企业信息安全体系建设计划书2.pptxVIP

企业信息安全管理体系建设计划书邓生品 ISO27001/ISO20000/TL9000/ISO9000/CISA/COBIT昂楷科技 高级顾问手机：159 8665 2300电话：0755-2698 0062传真：0755-2698 0060E-mail： consultant@Ankki Confidential目录企业信息安全现状信息安全有序管理标杆管理工程部 邓生品 2008年12月24日如何有效建设企业信息安全体系关键成功因素Ankki Confidential企业信息安全压力与挑战公司生存、发展、壮大的推动，加上上市、融资、品牌建设的需求驱使，商业秘密、技术秘密等核心竞争力信息的规范有序流转与运用要求越来越明显。1公司大部分员工总体信息安全意识比较淡薄；各部门日常安全管理工作基本空白；公司没有形成系统化的安全管理持续优化系统。2Ankki Confidential企业信息安全现状简报物理安全现状网络安全现状企业信息安全现状人员安全现状Ankki Confidential网络安全现状列举公司数据中心缺乏规范有序的容灾备份机制，缺乏规范的灾难恢复计划和演练机制，没有业务连续性计划和应对措施公司内部员工邮箱收发权限基本全部放开，但同时没有有效监控。公司内部研发网络和非研发网络整体互通，内部办公网与外部互联网整体互通，信息交流缺乏监控。办公网络上各类密级的信息无序流转，无分层分级控制和对应密级的安全管理问题重重叠加，风险时时攀升Ankki Confidential物理安全现状举例公司重要场地进出缺乏有效登记，门禁在人员变动时的权限调整无统一定期审视清理，出现重大安全事故时追求困难。使用公共区域的打印机、传真机、复印机，经常有敏感文件遗漏，所在部门也无人管理。非公司人员进出公司大楼来访证监管不力，容易被钻空子带来隐患。打印机、传真机等敏感设备放置在非受控的安全区域，设备所在部门也未落实有效监督。公司研发等重要场地，存储和摄像功能的设备使用很随意。TFJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC, ,MS问题重重叠加，风险时时攀升Ankki Confidential人员安全现状举例缺乏规范有序的人员信息安全意识培训，也不知道如何培训和培训什么招聘环节人员筛选和背景调查工作比较薄弱，敏感岗位人员入职未签订专门的保密协议。未对不同岗位在职位描述书中加入安全方面的责任要求，特别是敏感岗位员工内部转岗或离职时，访问控制变更缺乏有效监督没有执行检查监督和奖惩机制，也没有检查模板和奖惩标准问题重重叠加，风险时时攀升Ankki Confidential$企业信息安全状态图解安全形势越来越严峻麻痹者跌倒后，可能将永远倒下安全水平建立管理组织体系、采取周期评估优化措施损失惨重基本无力回天重大事故发生时“救火”安全规范可控，不断优化无规范安全防御与评估体系，表面太平破产Ankki Confidential目录企业信息安全现状信息安全有序管理标杆管理工程部 邓生品 2008年12月24日如何有效建设企业信息安全体系关键成功因素Ankki Confidential标杆企业信息安全管理体系信息安全文件体系信息安全管理组织技术支撑体系 03年起，标杆公司持续投入重金，根据ISO27001标准，构建设置了其信息 安全管理体系，并通过了认证。 有目共睹的事实证明，这个体系的运作，推动了标杆公司这列“火车”的市场更加高效、安全平稳地前行与增长，……Ankki Confidential构架规范的持续优化的信息安全文件金字塔体系安全手册各分支领域安全管理规定操作指导、模板等各类记录表、检查表Ankki Confidential 信息安全文件金字塔体系各层级文件列举Ankki Confidential公司信息安全监管委员会分管高官全球信息安全管理办公室网络安全部物业行政管理部各子公司信管办各大部门信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处…………上下一体的的信息安全组织架构Ankki Confidential信息安全管理与技术手段的有机融合运作管理手段技术手段Ankki Confidential入侵检测WEB监控邮件监控MSN监控文件传输监控会话监控服务器监控标杆如何做到网路安全的有序控制？隔离梳理研发与非研发网络安全梳理服务器区域OA及其他系统内部网外部网DMZ区远端用户ERP文件共享研发网E-mail安全VPNInternet交换机安全VPN非研发网流量镜像IDS分支机构防火墙数据中心监控引擎控制台分支机构内、外入侵行为监管Ankki Confidential目录企业信息安全现状信息安全有序管理标杆管理工程部 邓生品 2008年12月24日如何有效建设企业信息安全体系关键成功因素Ankki Confidential什么是