1、行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长XX信息安全建设规划邓生品20112011年年5 5月月9 9日日行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长目录目录解决方案2 2下一步将开展的工作3 3公司意见与建议5 57 76 6需要领导提供的支持现状分析1 1实施计划3 3质量保证与风险控制4 4行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长信息安全技术信息安全
2、技术支撑系统空白支撑系统空白公司信息公司信息安全现状安全现状IT基础设施脆弱,基础设施脆弱,应用平台原始应用平台原始流程制度空白、专业流程制度空白、专业管理与运维团队薄弱管理与运维团队薄弱1 1、公司现状简报公司现状简报网络与数据中心现状信息安全技术体系现状安全规划与管理现状行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长IT应用与基础设施脆弱应用与基础设施脆弱公司网络缺乏安全等级分区,缺乏DMZ区规划;公司业务应用平台原始,导致信息安全抵御能力很脆弱公司办公网络设计没有考虑双链路冗余,一旦唯一路经出问题将导致全网瘫痪,
3、影响业务交流缺乏规范数据中心,没有存储备份,没有业灾难恢复与业务连续性规划1 1、公司现状简报公司现状简报办公网络架构原始、网络缺乏IPSIDS能力、容灾与备份功能缺失、网络上的流量缺乏监管。缺乏基础办公应用系统(比如OA、ERP等系统),导致公司业务效率低下,信息孤岛问题严重,也深层面影响公司知识积累与信息安全管控OA、ERP等基础办公应用系统缺位,严重影响信息共享,同时信息交流效率低下,影响业务效率,也严重影响公司知识积累行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长制度、流程、管理组织几乎空白制度、流程、管理组织
4、几乎空白没有信息安全管理纲领性文件,同时缺乏各业务领域流程文件缺乏公司信息安全奖惩管理办法没有任何形式的员工信息安全培训,公司人员整体安全意识较低没有信息安全审计、日常安全检查制度与流程,也缺乏专业人手支撑1 1、公司现状简报公司现状简报行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长安全产品及支撑人力缺位安全产品及支撑人力缺位n TFJLLO;PO.J.IPOFIHJKGHLKGn NFGNJHGC, ,MS打印控制系统缺失,重要信息很容易文件通过打印方式流失缺乏电子文档密管理系统,公司重要研发等成果等保护缺失USB、
5、网口、红外等端口缺乏控制,大批量信息非常方便外泄公司对外邮件监控系统缺位,通过邮件交流形式很容易流失商业秘密、技术秘密公司目前的规模与未来发展,要求在1)IT技术支持、2)信息系统维护与开发、3)信息安全流程制度建设、4)日常安全审计与安全事件调查、5)总体信息安全持续改进优化规划等领域,至少各需一人。特别是公司信息安全体系建设项目启动后,专业人手需求压力将更明显1 1、公司现状简报公司现状简报公司电子信息资产、IT设备与资产管理几乎空白且缺乏安全技术产品支撑,公司缺乏安全流程与制度建设人手、缺乏安全技术产品二次开发与维护人手、缺乏日常安全稽核及事件调查与整改等人手行为准则:尊重简单重用检查并
6、行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长脆弱的网络架构、缺失的脆弱的网络架构、缺失的OA与与ERP等基础应用,既影响业等基础应用,既影响业务效率、有又重重安全隐患务效率、有又重重安全隐患公司目前信息基础设施与管控状态,已制约并威胁公司发展公司目前信息基础设施与管控状态,已制约并威胁公司发展信息安全监控设施空白,商业与信息安全监控设施空白,商业与技术秘密外泄处于不可控状态技术秘密外泄处于不可控状态缺乏制度与流程,拖累公司发展缺乏制度与流程,拖累公司发展速度,同时增加无意识泄密风险速度,同时增加无意识泄密风险行为准则:尊重简单重用检查并行勇气反
7、馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长公司目前信息基础设施与管控状态,已制约并威胁公司发展公司目前信息基础设施与管控状态,已制约并威胁公司发展风险初尝风险初尝持续优化持续优化良性循环良性循环无力回天无力回天损失惨重损失惨重教训深刻教训深刻安全安全建设建设状态状态$是走向阳光还是鲨鱼,决定于我们是否投入与重视是走向阳光还是鲨鱼,决定于我们是否投入与重视行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长计划在未来两年时间内,系统化建成公司比较完善和健壮的信息安全防护体系,并通过相
8、关国际认证(ISO27001认证、ISO20000认证),推动公司成为同业领域标杆企业、促进公司国际化运作扎实根基的生长。“有效保护公司各类商业及技术秘密,促进公司信息资源最大化的安全使用,以持续有效支撑和推动公司业务长远稳步的发展”是公司信息安全建设的根本使命和存在的唯一理由,也是公司信息安全体系建设的第一宗旨。目标目标宗旨宗旨2.1 目标、宗旨目标、宗旨2 2、解决方案解决方案行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长ISO27001国际信息安全管理体系规范2 2、解决方案解决方案公司信息安全防护体系建设和实施
