信息安全体系建设方案规划.ppt

建立后的公司信息安全状况图景 业务交流信息安全可控、物理环境安全有序、安全制度流程完善 网络安全 电子信息资划分标识密级，并落实配套密级控制 内部信息交流、对外信息交流可控并可审计 研发与非研发网络隔离 办公终端实现标准化管理 ………… 物理安全 人员安全 落实不同安全等级的物理区域划分和配套措施 各类物理存储介质出入有效监管 重要场地人员及设备出入登记与控制规范有序 ………… 安全考核纳入部门绩效、个人绩效考核 入职离职权限清理、审查到位 员工信息安全意识浓厚 来访接待、对外合作与交流管理有序 ………… 建立后的公司数据中心与网络基础设施图景 内部网 研发网 非研发网 Internet 安全VPN 分支机构防火墙 数据中心 交换机 ERP 文件共享 E-mail 分支机构 控制台 IDS 流量镜像 监控引擎 入侵检测 WEB监控 邮件监控 MSN监控 文件传输监控 会话监控 服务器监控 安全VPN 外部网 DMZ区 远端用户 OA及其他系统 * 行为准则：尊重·简单·重用·检查·并行·勇气·反馈·改善·认真·责任 价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长 XX信息安全建设规划 邓生品 2011年5月9日 目录 解决方案 2 下一步将开展的工作 3 公司意见与建议 5 7 6 需要领导提供的支持 现状分析 1 实施计划 3 质量保证与风险控制 4 信息安全技术支撑系统空白 公司信息安全现状 IT基础设施脆弱，应用平台原始 流程制度空白、专业管理与运维团队薄弱 1、公司现状简报 网络与数据中心现状 信息安全技术体系现状 安全规划与管理现状 IT应用与基础设施脆弱 公司网络缺乏安全等级分区，缺乏DMZ区规划；公司业务应用平台原始，导致信息安全抵御能力很脆弱 公司办公网络设计没有考虑双链路冗余，一旦唯一路经出问题将导致全网瘫痪，影响业务交流 缺乏规范数据中心，没有存储备份，没有业灾难恢复与业务连续性规划 1、公司现状简报 办公网络架构原始、网络缺乏IPS\IDS能力、容灾与备份功能缺失、网络上的流量缺乏监管。 缺乏基础办公应用系统（比如OA、ERP等系统），导致公司业务效率低下，信息孤岛问题严重，也深层面影响公司知识积累与信息安全管控 OA、ERP等基础办公应用系统缺位，严重影响信息共享，同时信息交流效率低下，影响业务效率，也严重影响公司知识积累 制度、流程、管理组织几乎空白 没有信息安全管理纲领性文件，同时缺乏各业务领域流程文件 缺乏公司信息安全奖惩管理办法 没有任何形式的员工信息安全培训，公司人员整体安全意识较低 没有信息安全审计、日常安全检查制度与流程，也缺乏专业人手支撑 1、公司现状简报 安全产品及支撑人力缺位 TFJLLO;PO’.J.I’POFIHJKGHLKG NFGNJHGC, ,MS 打印控制系统缺失，重要信息很容易文件通过打印方式流失 缺乏电子文档密管理系统，公司重要研发等成果等保护缺失 USB、网口、红外等端口缺乏控制，大批量信息非常方便外泄 公司对外邮件监控系统缺位，通过邮件交流形式很容易流失商业秘密、技术秘密 公司目前的规模与未来发展，要求在1）IT技术支持、2）信息系统维护与开发、3）信息安全流程制度建设、4）日常安全审计与安全事件调查、5）总体信息安全持续改进优化规划等领域，至少各需一人。特别是公司信息安全体系建设项目启动后，专业人手需求压力将更明显 1、公司现状简报 公司电子信息资产、IT设备与资产管理几乎空白且缺乏安全技术产品支撑，公司缺乏安全流程与制度建设人手、缺乏安全技术产品二次开发与维护人手、缺乏日常安全稽核及事件调查与整改等人手 脆弱的网络架构、缺失的OA与ERP等基础应用，既影响业务效率、有又重重安全隐患 公司目前信息基础设施与管控状态，已制约并威胁公司发展 信息安全监控设施空白，商业与技术秘密外泄处于不可控状态 缺乏制度与流程，拖累公司发展速度，同时增加无意识泄密风险 公司目前信息基础设施与管控状态，已制约并威胁公司发展 风险初尝 持续优化 良性循环 无力回天 损失惨重 教训深刻 安全建设状态 $ 是走向阳光还是鲨鱼，决定于我们是否投入与重视 计划在未来两年时间内，系统化建成公司比较完善和健壮的信息安全防护体系，并通过相关国际认证（ISO27001认证、ISO20000认证），推动公司成为同业领域标杆企业、促进公司国际化运作扎实根基的生长。 … “有效保护公司各类商业及技术秘密，促进公司信息资源最大化的安全使用，以持续有效支撑和推动公司业务长远稳步的发展”是公司信息安全建设的根本使命和存在的唯一理由，也是公司信息安全体系建设的第一宗旨。 … 目标 宗旨 2.1 目标、宗旨 2、解决方案 ISO270