《公司信息安全体系1.0建设计划书》由会员分享,可在线阅读,更多相关《公司信息安全体系1.0建设计划书(71页珍藏版)》请在金锄头文库上搜索。
1、价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任同洲信息安全体系同洲信息安全体系1.01.0建设计划书建设计划书客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长管理工程部管理工程部 邓生品邓生品价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任管理工程部 邓生品 2008年12月24日同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距目录目录目录目录同洲信息安全体系变革规划
2、同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全管理混乱的几个案例总部高层的办公室,神秘人士可以越过“重重关卡”,自由出入;那么,其他办公场地呢?可想而知公司各类重要场地、业务系统,已有的或是新增的,从来没有定期的信息安全风险评估与管理优化这一说,反正,出了问题再“救火”,不但不被处罚,还能向公司体现“我” 的“工作绩效和工作付出”基地,保安与员工勾结,硬件资产被盗。那么,公司的重要设计方案、代码软件等电子信息资产,是否也被时时如此“算计
3、”着,不言自喻各类高危的设备带入研发等场地;USB端口开启、网络服务器搭建、测试申请时时发生着在没有任何隐患控制措施的情况下,还带着一副必须得为其开通的言语和表情nn价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任公司种种业务开展中的安全需求很急迫,但无安全系统支撑需要文档加密系统,支撑需要文档加密系统,支撑IPD等流程文档发布的发布,等流程文档发布的发布,但我们没有文档加密系统但我们没有文档加密系统价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任公司种种
4、业务开展中的安全需求很急迫,但无安全系统支撑需要文档加密系统,支撑公司研发核心代码、设计文档。需要文档加密系统,支撑公司研发核心代码、设计文档。但我们没有文档加密系统但我们没有文档加密系统价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任我们没有内网行为监控系统防火墙并没有详细的外发资料的记录,比如:通过防火墙并没有详细的外发资料的记录,比如:通过Web邮箱(邮箱(163、SOHU等)外发的邮件的记录或者是通过等)外发的邮件的记录或者是通过BBS发布的信息等发布的信息等从防火墙上能够看到种种违规数据传递、工作时间的网络“闲逛”
5、行为,但是防火墙却提供不了证据证明价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任公司具有FTP权限的人有200多个,占上网总人数的约1/7,FTP传输的信息系统也无法监控FTP是安全的高危通道。在管理上应该是部门统一出口,专人管理;同时,需要对传输的内容进行监控。但是,目前公司却没有做到其中的一点价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任我司目前安全控制水平我司目前安全控制水平无规范安全防御与无规范安全防御与评估体系,评估体系,表面太平表面太平建立
6、管理组织体建立管理组织体系、采取周期评系、采取周期评估优化措施估优化措施安全规范可控,安全规范可控,不断优化不断优化破产破产损失惨重损失惨重基本无力回天基本无力回天重大事故发生时重大事故发生时“救火救火”安全安全水平水平层次层次$同洲目前的位置在这里,我们应该向有阳光同洲目前的位置在这里,我们应该向有阳光的地方奋进!应该不会有人否定吧的地方奋进!应该不会有人否定吧?同洲位置安全形势越来越严峻安全形势越来越严峻麻痹者跌倒后,将可能永远倒下麻痹者跌倒后,将可能永远倒下价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任信息安全文件体
7、系信息安全文件体系管理与技术支撑体系管理与技术支撑体系信息安全组织架构信息安全组织架构案例展示顺序,以安全架构案例展示顺序,以安全架构“核心层分类核心层分类”标准标准 为基础为基础我司安全各层面安全管理混乱案例分析价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任必须补充信息安全基础的“宪法”文件混乱表现混乱表现1:权限开:权限开通无视安全通无视安全混乱表现混乱表现2:开发测:开发测试无安全控制意识试无安全控制意识混乱表现混乱表现3:安全管:安全管理不能落地理不能落地混乱表现混乱表现n没有统一的旗帜,所以迷失方向,百年同洲需要
8、护航符,安全压力需要从高层局部扩展到全员,成为企业文化的一部分根据业务需要,我们根据业务需要,我们需要外部能访问内网需要外部能访问内网的服务器和计算机,的服务器和计算机,我们的领导都审批通我们的领导都审批通过了,过了,IT IT网络部赶快网络部赶快给我开通!给我开通!没有安全评估流程及标准,所以,领导审批通过了就是安全的了,客观上是否安全不重要了!我是在测试一个我是在测试一个IT IT方方面的平台系统,又不面的平台系统,又不是在做业务无关的事,是在做业务无关的事,所以虽然是因为测试所以虽然是因为测试让研发的办公网络瘫让研发的办公网络瘫痪了痪了5 5小时,但是这小时,但是这个是业务上需要!个是业
9、务上需要! 他并没有意识到,在生产环境测试是违反安全基本标准的,也没有意识到这个一个严重的安全事故。而且还有要让网络瘫痪5天的架势制定实验室安全管理制定实验室安全管理细则?那是公司的事细则?那是公司的事情,实验室管理员是情,实验室管理员是做什么的我不是很清做什么的我不是很清楚,但是肯定不是负楚,但是肯定不是负责这方面的。责这方面的。自己的职责是什么很含糊,但是,怎样推卸职责是一点也不含糊。1.你是IT信息安全部而又不是全公司的信息安全部,所以只是负责你们部门范围的安全,我们部门的事情,什么时候轮到你来管了?2.我现在有一台私人电脑要带进来,你必须给我解决,不然,我的工作事情你来负责做完 不知道
