收藏
下载资源

公司整体信息安全风险评估及工作情况汇报1

上传人:新** 文档编号:591568506 上传时间:2024-09-18 格式:PPT 页数:41 大小:4.70MB
返回 下载 相关 举报
公司整体信息安全风险评估及工作情况汇报1_第1页
第1页 / 共41页
公司整体信息安全风险评估及工作情况汇报1_第2页
第2页 / 共41页
公司整体信息安全风险评估及工作情况汇报1_第3页
第3页 / 共41页
公司整体信息安全风险评估及工作情况汇报1_第4页
第4页 / 共41页
公司整体信息安全风险评估及工作情况汇报1_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《公司整体信息安全风险评估及工作情况汇报1》由会员分享,可在线阅读,更多相关《公司整体信息安全风险评估及工作情况汇报1(41页珍藏版)》请在金锄头文库上搜索。

1、行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长公司整体信息安全风险评估及工作情况汇报信息安全部20092009年年1212月月2121日日行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长目目 录录公司当前信息安全保护建设进展汇报2 23 38 8公司信息安全现状及风险分析1 1信息安全工作面临的阻碍4 4下一步行动计划汇报下一步行动计划汇报及需要领导提供的支持及需要领导提供的支持行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一

2、| 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长研发体系研发体系全面分析公司信息安全存在问题全面分析公司信息安全存在问题IT管理安全问题安全问题研发体系研发体系职能体系职能体系IT网络与终端网络与终端物理环境及人物理环境及人员安全员安全安全制度流程安全制度流程终端终端网络网络数据中心数据中心安全制度流程安全制度流程物理环境物理环境行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长从研发体系视角分析信息安全存在问题从研发体系视角分析信息安全存在问题网络与终端网络与终端存在问题存在问题优化方案(现阶段)优化方案(现阶段)

3、优化方案(未来)优化方案(未来)1.缺乏公司级统一备份管理机制;2.应用层密码设置存在隐患;3.应用服务器日志无审计;4.存储介质的管理存在重大安全隐患;5.网口管理存在重大安全隐患。1.建立公司级统一备份管理办法;2.优化密码策略,增强密码复杂度;3.定期查看服务器日志并做记录;4.对存储介质造册管理,明确责任人。5.规范公司网口管理。1.实现公司级统一备份管理;2.明确职责,专人专管,定期审计;3.优化服务器日志查看策略,并定期审计;4.引入USB监控系统。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长从研发体系从

4、研发体系视角视角分析信息安全存在问题分析信息安全存在问题物理环境及人员安全物理环境及人员安全存在问题存在问题优化方案(现阶段)优化方案(现阶段)优化方案(未来)优化方案(未来)1.研发网络未实现真正的隔离;2.ADSL的使用存在重大安全隐患;3.员工安全意识薄弱;4.重要岗位人员背景调查。1.禁止研发人员访问外网;2.ADSL使用整改(按用途分类分权管理);3.定期培训;4.对重要岗位人员进行背景调查。1. 最大限度实现研发网络隔离;2.对ADSL审计监控并持续优化;3.培训并考试,考核成绩纳入KPI;4.建立员工信用档案。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 |

5、 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长从研发体系视角分析信息安全存在问题从研发体系视角分析信息安全存在问题安全制度流程安全制度流程存在问题存在问题优化方案(现阶段)优化方案(现阶段)优化方案(未来)优化方案(未来)1.信息安全相关政策未在部门落地;2.应用服务器内部管理无成文的制度及操作流程;3.无重要岗位操作指导;4.对外信息流转无控制办法。1.部门内部宣贯落地信息安全相关制度并定期考试;2.对部门内部重要应用服务器必须制定成文的制度规范及操作流程;3.建立重要岗位操作指南;4.制定对外信息发放管理办法。1.公司建立信息安全文件体系,并定期审核执行情况;2.根据ISO27001

6、建立服务器基线;3.建立各岗位的操作指南;4.安装文档加密系统,规范外发流程。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长从职能体系视角分析信息安全存在问题从职能体系视角分析信息安全存在问题存在问题存在问题优化方案(现阶段)优化方案(现阶段)优化方案(未来)优化方案(未来)1.员工特殊情况离职后相应权限账号未作及时清理;2.员工入职培训缺乏对信息安全的培训;3.绩效考核未考虑信息安全因素;4.涉密部门未做好敏感信息的分级分类管理。1.增加特殊情况离职后相应权限账号清理;2.增加信息安全新员工培训课程;3.考核成绩纳入

