企业开展网络信息安全工作的策略与方法概述.pptx.docxVIP

移动改变生活 中央企业开展网络信息安全工作 的策略与方法 中国移动信息安全管理与运行中心 2013年6月 丽ITni却ITill 丽I Tni 却I Till 网络信息安全工作框架 | 2.1策略体系 / 2.2组织体系 2.3技术体系 丿  安全形势 ■信息安全成为社会热点问题 ?信息安全事关国家安全：2013年3月韩国遭 网络恐怖袭击，电视台及部分银行网络瘫痪； ?信息安全影响政治稳定：北京2012年3月 19日谣言事件； ?信息安全影响经济发展：2012年利用“火  ■网络安全形势不容乐观 ?网站被植入后门等隐蔽性攻击事件呈增长 态势，网站用户信息成为黑客窃取重点； ?网络钓鱼日渐猖獗，严重影响在线金融服务和电子商务的发展，危害公众利益； ?高级可持续攻击（APT攻击）活动频现， 焰”病毒开展攻击，威胁国家、企业安全。 对国家和企业的数据安全造成严重威胁。 宏观形势 ■国家高度重视 厂台相专毬皂一」 ?国家岀台网络信息安全保护法律：2012年12月280,全国人大常委会通过了《关于加强网 络信息保护的决定》，以法律形式保护公民个人及法人信息安全，对运营商提出更高要求。 ?党的十八大报告明确指出要“健全信息安全保障体系” o工信部、国资委从2013年起将信息 安全责任制落实情况纳入到对运营商各省公司的绩效考核。公安部《信息安全等级保护管理 办法》、《信息安全等级保护备案实施细则》对等级保护提出明确要求。 网络信息安全体系建设的驱动力 加快企业内部网络信息安全建设，实现企业网络信息安全水平的整体提升 驱动力 上级部门 监管愈加 严格」 全益‘ 安日峻 B-胁严 外威」 内部安全 体系有待 —完善」 员工安全 意识较为 目录 目录 PAGE PAGE # 当前形势 网络信息安全工作框架 | 2.1策略体系 / 2.2组织体系 ‘ 2.3技术体系 丿 中国移 中国移动通信 PAGE PAGE # 网络信息安全工作方法 信息安全的宗旨和目标 信息安全体系总体框架 建立符合业界标准的目标架构 二 依据IS02700K COBIT等信息安全管理标准，从安全策略体系、安全组 织体系、安全运行体系、安全技术体系四个方面加强信息安全管理工作。 安全体系建设与推广项目建设的安全管理风险管理与定期评估安全运行体系用户Q广网络 安全终端?z主机安荃物理 安全应用 安全数据 安全日常安全运行与维护.安全人员1 I组织［ 安全体系建设与推广 项目建设的安全管理 风险管理与定期评估 安全运行体系 用户 Q广 网络 安全 终端 ?z 主机 安荃 物理 安全 应用 安全 数据 安全 日常安全运行与维护 .安全人员 1 I组织［职责■培训安全 安全战略确定 —、安全策略 二、安全组织 三、资产管理 安全策略体系 七、信息安全事件管理 六.通信与操作管理八、信息系统 —获得、开发与 管理制度I组织职貴］技术标准规范 四、.员安||信您蓍言言言言|, 、十、业务持续性管理 卜―、符合性 信息安全体系的有机组成 信息安全体系的有机组成 通过分析ISF和ISO 27000,安全工作由安全策略、安全组织、安全技术、安全运 维四个基本要素构成，每一项信息安全工作都可以从这四个维度去考虑。 谁来做？ -安全组织 ?人员职责 -教育培训 -人员安全 做什么事? 依据什么规定和耍求？ -信息安全策略 -信息安全规范 -信息安全操作流程和细则 通过何种技术和手段？ 中国移动通信 中国移动通信 信息安全策略体系框架 PAGE PAGE # PAGE PAGE # 当前形势 网络信息安全工作框架 2.1策略体系 TOC \o 1-5 \h \z | 2.2组织体系 ‘ 2.3技术体系 ) 2.4运行体系 . 下一步展望 安全策略安全规范安全流程/ 细则/操作手册 安全策略 安全规范 安全流程/ 细则/操作手册 中国移动通信 中国移动通信 信息安全考核评价体系 PAGE PAGE # 信息安全制度标准体系 信息安全制度标准体系 PAGE PAGE # 參考等级保护、IS027000.电信网和互联网安全防护体系标准等行业和国际标准，建立了信息安全制度标准 体系 ?制度体系：制度方针、规范办法、作业指南3层次，共270余个； 》标准体系：涵盖通用安全技术、通信网安全、支撑网安全、业务安全、安全防护等方面，近100个技术标准 一级文档 （公司策略） 一级文档 （公司策略） — 信息安全方针 适用性声明 风险管理流程 管埋评击程序，:人员安全i 信息设备管埋惺序 信息安全组紀注设规定 新设施管理程序 第三方和外包管埋规定 信息资产管理规定 终端设备管理规定 安全制 二级文档 物埋安全 度体系 框架 （