10、怎么评价了!往往这个时候似乎感到自己的智商突然变低了价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全管理无安全管理无明确身份面明确身份面临的尴尬临的尴尬我们需象标杆企业一样,从公司管理制度上,我们需象标杆企业一样,从公司管理制度上,确认和保证安全建设与检查机构的确认和保证安全建设与检查机构的“法定法定” 身份和权威。身份和权威。1.1.你只是你只是IT IT部门下的一个小小主管,部门下的一个小小主管,你是为我服务的!你以为你是你是为我服务的!你以为你是谁啊?谁啊?N 华为公司的安全机构,内部从高管到基层员工、外部从政府官
11、员到各类来访人员,华为公司的安全机构,内部从高管到基层员工、外部从政府官员到各类来访人员,都都“惧怕惧怕”他们而事事注意遵从其安全要求。但是在同洲,不少人却对公司安全要求他们而事事注意遵从其安全要求。但是在同洲,不少人却对公司安全要求 不以为然的吆五喝六。难道,同洲的安全境界非常高了,已经达到不需安全管理的境地了吗?不以为然的吆五喝六。难道,同洲的安全境界非常高了,已经达到不需安全管理的境地了吗?2.我们部门的领导都审批同意了,你我们部门的领导都审批同意了,你凭什么不批?必须在凭什么不批?必须在5分钟内给我分钟内给我开通!开通!4.4.我没有违反规定,我们部门的规我没有违反规定,我们部门的规定
12、就是这样的,你无权干涉!定就是这样的,你无权干涉!3.3.是谁给你的权利,让我遵守是谁给你的权利,让我遵守这遵守那的?这遵守那的?价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任无统一安无统一安全监管机全监管机构导致的构导致的混乱混乱亟待建立贯穿高层至基层的安全管理体系总部行政中心保安负责总部大楼安全。但是,对环境安全保护是否到位、方案是否根据业务发展进行周期性调整优化?缺少专业的引导和评估,缺少统一的监督和检查。基地总务安全部负责基地的物业安全,但是,其安全措施标准是否与总部一致?其日常的工作状态缺少明确独立的机构监督。I
13、T系统维护部门,负责系统的配置等服务。但是,各系统之间的通信是否符合安全标准?系统的性能是否进行周期性评估以支撑业务连续性?没有评估,也没有标准及统一监管各外地分公司、办事处的物理安全是否有负责人在监管和落实?没有!IT网络部认为职责是负责日常网络的通畅。缺少开展网络安全状态周期性评估和周期优化巩固方案设计与实施。没有统一的安全要求标准及符合性监管统一负责整个公司安全体系的统一负责整个公司安全体系的标准制定、日常安全运作情况的标准制定、日常安全运作情况的评估与监管机构在哪里?没有!评估与监管机构在哪里?没有!我们必须建立起来!我们必须建立起来!总部、基地、外地的各部门及员工日常形形色色的行为安
14、全状况,是否有统一监管、优化?没有!价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全产品的选型、洽安全产品的选型、洽谈、考察、测试、安谈、考察、测试、安全人员接待与沟通全人员接待与沟通公司安全组织建设;各类权限申公司安全组织建设;各类权限申请电子流审批;员工日常安全事请电子流审批;员工日常安全事件调查;员工安全意识培训件调查;员工安全意识培训公司信息安全人手太过薄弱各类信息安全标准、制度、方案各类信息安全标准、制度、方案的制定;以及组织评审、签发的制定;以及组织评审、签发信息安全项目群的组织、信息安全项目群的组织、开发、
15、实施、推行、以开发、实施、推行、以及项目日常管理及项目日常管理其他工作:若干安全权其他工作:若干安全权限电子流审批;部门内限电子流审批;部门内部部QA组及验收测试部组及验收测试部的部门建设、标准制定、的部门建设、标准制定、日常管理协调等工作日常管理协调等工作目前目前, ,只有信息安全部主管只有信息安全部主管+ +一名新毕业大学生一名新毕业大学生公司信息安全工作价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距
16、目录目录目录目录同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任标杆核心层分析信息安全文件体系信息安全文件体系信息安全组织架构信息安全组织架构管理与技术支撑体系管理与技术支撑体系价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任不断完善的信息安全文件体系安全政策、安全政策、风险评估标准风险评估标准安全制度、安全流程安全制度、安全流程谁,什么时候、谁,什
17、么时候、做什么,在哪里做什么,在哪里各类安全符合性证据各类安全符合性证据Level 2Level 2各类安全管理规定、安各类安全管理规定、安全流程及流程文件全流程及流程文件Level 1Level 1安全手册安全手册描述任务及具体活动怎么做的描述任务及具体活动怎么做的各类模板、表单各类模板、表单Level 3Level 3操作指导、检操作指导、检查彪、模板等查彪、模板等Level 4Level 4各类记录各类记录 华为建立了以信息安全策略总纲为基础的、由各层级细化的安全管理规定、文件、 模板等组成的信息安全白皮书文件体系。它们分别由对应层级的安全机构修订和实施价值观:客户第一 | 阳光沟通 |
18、 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任上下一体的的信息安全组织架构 03年起,华为持续投入重金,请DNV公司 协助其根据BS7799标准,构建设置了其信息 安全管理体系,并通过了企业BS7799认证。 有目共睹的事实证明,这个体系的运作,推动了华为这列“火车”更加高效、安全平稳地前行浑然一体、运作高效的信息安全体系公司信息安全监管委员会公司信息安全监管委员会信息安全部信息安全部(全球信息安全管理办公室(全球信息安全管理办公室)网络安全部网络安全部物业行政管理部物业行政管理部各各大大部部门门信信管管办办各各子子公公司司信信管管办办各各部部门门信信息息
