企信息安全体系建设计划书2.ppt

2019/2/22 Ankki Confidential 31 项目质量管理与风险控制 —— WBS 分解计划 详细信息双击此文件展开 2019/2/22 Ankki Confidential 32 项目质量管理与风险控制 —— 甘特图 2019/2/22 Ankki Confidential 33 项目群风险控制——主要风险及控制措施 风险 控制措施 1. 安全人力薄弱，项目实施进度延 迟，影响业务部门对安全项目建 设的信心 1. 成立跨部门项目组，关联部门领 导给予有力的人力的支持；信息 安全部确定安全兼职人员，补充 安全力量。 2. 安全组织结构调整后，相关部门 并不配合安全专业机构的工作， 或者推诿，造成安全项目质量受 到严重影响 2. 完善绩效考评机制。确认对部门 及安全工作人员的绩效，公司信 息安全监管委员会或信息安全部 有建议权 。 3. 安全专业人员目前无“备份”力 量，公司安全大厦搭建起来以后 ，影响安全整体的运作质量 3. 关注培养公司内部信息安全人员 ，加大引入有经验的专业安全人 员力度 2019/2/22 Ankki Confidential 1 企业信息安全管理体系 建设计划书 邓生品 ISO27001/ISO20000/TL9000/ISO9000/CISA/COBIT 昂楷科技 高级顾问 手机： 159 8665 2300 电话： 0755-2698 0062 传真： 0755-2698 0060 E-mail ： consultant@ 2019/2/22 Ankki Confidential 2 管理工程部 邓生品 2008 年 12 月 24 日 企业信息安全现状 信息安全有序管理标杆 如何有效建设企业信息安全体系 目录 关键成功因素 2019/2/22 Ankki Confidential 3 公司生存、发展、壮大的推动，加上上市、融资、品牌建 设的需求驱使，商业秘密、技术秘密等核心竞争力信息的规 范有序流转与运用要求越来越明显。 公司大部分员工总体信息安全意识比较淡薄；各部门日常 安全管理工作基本空白；公司没有形成系统化的安全管理持 续优化系统。 1 2 企业信息安全压力与挑战 2019/2/22 Ankki Confidential 4 物理安 全现状 企业信息 安全现状 网络安 全现状 人员安 全现状 企业信息安全现状简报 2019/2/22 Ankki Confidential 5 公司内部研发网 络和非研发网络 整体互通，内部 办公网与外部互 联网整体互通， 信息交流缺乏监 控。 公司内部员工邮 箱收发权限基本 全部放开，但同 时没有有效监控。 公司数据中心缺 乏规范有序的容 灾备份机制，缺 乏规范的灾难恢 复计划和演练机 制，没有业务连 续性计划和应对 措施 办公网络上各类 密级的信息无序 流转，无分层分 级控制和对应密 级的安全管理 网络安全现状列举 2019/2/22 Ankki Confidential 6 ? TFJLLO;PO .J.I POFI HJKGHLKG ? NFGNJHGC, ,MS 打印机、传真 机等敏感设备 放置在非受控 的安全区域， 设备所在部门 也未落实有效 监督。 公司研发等 重要场地， 存储和摄像 功能的设备 使用很随意。 非公司人员进 出公司大楼来 访证监管不力， 容易被钻空子 带来隐患。 使用公共区域 的打印机、传 真机、复印机， 经常有敏感文 件遗漏，所在 部门也无人管 理。 公司重要场地进 出缺乏有效登记， 门禁在人员变动 时的权限调整无 统一定期审视清 理，出现重大安 全事故时追求困 难。 物理安全现状举例 2019/2/22 Ankki Confidential 7 没有执行检 查监督和奖 惩机制，也 没有检查模 板和奖惩标 准 员工内部转 岗或离职时， 访问控制变 更缺乏有效 监督 未对不同岗 位在职位描 述书中加入 安全方面的 责任要求， 特别是敏感 岗位 招聘环节人员 筛选和背景调 查工作比较薄 弱，敏感岗位 人员入职未签 订专门的保密 协议。 缺乏规范有序 的人员信息安 全意识培训， 也不知道如何 培训和培训什 么 人员安全现状举例 2019/2/22 Ankki Confidential 8 企业信息安全状态图解 无规范安全防御与 评估体系， 表面太平