信息安全体系策划总汇.ppt

2014年信息安全体系策划 体系课 目 录 一、信息安全体系2013年内审问题点跟进 二、信息安全体系培训 七、各部门信息安全检查 四、信息资产风险评估 五、信息安全体系证书的换版 六、信息安全体系日常运行 三、信息资产的更新 八、信息安全目标值统计 * 各部门信息安全检查 7 信息安全体系培训 2 NO 项目 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1 信息安全体系2013年内审问题点整改跟进 　 　 　 　 　 　 　 　 　 　 　 　 3 信息资产的更新 　 　 　 　 　 　 　 　 　 　 　 　 4 信息资产的风险评估 　 　 　 　 　 　 　 　 　 　 　 　 5 信息安全体系证书的换版 　 　 　 　 　 　 　 　 　 　 　 　 6 各部门信息安全体系日常实施 8 信息安全目标值统计 　 　 　 　 　 　 　 　 　 　 　 　 2014年信息安全体系工作策划一览表 * 一、2013年内审问题点整改跟进 2014年1月 向信息课申请移动硬盘，由信息课每个月定期备份SVN中的代码并保存。 SVN服务器电脑中的数据未进行整体备份，分散在各个软件开发人员电脑中有备份。 产品开发部 2014年5月 已进入实际的测试阶段，主要测试webman服务器在别的地址段位是否会发生不能正常查看图纸等错误。 未按上次会议输出，将图档服务器转移到集团，由集团提供虚拟服务器和备份空间进行统一管理。 2014年5月 与制造部负责人沟通，是否将参数服务器进行物理隔离，搭建2-3平米空间并带锁。 信息课未按上次会议输出，对参数服务器的标准配置和环境方案，组织进行可行性评估输出方案并实施。 2014年5月 如webman服务器设在集团，则可以使用集团提供的UPS设备。 webman服务器未配置UPS。 人事总务部 预计完成日期 责任人 改善措施 不符合项描述 部门 2013年信息安全体系内审未完成不符合项一览表： * 二、信息安全体系培训计划 培训时间 培训负责人 培训内容 涉及岗位 培训项目 入职前 信息安全体系基础知识 全公司 新员工入职培训 8月份 各制造部系长 信息安全方针、目标、敏感区域有关规定、《恶意软件管理规定》、《可移动介质管理规定》、《信息安全考核管理规定》、《信息安全控制程序》、《信息安全事件控制程序》、《商业技术秘密管理程序》、《电子邮件使用与管理规范》、《人力资源管理控制程序》的内容培训。 制造部生产线操作工 信息安全生产线员工培训 8月份 信息安全方针、目标、敏感区域有关规定、《恶意软件管理规定》、《可移动介质管理规定》、《信息安全考核管理规定》、《信息安全控制程序》、《信息安全事件控制程序》、《商业技术秘密管理程序》、《电子邮件使用与管理规范》、《人力资源管理控制程序》的内容培训。 各制造部系长 信息安全生产线员工培训 8月份 各部门体系接口人 信息安全方针、目标、敏感区域有关规定、《恶意软件管理规定》、《可移动介质管理规定》、《数据备份管理规定》、《人员出入管理办法》、《信息安全检查控制程序》、《信息安全考核管理规定》、《信息安全控制程序》、《信息安全事件控制程序》、《信息资产风险评估控制程序》、《业务连续性管理程序》、《访问控制程序》、《第三方安全控制程序》、《商业技术秘密管理程序》、《电子邮件使用与管理规范》、《信息资产分类分级控制程序》、《人力资源管理控制程序》、《网络共享盘管理制度》的内容培训。 各部门员工 信息安全全员培训 8月份 信息安全方针、目标、敏感区域有关规定、《恶意软件管理规定》、《可移动介质管理规定》、《数据备份管理规定》、《人员出入管理办法》、《信息安全检查控制程序》、《信息安全考核管理规定》、《信息安全控制程序》、《信息安全事件控制程序》、《信息资产风险评估控制程序》、《业务连续性管理程序》、《访问控制程序》、《第三方安全控制程序》、《商业技术秘密管理程序》、《电子邮件使用与管理规范》、《信息资产分类分级控制程序》、《人力资源管理控制程序》、《网络共享盘管理制度》、应急预案等内容培训。 各部门体系接口人、各职能部门课长、系长 信息安全管理人员培训 * 三、信息资产的更新 体系专员依据《信息资产分类分级控制程序》，组织各部门体系接口人对信息资产进行识别和分类分级，每季反馈《信息资产识别评价表》。 * 四、信息资产风险评估 8月份 企管部 企管部针对第一次评估时发现的高风险资产进行第2次风险评估，第2次风险评估后依然存在的风险视为残余风险。 高风险资产再次风险评估 7-8月份 各部门责任人 高风险资产责任人采用适当的控制措施降低信息资产的风险。 高风险资产的整改 6月份 企管部 企管部对各部门重要信息资产进行风险评