安全咨询项目汇报案例.pptVIP

项目方案总览演示者： 广东XXX控股有限公司 信息安全服务实施项目 立项依据 行业内的发展 信息安全问题的出现 信息化的发展 公司内的信息化投入与运作效率已成为信息管理部门控制的大趋势 带动核心网络、应用数据、系统运维、资产管理为主的信息安全要求的发展和公司关注 随着信息化发展导致信息安全问题纷纷出现 如系统瘫痪、黑客入侵、病毒感染、网页篡改、资料流失、内部区泄密等等 公司的经营、生存甚至核心业务的安全都产生影响 行业内普遍采用现代通讯、计算机、网络技术来构建公司信息系统已支撑核心业务 核心业务来源与众多的客户信息，作为公司的重要资产不要进行妥善保护 安全问题带来的损失 直接损失：丢失订单，减少直接收入，损失生成率 间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面公众影响等 法律损失：法律法规的制裁，带来相关联的诉讼或追索等 企业在大力发展信息化建设并在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题 项目目标 实现安全 提出思路 设计方案 规范管控 明确内容 提出XXX控股在近期信息化建设过程中针对信息安全服务工作思路及相关内容的方案 最终满足包括集团及子公司对外网站、核心业务系统、安全标准控制、安全规划、应急等方面的规范管理要求 方案 项目总体架构 项目工作 重点针对集团网站按公安网监部门的要求，开展信息安全等级保护测评工作 1 效仿网站系统的检查经验，分别对内部及核心的子/分公司的信息系统开展安全评估工作 2 为保障安全建设和整改的成果，并持续推进信息安全的审查机制的落实，开展信息安全巡检工作 3 规范XXX控股在信息安全方面的标准和基线要求，开展安全基线标准、基线自查表设计工作 4 针对安全测评、评估及巡检结果，分析未来3至5年的安全需求，开展信息安全管理体系规划建设工作 5 注重安全事件的预防和安全事件发生后的合理处置，开展信息安全应急预案及应急响应工作 6 开展六项工作实现安全要求 项目收益 信息安全管理在公司的实施可有效保护信息资源，保护信息化进程健康、有序、可持续发展，并使业务核心的安全风险在整个系统运作周期可发现、可控制。 收益一 协调各个方面信息管理，从而使管理更为有效 收益五 减少安全隐患及信息泄漏问题，提出相应的解决建议并加固 收益二 增进内部及子公司、客户间信息化应用的信用度 通过引用两个安全管理体系，实现5个收益 收益三 保证和证明公司所有的部门对信息安全的承诺 收益四 提升系统安全环境及员工信息安全意识 ISO27001体系 信息安全等级管理制度 阶段规划 通过一系列的测评、评估、巡检等工作发现企业目前在信息安全方面面临的问题，通过对问题的梳理整合出相应的设备配置规范要求，并成为可指导后续信息化建设及安全验收的基线指南 服务项目包括 1、信息安全等级保护测评； 2、信息安全评估； 3、信息安全巡检； 4、信息安全配置基线规范 结合第一阶段发现的问题，评估对企业风险的影响，从网络结构的安全规划及信息系统日常应急、演练等两个方面，分别实现对整体安全架构环境和人员操作意识及应急故障处理规范性的安全保障能力的提高 服务项目包括 1、信息安全网络规划咨询； 2、信息安全应急预案及应急演练咨询； 3、信息安全应急响应服务 根据XXX控股目前的现状，协助XXX控股进一步了解目前企业的信息安全存在的问题，达到公安部门对信息安全的监控要求，广东NNN公司提供包括主要“两个阶段”的信息安全服务规划，通过各阶段的安全保障，提高XXX控股抵御恶意攻击、防范网络接入、计算机病毒、恶意代码、入侵防范的能力，保障XXX控股涉及的相关应用系统能持续且安全稳定的运行 阶段一找问题 阶段二助整改 安全服务介绍 阶段一：找问题 信息安全等级保护测评 步骤一：确定系统级别， 进行定级备案。 步骤二：实施安全技术、 安全管理两方面定级测评 步骤三：依照定级测评结 果确定整改方案，实施安 全整改与安全加固。 步骤四：实施等保验收测 评。形成测评结论，以及 测评报告备案提交。 信息安全评估 步骤一：确定评估的范围。 步骤二：采用的安全检查方 法一般包括现场调研、人员 访谈、文档审查、安全日志 分析、安全策略分析等方式 步骤三：实施安全内（网 络层、主机层、应用层安全 步骤四：形成安全评估过程 文档；现状分析结论；安全 评估报告等 信息安全基线控制 步骤一：明确安全基线 步骤二：确定安全目标 步骤三：定义安全基线 步骤四：对安全基线与 安全目标进行匹配 安全服务介绍 阶段二：助整改 信息安全网络规划 服务内容包括： 网络架构规划、域架构 优化、应用系统架构优化 安全集成实施、网站应用 加固、应用系统加固 信息安全应急 建立安全应急响应