19、安安全全专专员员团团队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处CIO价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任坚实的信息安全内控管理与技术支撑体系管理手段与技术管理手段与技术工具有机结合工具有机结合内网行为监管内网行为监管与审计系统与审计系统终端接入认证、终端接入认证、终端软件标准终端软件标准检查等检查等系统系统文档加密、打文档加密、打印、印、USBUSB等控等控制系统制系统网络隔离;物网络隔离;物理划分安全等理划分安全等级,并实施不级,并实施不同等级的配套同等级的配套保护保护价值观:
20、客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距目录目录目录目录同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任差距分析信息安全文件体系信息安全文件体系信息安全组织架构信息安全组织架构管理与技术支撑体系管理与技术支撑体系价值观:客户第一 |
21、 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任我司安全内控与标杆的位置示意图我司安全内控与标杆的位置示意图无规范安全防御无规范安全防御与评估体系,与评估体系,表面太平表面太平建立管理组织体系、建立管理组织体系、采取周期评估优化采取周期评估优化措施措施安全规范可控安全规范可控不断优化不断优化破产破产损失惨重损失惨重基本无力回天基本无力回天重大事故发生时重大事故发生时“救火救火”安全水平$华为位置同洲位置 有差距不可怕!可怕的是我们看不到差距,甚至看到了差距后,不是想办法赶上,而是找借口不为!价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱
22、变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任我司信息安全文件体系状况Level 2Level 2Level 3Level 3Level 4Level 4Level 1Level 1安全政策、安全政策、风险评估标准风险评估标准安全制度、安全流程安全制度、安全流程谁,什么时候、谁,什么时候、做什么,在哪里做什么,在哪里各类安全符合性证据各类安全符合性证据各类安全管理规定、安全流各类安全管理规定、安全流程及流程文件程及流程文件安全手册安全手册描述任务及具体活动怎么做的描述任务及具体活动怎么做的各类模板、表单各类模板、表单操作指导、检查操作指导、检查表、模板等表、模板等各类记录各类
23、记录 没有规矩,就没有方圆!所以,没有安全的 规范指导性文件,安全建设失去了引导和度量的标准。现代社会是契约型社会,公司的“安全契约”在哪里?没有。那我们就用心建立起来吧!无公司安全纲领文件无公司安全纲领文件有少部分散乱的安全制度及流程,不有少部分散乱的安全制度及流程,不全面且相互也缺乏互补,等待规范全面且相互也缺乏互补,等待规范除了物业保安场地检查除了物业保安场地检查记录外,其他基本没有记录外,其他基本没有严重缺失没,基本没有严重缺失没,基本没有价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任没有没有总部、基地、各外总部、
24、基地、各外地机构等物业监管地机构等物业监管隶属、考核关系,隶属、考核关系,以及管理标准等模以及管理标准等模糊不明,有待明确糊不明,有待明确和改善和改善需优化需优化上下一体的的信息安全组织架构上下一体的的信息安全组织架构公司信息安全监管委员会公司信息安全监管委员会信息安全部信息安全部(全球信息安全管理办公室(全球信息安全管理办公室)网络安全部网络安全部物业行政管理部物业行政管理部各各大大部部门门信信管管办办各各子子公公司司信信管管办办各各部部门门信信息息安安全全专专员员团团队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处CIO1.1.只有一个专业人员和只有一个专业人员
25、和一个新毕业大学生;一个新毕业大学生;2.2.没有从制度上明确安没有从制度上明确安全机构的责任和权利全机构的责任和权利力量薄弱力量薄弱 现状下的公司安全组织,就如“农民起义军”一样,有形无神!无统一的章程、无统一的中央机构,凭少数“起义发起者”在“点火”,员工和各部门缺失主动的安全防范措施和意识。IT IT技术支持、网络维护人技术支持、网络维护人员在负责。没有规范的员在负责。没有规范的标准、没有标准、没有IT IT状态安全评状态安全评估、没有例行检查与优估、没有例行检查与优化化需加强需加强价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气
26、反馈认真责任我司安全内控管理与技术支撑体系状况脆弱的安全内控终端接入安全认证系统(SPES)桌面软件标准检查系统(ACC)网络隔离;场地安全等级划分与配套管理等等内网行为防护与审计系统(CPM、PM、信息出口监管系统) 只有ISA和Juniper 防火墙,无其他安全内控系统 物理安全有一定监控,其他防内部泄密监管基本空白!价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距目录目录目录目录同洲信息安全体系变革规
27、划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任什么是信息安全安全安全安全安全信息威胁弱点完整性保护信息及其处理步骤保护信息及其处理步骤不被未授权的修改不被未授权的修改可用性确保信息能够被确保信息能够被授权的用户授权的用户在需要时访问在需要时访问风险确保信息只被确保信息只被授权的人访问授权的人访问保密性信息安全关注的信息安全关注的“三性三性”价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并