9、的依据ISO20000国际信息化建设标准规范2.2 建设依据建设依据行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案2.3 运维与优化指导模型运维与优化指导模型 信息安全管理体系的建设和运作,遵循PDCA不断循环建设与优化的管理理论,建设成最大化支撑公司业务运作发展的信息安全体系,实时改进与优化以有效支撑公司战略调整与管理变革,最终达到最大化推动公司业务的壮大。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案
10、解决方案1. 信息安全策略目标文件体系信息安全策略目标文件体系,具体确定了公司整体以及各业务体系信息安全防护的目标,也是各业务在实际运作中如何安全开展的指导工具。2. 信息安全技术工具体系信息安全技术工具体系,是支撑上述信息安全文件体系目标落地的一个技术手段,它是在管理手段下无法落实信息安全目标的不可缺少的有力补充手段。3. 信息安全管理组织体系信息安全管理组织体系,是公司信息安全体系大厦的核心支柱。首先,负责调研分析公司业务发展实际,编撰和更新公司恰当的信息安全策略目标文件体系;其次,负责规划引入并运作管理公司信息安全技术工具体系,支撑公司安全策略目标的实现;第三,负责统一规划并采取各类安全
11、管理手段(组织风险评估、安全知识宣传、员工安全意识培训、安全检查与安全隐患整改、组织安全奖励与惩罚等等),维护和优化公司信息安全管理体系。2.4 公司未来公司未来“信息安全大厦信息安全大厦”主要构件及说明主要构件及说明行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案数据中心建设数据中心建设2.5 从加固作为公司数据心脏的数据中心建设入手,改变公司网络脆弱局面从加固作为公司数据心脏的数据中心建设入手,改变公司网络脆弱局面行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通
12、 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案数据中心建设数据中心建设2.6 公司数据中心机房功能与布局规划公司数据中心机房功能与布局规划行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案基础应用平台基础应用平台ERPERP建设建设2.7 建立公司商业智能体系与信息安全集中管控的基础建立公司商业智能体系与信息安全集中管控的基础行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案基础应用平
13、台基础应用平台ERPERP建设建设2.8 公司公司ERP系统功能规划系统功能规划行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案建立协同办公平台建立协同办公平台OAOA系统系统2.9 OA办公平台提高了工作效率、支持信息共享,同时安全可控办公平台提高了工作效率、支持信息共享,同时安全可控行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案流程制度建设流程制度建设2.10 建立公司规范的信息安全制度与流程体
14、系建立公司规范的信息安全制度与流程体系行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案流程制度建设流程制度建设2.11 流程制度体系文件示例流程制度体系文件示例行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长信息安全技信息安全技术支撑工具术支撑工具的引入指导的引入指导思想思想基于公司整体风险基于公司整体风险评估的基础上,采评估的基础上,采用分层分级思想,用分层分级思想,从公司重大安全隐从公司重大安全隐患的防止、从公司患的防止
15、、从公司各核心资产的保护各核心资产的保护入手,有计划的引入手,有计划的引入投资收益比最大入投资收益比最大化的各类安全工具化的各类安全工具2 2、解决方案解决方案安全控制基础设施建设安全控制基础设施建设2.12 信息安全技术架构体系建设指导思想信息安全技术架构体系建设指导思想安全工具的引入,要求安全工具的引入,要求各工具体系相互配合支各工具体系相互配合支撑,从整体上形成公司撑,从整体上形成公司有机的安全技术架构体有机的安全技术架构体系,达到最小化各工具系,达到最小化各工具之间的重复度,最大化之间的重复度,最大化各工具间的信息联动与各工具间的信息联动与信息共享信息共享行为准则:尊重简单重用检查并行
16、勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案安全控制基础设施建设安全控制基础设施建设2.13 公司信息安全技术防护体系有机组件公司信息安全技术防护体系有机组件 t公司的信息安全技术公司的信息安全技术架构体系,将包括但架构体系,将包括但不限于以下信息安全不限于以下信息安全策略支撑工具策略支撑工具1.网关安全防御系统(入侵检测、入侵防御系统)。2.终端计算机上网行为监管系统。3.核心文档、代码等电子信息加密工具。4.计算机端口、打印机监控工具。5.终端计算机监控检查与安全接入控制工具。6.移动计算机设备、移动存储介质安全认证工
