信息安全战略规划方法论.pdf

信息安全战略规划方法论 Presented by: 德勤企业风险管理部经理 This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the Deloitte Network is, by means of this communication, rendering professional advice or services. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 第 1 页 差距评估依据 基于ISO 27001-2013、等级保护标准、云安全指引和工控安全指引等信息安全通用标准，进行差距评估 标准制定依据 ISO27001-2013 公安部等级保护标准 云安全指引、工控安全指引等 第 2 页 差距评估 下面是二阶规划的蓝图框架，我们认为XX公司达到基本的信息安全防护能力，即成熟度3.0，有以下差距： 安全治理和组织 安全战略 关键决策 运作机制 组织架构 绩效评价 安全管理体系 管理 安全策略 安全组织 人力资源安全 资产管理 访问控制 密码学 物理和环境安全 制度 操作安全 通信安全 系统获取、开发 供应商关系 安全事件管理 业务连续性管理 符合性 和维护 安全技术体系 物理安全 基础架构安全 应用安全 数据安全 身份访问安全 机房区域安全 网络安全 应用开发生命周期 数据生命周期管理 身份验证 安全 办公区域安全 主机安全 数据泄漏防护 访问管理 Web应用安全 数据加密 终端安全 身份生命周期管理 数据归档 灾难备份 安全运行体系 信息资产风 项目建设与 日常安全运 安全监控与 安全检查与 合作与沟通 险管理 开发安全 维管理 事件响应 审核 存在较大差距 存在中等差距