[PPT模板]规划汇报.pptVIP

神州数码信息安全三年规划 （2012-2015） 版本：1.0 综合考虑公司业务战略、信息化技术发展整体环境、企业文化与价值体系等多种因素，建立与公司“智慧城市”战略推进相适应的信息安全管理体系，并以此安全体系的持续执行与优化为基础，实现企业IT对公司战略推进和业务运营支撑，在安全性和敏捷性方面的协调发展。并进而实现企业级信息安全管理在业内的示范性影响。 具体任务包括： 建立以风险管理为基础的全生命周期的信息安全管理体系，明确公司信息安全的管理架构与技术架构，并实现安全管理在控制维度和管理周期的“二维”全覆盖。 体系化建立与“云计算”、“移动互联”、“物联网”等相关的若干企业级信息安全解决方案。 三年总目标与总任务 服务架构 （ISO20000） 管理过程 (ISO13335) 技术架构 (ISO15408) 管理架构 （ISO27001) 基本原则/策略 组织 神州数码集团信息安全架构 1 2 3 4 5 1.基本原则、策略、组织 神州数码信息安全四项基本原则： 战略@业务驱动原则：信息安全管理方向要以战略推进与业务发展要求相匹配，并以风险管理为尺度有效实现安全管理与战略推进、业务发展的矛盾统一与协调发展。 统一性原则：神州数码控股有限公司及所有控股子公司使用统一的信息安全管理体系。IT服务的使用权的拥有以遵守控股公司统一的信息安全管理体系为基本前提。 分级保护原则：所有信息资产基于风险分级为前提而采取相应的保护措施，并承担相应的保护成本。 权责对等原则：信息资产的所有人可根据自己的情况选择安全级别双向的变更，并相应使用变更后级别的保护举措，并承担对应的信息安全风险责任。 1.基本原则、策略、组织 信息安全管理策略： 均衡保护：信息安全管理要通盘实现均衡发展，不能有明显的短板和安全风险。 流程驱动：信息安全体系的建立与执行要落地到可执行的流程，基于流程管理方法建立并持续优化信息安全管理体系的执行。 成熟度评估：建立信息安全的成熟度评估体系与定期评估机制，并以此促进信息安全的连续性发展。 点面结合：既要注重整个体系的建立与运行，又要注重与“智慧城市”相关的移动应用、云计算相关的安全解决方案。 标准符合：我们的信息安全管理体系要全部基于国际标准。 角色 职责 目标 负责人 交付物 信息安全委员会 信息安全重大事件决策 决策有效性 郑小维 规划管理组 信息安全规划制定与更新 年度安全计划与预算制定 信息安全体系架构管理 信息安全制度执行 规划制定更新有效性 年度计划有效性 安全体系架构完备性 安全制度完备性 王俊奇 规划 年度计划 年度预算 实施运维组 年度信息安全计划执行实施 信息系统的安全运维 信息安全持续优化 信息安全培训推广 规划执行有效性 安全SLA 张星宇 服务报告 审计控制组 安全日常监控 内部定期安全审计 监控及时、有效性 审计及时、有效性 张弛/** 监控报告 审计报告 1.基本原则、策略、组织 P D C A 组织设定总体策略：结合公司现状可执行性，安全组织的设定以规划、执行、控制“三权”角色分离、职责到人为基本思路。 2.管理架构 关键词： 基于ISO27001标准为总体框架基础； 信息安全管理制度横向全覆盖； 国际标准 ISO27001 11个安全域 39个安全目标 133个控制措施 神州数码ISMS管理体系 2个级别：全局、专项 2个大类：使用方、管理方 28个管理规范 基于国际标准全覆盖 结合公司实际要求 2.管理架构 28个安全管理规范…… 133个安全控制措施…… 2.管理架构 2.管理架构 安全管理成熟度定义（O-ISM3）： 0级 初始（未定义） 1级 已管理（效果） 2级 明确定义（负载） 3级 可控的（质量） 4级 优化的（效率） 28个安全管理规范 2.管理架构 3.技术架构 关键词： 基于ISO15408标准为总体框架基础； 以CIA三原则为基本尺度； 以安全技术组件设计为主体； 国际标准 ISO15408 11个类 54个族 113个组件 神州数码ISMS技术体系 5个大类 31个安全模块 基于标准七层结构全覆盖 结合CISCO咨询建议 结合公司实际要求 3.技术架构 信息主体 对信息使用者的标识与鉴别 信息客体 基于信息生成、存续、终止全生命周期的资源加固 跟踪记录 对信息安全进行审计、监控 信息传输 对信息传递过程中的访问控制和信息流控制 3.技术架构 用户身份 管理 统一用户 目录 动态口令 数字认证 监控与响应 日志审计 内容审计 符合性审计 弱点管理 安全基线 漏洞扫描 补丁分发 病毒防护 终端安全 网页防篡