企业信息安全体系建设计划书课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《企业信息安全体系建设计划书课件.pptx》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业信息 安全 体系 建设 计划书 课件
- 资源描述:
-
1、2023-1-171企业信息安全管理体系建设计企业信息安全管理体系建设计划书划书2023-1-172管理工程部 邓生品 2008年12月24日企业信息安全现状企业信息安全现状信息安全有序管理标杆信息安全有序管理标杆如何有效建设企业信息安全体系如何有效建设企业信息安全体系关键成功因素关键成功因素2023-1-173公司生存、发展、壮大的推动,加上上市、融资、品牌建设的需求驱使,商业秘密、技术秘密等核心竞争力信息的规范有序流转与运用要求越来越明显。公司大部分员工总体信息安全意识比较淡薄;各部门日常安全管理工作基本空白;公司没有形成系统化的安全管理持续优化系统。12企业信息安全压力与挑战2023-1
2、-174物理安全现状企业信息安全现状网络安全现状人员安全现状企业信息安全现状简报2023-1-175问题重重叠加,风险时时攀升公司内部研发网络和非研发网络整体互通,内部办公网与外部互联网整体互通,信息交流缺乏监控。公司内部员工邮箱收发权限基本全部放开,但同时没有有效监控。公司数据中心缺乏规范有序的容灾备份机制,缺乏规范的灾难恢复计划和演练机制,没有业务连续性计划和应对措施办公网络上各类密级的信息无序流转,无分层分级控制和对应密级的安全管理网络安全现状列举2023-1-176n TFJLLO;PO.J.IPOFIHJKGHLKGn NFGNJHGC,MS打印机、传真机等敏感设备放置在非受控的安全
3、区域,设备所在部门也未落实有效监督。公司研发等重要场地,存储和摄像功能的设备使用很随意。非公司人员进出公司大楼来访证监管不力,容易被钻空子带来隐患。使用公共区域的打印机、传真机、复印机,经常有敏感文件遗漏,所在部门也无人管理。公司重要场地进出缺乏有效登记,门禁在人员变动时的权限调整无统一定期审视清理,出现重大安全事故时追求困难。问题重重叠加,风险时时攀升物理安全现状举例2023-1-177没有执行检查监督和奖惩机制,也没有检查模板和奖惩标准员工内部转岗或离职时,访问控制变更缺乏有效监督未对不同岗位在职位描述书中加入安全方面的责任要求,特别是敏感岗位招聘环节人员筛选和背景调查工作比较薄弱,敏感岗
4、位人员入职未签订专门的保密协议。缺乏规范有序的人员信息安全意识培训,也不知道如何培训和培训什么问题重重叠加,风险时时攀升人员安全现状举例信息安全评估和差距分析公司大部分员工总体信息安全意识比较淡薄;员工内部转岗或离职时,访问控制变更缺乏有效监督公司物理环境安全优化项目非公司人员进出公司大楼来访证监管不力,容易被钻空子带来隐患。这三项,是业界标杆用重金构建起来、用成功实践未对不同岗位在职位描述书中加入安全方面的责任要求,特别是敏感岗位安全体系全面整合和控管计算机端口、打印机监控工具。问题重重叠加,风险时时攀升安全管理体系,并通过了认证。各分支领域安全管理规定如何有效建设企业信息安全体系公司大部分
5、员工总体信息安全意识比较淡薄;初步推行和落实信息安全管理体系构架规范的持续优化的信息安全文件金字塔体系移动计算机设备、移动存储介质安全认证工具。公司的信息安全技术架构体系,包括但不限于以下信息安全策略支撑工具实际的情况是否与计划一样得到控制焦于风险管理和提升信息的安全状态。2023-1-178企业信息安全状态图解无规范安全防御与评估体无规范安全防御与评估体系,系,表面太平表面太平建立管理组织体系、采建立管理组织体系、采取周期评估优化措施取周期评估优化措施安全规范可控,不断安全规范可控,不断优化优化破产破产损失惨重损失惨重基本无力回天基本无力回天重大事故发生时重大事故发生时“救救火火”安全水安全
6、水平平$安全形势越来越严峻安全形势越来越严峻麻痹者跌倒后,可能将永远倒下麻痹者跌倒后,可能将永远倒下2023-1-179管理工程部 邓生品 2008年12月24日企业信息安全现状企业信息安全现状信息安全有序管理标杆信息安全有序管理标杆如何有效建设企业信息安全体系如何有效建设企业信息安全体系关键成功因素关键成功因素2023-1-1710标杆企业信息安全管理体系标杆企业信息安全管理体系信息安全文件体系信息安全文件体系信息安全管理组织信息安全管理组织技术支撑体系技术支撑体系 03年起,标杆公司持续投入重金,根据ISO27001标准,构建设置了其信息 安全管理体系,并通过了认证。有目共睹的事实证明,这
7、个体系的运作,推动了标杆公司这列“火车”的市场更加高效、安全平稳地前行与增长,2023-1-1711构架规范的持续优化的信息安全文件金字塔体系各分支领域安全管理规定各分支领域安全管理规定安全手册安全手册操作指导、模板等操作指导、模板等各类记录表、检查表各类记录表、检查表2023-1-1712 信息安全文件金字塔体系各层级文件列举信息安全文件金字塔体系各层级文件列举2023-1-1713上下一体的的信息安全组织架构上下一体的的信息安全组织架构公司信息安全监管委员会全球信息安全管理办公室网络安全部物业行政管理部各大部门信管办各子公司信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处分