17、具。7.防火墙、防病毒、容灾备份等系统和工具。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案安全管理手段、技术手段有机融合安全管理手段、技术手段有机融合2.14 有效融合并运作信息安全管理与技术手段有效融合并运作信息安全管理与技术手段管理手段管理手段技术手段技术手段行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、解决方案解决方案专业支撑团队建设专业支撑团队建设技技术术服服务务与与支支持持信息中心(信息中心(BP&I
18、T)应应用用开开发发与与系系统统维维护护制制度度与与流流程程建建设设安安全全审审计计与与检检查查2.15 建立培育公司专业高效的信息运维管控团队建立培育公司专业高效的信息运维管控团队行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、实施计划、实施计划建立公司数据中心、信息建立公司数据中心、信息安全控制基础设施、组建安全控制基础设施、组建信息安全支撑团队信息安全支撑团队系统启动信息安全基础设施建设项目建立信息安全组织和政策体系框架 推行和落实信息安全管理基础体系实现信息监控的制度化,实现信息监控的制度化,流程化和经常
19、化流程化和经常化建立安全配置管理体系,实现安全风险的量化管理机制 建立安全管理持续优化机制全面审视,优化和深化全面审视,优化和深化信息安全管理体系信息安全管理体系全面推进体系化的信息安全防护体系建立集中监控平台建立高效应急机制基础保证基础保证策略固化策略固化集中建设集中建设2012.12011.52012.92013.5 计划用2年的时间,建设成公司高水平的信息安全防护体系,使得公司的信息安全管理水平成为同等规模公司的标杆。总体建设计划如下列作战地图所示:行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3.1 3.1 基
20、础保证期基础保证期3 3、实施计划、实施计划1345支撑组织建设:支撑组织建设:1.增进3个专业人员,建立公司信息安全运维专业团队2.定义各职位基础职责,建立公司信息安全良性循环的人力保证基础。2数据中心建设数据中心建设:1.建设安全可控、具备容灾与存储备份能力的公司机房2.基础应用平台建设OA、ERP(NOTES Domino、SAP、外部邮件系统等)信息安全基础设信息安全基础设施建设施建设:1.信息资产安控基础设施建设文档加密、打印及端口控制、终端机器行为监控、防病毒、邮件过滤与监控等系统引入;2.IT资产安全管理建设公司内部IT资产流转、外部IT设备流入控制等配套制度与流配套制度与流程建
21、设程建设:编制输出各类基础性安全制度与流程文件,比如公司信息安全策略大纲、公司信息安全奖惩管理规定人员安全意识提人员安全意识提升升:通过入职培训、日常安全检查、安全案例与事件宣传等方式,逐步培育并提升公司全员的信息安全意识20XX.X20XX.X, 基础保证建设期,核心重点工作基础保证建设期,核心重点工作行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3.2 3.2 核心业务优化与巩固建设期核心业务优化与巩固建设期3 3、实施计划、实施计划20XX.X20XX.X, 核心业务优化巩固建设期,核心重点工作核心业务优化巩固建
22、设期,核心重点工作 2 3 4 5 6 7 1由信息安全部牵头,组织专业人员以及各关联领域业务部门人员,编撰或修订公司信息安全文件体系二、三、四级文件,建设成公司相对完善的信息安全文件体系。根据业务与风险发展,优化并升级公司各类技术支撑系统对公司研发、非研发网络进行深度隔离。第一次启动组织各一级部门的例行年度风险评估工作。深入组织各一级部门信息安全专员的月度、季度部门信息安全工作检查工作加大公司信息安全部对各业务部门信息安全运作差距分析与安全审计工作。组织公司ISO27001认证工作。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化
23、| 学习成长3.3 3.3 全业务优化与固化期全业务优化与固化期3 3、实施计划、实施计划20XX.X20XX.X, 策略加固期,核心重点工作策略加固期,核心重点工作1根据公司业务实际,全面审视公司信息安全文件体系并修订完善。2基于PDCA理论,全面优化公司网络架构、安全基础设施,将全公司以及重点项目的风险评估工作制度化 4深入开展信息安全检查、人员安全意识培训,将安全要求纳入部门与员工KPI管理体系 3加大对外交流信息的监管、内部间交流信息的工作相关性审查。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长4 4、质量保
