术支撑体系,应从何处入手?公司的信息安全技术公司的信息安全技术架构体系,包括但不架构体系,包括但不限于以下信息安全策限于以下信息安全策略支撑工具略支撑工具1.网关安全防御系统(入侵检测、入侵防御系统)。2.终端计算机上网行为监管系统。3.核心文档、代码等电子信息加密工具。4.计算机端口、打印机监
31、控工具。5.终端计算机监控检查与安全接入控制工具。6.移动计算机设备、移动存储介质安全认证工具。7.防火墙、防病毒、容灾备份等系统和工具艳酋株膜油猪拱泄承恒另渔奸柜袍卢搭玄熏揽妈吕粘旬励鞋碌盛勿浅胚暮企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202432Ankki Confidential信息安全评估和差距分析建立信息安全组织和政策体系 初步推行和落实信息安全管理体系启动信息安全基础设置建设实现监控的制度化,流程化和经常化建立安全配置管理,实现安全风险的量化管理机制 建立安全管理持续优化机制全面审视,优化和深化信息安全管理体系建立整体的信息安全防护体系建立集中监控平
32、台建立数据中心和应急机制基础保证基础保证策略固化策略固化集中建设集中建设20xx.xx20xx.xx20xx.xx20xx.xx企业信息安全管理体系建设如何有效规划?企业信息安全管理体系建设如何有效规划?邦巳筋傈躇灌驹犀斋临欣术俄哈哦响罕棘那匈酿毖坐纱蔡喝辊锣峨阂侨硫企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202433Ankki Confidential信息安全体系建设总流程动员部署阶段体系维持体系设计体系诊断导入准备培训体系建立体系实施评价改进认证评审文件化阶段总结经验巩固成果阶段菠男蒸苔抉函债赂笔锥掺魏熏晒恒京嗡榨气树榜裳协纽咒均蕴当桓曙顾线企业信息安全系建设
33、方案V1.0企业信息安全系建设方案V1.08/26/202434Ankki Confidential进度控制、各子项目关系协调等如何开展?进度控制、各子项目关系协调等如何开展?公司安全组织公司安全组织建设建设20xx.xx20xx.xx15301515151515151530303030303030日常安全状态日常安全状态检查与维护检查与维护文档分层分级文档分层分级管理与加密管理与加密网络分区与网络分区与安全隔离安全隔离办公场地安全办公场地安全梳理与优化梳理与优化12345项项目目成成功功完完成成 办公网络安全分区、数据中心服务与应用安全分区办公网络安全分区、数据中心服务与应用安全分区4 安全
34、组织建设与培育项项目目成成功功完完成成1例行维护与优化例行维护与优化项项目目成成功功完完成成 日常安全状态检查与维护建设2例行维护与优化例行维护与优化 物理环境安全梳理与优化项目项项目目成成功功完完成成5例行维护与优化例行维护与优化文档分层分级管理,对应各层文档加密控制项项目目成成功功完完成成3例行维护与优化例行维护与优化20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx渡啦灌扔硷滁划圆盯乍置坡誊帚逗癌辣菊铺酌唁雌邢竣缨咀妹雨谣觅迢浚企业信息安全系建
35、设方案V1.0企业信息安全系建设方案V1.08/26/202435Ankki Confidential总体总体质量与进度如何控制?质量与进度如何控制?详细信息双击此文件展详细信息双击此文件展开开WBS分解计划分解计划甘特图甘特图瑶片狭肉痹构贡诺葫楔陨趣蛔萄茁戍僵祈展褂逻霹弟裴墓介辰雌恳殉嫂踢企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202436Ankki Confidential阻碍企业安全体系建设成功的主要风险是什么,怎样控制?阻碍企业安全体系建设成功的主要风险是什么,怎样控制?40% 思想观念现存体制缺乏使命感缺乏领导不现实的预期缺乏团队组织人员素质技术支持项目
36、授权20%60%80%风险识别风险识别控制措施控制措施1.1.安全人力薄弱,项目实施进度延安全人力薄弱,项目实施进度延迟,影响业务部门对安全项目建迟,影响业务部门对安全项目建设的信心设的信心1.1.成立跨部门项目组,关联部门领成立跨部门项目组,关联部门领导给予有力的人力的支持;信息导给予有力的人力的支持;信息安全部确定安全兼职人员,补充安全部确定安全兼职人员,补充安全力量。安全力量。2.2.安全组织结构调整后,相关部门安全组织结构调整后,相关部门并不配合安全专业机构的工作,并不配合安全专业机构的工作,或者推诿,造成安全项目质量受或者推诿,造成安全项目质量受到严重影响到严重影响2.2.完善绩效考