7、KPI ;4.涉密部门对内部信息资产进行分级划分。1.定期审计离职后相应权限账号的清理工作;2.信息安全成绩作为考核作为员工转正的依据;3.依据公司信息安全相关要求定期检查审计。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长存在问题存在问题优化方案(现阶段)优化方案(现阶段)优化方案(未来)优化方案(未来)1.便携机的管理存在重大安全隐患;2.AD域用户可以建立PC机本地管理员账号;3.USB、打印机未作有效监管;4.送外维修电脑数据无法监管;1.办理便携卡登记备案;2.重新评估AD域策略;3.贴封条,设置BIOS密码

8、;4.送修机器由专人保管并登记 。1. 引入终端监控系统、USB监控系统、文档机密系统对其信息及端口进行控制和审计;2.定期对AD域策略进行审计;3.新增第三方服务操作流程 。从从IT视角分析信息安全存在问题视角分析信息安全存在问题终端终端行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长存在问题存在问题优化方案(现阶段)优化方案(现阶段)优化方案(未来)优化方案(未来)1. 上网权限开放审批不严格,导致多数用户均有上网权限2.研发部门测试网络比较混乱,造成ARP攻击异常3.对网络管控有限;1.重新审核用户上网权限2.对研

9、发部门网络整改,隔离3.增加网络监控设备加强网络管理;1、严格规范相关制度2、定期审核权限,日志从从IT视角分析信息安全存在问题视角分析信息安全存在问题网络网络行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长存在问题存在问题优化方案(现阶段)优化方案(现阶段)优化方案(未来)优化方案(未来)1. 数据中心没有明确的管理维护制度2.数据中心对重要数据未作异地备份3.对数据未作分级分类管理,且与开发布部门进行沟通确认4、数据中心设备进出入无规范5、数据中心未作灾难恢复测试1.制定数据中心管理维护制度及流程,明确工作流程及人员

10、职责2.严格落实重要数据异地备份机制3.加强数据中心设备管理;4、制定整体容灾解决方案,确保数据安全1、根据标杆企业先进管理方法优化部门管理2、定期审核权限,日志及记录从从IT视角分析信息安全存在问题视角分析信息安全存在问题数据中心数据中心行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长目目 录录公司当前信息安全保护建设进展汇报2 23 38 8公司信息安全现状及风险分析1 1信息安全工作面临的阻碍4 4下一步行动计划汇报下一步行动计划汇报及需要领导提供的支持及需要领导提供的支持行为准则:尊重简单重用检查并行勇气反馈改善

11、认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长信息安全部工作信息安全部工作ACT-改善改善Plan-计划计划Check-检查检查Do-执行执行评估改善需求评估改善需求执行改善工作执行改善工作报告执行结果报告执行结果确认目标达成确认目标达成持续追踪改善持续追踪改善建立建立ISMSISMS环境环境信息安全政策;信息安全目标信息安全组织;执行风险管理执行风险管理风险评估;确认控制目标风险处理计划执行监控程序执行监控程序风险再评估风险再评估定期实施稽核定期实施稽核绩效评估绩效评估建立管理文件体系建立管理文件体系建置控制方法建置控制方法信息安全程序文件信息安全程序文件营

12、运持续运作计划营运持续运作计划执行管理程序执行管理程序教育训练及宣导教育训练及宣导行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-管理文件体系建设情况管理文件体系建设情况信息信息安全政策安全政策管理程序管理程序规范,要点指引规范,要点指引记录,日志记录,日志信息安全部信息安全部各业务部门各业务部门行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长ISO27001Do-建置控制方法建置控制方法记录,日志内网隔离USB端口管控打印管控文件加密物理控

13、制全员宣导制度政策信息安全专员信息资产ISMS上网行为监控第三方信息流转管控防火墙ADSL管控防病毒网关行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-关键控制办法部署进展:文档加密系统关键控制办法部署进展:文档加密系统已使用在全公司IPD变革各领域使用,效果显著行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-研发与市场文档加密需求反馈紧迫,二期增量采购研发与市场文档加密需求反馈紧迫,二期增量采购部门已进行谈判,信息安全部已做好部署方案

14、与支持准备部门已进行谈判,信息安全部已做好部署方案与支持准备1.解决方案部、移动通信产品线等研发部门已多次提出,要求文档加密支持;2.供应链体系ISC变革文档,袁总(华)专门组织会议研究讨论,要求文档加密系统支持;3.同洲大学等功能支撑部门,多次提出对顾问咨询材料、公司重要课件等提出加密请求 行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长有效过滤控制各类机密信息的外传有效过滤控制各类机密信息的外传降低法律风险,满足国家法律要求降低法律风险,满足国家法律要求Do-关键系统情况汇报:终端上网行为安全监控关键系统情况汇报:终

