信息安全部高层汇报.ppt

信息安全部高层汇报 邓生品 汇报提纲 信息安全部成立必要性 组织规划 建设规划 信息安全管理不能有效落实：信息安全管理不能有效落实到企业各个机构和员工中,员工不关心信息安全,企业管理层只是把信息安全挂在口头上,信息安全成了只是信息安全管理部门的事。 缺乏对企业信息资产风险评估：企业信息资产缺乏分类、缺乏关键资产的识别和风险评估，缺乏对高风险资产采取相应的风险管控措施，难于保障企业的业务连续性。 企业没有建立持续改进的内控机制：信息安全管理需要建立相应机制，通过机制和流程，加强企业的内部控制。并有不断改进、不断的完善安全运作流程和安全防护手段,以应对日益增长的信息安全问题和威胁。 技术架构体系 汇报提纲 信息安全部成立必要性 组织规划 建设规划 组织规划—职责 公司变革管理委员会与日常安全工作分管高管： 负责公司安全重大策略的决策并提供支持 公司信息安全部： 负责公司信息安全防护体系的建设与维护 公司IT部： 负责公司网络安全领域的信息安全策略的落地 公司行政中心： 负责公司物理安全领域的信息安全策略的落地 各部门信息安全专员： 负责各部门日常办公的安全监管 汇报提纲 信息安全部成立必要性 组织规划 建设规划 同洲信息安全防护体系建设总体计划 * 行为准则：尊重·简单·重用·检查·并行·勇气·反馈·改善·认真·责任 价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长 驱使企业推动信息安全工作的内动力 业务爆发性的增长对信息的依赖性增强：信息系统应急方案（业务连续性计划：单点故障、手工备份、链路均衡） 核心信息资产及数据的保护：源代码管理，知识产权与商业机密的保护平衡…… 跨地域发展需求（海外市场），商务竞标 驱使企业推动信息安全工作的内动力 信息安全的实现途径（一） 信息安全业界对一般的企业在信息 安全防护方面得出一套可行的建议： 采用技术手段+管理制度实现双重防护 目前业界统计出下列公认的数据： 信息安全要单纯从技术防护实现保护资产是走不通的 业界数据一：三分技术+七分管理 信息安全的实现途径（二） 其实并没有一套完整的技术方案能彻底解决信息安全的问题，困难点： 技术层出不穷。 漏洞花样百出。 业界数据二：投入20%的成本能从技术上解决80%的信息安全问题，但要解决剩下的20%的问题则需要增加无限多的投入。 业界数据三：信息安全事件有80%都是由人主动收集并泄露。 总结：信息安全要使用技术和制度上的相结合，对使用者进行信息安全教育。 信息安全不是单纯的技术问题 先规划后认证 信息安全管理体系规范ISO27001：2005 信息安全管理实施细则：ISO17799：2005（BS17799-1） 安全体系化认证（标准）要求 C必威体育官网网址性： 确保只有有权限的人才能访问信息 I 完整性： 确保信息处理方式的准确性和完整性 A 可用性：确保只有通过认证和授权的人在需要的时候可以访问相应的信息及相关资产 规划适用于支撑业务3年的发展；重点安全产品部署；为信息安全体系构建雏形 思考范围 信息安全方针策略、组织的信息安全、资产管理、人力资源安全、物理和环境 安全通信与操作（运行）安全、访问控制、信息系统采购、开发和维护、信息安全事件管理 业务连续性管理、符合性 关注原则 信息安全规划思考（怎么做？如何做？） 公司信息安全策略/目标 (体现为由公司各类安全制度/标准组成的公司安全文件体系) 管理手段 信息安全组织 （做好公司信息安全，靠的是3分技术+7分管理。通过组建高效运作的公司信息安全组织，安全组织通过运用各种技术工具和管理策略，最大化支撑公司安全文件目标的落地） 技术手段 风险评估 安全审计 对外交流合作 安全管理与 风险控制 IPS IDS 终端机器行 为监控系统 计算机端口 /打印监控 系统 终端接入 健康检查 系统 电子文档、代 码加密系统 安全意识培训 考试奖惩 同洲信息安全防护体系大厦整体概貌 …… …… 终端计算机上网行为监管工具 终端计算机监控检查与安全接入控制工具 IPS、IDS、防火墙、防病毒、容灾备份等系统和工具等 移动计算设备、移动存储介质安全认证工具 核心文档、代码等电子信息加密工具 计算机端口、打印机监控工具 技术手段 运作手段 遵循PDCA循环 1 2 3 4 5 6 7 在公司信息安全部牵头下，带领各关联业务人员，编撰或修订公司信息安全文件，建设完善的公司信息安全文件体系，并每年定期根据公司业务实际情况修订和完善 有计划有步骤的引入配套技术支撑工具，支撑相关的安全目标的落地，实现对各类潜在风险的事前