8、管高官2023-1-1714管理手段技术手段信息安全管理与技术手段的有机融合运作2023-1-1715内内部部网网研研发发网网非非研研发发网网InternetInternet安全安全VPNVPN分支机构防火墙分支机构防火墙数据中心数据中心交换机ERP文件共享E-mail分支机构分支机构控制台控制台IDS流量镜像监控引擎监控引擎入侵检测入侵检测WEB监控监控邮件监控邮件监控MSN监控监控文件传输监控文件传输监控会话监控会话监控服务器监控服务器监控安全安全VPNVPN外外部部网网DMZDMZ区区远远端端用用户户标杆如何做到网路安全的有序控制?标杆如何做到网路安全的有序控制?OA及其他系统内、外入侵
9、行为监管隔离梳理研发与非研发网络安全梳理服务器区域2023-1-1716管理工程部 邓生品 2008年12月24日企业信息安全现状企业信息安全现状信息安全有序管理标杆信息安全有序管理标杆如何有效建设企业信息安全体系如何有效建设企业信息安全体系关键成功因素关键成功因素2023-1-1717什么是信息安全安全安全安全安全信息威胁弱点完整性保护信息及其处理步骤不被未授权的修改可用性确保信息能够被授权的用户在需要时访问风险确保信息只被确保信息只被授权的人访问授权的人访问保密性信息安全关注的信息安全关注的“三性三性”2023-1-1718信息安全之路4P安全策略与流程(P Policy&P Proces
10、s)专业团队P People支撑产品(P(Product)确定各层文件内容框管理工程部 邓生品 2008年12月24日全球信息安全管理办公室问题重重叠加,风险时时攀升员工内部转岗或离职时,访问控制变更缺乏有效监督建立与公司策略与目标相适宜的安全公司大部分员工总体信息安全意识比较淡薄;公司大部分员工总体信息安全意识比较淡薄;公司没有形成系统化的安全管理持续优化系统。未对不同岗位在职位描述书中加入安全方面的责任要求,特别是敏感岗位03年起,标杆公司持续投入重金,标杆如何做到网路安全的有序控制?公司物理环境安全优化项目企业信息安全管理体系建设总体计划示意信息安全评估和差距分析未对不同岗位在职位描述书
11、中加入安全方面的责任要求,特别是敏感岗位(Policy&Process)公司内部研发网络和非研发网络整体互通,内部办公网与外部互联网整体互通,信息交流缺乏监控。适当的意识、培训和教育对信息安全要求、风险评估和风险管理问题重重叠加,风险时时攀升2023-1-1719信息安全的组成领域总揽信信息息安安全全 11 11个控制领域个控制领域 3939个控制目标个控制目标 133133个控制项个控制项安全制度及流程技术措施管理措施11 通信与操作管理10 业务连续性管理2 组织安全3 资产分类与控制 5 物理及环境安全8 符合性4 系统与维护9信息安全事件管理6 访问控制7人员安全1 安全策略2023-
12、1-1720安全风险控制方案设计过程234512023-1-1721企业信息安全管理体系(ISMS)建设做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化建立与公司策略与目标相适宜的安全建立与公司策略与目标相适宜的安全策略、对象、目标、流程活动等,聚策略、对象、目标、流程活动等,聚焦于风险管理和提升信息的安全状态。焦于风险管理和提升信息的安全状态。1.1.发起建设发起建设ISMSISMS实施与运作各类安全策略、控制,以及安全流程与活动。实施与运作各类安全策略、控制,以及安全流程与活动。2.2.实施与运作实施与运作ISMSISMS基于安全策略,评估、度量各安全控基于安
13、全策略,评估、度量各安全控制过程的实际效用;制过程的实际效用;形成评估结果报告提交管理层审视。形成评估结果报告提交管理层审视。3.3.监控与审视监控与审视ISMSISMS基于管理层对风险评估结果基于管理层对风险评估结果(步骤步骤3 3的输出的输出)的审视意见,采取的审视意见,采取正确有效的正确有效的ISMSISMS持续改进措施。持续改进措施。4.4.维护与改进维护与改进ISMSISMS行动行动检查检查改进改进做什么怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制下一步如何优化输入输入输出输出2023-1-1722安全工作模块总揽安全工作模块总揽安全风险 评估安全基础安全基础安全功能安
14、全功能安全优化安全优化安全战略安全战略安全管理安全管理安全技术安全技术防火墙和 边界隔离安全区域定义和划分安全组织和 责任划分企业安全策略定义信息资产分类和分级紧急响应 机制业务持续 计划核心安全 标准/流程安全变更 管理安全补丁 管理安全备份 管理其它安全 标准/流程安全培训与教育第三方安全控制要求安全策略和标准修订系统安全 强化网络入侵检测体系高危数据 传输加密关键系统 日志记录病毒防范 机制身份认证 体系访问控制 体系可用性与 冗余性远程访问 安全机制时间同步 机制集中安全 审计体系安全事件 管理平台企业身份 认证平台其它内容 安全机制其它数据传输加密主机入侵 检测体系数据存储 安全体系
15、安全体系全面整合和控管国际或国内安全认证2023-1-1723如何搭建企业信息安全防御大厦?如何搭建企业信息安全防御大厦?怎么做?怎么做?HowHow谁做?谁做?WhoWho什么时候做?什么时候做?WhenWhen做什么?做什么?WhatWhat公司安全大厦What is the BaseWhatWhatWhatWhatWhatWhat2023-1-1724 做什么?做什么?WhatWhat这三项,是业界标杆用重金构建起来、用成功实践证明了的安全大厦的“脊梁”信息安全大厦的脊梁是什么?信息安全大厦的脊梁是什么?公司安全大厦公司安全大厦公司安全大厦坚固的基石是什么?公司安全大厦坚固的基石是什么?
展开阅读全文