企业信息化管理安全_技术_文化_成本.pptx

曹晓东，北京 2016年6月3日  起源  信息系统  建设过程  关键因素  展望未来 业务 安全 技术 成本 20世纪90年代以 后，开始倡导信 IA， 信息安全概念是 20世纪80年代到 90年代才被广泛 提出的 息保障（ Information Assurance 到了20世纪60到 70年代，逐步推 行计算机安全 ） 20世纪60年代倡 导通信保密措施 人 技术 操作 技术是实现信息 操作和流程就是 将各方面技术紧 密结合在一起的 主动的过程，其 中包括风险评估、 安全监控、安全 审计、跟踪告警、 入侵检测、响应 恢复等内容。 人是信息体系的 主体，是信息系 统的拥有者、管 理者和使用。包 括意识培训、组 织管理、技术管 理和操作管理等 多个方面。 保障的重要手段， 信息保障体系所 应具备的各项安 全服务就是通过 技术机制来实现 的。而是防护、 检测、响应、恢 复并重的动态的 技术体系。 真实性 •对信息的来源进行判断， 能对伪造来源的信息予 以鉴别。 保密性 可控制性 •保证机密信息不被窃听， 或窃听者不能了解信息 的真实含义。 •对信息的传播及内容具 有控制能力。 不可抵赖性 完整性 •建立有效的责任机制， 防止用户否认其行为， 这一点在电子商务中是 极其重要的。 •保证数据的一致性，防 止数据被非法用户篡改。 可用性 •保证合法用户对信息和 资源的使用不会被不正 当地拒绝。 信息安全的目标、工作遵循基 本原则，信息安全建设方向； 实现信息安全目标的工作的策 略、方法、体系及规范； 信息安全组织体系及其运作模式 信息安全建设过程中所需的技 术手段 日常信息安全工作的主要过程 和内容，组织角色与职责、依 据规范及信息安全技术 1个核心 信息安全目标、方针 信息安全支撑 信息资产安全 人力资源安全 信息安全保障 风险评估 物理安全 10大信息 安全能力 策略与合规 信息系统建设安 全 信息系统运维安 全 信息安全事件与 应急 供应商安全 安全检查与考核 组织与人员 制度与流程 技术与工具 3大能力 支撑手段  信息安全决策组织  信息安全管理组织  信息安全执行组织  信息安全监管组织 信息安全领导层 安全管理委员会 牵头部门：企管部 成员：各系统所有者所在部门 负责人 信息安全管理层 审 计 中 心 牵头部门： 信息化与经营核算部 成员： 人力资源部、企管部 信息安全执行层 • • 产品线管理本部、产品设计制造本 部、智能本部、联合所信息安全员 信息化与经营核算部系统管理员、 终端管理员、网络管理员等 其他各部门信息安全员 2015-2016年完成 2017-2019年完成 组织体 系 内的 色及职 部门 信息安全职责 决 策 监督层  对威视整体信息安全工作负最终责任；  对信息安全相关重大事宜进行决策和资源配置；安全事故处理。 层 信息安全管理委员会 审计中心 部门 信息安全职责 监督信息安 全工作的开 展情况   具体管理威视信息安全管理工作，包括组织制定信息安全规划， 组织开展信息安全体系建设，重大信息安全事故调查、参与组 织信息安全培训等； 信息化与经营 管 理 层  对信息系统 的整个生命 周期和重大 事件等进行 审计 核算部  建立信息安全检查机制，落实信息安全检查职能。  人员入职、在职、离职安全管理，安全培训， 人力资源部 企管部  参与制定信息安全管理制度以及制度发布。 部门 信息安全职责 产品线管理本部、产 品设计制造本部等部 门  负责在本部门范围内落实、推行威视信息安全要求；  负责部门信息资产管理； 执 行 层  配合参与威视信息安全方面管理规定、标准、流程的制订；  配合完善威视信息安全防护技术体系；  负责信息安全事件的具体响应、处理等工作。 信息化与经营 核算部IT运维 人员  负责在本部门范围内落实、推行威视信息安全要求； 其它信息安全员 方针、策略文件 一级 规程 二级文件 规范、细则、指南 三级文件 记录、表单 四级文件 信息安全管理制度文件 信息安全管理规定 信息 安全 事件 与应 急管 理办 法 应用 系统 安全 建设 管理 办法 信息 安全 风险 评估 管理 办法 信息 信息 安全 检查 管理 办法 信息 安全 考核 管理 办法 信息 资产 管理 办法 系统 运维 安全 管理 办法 应 用 系 统 用 户 帐 户 和 权 限 管 理 规 范 应 用 系 统 安 全 需 求 分 析 技 术 标 准 应 用 系 统 安 全 验 收 技 术 标 准 终 端 安 全 防 护 技 术 配 置 与 操 作 管 理 规 范 信 息 系 统 补 丁 与 漏 洞 管 理 规 范 系 统 安 全 基 线 配 置 技 术 标 准 核 心 信 息