1、XX集团信息安全自主测评提案书问题机遇对策蓝图 来自外部机构的抽样检查和咨询覆盖范围有限,在时间上和范围上存在盲区 现有模式难以为提供及时、全面、准确、直观的信息安全基础情报 有待进一步构筑、实施和完善全面、常态、持续的安全绩效评价体系管理 内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才 很多下属单位还没有设立专职岗位或者没有明确职责,不利于工作职责分担 信息安全管理内生人才的培养,相对目前安全投资的发展速度有所滞后体制 面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露 多而散的子系统需要统一的安全管理界面 未经整理、归纳的专业信息安全情报细节不易理解和把握整体规
2、律性 安全信息与本单位专业和运营历史紧密相关,需要不断积累与沉淀支撑工具问题机遇对策蓝图机遇在十二五期间国家对于信息安全的重视程度进一步提高,压力与投资双增长随着等保工作的开展,华能在安全管理方面积累了很多业务经验双网模式的成功实施,为华能进一步实施自我测评计划奠定了物质基础各种系统特别是SOC的试点,为自动化采集全网各种安全信息打下良好开端相关IT技术的成熟风险管理|自主评测|安全运维的关系1、自主评测是检验安全运维水平的标准,是连接安全运维与风险管理的纽带2、安全运维工作的结果通过自主评测过滤、汇总到风险管理层面,并为进一步的安全工作提供分析和改善的基础3、安全运维数据量大,同时有保密要求
3、,不宜直接暴露到外部,通过自主评测的中间层更好。4、安全运维体系是整个安全体系的技术基础。在实现上必须以风险管理为导向,以技术为手段,构筑多层次大纵深的防御体系。同时,对于安全全局信息的把握,会进一步发现薄弱环节,提高安全水平风险管理是安全运维的指导方针。风险管理基于成本-效益原则,对客户资产进行分级,评估安全风险的可能性与严重性,从而可以有区别地进行安全防范和安全投入,提高整体安全水平1、风险管理是合规工作的外部标准,具有强制性、稳定性和原则性。自主评测是华能集团内部对于风险管理工作的细化、深化,形成有具有华能特色的安全检查标准体系2、风险管理是阶段性工作,而自主评测是长期性工作。风险管理为
4、自主评测提供理论基础和方法指引,自主评测为风险管理提供组织、流程、方法和验证材料安全运维合规与遵从风险管理问题机遇对策蓝图引入协作单位,建立自主测评体系包含知识库和BI的合规与遵从系统Staff服务信息安全咨询体系化服务专业人员教育服务q e-Business Transformation协作单位 在信息中心领导下,协作单位咨询顾问协助设计安全绩效评价体系 各有关单位和协作单位的实施、运维人员一起全面配合体系落地 根据国际国内标准和监查要求,建立常态化、标准化的信息安全PDCA过程管理 引入协作单位进行互补,解决人力资源的质量、数量和成本问题 由协作单位提供staff人才服务,双方共同培养、壮
5、大跨界型人才队伍 通过staff模式,深入分解和完善相关业务流程,做到细化、量化和标准化 在此基础上,开发支撑工具,规范流程实施,提高工作效率,强化信息安全性体制 在SOC与风险评估系统中间增加合规与遵从平台,对披露信息进行过滤和脱敏 在合规与遵从平台中提供BI,整合各有关系统信息,提供直观的多维度的展示 在该平台中集成知识库,积累各次内外部测试相关信息,并提供检索 在该平台中集成教育培训系统,基于知识库提供培训、实训和远程检测支撑工具自主测评工作的整体解决方案数据总线安全运行管理资产管理风险管理桌面安全管理统一用户管理配置信息工作流引擎事件管理器数据收集器评估信息风险信息安全事件访问控制器数
6、据过滤器教育培训智能报表安全审计知识库管理应急管理012345A公司B公司C公司D公司E公司F公司G公司密码频度 密码强度问题机遇对策蓝图自主测评工作范围自主测评工作在系统安全生命周期中的位置系统定级系统定级系统识别描述系统识别描述信息系统划分信息系统划分安全等级确定安全等级确定安全规划设计安全规划设计安全需求分析安全需求分析安全总体设计安全总体设计安全建设规划安全建设规划安全设计安全设计安全方案详细设计安全方案详细设计等级保护管理实施等级保护管理实施等级保护技术实施等级保护技术实施等级保护安全测评等级保护安全测评安全运维安全运维运行管理和控制运行管理和控制变更管理和控制变更管理和控制安全状态
7、监控安全状态监控安全应急预案安全应急预案安全事件处置安全事件处置自主检查和改善自主检查和改善安全培训安全培训外部安全测评外部安全测评系统终止系统终止信息转移、暂存或清除信息转移、暂存或清除设备迁移或报废设备迁移或报废存储介质处置存储介质处置主导工作主导工作相关工作相关工作合作路线图确定项目预算和实施计划,落实试点单位 出具详细调研报告,评估项目预算和实施计划评价试点实施结果并协作改善 派遣咨询人员,调研业务细节,制定服务框架和目录制定规范性文件和表格,并行模拟操作评价基础平台的使用效果并提出改善意见设计开发基础平台,建立数据库分阶段固化到基础平台可持续改善的安全管理PDCA系统运维和改善向基础平台导入历史数据,分批次扩大使用范围在基础平台上落实内部人员培训和评价体制安全报表(自动)安全报表(手工)安全规则未来的发展趋势 随着硬件、网络成本的下降及软件架构的成熟,数据大集中乃至云计算成为大势 物联网应用范围逐步扩大,越来越多的智能传感器可以通过标准协议进行监控 IT业内对于下一代架构的认识是 本地负责采集和展示数据 云端负责处理和存储数据 访问环节部署安全管控 统一界面实施运维立足现状,展望未来现状:各系统独立运维未来:统一运维,统一安全