信息安全标杆企业调研报告.docxVIP

信息安全标杆企业调研报告

X月x日至x日，信息技术部XXX、XXX对深圳华为、广东核电集团、深圳证券交易所信息安全建设情况进行调研学习，现将调研情况汇报如下：1、华为技术

华为目前总员工数约9万人，IT人员约2000人，信息安全人员680人（其中总部约200人），分为安全审计、安全管理、安全技术、安全开发四个部门。09年公司信息安全预算为1亿左右。公司从上至下都非常重视信息安全，已建立完备的安全管理和技术体系，早在2004年就通过BS7799认证，2007年通过了IS027001认证。以下是华为资深信息安全专家总结的信息安全建设经验：1）、信息安全必须获得公司最高领导层的切实支持，才有可能获得成功。2）、集团统一安全策略，总体规划和协调，分步骤分部门落实。

3）、全员参与，坚持“谁主管、谁负责；谁运维，谁负责”的原则。

4）、华为信息安全管理事件最大的成功在于“执行”。

5）、信息安全管理要由事件主导型逐渐向技术主导型，流程主导型转换，待技术和流程基本完善后，最终转向风险主导性管理,风险管理是信息安全管理的根本。企业应建立自己的风险评估团队和机制，将技术风险评估和业务风险评估同时纳入风险评估的范围。

6）、信息安全不是一堆文件，而是真正可推广的方法，在技术和管理上都必须“可达”，即制度必须要求相关的技术手段来保证其执行，华为有一大批信息安全开发人员来丰富其终端、网络安全管理系统功能。

7）、企业内部信息安全团队经常组建“红军”和“蓝军”进行对攻，以检测信息安全防控措施的有效性。

8）推行严厉的信息安全违规处罚制度和领导连带责任制度。

9）所有终端电脑推行硬盘加密、开机加密和登录系统加密的“三密”认证机制。

10）、华为信息安全管理理念由以前修长城式的全面防御逐渐改为仅防御重点资产的安全，公司领导要求信息安全部门来主导逐步建立信息安全共享模式。

2、广东核电集团

广东核电集团目前有终端数二万左右，IT人员五百多人，专职信息安全人员十多人，分为项目建设组和运维组，另各业务部门配有内审员，发现问题并负责落实整改。公司目前已通过IS027001认证，安全管理体系比较完善，并实施了大量的安全技术手段，包括防火墙、Sygate网络准入系统、中软防水墙终端安全管理系统、前沿文档加密管理系统等。以下是广东核电信息安全人员总结的信息安全建设经验：

1）、建立了研发专网，对研发内网完全隔离；为保持研发人员与外部信息沟通，研发人员都配有两套电脑。

2）、所有涉密信息资产都进行了分级管理，由业务部门负责；制定了各级文档必威体育官网网址管理要求，建立文档标识，绝密文档严禁电子化。

3）、非常重视应用开发安全，通过了CMM3认证，所有源代码利用Clearcase专业版本管理软件管理，有专门的软件质量部门进行软件安全测试。

4）、建立外发和仅限内部转发的两套邮件系统。

5）、非常注重员工安全意识培训，利用IS027001体系认证项目，多次组织全员进行安全培训。推行安全纪律月、闭卷考试、建立内部必威体育官网网址宣贯网站、请外部安全专家进行培训等措施。

6）会议安全注重文件分发记录和回收，会议室屏蔽等措施。

3、深圳证券交易所

深交所目前有终端数约700,IT人员100人，专职信息安全人员4人，所领导层对信息安全极为重视，成立了信息安全管理委员会和信息安全领导小组，各业务部门都有兼职信息安全联络员，并由专门的审计部门进行信息安全合规性审计，目前已通过IS027001体系认证。以下是深交所信息安全人员总结的信息安全建设经验：

1）、实行严格的内外网隔离策略，人手配置2台以上电脑，保证涉密电脑不上网,上网电脑不涉密。重要的业务系统（如行情交易系统）坚持不与互联网连接。2）、严格按照PDCA循环过程，持续与IS027000体系作差距分析并改进。

3）、信息安全关键是人的管理，要形成一个高效的安全组织，激发全员信息安全意识。可通过监控员工的网络行为来量化其安全意识，不同部门间定期进行信息安全水平评比。

4）、对信息安全违规情况，通报其上级领导。

5）、非常重视开发安全，通过了CMM3认证。

6）、对机密信息，关键是要从源头进行控制，防止其流出控制范围。尽量将文档放在服务器上共享。

7）、信息安全管理不要太扰民，关键要有实效。

以上三家企业在信息安全建设过程进行了长期的探索和尝试，形成了不同安全管理风格，各有值得我公司借鉴一些经验，总结如下：

1、领导重视，建立一个高效的安全组织和确定清晰的安全职责是关键。

2、“七分管理，三分技术”，管理目标的达到必须要实施有效的技术手段来支持，否则管理就容易成为一句空话。

3、全面防御模式应改变，首先应保护好核心和重点资产。

4、内外网隔离仍不失为从根本上解决信息安全问题的一个