28、行勇气反馈认真责任信息安全之路4P安全策略与流程(P Policy & P Process)专业团队P People支撑产品(P(Product) )价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任信息安全的组成领域总揽信信息息安安全全 11 11个控制领域个控制领域 3939个控制目标个控制目标 133133个控制项个控制项安全制度及流程技术措施管理措施11 通信与操作管理10 业务连续性管理2 组织安全3 资产分类与控制 5 物理及环境安全8 符合性4 系统与维护9信息安全事件管理6 访问控制 7人员安全1 安全策略价值
29、观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全风险控制方案设计过程23451价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任企业信息安全管理体系(ISMS)建设PDCA做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化建立与公司策略与目标相适宜的安全建立与公司策略与目标相适宜的安全策略、对象、目标、流程活动等,聚策略、对象、目标、流程活动等,聚焦于风险管理和提升信息的安全状态。焦于风险管理和提升信息的安全状态。1.1.发起建设
30、发起建设ISMSISMS实施与运作各类安全策略、控制,以及安全流程与活动。实施与运作各类安全策略、控制,以及安全流程与活动。2.2.实施与运作实施与运作ISMSISMS基于安全策略,评估、度量各安全控基于安全策略,评估、度量各安全控制过程的实际效用;制过程的实际效用;形成评估结果报告提交管理层审视。形成评估结果报告提交管理层审视。3.3.监控与审视监控与审视ISMSISMS基于管理层对风险评估结果基于管理层对风险评估结果( (步骤步骤3 3的输出的输出) )的审视意见,采取的审视意见,采取正确有效的正确有效的ISMSISMS持续改进措施。持续改进措施。4.4.维护与改进维护与改进ISMSISM
31、S计划计划行动行动检查检查改进改进做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化输入输入输出输出价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全工作模块总揽安全工作模块总揽安全安全风险风险 评评估估安全基础安全基础安全功能安全功能安全优化安全优化安全战略安全战略安全管理安全管理安全技术安全技术防火防火墙墙和和 边边界隔离界隔离安全区域定安全区域定义义和划分和划分安全安全组织组织和和 责责任划分任划分企企业业安全策安全策略定略定义义信息信息资产资产分分类类和分和分级级紧紧急响急响应应 机制机
32、制业务业务持持续续 计计划划核心安全核心安全 标标准准/流程流程安全安全变变更更 管理管理安全安全补补丁丁 管理管理安全安全备备份份 管理管理其它安全其它安全 标标准准/流程流程安全培安全培训训与与教育教育第三方安全第三方安全控制要求控制要求安全策略和安全策略和标标准修准修订订系系统统安全安全 强强化化网网络络入侵入侵检检测测体系体系高危数据高危数据 传输传输加密加密关关键键系系统统 日志日志记录记录病毒防范病毒防范 机制机制身份身份认证认证 体系体系访问访问控制控制 体系体系可用性与可用性与 冗余性冗余性远远程程访问访问 安全机制安全机制时间时间同步同步 机制机制集中安全集中安全 审计审计体
33、系体系安全事件安全事件 管理平台管理平台企企业业身份身份 认证认证平台平台其它内容其它内容 安全机制安全机制其它数据其它数据传传输输加密加密主机入侵主机入侵 检测检测体系体系数据存数据存储储 安全体系安全体系安全体系全面整合和控管安全体系全面整合和控管国际或国内安全认证国际或国内安全认证价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任同洲信息安全管理现状同洲信息安全管理现状信息安全管理标杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距目录目录目录目录同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提
34、供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任本期目标:搭建我司安全防御大厦框架怎么做?怎么做?HowHow谁做?谁做?WhoWho什么时候做?什么时候做?WhenWhen做什么?做什么?WhatWhat公司安全大厦What is the BaseWhatWhatWhatWhatWhatWhat价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任 做什么?做什么?WhatWhat这三项,是业界标杆用重金构建起
35、来、用成功实践证明了的安全大厦的“脊梁”安全“大厦”的脊梁是什么?公司安全大厦公司安全大厦公司安全大厦坚固的基石是什么?公司安全大厦坚固的基石是什么?WhatWhatWhatWhatWhatWhat建立信息建立信息安全文件体系安全文件体系框架框架建立公司信息建立公司信息安全组织安全组织架构架构建立初级的建立初级的管理与技术支撑体系管理与技术支撑体系价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任建立并落实公司信息安全文件体系框架建立并落实公司信息安全文件体系框架 基于IPD的文件架构标准,确定公司信息安全类文件体系架构 确定
36、各层文件内容框架及编撰的责任部门12确立公司信息安全纲领性文件设计并签发同洲信息安全管理手册3建立公司安全策略被执行的确保机制设计并签发同洲信息安全奖惩管理规定安全文件体系架构安全文件体系架构安全纲领性文件安全纲领性文件安全基准奖惩制度安全基准奖惩制度价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任建立公司信息安全组织架构公司信息安全监管委员会公司信息安全监管委员会信息安全部信息安全部(全球信息安全管理办公室(全球信息安全管理办公室)网络安全部网络安全部物业行政管理部物业行政管理部各各大大部部门门信信管管办办各各子子公公司司
