测评服务解决方案建议.pptxVIP

XX集团

信息安全自主测评

提案书

21在十二五期间国家对于信息安全的重视程度进一步提高，压力与投资双增长各种系统特别是SOC的试点，为自动化采集全网各种安全信息打下良好开端随着等保工作的开展，华能在安全管理方面积累了很多业务经验双网模式的成功实施，为华能进一步实施自我测评计划奠定了物质基础相关IT技术的成熟435机遇

风险管理|自主评测|安全运维的关系1、自主评测是检验安全运维水平的标准，是连接安全运维与风险管理的纽带2、安全运维工作的结果通过自主评测过滤、汇总到风险管理层面，并为进一步的安全工作提供分析和改善的基础3、安全运维数据量大，同时有保密要求，不宜直接暴露到外部，通过自主评测的中间层更好。4、安全运维体系是整个安全体系的技术基础。在实现上必须以风险管理为导向，以技术为手段，构筑多层次大纵深的防御体系。同时，对于安全全局信息的把握，会进一步发现薄弱环节，提高安全水平风险管理是安全运维的指导方针。风险管理基于成本-效益原则，对客户资产进行分级，评估安全风险的可能性与严重性，从而可以有区别地进行安全防范和安全投入，提高整体安全水平1、风险管理是合规工作的外部标准，具有强制性、稳定性和原则性。自主评测是华能集团内部对于风险管理工作的细化、深化，形成有具有华能特色的安全检查标准体系2、风险管理是阶段性工作，而自主评测是长期性工作。风险管理为自主评测提供理论基础和方法指引，自主评测为风险管理提供组织、流程、方法和验证材料

引入协作单位，建立

自主测评体系

包含知识库和BI的合规与遵从系统Staff服务信息安全咨询体系化服务专业人员教育服务e-BusinessTransformation信息安全工作持续发展要求专业人员不足协作单位

自主测评工作的整体解决方案数据总线安全运行管理资产管理风险管理桌面安全管理统一用户管理配置信息工作流引擎事件管理器数据收集器评估信息风险信息安全事件访问控制器数据过滤器教育培训智能报表安全审计知识库管理应急管理

自主测评工作范围自主测评工作

在系统安全生命周期中的位置

合作路线图派遣咨询人员，调研业务细节，制定服务框架和目录”确定项目预算和实施计划，落实试点单位出具详细调研报告，评估项目预算和实施计划评价试点实施结果并协作改善制定规范性文件和表格，并行模拟操作评价基础平台的使用效果并提出改善意见设计开发基础平台，建立数据库分阶段固化到基础平台可持续改善的安全管理PDCA系统运维和改善向基础平台导入历史数据，分批次扩大使用范围在基础平台上落实内部人员培训和评价体制安全报表（自动）安全报表（手工）安全规则

随着硬件、网络成本的下降及软件架构的成熟，数据大集中乃至云计算成为大势物联网应用范围逐步扩大，越来越多的智能传感器可以通过标准协议进行监控IT业内对于下一代架构的认识是本地负责采集和展示数据云端负责处理和存储数据访问环节部署安全管控统一界面实施运维未来的发展趋势

立足现状，展望未来现状：各系统独立运维未来：统一运维，统一安全