公司整体信息安全风险评估和工作情况汇报.ppt

信息安全部工作 Do-管理文件体系建设情况 Do-建置控制方法 Do-执行管理程序 Do-执行管理程序 Do-教育训练及宣导 Do-员工入职及入职后信息安全教育培训 Do-全员信息安全意识培育 Do-部门信息安全意识提升 Do-信息安全绩效考核KPI 信息安全工作面临的阻碍 安全工作认识存在局限 信息安全部风险管理展开受到挑战 个别部门风险管理存在方向性错误 方向性错误的风险管理过程对公司的危害 过去信息安全工作的反省 信息安全部下一步总体行动计划汇报 需要领导提供的支持1 需要领导提供的支持2 需要领导提供的支持3 信息安全部风险 管理展开面临挑战 个别部门风险管理 存在方向性错误 安全工作 认识存在局限 信息资 产安全 信息安全，人人有责 Security is a process，not a product 信息安全工作 部门成立时间短，权威性处于建设初期，当前非常弱势 各部门对信息安全部的标准参照度不高 信息安全部共5人，须负责制度及意识宣导、管控技术预研与引进，以及各部门的协调工作等 个别各部门信息安全工作基于自身的理解和要求开展，效度有限，导致后期重复工作与资源浪费 业界知名标杆企业在建立ISMS体制初期，均有第三方咨询机构协助进行全面的风险评估和标准制度导入，我们当前还没有，更增加部门弱势与工作难度 各部门正在开展部门自我风险评估，安全咨询需求增大 最佳实践的风险评估过程 安全专业人员参与，提供基于安全最佳标准、最佳实践的指导 被评估领域业务代表，进行充分风险分析和识别 安全专业部门汇集和分析风险信息，进行风险严重等级划分和控制措施设计，并进行汇报 被评估领域组织落实风险控制措施、整改 整改完毕，安全专业部门进行稽核与审计 不断循环改进 个别部门的风险管理过程 无安全标准参照，自我内部评估 根据自身需要汇集筛选风险信息 参照部门业务设计风险控制措施 内部成立项目组进行整改，然后解散项目组，不接受安全稽核 风险管理“一阵风”吹过 … … …… 1 2 3 4 5 整改行为一阵风吹过，风险缺乏持续控制 规避后期安全稽核，凌驾于第三方安全监管之上 风险整改无章法，不参照专业指导，浪费成本且效果有限 内部自我评估发现的漏洞，可能反而被内部人员利用泄密 重大风险不上报，潜伏并威胁着公司信息资产安全 对公司安全工作开展阻力思考不够深入，认识不足 需要改善推动各部门安全工作开展的方式 目 录 公司当前信息安全保护建设进展汇报 2 3 8 公司信息安全现状及风险分析 1 信息安全工作面临的阻碍 4 下一步行动计划汇报及需要领导提供的支持 夯实公司信息安全风险控制的每一层“土” 加大工作量投入，稳步有效测试采购及IT部门同事推荐的USB、打印、网关防毒等 安全工具， 配合采购的工作计划，引入UTM集成工具，尽快（计划2010年二月底前）控制公司当前重大 安全隐患 　　立即分析研发、IT两大重点体系风险评估信息，输出统一风险评估及控制措施 正式报告， 提请审核后，交付并跟踪责任部门整改，同时，规划整改后的安全 稽核方案 　 策划基础建设期安全支撑工具的宣传培训工作，组织部署 安全基础建设期支撑工具，并推动在全公司运行。 　　落实对研发、IT两大重点体系整改后的安全审计工作，助力 推动整改措施落地， 并系统化启动其他业务领域的风险评估工作 为避免“自我评估，自我整改，脱离最佳实践参照指导”的风险管理在公司蔓延开来、并将公司信息安全管理引到“水沟”里的这一隐患的发生，请领导支持我们在公司宣导并执行经过业界实践检验后的最佳风险管理过程，将公司风险管理与控制引向良序发展之路。 基于风险控制工作的性质所决定，公司安全监管部门应该是“强势”的，但是，目前由于公司信息安全部门成立时间短、人手紧迫（本来12月21号到位的安全专业人员，HR反馈对方认为上班路途远不来了），也没有咨询公司的支持服务，使得信息安全部当前相当弱势。 参照业界标杆最佳实践的经验，ISMS体系建立初期，应该引入优质第三方咨询服务支持安全建设，ISMS架构建立后，每两年周期性请第三方安全机构复核优化ISMS体系。请领导支持我们在2010年引入优质第三方安全资讯服务（咨询费10万元左右），优化公司安全管理，培育支撑公司蓝海战略落地的安全风险控制文化。 * 行为准则：尊重·简单·重用·检查·并行·勇气·反馈·改善·认真·责任 价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长 公司整体信息安全风险评估及工作情况汇报 信息安全部 2009年12月21日 目 录 公司当前信息安全保护建设进展汇报 2 3 8 公司信息安全现状及风险分析 1 信息安全工