37、信信管管办办各各部部门门信信息息安安全全专专员员团团队队国国内内各各地地物物业业安安全全处处海海外外各各地地物物业业安安全全处处公司公司CIO 业界最佳实践标杆安全组织架构BR&ITBR&IT信息安全部是公司安全组织的信息安全部是公司安全组织的“行业领导行业领导”机构,虚线安全层级的行政领导关系机构,虚线安全层级的行政领导关系和人事关系在原部门体系和人事关系在原部门体系对照分析价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任技术监控技术监控管理监控管理监控技技术术监监控控管管理理监监控控建立初级的管理与技术支撑体系建立并运作
38、建立并运作各业务体系各业务体系日常安全检日常安全检查机制查机制加固物理安全优化加固物理安全优化及监督机制及监督机制部署内网部署内网行为监控行为监控系统系统部署电子部署电子文档安全文档安全管理系统管理系统初步的技术系统与安全管理流程配合,治本!初步的技术系统与安全管理流程配合,治本! 如果还不改变事后如果还不改变事后“救火救火”的治标方式,公司早晚要被玩完!的治标方式,公司早晚要被玩完!明确明确IT IT网络网络体系、体系、IT IT应应用体系风用体系风险评估与险评估与控制机制控制机制价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认
39、真责任知道了“大厦”的各要素后,怎么做出来呢?公司安全大厦高层支持、全员参与、有效协作、定期高层支持、全员参与、有效协作、定期检查、独立审计、周期性评估与优化,检查、独立审计、周期性评估与优化,是公司安全大厦坚固的基石!是公司安全大厦坚固的基石!安安全全件件体体系系框框架架安安全全组组织织架架构构管管理理与与技技术术支支撑撑体体系系建立基础:签发建立基础:签发同洲信息安全管理手册同洲信息安全管理手册,建立安全,建立安全文件体系架构;建立贯穿上下的公司信息安全组织,明文件体系架构;建立贯穿上下的公司信息安全组织,明确各部门及员工安全防护要求、。确各部门及员工安全防护要求、。确立各部门安全专员,与
40、秘书体系确立各部门安全专员,与秘书体系合并,设计日常安全检查表,引导开展合并,设计日常安全检查表,引导开展日常的安全检查,并落实奖惩机制日常的安全检查,并落实奖惩机制实施公司研发与非研发网络、物实施公司研发与非研发网络、物理场地的隔离理场地的隔离部署文档加密系统、内部署文档加密系统、内部入侵检测系统部入侵检测系统怎么做?怎么做?HowHow如此建立公司信息安全大厦!如此建立公司信息安全大厦!公司安全大厦逐步建立公司安全大厦逐步建立安全项目安全项目1从从零零开开始始成长着成长着成长着成长着安全项目安全项目2安全项目安全项目3安全项目安全项目n价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱
41、变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全体系1.0建设项目群总揽序号序号名称名称项目目标项目目标备注备注1 12 23 34 45 5公司安全组织架构搭建项目确定公司从上至下的安全组织架构体系,签发安全纲领文件确定各安全组织的职责分工及及工作汇报关系项目详细计划续后日常办公行为安全整改项目建立各业务体系安全专员组织(与公司秘书体系合并)输出安全专员工作操作指导办法输出日常安全状态监管CheckList指导专员工作,开展落实例行检查建立全员参与的安全问题反馈通道项目详细计划续后研发网络安全隔离项目定义研发业务研发物理场地与非研发各类研发网络与非研发网络隔离加固研发门禁
42、权限项目详细计划续后公司电子文档安全内控项目部署电子文档加密系统确定公司文档密级分类及对应密级定义、确定公司各类文档密级并落实文档密级标识确定公司各类密级文档加密规则确定跨部门文档获取规则项目详细计划续后公司物理场地安全优化项目协作行政中心,明确以总部为首的各地物业保安管理体系,统一明确物业安全标准和监管机制确立公司物理场地安全等级划分标准,确立配套的物理安全管理措施确立公司物理场地安全状态定期风险评估、安全监督与措施优化机制项目详细计划续后价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全项目细化介绍安全项目细化介绍安全
43、组织架构建设项目安全组织架构建设项目( (以及以及BR&ITBR&IT信息安全部人力薄弱问题解决信息安全部人力薄弱问题解决) )研发网络安全隔离项目研发网络安全隔离项目物理场地安全优化项目物理场地安全优化项目日常办公安全状态监管与优化项目日常办公安全状态监管与优化项目电子文档加密保护项目电子文档加密保护项目价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任组织架构组织架构公司安全组织架构问题解决方案对应职责对应职责 1.安全行业领导关系;2.下级机构落实上级机构的策略; 3.上级机构对下级机构 的安全工作,有绩效考评结果的建议
44、权总裁办全体人员组成,审批公司重大安全策略、方案等,提供决策支持总裁办全体人员组成,审批公司重大安全策略、方案等,提供决策支持日常工作中,代表安全监管委员会行使职责,提供决策支持日常工作中,代表安全监管委员会行使职责,提供决策支持负责公司信息安全管理体系负责公司信息安全管理体系(ISMS)(ISMS)的维护与建设;牵头规划或制定公司安全策的维护与建设;牵头规划或制定公司安全策略、方案、制度、标准等;导各业务部门开展周期性风险评估;安全项目规划略、方案、制度、标准等;导各业务部门开展周期性风险评估;安全项目规划与实施;日常安全监管;安全事故调查处理与实施;日常安全监管;安全事故调查处理物业行政管
45、理部:物业行政管理部:物理安全方面策略的落地,具体安全制度的细化与控制措施周期性评估优化公司各项安全要求在本部门的落地与日常检查监管;公司安公司各项安全要求在本部门的落地与日常检查监管;公司安全项目在本部门的宣传与推行;协助参与与本部门员工有关全项目在本部门的宣传与推行;协助参与与本部门员工有关的安全事件调查与处理的安全事件调查与处理IT IT网络及应用维护部门:网络及应用维护部门:公司网络安全方面策略的细化和落地,具体网络安全制度、流程的制定与周期性评估优化价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任公司信息安全部人力