15、端上网行为安全监控行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-终端上网行为安全监控系统功能解析终端上网行为安全监控系统功能解析行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-终端上网行为监控系统上线,前期准备工作状况终端上网行为监控系统上线,前期准备工作状况行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长企业核心企业核心机密机密引入安全管理系统引入安全管理系统

16、1.对USB安全管理系统、打印监控系统进行测试。2。已完成采购申请流程,待招标采购。控制计算机端口泄密控制计算机端口泄密控制打印泄密控制打印泄密利于事前防范,事后审计利于事前防范,事后审计Do-关键系统情况汇报:关键系统情况汇报:USB端口、打印等管控系统端口、打印等管控系统行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-USB端口、打印等管控系统引进进展端口、打印等管控系统引进进展行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-安全基

17、础设施引进总体进度时间表安全基础设施引进总体进度时间表行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-执行管理程序执行管理程序目前已建立从上至下的信息安全组织架构,下一步将充分发挥信息安全专员的职能,从基层落实信息安全目前信息安全是一个治理过程,而不是一个项目产物;现阶段的任务是:各个部门各个部门内部进行自我风险评估改进内部进行自我风险评估改进信息安全部将以ISO27001标准来持续改善公司的信息安全,对各个部门将定期不定期进行审计,以确保信息安全的真正落实123组织组织推行推行审计审计IT部门风险评估部门风险评估

18、行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-执行管理程序执行管理程序信息安全部将以ISO27001标准来持续改善公司的信息安全,对各个部门将定期不定期进行审计,以确保信息安全的真正落实行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-教育训练及宣导教育训练及宣导部部门信息安全意信息安全意识提升提升全全员信息安信息安全意全意识培育培育员工入工入职及入及入职后后信息安全教育培信息安全教育培训信息安全信息安全绩效考核效考核行为准则:尊重简单

19、重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-员工入职及入职后信息安全教育培训员工入职及入职后信息安全教育培训行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-全员信息安全意识培育全员信息安全意识培育坚持具有我司特色的信息安全意识建设信息安全每周谈,进行专业安全防护专业知识宣讲,同时进行信息安全案例警示核心安全防护习惯时刻显示在眼前行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长D

20、o-部门信息安全意识提升部门信息安全意识提升推动部门开展各类形式的日常安全意识培育与宣讲行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Do-信息安全绩效考核信息安全绩效考核KPI行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长目目 录录公司当前信息安全保护建设进展汇报2 23 38 8公司信息安全现状及风险分析1 1信息安全工作面临的阻碍4 4下一步行动计划汇报下一步行动计划汇报及需要领导提供的支持及需要领导提供的支持行为准则:尊重简单重用检查并

21、行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长信息安全工作面临的阻碍信息安全工作面临的阻碍信息安全部风险信息安全部风险管理展开面临挑战管理展开面临挑战个别部门风险管理个别部门风险管理存在方向性错误存在方向性错误安全工作安全工作认识存在局限认识存在局限行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长安全工作认识存在局限安全工作认识存在局限信息资产安全信息安全,人人有责信息安全,人人有责Security is a process,not a product行为准则:尊重简单重用

22、检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长信息安全部风险管理展开受到挑战信息安全部风险管理展开受到挑战信息安全工作信息安全工作部门成立时间短,部门成立时间短,权威性处于建设初权威性处于建设初期,当前非常弱势期,当前非常弱势各部门对信息安各部门对信息安全部的标准参照全部的标准参照度不高度不高信息安全部共信息安全部共5人,须负人,须负责制度及意识宣导、管责制度及意识宣导、管控技术预研与引进,以控技术预研与引进,以及各部门的协调工作等及各部门的协调工作等个别各部门信息安全工作个别各部门信息安全工作基于自身的理解和要求开基于自身的理解和要求开展

23、,效度有限,导致后期展,效度有限,导致后期重复工作与资源浪费重复工作与资源浪费业界知名标杆企业在建业界知名标杆企业在建立立ISMS体制初期,均有体制初期,均有第三方咨询机构协助进第三方咨询机构协助进行全面的风险评估和标行全面的风险评估和标准制度导入,我们当前准制度导入,我们当前还没有,更增加部门弱还没有,更增加部门弱势与工作难度势与工作难度各部门正在开展各部门正在开展部门自我风险评部门自我风险评估,安全咨询需估,安全咨询需求增大求增大行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长个别部门风险管理存在方向性错误个别部门风