24、证与风险控制质量保证与风险控制4.1 基于最佳实践证明有效的项目群实施模式,指导项目群有效有序进行基于最佳实践证明有效的项目群实施模式,指导项目群有效有序进行行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长4 4、质量保证与风险控制质量保证与风险控制4.2 基于基于PMP项目管理方法,控制各子项目的项目管理方法,控制各子项目的“范围、时间、成本范围、时间、成本”行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长建成后的公司信息安全体系图景建成后的公司
25、信息安全体系图景公司未来的信息安全防护体系大厦如下图,其将在PDCA过程中不断循环优化与完善。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长建立后的建立后的公司公司信息安全状况图景信息安全状况图景业务业务交流交流信息安全可控、物理环境安全有序、安全制度流程完善信息安全可控、物理环境安全有序、安全制度流程完善网络安全网络安全1.电子信息资划分标识密级,并落实配套密级控制2.内部信息交流、对外信息交流可控并可审计3.研发与非研发网络隔离4.办公终端实现标准化管理 物理安全物理安全人员安全人员安全 1.落实不同安全等级的物理
26、区域划分和配套措施2.各类物理存储介质出入有效监管3.重要场地人员及设备出入登记与控制规范有序 1.安全考核纳入部门绩效、个人绩效考核2.入职离职权限清理、审查到位3.员工信息安全意识浓厚4.来访接待、对外合作与交流管理有序 行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长建立后的公司数据中心与网络基础设施图景建立后的公司数据中心与网络基础设施图景内内部部网网研研发发网网非非研研发发网网InternetInternet安全安全VPNVPN分支机构防火墙分支机构防火墙数据中心数据中心交换机ERP文件共享E-mail分支机构
27、分支机构控制台控制台IDS流量镜像监控引擎监控引擎入侵检测入侵检测WEB监控监控邮件监控邮件监控MSN监控监控文件传输监控文件传输监控会话监控会话监控服务器监控服务器监控安全安全VPNVPN外外部部网网DMZDMZ区区远远端端用用户户OA及其他系统行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长5 5、下一步将开展的工做下一步将开展的工做1增加防火墙与网关防病毒系统,标准化并加固公司网络,提升其安全水平2引入OA、ERP等办公基础应用系统,解决公司业务发展在信息共享效率上的瓶颈,同时满足公司对重要信息集中安全管理的要求3
28、引入文档加密、打印监控、端口控制、终端上网行为监控等系统,填补公司安全控制上的空白,同时编撰输出各类配套的安全管理制度与流程文件4增加3个专业人员,以满足公司业务扩张对信息部门的支撑需求,同时有效支撑公司引入的各类IT应用系统与安全监管系统的运维工作行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长6 6、需要领导提供的支持需要领导提供的支持6 6.1 .1 达到一定的建设规模,依据政策将可获取政府的资金扶持达到一定的建设规模,依据政策将可获取政府的资金扶持深圳市企业信息化重点项目资助资金计划 根据政策,如果公司以项目群的
29、形式,一次性较大投资把公司信息化与信息安全基础建设做起来,一方面效果较明显,另一方面也可以申请政府的资金资助(可申请的资助额占比为30-70%不等)。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长需要领导提供的支持需要领导提供的支持1 在基础保证建设期,需要引入1)OA系统;2)ERP系统;3)文档加密系统;4)打印监控系统;5)端口监控等系统;6)终端上网行为监控系统;7)邮件监控系统;8)网关防病毒系统;9)防火墙;10)购置一套IT支撑工具和摄像机(用于安全调查取证以及公司其他部门办公支持);11)数据中心建设;
30、13)配套的交换机、路由器、UPS、系统服务器、存储备份系统等 以上系列基础软硬件系统,根据目前中等偏上质量规格,若以100个信息点容量计算,总预算约人民币XXX万,请领导审批。6 6、需要领导提供的支持需要领导提供的支持企业核企业核心机密心机密行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长需要领导提供的支持需要领导提供的支持26 6、需要领导提供的支持需要领导提供的支持技技术术服服务务与与支支持持信息安全信息安全应应用用开开发发与与系系统统维维护护制制度度与与业业务务流流程程建建设设安安全全审审计计与与安安全全检检查
31、查 一方面,基于公司当前信息化与信息安全控制紧迫需求,目前至少需要如左图所示的四个独立领域专业人员;另一方面,以公司一年的扩张战略估计,目前的两个专业人员,几乎不可能满足公司不久后对信息部门的支撑需求,若加上公司信息安全基础建设期的大量工作压力,当前专业人力空缺较大。 因此,需根据基础建设期进度状况逐步增加3个专业人员,请领导审批。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长7 7、公司意见与建议、公司意见与建议公司意见与建议公司意见与建议行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Thank You