46、薄弱的解决方案公司信息安全部人力薄弱的解决方案部门间的责任躲避或者推委 1.1.负责公司信息安全管理体系负责公司信息安全管理体系(ISMS)(ISMS)的维护与建设;的维护与建设;2.2.牵头规划或制定公司安全策略、方案、制度、标准等;牵头规划或制定公司安全策略、方案、制度、标准等;3.3.引导各业务部门开展周期性风险评估;引导各业务部门开展周期性风险评估;4 4。安全项目规划与实施;。安全项目规划与实施;5 5。日常安全监管;。日常安全监管;6 6。安全事故调查处理。安全事故调查处理繁重的任务繁重的任务薄弱的人力:一个安全专业人员+一名新大学生重重的问题和障碍员工单薄的安全责任意识薄弱的安全
47、支撑技术设施BR&IT信息安全部信息安全部安安全全制制度度设设计计小小组组安安全全技技术术架架构构小小组组安安全全系系统统开开发发维维护护小小组组安安全全审审计计小小组组现状现状 充分利用现有部门人力资源,确定4名合适的兼职人员,在安全主 管的指导下,分解“安全制度制定、安全技术架构、安全系统维护、日常安全审计” 四个方面工作,提高安全各层面兼顾及防护效率;同时,时刻关注引进有专业经验的人才解解决决办办法法价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任研发网络安全隔离项目细化介绍研发网络安全隔离项目细化介绍价值观:客户第一
48、 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任内内部部网网控制台控制台研研发发网网非非研研发发网网InternetInternet安全安全VPNVPN分支机构防火墙分支机构防火墙数据中心数据中心IDS交换机流量镜像监控引擎监控引擎ERP文件共享E-mail分支机构分支机构入侵入侵检测检测WEB监监控控邮邮件件监监控控MSN监监控控文件文件传输监传输监控控会会话监话监控控服服务务器器监监控控安全安全VPNVPN外外部部网网DMZDMZ区区远远端端用用户户研发、非研发网络隔离方案top图OA及其他系统价值观:客户第一 | 阳光沟通 | 团队协
49、作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任内内部部网网研研发发网网非非研研发发网网InternetInternet安全安全VPNVPN分支机构防火墙分支机构防火墙数据中心数据中心交换机ERP文件共享E-mail分支机构分支机构控制台控制台IDS流量镜像监控引擎监控引擎入侵入侵检测检测WEB监监控控邮邮件件监监控控MSN监监控控文件文件传输监传输监控控会会话监话监控控服服务务器器监监控控安全安全VPNVPN外外部部网网DMZDMZ区区远远端端用用户户隔离方案top图解析OA及其他系统内、外入侵行为监管隔离梳理研发与非研发网络安全梳理服务器区域此部分目前没有,建设
50、增加价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任物理场地安全优化项目细化介绍物理场地安全优化项目细化介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任物理安全物理安全整改策略整改策略公司物理安全隐患整改策略各类不同业务性质、不同安全等级要求的人员在一起办公,隐患控制难度大,怎么办?怎么办?确定公司物理场地确定公司物理场地安全等级划分标准安全等级划分标准1结合实际场地情况,落实划分结合实际场地情况,落实划分公司不同安全等级的物理区域公司不同安全等级的物
51、理区域2对不同安全等级的物理区域,对不同安全等级的物理区域,部署配套的安全控制措施部署配套的安全控制措施比如研发区域、高层办公区域等场地加固访问控制措施3价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任我司物理安全防护方案1.总部总部4、5楼隔离成研发办公区域,与楼隔离成研发办公区域,与6楼楼高层办公室等区域,安全控制级别最高高层办公室等区域,安全控制级别最高5.设计更为严密的安全例行检查设计更为严密的安全例行检查CheckList并开展周期性日常安全检查。并开展周期性日常安全检查。物理安全具体方案物理安全具体方案2.在最高
52、级被安全区域,增设身份认证在最高级被安全区域,增设身份认证设备和保安岗;高层配置指纹鼠标设备和保安岗;高层配置指纹鼠标3.关闭研发办公区所有关闭研发办公区所有USB口。口。4.重要办公场地出入口,增设工卡有效重要办公场地出入口,增设工卡有效性识别设备和保安岗。性识别设备和保安岗。研发区总部大楼总部大楼4 4、5 5层层总部大楼总部大楼6 6层层重要办公室6.评估基地及各地办公场地的安全等级,参评估基地及各地办公场地的安全等级,参照实施配套的物理安全防护措施。照实施配套的物理安全防护措施。价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反
53、馈认真责任日常安全状态检查与监管项目细化介绍日常安全状态检查与监管项目细化介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任 秘书之“秘”,在于有效保证公司的“秘密”信息为支撑其所在部门及公司的业务高效运作服务。 秘书体系,天然就是信息安全管理体系的有机组成部分!秘书体系,天然就是信息安全管理体系的有机组成部分!日常安全状态检查与监管实施方案安全专业人员与秘书体系之间、秘书体系与所在部门各业务之间,加强日常工作的充分沟通与商讨,实施安全控制措施秘秘书书安安全全职职责责部门日常安全状况检查部门日常安全状况检查部门安全问题反馈
54、部门安全问题反馈部门安全问题跟踪与解决部门安全问题跟踪与解决价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任去年已汇报并通过审批立项,具体项目去年已汇报并通过审批立项,具体项目CharterCharter电子文档安全系统项目电子文档安全系统项目价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任电子文档安全系统实施方案电子文档安全系统实施方案vs直接购买加密系统直接购买加密系统与供应商定制开发方式提供与供应商定制开发方式提供总体成本总体成本.后期系统升级与维护
