公司信息安全现状风险评估及风险控制措施课件.ppt

1、.公司文档信息安全现状风险评估及风险控制措施同洲公司信息安全部同洲公司信息安全部.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3项目实施计划项目实施计划4 4项目潜在风险及控制措施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录公司短期内发生的重大案例公司短期内发生的重大案例0 0.血的教训已经发生，这只是公布知悉的，但还有血的教训已经发生，这只是公布知悉的，但还有90%以上的未浮出水面以上的未浮出水面我们的看得见的公司资产被如此公然我们的看得见的公司资产被如此公然“盈利盈利”，看不见

2、的电子信息资产呢？更看不见的电子信息资产呢？更“惨不忍睹惨不忍睹”！.血的教训已经发生，这只是公布知悉的，但还有血的教训已经发生，这只是公布知悉的，但还有90%以上的未浮出水面以上的未浮出水面我们的重要信息资料，被批量在我们的重要信息资料，被批量在网上肆意流转网上肆意流转.血的教训已经发生，这只是公布知悉的，但还有血的教训已经发生，这只是公布知悉的，但还有90%以上的未浮出水面以上的未浮出水面事态严重到无法容忍，我们拿起了法律和道德事态严重到无法容忍，我们拿起了法律和道德的武器。可是，没有发现的呢？蚂蚁搬家式逐的武器。可是，没有发现的呢？蚂蚁搬家式逐渐流失的呢？渐流失的呢？案件案件N:基地仓库

3、被盗案件案件N+1:物料单信息流失，物料被私下领取出卖我们不能再坐以待毙！我们不能再坐以待毙！.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3项目实施计划项目实施计划4 4项目潜在风险及控制措施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录公司短期内发生的重大案例公司短期内发生的重大案例0 0.公司重要信息资料主要来源主要来源自主投资研发的各类自主投资研发的各类核心产品及技术机密核心产品及技术机密信息信息跟随重点招募人才的、基跟随重点招募人才的、基于其知识及经验的各种专于其知识及经验

4、的各种专业技术及管理文档资料、业技术及管理文档资料、流失后将带来重大商业隐流失后将带来重大商业隐患的各种信息患的各种信息同洲核心竞争力同洲核心竞争力信息资产信息资产重大商业信息，如：重大商业信息，如：1.1.产品及市场发展规划；产品及市场发展规划；2.2.重要商务合同及竞价信息；重要商务合同及竞价信息；3.3.重要项目人员及骨干人力信息；重要项目人员及骨干人力信息；4.4.外购咨询公司及顾问服务产生的信息等外购咨询公司及顾问服务产生的信息等1 12 23 3.使用使用产生产生归档归档退役退役同洲文档生命周期各环节点存放现状存放现状12143或执行销毁，或或执行销毁，或仍然保存在仍然保存在“归档

5、归档”的位置，的位置，但无监管但无监管各工作对应责任员各工作对应责任员工的办公电脑工的办公电脑各工作对应员工的办公电脑各工作对应员工的办公电脑部门或项目组自治文档共享库部门或项目组自治文档共享库各工作对应员工的办公电脑各工作对应员工的办公电脑部门或项目组自治文档共享库部门或项目组自治文档共享库部门文控人员电脑部门文控人员电脑公司总裁办文档（档案）室公司总裁办文档（档案）室文档生命周期文档生命周期.文档信息两大类流动方向流动方向公司内部流动公司内部流动公司与外界之间流动公司与外界之间流动.公司目前可用的各种文档信息流动渠道流动渠道1.MSN1.MSN等各等各类即时聊天类即时聊天通信工具通信工具

6、2.2.各类合法各类合法与非法与非法FTPFTP数传工具数传工具3.3.员工个员工个人网络免人网络免费邮箱费邮箱 4.4.公司公司WEBWEB邮箱邮箱5.5.打印、传打印、传真、光盘刻真、光盘刻 录等录等6.6.各类移动存储介各类移动存储介质（借助质（借助 USBUSB口、口、网口等）网口等）7.7.公司公司notesnotes办公系统办公系统 同洲机密同洲机密信息信息.公司目前文档信息安全控制现状公司目前文档信息安全控制现状安全技术控制现状安全技术控制现状安全管理控制现状安全管理控制现状 只有网络边界防火墙，无其他信息内容监管技术支持措施；Internet上网权限基本全部开通，控制力度非常薄

7、弱 公司办公机器各类外连端口如USB口、网口等基本全部处于开放状态；无打印监控系统；公司物理办公区域及办公网络没有严格划分安全等级和配套管理；对于外发文档、邮件等行为没有相关权限控制及审批机制；公司没有对各类文档的机密级别定义和配套管理制度；公司没有统一如PDM文档资料安全存放及管理系统；对于员工收集留存的文档、各系统文档保存及使用情况等没有规范化管理和安全审计机密信息流失.时时威胁我们的主要重大信息安全隐患1.公司核心竞争力信息资产流失，为别人做了嫁衣5.信息资产外传被多方抄袭引用，引起官司和纷争2.公司重大商业秘密外泄，关键项目流产，公司销售额下滑；4.公司系列重要文档资料在网络上流传，降