24、险管理存在方向性错误最佳实践的风最佳实践的风险评估过程险评估过程安全专业人员参安全专业人员参与,提供基于安与,提供基于安全最佳标准、最全最佳标准、最佳实践的指导佳实践的指导被评估领域业被评估领域业务代表,进行务代表,进行充分风险分析充分风险分析和识别和识别安全专业部门汇集和分安全专业部门汇集和分析风险信息,进行风险析风险信息,进行风险严重等级划分和控制措严重等级划分和控制措施设计,并进行汇报施设计,并进行汇报被评估领域被评估领域组织落实风组织落实风险控制措施、险控制措施、整改整改整改完毕,安整改完毕,安全专业部门进全专业部门进行稽核与审计行稽核与审计不断循环改进不断循环改进个别部门的风险管理过

25、程个别部门的风险管理过程无安全无安全标准参标准参照,自照,自我内部我内部评估评估根据自根据自身需要身需要汇集筛汇集筛选风险选风险信息信息参照参照部门部门业务业务设计设计风险风险控制控制措施措施内部成内部成立项目立项目组进行组进行整改,整改,然后解然后解散项目散项目组,不组,不接受安接受安全稽核全稽核风险风险管理管理“一一阵风阵风”吹吹过过行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长方向性错误的风险管理过程对公司的危害方向性错误的风险管理过程对公司的危害重大风险不上报,潜重大风险不上报,潜伏并威胁着公司信息伏并威胁着公

26、司信息资产安全资产安全个别部门风险拒绝汇集到安全专业部门统一分析,导致对风险的严重等级判断没有站在公司全局的视角进行,使得个别严重隐患被部门“抹掉”,潜伏隐患时时在威胁公司规避信息安全专业人员的指导,整改效果参差不齐,风险继续存在,同时造成人力物力重复使用和浪费这类部门的风险整改多是以项目方式开展,结束了即关闭,然后人员解散,其直接与“风险管理是一个持续的过程”规则相违背,最后风险管理是“一阵风”,吹过了安全隐患又迅速生长起来拒绝安全监管,导致公司安全总体情况不可控,也导致在此类部门的各类安全威胁处于“潜伏”状态风险整改无章法,浪风险整改无章法,浪费成本且效果有限费成本且效果有限整改行为一阵风

27、吹整改行为一阵风吹过,风险缺乏持续过,风险缺乏持续控制控制规避后期安全稽核,规避后期安全稽核,凌驾于第三方安全凌驾于第三方安全监管之上监管之上行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长目目 录录公司当前信息安全保护建设进展汇报2 23 38 8公司信息安全现状及风险分析1 1信息安全工作面临的阻碍4 4下一步行动计划汇报下一步行动计划汇报及需要领导提供的支持及需要领导提供的支持行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长夯实公司信息安全风

28、险控制每一层夯实公司信息安全风险控制每一层“土土”信息安全部下一步总体行动计划汇报信息安全部下一步总体行动计划汇报 加大工作量投入,稳步有效测试采购及加大工作量投入,稳步有效测试采购及IT部门同事推荐的部门同事推荐的USB、打印、网关防毒等、打印、网关防毒等 安全工具,安全工具, 配合采购的工作计划,引入配合采购的工作计划,引入UTM集成工具,尽快(计划集成工具,尽快(计划2010年二月底前)控制公司当前重大年二月底前)控制公司当前重大 安全隐患安全隐患立即分析研发、立即分析研发、IT两大重点体系风险评估信息,输出统一风险评估及控制措施两大重点体系风险评估信息,输出统一风险评估及控制措施 正式

29、正式报告,报告, 提请审核后,交付并跟踪责任部门整改,同时,规划整改后的安全提请审核后,交付并跟踪责任部门整改,同时,规划整改后的安全 稽核方案稽核方案 策划基础建设期安全支撑工具的宣传培训工作,策划基础建设期安全支撑工具的宣传培训工作,组织部署安全基础建设期组织部署安全基础建设期 支撑工具,并推动在全公司运行。支撑工具,并推动在全公司运行。落实对研发、落实对研发、IT两大重点体系整改后的安全审计工作,助力两大重点体系整改后的安全审计工作,助力 推动整改措施落地,并系统化启动其他业务领域的风险评估工作推动整改措施落地,并系统化启动其他业务领域的风险评估工作 行为准则:尊重简单重用检查并行勇气反

30、馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长需要领导提供的支持需要领导提供的支持行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长领导意见与建议领导意见与建议行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Q&A行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长企业价值观企业价值观客户第一、阳光沟通、团队协作客户第一、阳光沟通、团队协作拥抱变化、学习成长拥抱变化、学习成长变革执行团队行为准则变革执行团队行为准则尊重、简单、重用、检查、并行尊重、简单、重用、检查、并行勇气、反馈、改善、认真、责任勇气、反馈、改善、认真、责任

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号