55、后期系统升级与维护.业务衔接度业务衔接度.公司未来安全系统升级客观需求公司未来安全系统升级客观需求.国家政策资金扶持国家政策资金扶持.文档加密系统定制合作开发实施方案收益分析报告文档加密系统定制合作开发实施方案收益分析报告结论:以结论:以“合作定制开发合作定制开发”为优先攻关选择供应商;为优先攻关选择供应商;如果不行再退其次,选择如果不行再退其次,选择“直接购买加密系统直接购买加密系统”价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任公司信息安全管理体系(公司信息安全管理体系(ISMSISMS)1.01.0安全项目群开展进度
56、计划安全项目群开展进度计划价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任安全项目群的各项目范围公司安全组织架构公司安全组织架构搭建项目搭建项目确定公司安全组织架构、各组织职责确定公司安全文件体系架构、设计输出基础基础性安全文件设计公司安全状态监管与优化情况评估的会议机制,确保公司安全运作有序可控1日常安全状态检查日常安全状态检查与监管项目与监管项目设计输出公司各部门、业务公用的日常安全监管检查表内容模板CheckList根据秘书体系建设项目组的需要,提供有效的配合工作设计输出部门安全工作开展培训课件,培训秘书成员,推动各部
57、门秘书安全工作的开展2研发网络安全隔离研发网络安全隔离项目项目规划设计输出公司研发隔离网络架构方案图设计适合公司业务运作的研发物理安全方案规划部署支撑研发网络安全隔离的技术防御系统研发人员与非研发人员办公场地隔离3公司电子文档安全公司电子文档安全内控项目内控项目确定公司电子文档密级划分标准,落地公司各类电子文档的密级标识工作调研分析公司电子文档流转情况,分析输出适合公司业务和安全需求的各类文件加密标准部署文档加密服务器系统,完成各电脑终端加密客户端的安装提供配套支撑研发网络隔离实施工作4公司物理环境安全公司物理环境安全优化项目优化项目确定公司办公场地安全等级划分标准基于办公场地的安全等级标准,
58、优化落实各场地的安全控制措施建立各办公场地安全状态定期评估与优化的会议机制5价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任公司安全组织公司安全组织架构搭建项目架构搭建项目项目群实施总体进度计划2009.012009.012009.022009.022009.032009.032009.042009.042009.052009.052009.062009.062009.072009.072009.082009.0815301515151515151530303030303030日常安全状态日常安全状态检查与监管项检查与监管项
59、公司电子文档公司电子文档安全内控项目安全内控项目研发网络安研发网络安全隔离项目全隔离项目公司物理环境公司物理环境安全优化项目安全优化项目12345项项目目成成功功完完成成文档安全项目成果为重要支撑环节,其关闭后试运行一个月,研发网络隔离项目关闭文档安全项目成果为重要支撑环节,其关闭后试运行一个月,研发网络隔离项目关闭4 安全组织架构项目项项目目成成功功完完成成1例行维护与优化例行维护与优化项项目目成成功功完完成成配合秘书体系建设项目,部分工作进度视情况作调整2例行维护与优化例行维护与优化物理环境安全优化项目项项目目成成功功完完成成5例行维护与优化例行维护与优化电子文档安全项目项项目目成成功功完
60、完成成3例行维护与优化例行维护与优化价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任WBSWBS分解计划分解计划详细信息双击此文件展开详细信息双击此文件展开价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任甘特图甘特图价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任主要风险及控制措施风险风险控制措施控制措施1.1.安全人力薄弱,项目实施进度延安全人力薄弱,项目实施进度延迟,影响业务部门对安
61、全项目建迟,影响业务部门对安全项目建设的信心设的信心1.1.成立跨部门项目组,关联部门领成立跨部门项目组,关联部门领导给予有力的人力的支持;信息导给予有力的人力的支持;信息安全部确定安全兼职人员,补充安全部确定安全兼职人员,补充安全力量。安全力量。2.2.安全组织结构调整后,相关部门安全组织结构调整后,相关部门并不配合安全专业机构的工作,并不配合安全专业机构的工作,或者推诿,造成安全项目质量受或者推诿,造成安全项目质量受到严重影响到严重影响2.2.完善绩效考评机制。确认对部门完善绩效考评机制。确认对部门及安全工作人员的绩效,公司信及安全工作人员的绩效,公司信息安全监管委员会或信息安全部息安全监
62、管委员会或信息安全部有建议权有建议权。3.3.安全专业人员目前无安全专业人员目前无“备份备份”力力量,公司安全大厦搭建起来以后,量,公司安全大厦搭建起来以后,影响安全整体的运作质量影响安全整体的运作质量3.3.关注培养公司内部信息安全人员,关注培养公司内部信息安全人员,加大引入有经验的专业安全人员加大引入有经验的专业安全人员力度力度价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任收益分析1公司管理规范公司管理规范化水平提升化水平提升l统一规范化公司各项安全建设,避免建设中的重复投资。统一规范化公司各项安全建设,避免建设中的重
63、复投资。l为建设与公司日益发展壮大相配的安全保驾护航体打下了为建设与公司日益发展壮大相配的安全保驾护航体打下了坚实的基础。坚实的基础。l实现规范的公司信息安全管理体系架构。实现规范的公司信息安全管理体系架构。价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任收益分析2研究成果研究成果流失率大流失率大幅降低幅降低l研发成果流失的风险得到大幅度控制。研发成果流失的风险得到大幅度控制。l降低了因各种信息流是造成的损失。降低了因各种信息流是造成的损失。l各业务主管在研发设计方案、软件代码等核心竞争力资各业务主管在研发设计方案、软件代码