8、低公司品牌形象，伤害无形 资产；3.公司花大量精力财力投入开发输出的各类信息资料流失，失去优势竞争 地位重大信息安全隐患重大信息安全隐患.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3项目实施计划项目实施计划4 4项目潜在风险及控制措施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录公司短期内发生的重大案例公司短期内发生的重大案例0 0.通过封堵网络、计算机端口、打印机等的“边界安全边界安全”控制方案各风险控制措施收益对比 直接针对文档保护的“内容安全内容安全”控制方案缺点缺点1 1：

9、需要实施网络通信、计算机端口通信、打印机打印配置等多套控制系统。一方面，将会改变网络结构和办公习惯，实施难度大、周期长，另一方面，必然增大资金、人力投入、系统维护成本、以及安全管理成本优点优点1 1：直接针对目标信息本身实施一个文档安全系统，即可确保目标信息资料的全程安全，解决非法网络流转、打印等风险。投资相对少，维护及安全管理较本低。缺点缺点2 2：文档仍然以明文存储，治标不治本，只要一个环节攻破，明文将无限制扩散优点优点2 2：可指定文档合法使用范围、针对文档内容自动透明保护，不改变使用习惯，实施周期短，易于实施。优点优点3 3：文档安全问题控制后，对于计算机端口、打印监控、存储介质携带等

10、安全隐患，也得到了控制.最佳隐患控制措施直接使用内容安全服务系统内容安全服务系统核心信息、文档、数据的存储核心信息、文档、数据的存储防止原件防止原件及副件及副件的保存的保存 防止屏幕防止屏幕拷贝、拷贝拷贝、拷贝及编辑及编辑 控制打印控制打印防止防止变更机器变更机器时间时间 鉴定及鉴定及赋予权限赋予权限 追查打印文件的泄漏追查打印文件的泄漏 盗出的文件、数据无法阅读盗出的文件、数据无法阅读 管理者（配置安全策略）管理者（配置安全策略）外部人员无法阅读利用软盘及外部人员无法阅读利用软盘及CD盗出的拷贝文件盗出的拷贝文件 利用电子邮件进行传送时利用电子邮件进行传送时,未经认可者无法阅读未经认可者无法

11、阅读 按用户加密文件按用户加密文件 -部门内通部门内通过鉴定的用户，可共享信息过鉴定的用户，可共享信息 所需的文件加密、所需的文件加密、授授权后下载权后下载 文件文件UPloadUPload.文档自动保护系统引进策略引进策略背景问题背景问题解决方案解决方案一方面，因为直接针对文档加密，所以系统本身性能至关重要，需要引进品牌系统，周期比较长；另一方面，公司目前处于变革期，各方信息流转量大，保护不好影响严重，因此急需上线这样一个系统首先：近期多方认证，选择一个资质和性能比较好、同时愿意提供较长试用时间的产品，解决近期信息安全紧迫需求；然后：留出时间考察资质和性能好的品牌系统，经过技术和商务审核后引

12、进，平稳换掉试用的产品.计划引入试用系统的对比结果计划引入试用系统的对比结果产品产品关键情况关键情况(资质、背景、供试用度资质、背景、供试用度)对比结果对比结果大成天下大成天下1.1.资质：有中型企业（资质：有中型企业（10001000左右客户端）推广左右客户端）推广的客户经验，自身研发实力中等；的客户经验，自身研发实力中等；2.2.背景：自主研发的产品背景：自主研发的产品3.3.可以试用可以试用300300客户端左右，时间客户端左右，时间2-32-3个月个月可以试用大成可以试用大成天下天下“铁卷铁卷”，但功能比较单一但功能比较单一；亿赛通如果确亿赛通如果确认原厂商同等承认原厂商同等承诺后，可

13、以试用诺后，可以试用“紫色力腾紫色力腾”功能和技术背景功能和技术背景较为可靠，不过较为可靠，不过大客户经验有待大客户经验有待验证验证结论：结论：3 3家对比家对比，响应快者入围，响应快者入围亿赛通亿赛通1.1.资质：有中型企业（资质：有中型企业（10001000左右客户端）推左右客户端）推广的客户经验；产品功能比较全面广的客户经验；产品功能比较全面2.2.背景：中国产品的代理厂商；背景：中国产品的代理厂商；3.3.可以试用可以试用400400客户端左右，时间客户端左右，时间2-32-3个月个月紫色里腾紫色里腾1.1.资质：产品内核与为原韩国总统奖资质：产品内核与为原韩国总统奖MarkAnyMa

14、rkAny安全产品基本一致，是其中国大陆安全产品基本一致，是其中国大陆原代理商；原代理商；2.2.背景：有大品牌技术背景，自主研发改造产背景：有大品牌技术背景，自主研发改造产品；品；3.3.可以试用可以试用400400客户端左右，时间客户端左右，时间4 4个月个月.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3项目实施计划项目实施计划4 4项目潜在风险及控制措施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录公司短期内发生的重大案例公司短期内发生的重大案例0 0.部署文档安全系统花费分