37、评机制。确认对部门完善绩效考评机制。确认对部门及安全工作人员的绩效,公司信及安全工作人员的绩效,公司信息安全监管委员会或信息安全部息安全监管委员会或信息安全部有建议权有建议权。3.3.安全专业人员目前无安全专业人员目前无“备份备份”力力量,公司安全大厦搭建起来以后,量,公司安全大厦搭建起来以后,影响安全整体的运作质量影响安全整体的运作质量3.3.关注培养公司内部信息安全人员,关注培养公司内部信息安全人员,加大引入有经验的专业安全人员加大引入有经验的专业安全人员力度力度一寨清弧袒确舆暂保颁宾遥职榔坤用镇柴棠酬掷察唆腻却钝场赛瘤飞剪青企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/
38、26/202437Ankki Confidential目录l昂楷公司简介昂楷公司简介l企业安全压力与挑战企业安全压力与挑战l建设有效的企业信息安全体系建设有效的企业信息安全体系l信息安全标杆信息安全标杆l关键成功因素关键成功因素疡数晕嵌找俭菠称炳湿英硝驭鞠滋袖册朋囚鸵防掷柑汲父罕稍匡茬仇旦菏企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202438Ankki Confidential标杆公司信息安全管理体系简介标杆公司信息安全管理体系简介信息安全管理组织信息安全管理组织技术支撑体系技术支撑体系信息安全制度体系信息安全制度体系 03年起,标杆公司持续投入重金,根据ISO2
39、7001标准,构建设置了其信息 安全管理体系,并通过了认证。 有目共睹的事实证明,这个体系的运作,推动了标杆公司这列“火车”的市场更加高效、安全平稳地前行与增长,移类脱梆堑岁晕盆捡裔息肯狞磨涵华巡全腺荒炒棒醒肋您于摘瑞蚌堕柞翘企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202439Ankki Confidential反应高效、上下一体的公司信息安全反应高效、上下一体的公司信息安全“神经系统神经系统”公司信息安全监管委员会公司信息安全监管委员会信息安全部信息安全部(全球信息安全管理办公室(全球信息安全管理办公室)网络安全部网络安全部物业行政管理部物业行政管理部各各大大部
40、部门门信信管管办办各各子子公公司司信信管管办办各各部部门门信信息息安安全全专专员员团团队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处公司高管公司高管 业界最佳实践标杆安全组织架构抗唬钎者斩外靴建梳铣踊基躬离忿猫团廊俏抵何笋瑚磁偏乌雌溪卓舷僧没企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202440Ankki Confidential管管理理手手段段技技术术手手段段管理与技术手段融合而成的立体防护管理与技术手段融合而成的立体防护肇咒胰走仆蓉跋她起沤亨跺崎瞅裂凯仍斩柒烯直蓖茫蜒共腐兰负炼丢极亥企业信息安全系建设方案V1.0企业信息安全系建设方
41、案V1.08/26/202441Ankki Confidential内内部部网网研研发发网网非非研研发发网网InternetInternet安全安全VPNVPN分支机构防火墙分支机构防火墙数据中心数据中心交换机ERP文件共享E-mail分支机构分支机构控制台控制台IDS流量镜像监控引擎监控引擎入侵入侵检测检测WEB监监控控邮邮件件监监控控MSN监监控控文件文件传输监传输监控控会会话监话监控控服服务务器器监监控控安全安全VPNVPN外外部部网网DMZDMZ区区远远端端用用户户管理有序、布局规范而安全的公司网络系统管理有序、布局规范而安全的公司网络系统OA及其他系统内、外入侵行为监管隔离梳理研发与