64、等核心竞争力资产保护上的精力开销得到大幅节省。产保护上的精力开销得到大幅节省。价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任收益分析3安全管理安全管理规范化水规范化水平提升平提升l多数安全问题在萌芽状态得到发现和规避。多数安全问题在萌芽状态得到发现和规避。l各类潜在的安全问题得到规范管理。各类潜在的安全问题得到规范管理。l各类日常的安全违规得到控制。各类日常的安全违规得到控制。l员工整体安全意识得到培养和提升。员工整体安全意识得到培养和提升。价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:
65、尊重简单重用检查并行勇气反馈认真责任收益分析4物理安全物理安全频出事故频出事故状态得到状态得到控制控制l公司办公场地的安全得到统一规范管理。公司办公场地的安全得到统一规范管理。l物理安全措施根据实际情况的变迁得到及时的隐患评估和控物理安全措施根据实际情况的变迁得到及时的隐患评估和控制措施的调整。制措施的调整。l降低了因物理安全控制漏洞导致的各类财产和信息损失。降低了因物理安全控制漏洞导致的各类财产和信息损失。价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任收益分析n员工职业化员工职业化工作氛围培工作氛围培养、公司品养、公司品
66、牌竞争力提牌竞争力提升等升等l员工整体的职业化水平得到培养和提升。员工整体的职业化水平得到培养和提升。ll有利于提升公司在业界的整体形象,促进公司品牌效应的建设,有利于提升公司在业界的整体形象,促进公司品牌效应的建设,无形中增加了公司的市场竞争能力。无形中增加了公司的市场竞争能力。l大幅减少了非工作相关的时间浪费,将更多的精力聚焦业务而创大幅减少了非工作相关的时间浪费,将更多的精力聚焦业务而创造了更多的价值。造了更多的价值。价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任同洲信息安全管理现状同洲信息安全管理现状信息安全管理标
67、杆信息安全管理标杆同洲信息安全与标杆的差距同洲信息安全与标杆的差距目录目录目录目录同洲信息安全体系变革规划同洲信息安全体系变革规划需要领导提供的支持需要领导提供的支持信息安全介绍信息安全介绍价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任基础系统费用预算决策支持文档加密系统文档加密系统对公司研发、市场、业务支撑部门等的重要电子文档,进行对公司研发、市场、业务支撑部门等的重要电子文档,进行恰当加密授权保护恰当加密授权保护内、外入侵行内、外入侵行为监管系统为监管系统监管公司与外界的信息交流情况;监管公司与外界的信息交流情况;监管
68、员工非工作相关性的网络监管员工非工作相关性的网络“漫游漫游”行为;行为;监管各类破坏性的数传工具和聊天工具运行情况等;监管各类破坏性的数传工具和聊天工具运行情况等;为安全事件调查提供证据等为安全事件调查提供证据等其他身份识别设备其他身份识别设备工卡等有效性认证设备、高层指纹鼠标等工卡等有效性认证设备、高层指纹鼠标等 本期安全项目群的5个项目,需投资三类安全系统,总预算80万,大部分在下半年支付。 实际数额,以以上三类安全系统的招标结果为准价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任改变公司安全体系脆弱现状的决策支持公司信
69、息安全人手现状公司信息安全人手现状IT IT内调任命内调任命4 4人兼职,人兼职,项目群结束后过渡项目群结束后过渡成专职团队成专职团队协调现有部门,建立公协调现有部门,建立公司安全监管网络体系司安全监管网络体系 安全架构基础的建立,是一个变革,变革就会有阻力,需要高层领导和 各部门领导给予及时有力的支持和指导!解解决决办办法法价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任项目群团队高效气氛建设预算支持项目群项目群人员范围人员范围IT IT网络系统网络系统约约3 3人人物业安全体系约物业安全体系约5 5人人IT IT系统维护
70、系统维护约约3 3人人信息安全部兼职、信息安全部兼职、专职人员专职人员6人人各部门安全专员(秘书体各部门安全专员(秘书体系),估计系),估计2020人人共近共近4040人,预估每人人,预估每人200200元,项元,项目群气氛建设预算经费目群气氛建设预算经费80008000元。元。价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任我们一直在自我超越勇敢面对与克服公司安全规范化路上的种种困难与障碍勇敢面对与克服公司安全规范化路上的种种困难与障碍我们有信心,也会用实际的努力,一起实现公司这艘面向世界的航母梦想,一步步展开公司的百年蓝
71、海宏图憧憧憬憬不不远远的的未未来来信息安全的保驾护航,推动公司业务逐步发展壮大我们相信公司会如此发展壮大价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任 Thanks!价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长行为准则:尊重简单重用检查并行勇气反馈认真责任核心价值观核心价值观客户第一、阳光沟通、团队协作客户第一、阳光沟通、团队协作拥抱变化、学习成长拥抱变化、学习成长行为准则行为准则尊重、简单、重用、检查、并行尊重、简单、重用、检查、并行勇气、反馈、认真、责任勇气、反馈、认真、责任企业价值观企业价值观客户第一、阳光沟通、团队协作客户第一、阳光沟通、团队协作拥抱变化、学习成长拥抱变化、学习成长变革执行团队行为准则变革执行团队行为准则尊重、简单、重用、检查、并行尊重、简单、重用、检查、并行勇气、反馈、认真、责任勇气、反馈、认真、责任