15、析花费分析预算总投入预算总投入根据客户端单价收费根据客户端单价收费(公司全部公司全部客户端约客户端约25002500，框架采购价格将更低，框架采购价格将更低)日常安全监控维护人力投入，日常安全监控维护人力投入，有望压缩到有望压缩到3 3个个(兼职兼职)若全公司范围若全公司范围推广，预计投推广，预计投入约入约5050万万若对重要信息若对重要信息产生源推广，产生源推广，以以1/31/3客户端客户端计算，预计投计算，预计投入入2020万万.系统部署后的收益系统部署后的收益有形收益有形收益有形收益一有形收益一避免绝大部分因信息资产的流失而带来的各类已知和未知损失有形收益二有形收益二 利于促进公司人员整

16、体信息安全意识提高，利于推动员工职业化素质水平良性发展，最终增强公司竞争力和盈利水平。促进公司信息安全管理体系的完善，促进形成符合大型规范公司的信息安全体系和职业氛围。有形收益三有形收益三.人员安全意识整体提升，利于凝聚公司团结文化意识、于无形中推动公司战略转型良性进行。无形收益一无形收益一系统部署后的收益系统部署后的收益无形收益无形收益无形收益二无形收益二 避免公司信息资产在的外界失控流转，利于提升公司品牌形象，进而增强公司市场占有能力和盈利水平。.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3项目实施计划项

17、目实施计划4 4项目潜在风险及控制措施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录公司短期内发生的重大案例公司短期内发生的重大案例0 0.23项目实施5步曲风险评估风险评估第一步内部调研内部调研第二步安全系统选型安全系统选型第三步系统部署上线系统部署上线第四步系统例行维护系统例行维护第五步综合评估分析，选择一个投资受益比最大化的文档信息安全控制方案确定多家安全方案供应商进入产品测试；调查供应商能力背景、售后服务、产品在市场上的等使用情况；根据测试和调查结果确定3家供应商进入招标范围，最后确定供应商输出系统部署计划；确定部署步骤及范围；输出配套的各场景使用标准；规划

18、系统支持维护、日常安全审计等工作调查确认公司信息资料类别、密级、流转方式等，基于调研和确认信息，制定适合公司业务和安全需求的文档加密使用标准平稳交接运维部门，规划与确认运维服务相应承诺；确定系统安全监控服务人员及安全维护标准.WBSWBS进度计划进度计划.Project Schedule-Project Schedule-甘特图甘特图.Project Schedule-Project Schedule-网络图网络图.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3项目实施计划项目实施计划4 4项目潜在风险及控制措

19、施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录公司短期内发生的重大案例公司短期内发生的重大案例0 0.潜在风险及控制措施潜在风险及控制措施可能的风险可能的风险风险控制措施风险控制措施潜在风险潜在风险1.深入调查，选择资质背景、客户背景高的供应商，放弃小的供应商，从长远全局考虑，不局限与只关注产品价格；2.基于公司长远安全需求出发，定制且审核购买合同，深入关注系统功能、售后服务、系统升级以及处罚条款。1.加密系统自身健壮性差，常出故障，影响使用；2.加密系统升级优化有问题，支持新需求有难度，不利于长期使用；.潜在风险及控制措施潜在风险及控制措施可能的风险可能的风险风

20、险控制措施风险控制措施潜在风险潜在风险1.1.各种实用场景考虑不足各种实用场景考虑不足，影响实际业务；，影响实际业务；2.2.培训、宣传不到位，使培训、宣传不到位，使得加密使用、系统维护、得加密使用、系统维护、安全监控等达不到预期目安全监控等达不到预期目标；标；3.3.加密文件无法正常使用加密文件无法正常使用，严重影响公司业务。，严重影响公司业务。1.详细规划公司内部之间、公司内部与外部之间、公司人员出差、离线办公等各种场景的使用策略，开展进行调查和测试；2.要求厂家一起，深入开展各层面角色的使用和维护培训和考试，确保系统使用和维护顺畅；3.一方面，确保系统提供不受限制的超级管理员权限功能；另

21、一方面，规划出公司机密文档明文备份机制并设计合理实施方案。.公司文档流转现状及安全隐患公司文档流转现状及安全隐患1 1最佳隐患控制措施最佳隐患控制措施2 2投资与收益分析投资与收益分析3 3项目实施计划项目实施计划4 4项目潜在风险及控制措施项目潜在风险及控制措施5 5请领导决策的决策点请领导决策的决策点6 6目录公司短期内发生的重大案例公司短期内发生的重大案例0 0.需要领导的支持需要领导的支持高层达成共识，项目正式立项高层达成共识，项目正式立项参加参加kick offkick off项目开工会议项目开工会议高层领导的支持，提供基础保障高层领导的支持，提供基础保障持续优化运作的公司持续优化运作的公司信息安全管理体系信息安全管理体系.Thank You!