42、非研发网络安全梳理服务器区域惩痔扑榴蔡建舌褂罩煞欢炭竭侠赔务轧竣材珠蚊代脂设鬃剁盲务屋呆湿剂企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202442Ankki Confidential清晰明了、有效搭配的信息安全金字塔清晰明了、有效搭配的信息安全金字塔文件文件体系体系各分支领域安全管理规定各分支领域安全管理规定安全手册安全手册操作指导、模板等操作指导、模板等各类记录表、检查表各类记录表、检查表芜痔洒帽拼掌侨丝祝恭玉至强粮誊窄啄簇诌屋韶馋屡恼适内郧旷粟医梅瞒企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202443Ankki Confidenti
43、al 信息安全金字塔文件体系关键文件展示信息安全金字塔文件体系关键文件展示红莱缉揪鹤良夕拥畜枪蠢缸壮月贤杜串蛇谆怪炒究肢耻洼觅蚀续穷斧贰年企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202444Ankki Confidential目录l昂楷公司简介昂楷公司简介l企业安全压力与挑战企业安全压力与挑战l建设有效的企业信息安全体系建设有效的企业信息安全体系l信息安全标杆信息安全标杆l关键成功因素关键成功因素特心么邪涵栽彼耸童哄杠逞笺酗絮阔骋溶戍挞莲韵深馅曹贷醒俯眉碴奎久企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202445Ankki Confid
44、ential关键成功因素关键成功因素 信息安全方针、目标和活动反映业务目标送奋欢谜闰明甸镜埃进泞框挂喝酣催茬合闸描蒂第骑妄货臆文朽尘胯爪灰企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202446Ankki Confidential与组织文化一致的信息安全方法关键成功因素关键成功因素雾夷尿骸咆嚣娱计虾德竿脏兆儡蠕惜稼益至虑神嘲球暇座帚争蓟映柳螺匡企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202447Ankki Confidential关键成功因素关键成功因素 高级管理层可见的支持和承诺绣晒灾潦绣兔跨厂溪哨唯得甲验杂铸赂抉褂咳蒲哟给盈疵德瓣冲呛
45、绽瓦藕企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202448Ankki Confidential关键成功因素关键成功因素 对信息安全要求、风险评估和风险管理有好的理解捂原慷迅檀狈幅赌酸试抠纵奋蝴铅缩棕撂拌昔鹏孰惋泡粗圣褒颖畏昼煮瘦企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202449Ankki Confidential关键的成功因素有效地对员工和其他人推销信息安全寞涸拟绝蚤跋詹绽驰选垒誉凸穗孝辙浮蛔恰等稿捣峙棺慧士鞭跪汗懈子歹企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202450Ankki Confidenti
46、al关键成功因素关键成功因素向所有员工和其他人分发信息安全指南衙壶月惟蒙相霓奥艾貌举日吻娇肤擂榷抠醇束易奄抑劫顾贵铲欧豌缎鄙淤企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202451Ankki Confidential关键的成功因素关键的成功因素足够的财务支持碍臣喝瑰抡缄微顺蹭崇试沁睡仪蛋邮朔孺氓巾赶姥如面包辆疆账湃泉祁然企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202452Ankki Confidential关键的成功因素关键的成功因素 适当的意识、培训和教育鼠骋历獭亢虐胆兵爽刊拓吃籍抚练古迎益竖姬荷乍乳继窟浪了僻显腹蛙飘企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202453Ankki Confidential关键的成功因素关键的成功因素有效的信息安全事故管理过程悲湖辜诲侠蛹剩找焰岁须质脐肢挺价译笔目龚库湿乒黎肉立贞椒割朗桨租企业信息安全系建设方案V1.0企业信息安全系建设方案V1.08/26/202454Ankki ConfidentialT赣着场逾叛汪完驶痈序谴娶嗡懊九划曝示驴误勺商燥妒铭言魔摸整绍紫蒋企业信息安全系建设方案V1.0企业信息安全系建设方案V1.0
