公司电子信息安全建设规划V1版.ppt

* 行为准则：尊重·简单·重用·检查·并行·勇气·反馈·改善·认真·责任 价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长 同洲电子信息安全建设规划 信息安全部 邓生品 2009年9月25日 目 录 公司信息安全建设目标及依据 2 当前及下一步将开展的工作 3 领导意见与建议 公司未来信息安全大厦概貌及大厦各组件建设规划 3 4 5 7 8 公司信息安全建设地图与路标分解 6 需要领导提供的支持 公司信息安全现状简报 1 公司规模战略调整，商业模式转变及IPD变革，信息的交流形式众多，交流需求频繁，公司核心资产缺乏保护；为了规范信息管理、保护公司核心竞争力、支撑公司长远发展和推动蓝海战略的实现，又需要构建公司信息安全管理体系，为公司的发展保护驾航； 公司大部分员工总体信息安全意识比较淡薄，各部门日常安全管理工作基本空白，公司没有形成系统化的安全管理持续优化系统。 1、公司信息安全现状简报 1 2 物理安全现状 公司信息安全现状 网络安全现状 人员安全现状 1、公司信息安全现状简报 网络安全现状 公司内部研发网络和非研发网络整体互通，内部办公网与外部互联网整体互通，信息交流缺乏监控。 公司内部员工邮箱（@）收发权限基本全部放开，但同时没有监控。 公司对外只有较为传统过时的防火墙防病毒安全措施，适应当前网络威胁控制的入侵检测与防御系统（网关安全防护系统）处于空白。 1、公司信息安全现状简报 以下网络现状，基本使得公司内部信息网络对外开发，安全隐患比较严重，安全水平与公司社会地位不符。 物理安全现状 TFJLLO;PO’.J.I’POFIHJKGHLKG NFGNJHGC, ,MS 打印机、传真机等敏感设备放置在非受控的安全区域，设备所在部门也未落实有效监督。 公司研发等重要场地，存储和摄像功能的设备使用很随意。 非公司人员进出公司大楼来访证监管不力，容易被钻空子带来隐患。 使用公共区域的打印机、传真机、复印机，经常有敏感文件遗漏，所在部门也无人管理。 公司重要场地进出缺乏有效登记，门禁在人员变动时的权限调整无统一定期审视清理，出现重大安全事故时追求困难。 1、公司信息安全现状简报 各部门没有兼职或专职的信息安全专员，导致各部门的各类日常办公设备与行为安全管理“一片狼藉”。 人员安全现状 没有执行检查监督和奖惩机制 员工内部转岗或离职时，访问控制变更没有有效监督 未对不同岗位在职位描述书中加入安全方面的责任要求，特别是敏感岗位 招聘环节人员筛选和背景调查工作比较薄弱，敏感岗位人员入职未签订专门的保密协议。 目前在新员工培训中，未很好落实信息安全内容的培训（我到公司后为一批新员工培训过一次，后来均没有看到安排）。 1、公司信息安全现状简报 希望在未来三年时间内，建成公司比较完善和健壮的信息安全防护体系，并通过国际企业信息安全管理水平标准认证（ISO27001认证），推动公司蓝海战略的展开、促进公司国际化运作扎实根基的生长。 … “有效保护公司各类商业及技术秘密，促进公司信息资源最大化的安全使用，以持续有效支撑和推动公司业务长远稳步的发展”是公司信息安全防护体系建设的根本使命和存在的唯一理由，也是公司信息安全防护体系建设的第一宗旨。 … 建设目标 宗旨 2.1 建设目标、宗旨 2、公司信息安全建设目标及依据 ISO27001：2005 ——国际信息安全 管理体系规范 2、公司信息安全建设目标及依据 公司信息安全防护体系建设和实施的依据 ISO17799：2005 （BS17799-1） ——国际信息安全 管理实施细则 2.2 建设依据 2、公司信息安全建设目标及依据 2.3 信息安全运作与改进基于的指导模型 信息安全管理体系的建设和运作，遵循PDCA不断循环建设与优化的管理理论，建设成最大化支撑公司业务运作发展的信息安全体系，实时改进与优化以有效支撑公司战略调整与管理变革，最终达到最大化推动公司业务的壮大。 3、公司未来信息安全大厦概貌及大厦各组件建设规划 3.1 公司未来“信息安全大厦”概貌-1 公司未来的信息安全防护体系大厦如下图，其将在PDCA过程中不断循环优化与完善。 3、公司未来信息安全大厦概貌及大厦各组件建设规划 信息安全策略目标文件体系，具体确定了公司整体以及各业务体系信息安全防护的目标，也是各业务在实际运作中如何安全开展的指导工具。 信息安全技术工具体系，是支撑上述信息安全文件体系目标落地的一个技术手段，它是在管理手段下无法落实信息安全目标的不可缺少的有力补充手段。 信息安全管理组织体系，是公司信息安全体系大厦的核心支柱。首先，负责调研分析公司业务发展实际，编撰和更新公司恰当的信息安全策略目标文件体系；其次，负责规划引入并运作管理公司信息安全技术工具