公司整体信息安全风险评估及工作军情况汇报1.pptVIP

信息安全部工作 Do-管理文件体系建设情况 Do-建置控制方法 Do-执行管理程序 Do-执行管理程序 Do-教育训练及宣导 Do-员工入职及入职后信息安全教育培训 Do-全员信息安全意识培育 Do-部门信息安全意识提升 Do-信息安全绩效考核KPI 信息安全工作面临的阻碍 安全工作认识存在局限 信息安全部风险管理展开受到挑战 个别部门风险管理存在方向性错误 方向性错误的风险管理过程对公司的危害 信息安全部下一步总体行动计划汇报 需要领导提供的支持 信息安全部风险 管理展开面临挑战 个别部门风险管理 存在方向性错误 安全工作 认识存在局限 信息资 产安全 信息安全，人人有责 Security is a process，not a product 信息安全工作 部门成立时间短，权威性处于建设初期，当前非常弱势 各部门对信息安全部的标准参照度不高 信息安全部共5人，须负责制度及意识宣导、管控技术预研与引进，以及各部门的协调工作等 个别各部门信息安全工作基于自身的理解和要求开展，效度有限，导致后期重复工作与资源浪费 业界知名标杆企业在建立ISMS体制初期，均有第三方咨询机构协助进行全面的风险评估和标准制度导入，我们当前还没有，更增加部门弱势与工作难度 各部门正在开展部门自我风险评估，安全咨询需求增大 最佳实践的风险评估过程 安全专业人员参与，提供基于安全最佳标准、最佳实践的指导 被评估领域业务代表，进行充分风险分析和识别 安全专业部门汇集和分析风险信息，进行风险严重等级划分和控制措施设计，并进行汇报 被评估领域组织落实风险控制措施、整改 整改完毕，安全专业部门进行稽核与审计 不断循环改进 个别部门的风险管理过程 无安全标准参照，自我内部评估 根据自身需要汇集筛选风险信息 参照部门业务设计风险控制措施 内部成立项目组进行整改，然后解散项目组，不接受安全稽核 风险管理“一阵风”吹过 重大风险不上报，潜伏并威胁着公司信息资产安全 … … … 个别部门风险拒绝汇集到安全专业部门统一分析，导致对风险的严重等级判断没有站在公司全局的视角进行，使得个别严重隐患被部门“抹掉”，潜伏隐患时时在威胁公司 规避信息安全专业人员的指导，整改效果参差不齐，风险继续存在，同时造成人力物力重复使用和浪费 这类部门的风险整改多是以项目方式开展，结束了即关闭，然后人员解散，其直接与“风险管理是一个持续的过程”规则相违背，最后风险管理是“一阵风”，吹过了安全隐患又迅速生长起来 拒绝安全监管，导致公司安全总体情况不可控，也导致在此类部门的各类安全威胁处于“潜伏”状态 风险整改无章法，浪费成本且效果有限 整改行为一阵风吹过，风险缺乏持续控制 规避后期安全稽核，凌驾于第三方安全监管之上 目 录 公司当前信息安全保护建设进展汇报 2 3 8 公司信息安全现状及风险分析 1 信息安全工作面临的阻碍 4 下一步行动计划汇报及需要领导提供的支持 夯实公司信息安全风险控制每一层“土” 加大工作量投入，稳步有效测试采购及IT部门同事推荐的USB、打印、网关防毒等 安全工具， 配合采购的工作计划，引入UTM集成工具，尽快（计划2010年二月底前）控制公司当前重大 安全隐患 　　立即分析研发、IT两大重点体系风险评估信息，输出统一风险评估及控制措施 正式报告， 提请审核后，交付并跟踪责任部门整改，同时，规划整改后的安全 稽核方案 　 策划基础建设期安全支撑工具的宣传培训工作，组织部署安全基础建设期 支撑工具，并推动在全公司运行。 　　落实对研发、IT两大重点体系整改后的安全审计工作，助力 推动整改措施落地，并系统化启动其他业务领域的风险评估工作 * 行为准则：尊重·简单·重用·检查·并行·勇气·反馈·改善·认真·责任 价值观：客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长 公司整体信息安全风险评估及工作情况汇报 信息安全部 2009年12月21日 目 录 公司当前信息安全保护建设进展汇报 2 3 8 公司信息安全现状及风险分析 1 信息安全工作面临的阻碍 4 下一步行动计划汇报及需要领导提供的支持 研发体系 全面分析公司信息安全存在问题 IT管理 安全问题 研发体系 职能体系 IT 网络与终端 物理环境及人员安全 安全制度流程 终端 网络 数据中心 安全制度流程 物理环境 从研发体系视角分析信息安全存在问题——网络与终端 存在问题 优化方案（现阶段） 优化方案（未来） 1.缺乏公司级统一备份管理机制； 2.应用层密码设置存在隐患； 3.应用服务器日志无审计； 4.存储介质的管理存在重大安全隐患； 5.网口管理存在重大安全隐患。 1.建立公司级统一备份管