1、行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长同洲电子信息安全建设规划信息安全部 邓生品20092009年年9 9月月2525日日行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长目目 录录公司信息安全建设目标及依据2 2当前及下一步将开展的工作3 3领导意见与建议公司未来信息安全大厦概貌及大厦各组件建设规划3 34 45 57 78 8公司信息安全建设地图与路标分解6 6需要领导提供的支持公司信息安全现状简报1 1行为准则:尊重简单重用检查并行勇
2、气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长 公司规模战略调整,商业模式转变及IPD变革,信息的交流形式众多,交流需求频繁,公司核心资产缺乏保护;为了规范信息管理、保护公司核心竞争力、支撑公司长远发展和推动蓝海战略的实现,又需要构建公司信息安全管理体系,为公司的发展保护驾航; 公司大部分员工总体信息安全意识比较淡薄,各部门日常安全管理工作基本空白,公司没有形成系统化的安全管理持续优化系统。1 1、公司信息安全现状简报公司信息安全现状简报12行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化
3、| 学习成长物理安物理安全现状全现状公司信息公司信息安全现状安全现状网络安网络安全现状全现状人员安人员安全现状全现状1 1、公司信息安全现状简报公司信息安全现状简报行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长网络安全现状网络安全现状公司内部研发网络和非研发网络整体互通,内部办公网与外部互联网整体互通,信息交流缺乏监控。公司内部员工邮箱()收发权限基本全部放开,但同时没有监控。公司对外只有较为传统过时的防火墙防病毒安全措施,适应当前网络威胁控制的入侵检测与防御系统(网关安全防护系统)处于空白。1 1、公司信息安全现状简
4、报公司信息安全现状简报以下网络现状,基本使得公司内部信息网络对外开发,安全隐患比较严重,安全水平与公司社会地位不符。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长物理安全现状物理安全现状n TFJLLO;PO.J.IPOFIHJKGHLKGn NFGNJHGC, ,MS打印机、传真机等敏感设备放置在非受控的安全区域,设备所在部门也未落实有效监督。公司研发等重要场地,存储和摄像功能的设备使用很随意。非公司人员进出公司大楼来访证监管不力,容易被钻空子带来隐患。使用公共区域的打印机、传真机、复印机,经常有敏感文件遗漏,所在部
5、门也无人管理。公司重要场地进出缺乏有效登记,门禁在人员变动时的权限调整无统一定期审视清理,出现重大安全事故时追求困难。1 1、公司信息安全现状简报公司信息安全现状简报各部门没有兼职或专职的信息安全专员,导致各部门的各类日常办公设备与行为安全管理“一片狼藉”。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长人员安全现状人员安全现状没有执行检查监督和奖惩机制员工内部转岗或离职时,访问控制变更没有有效监督未对不同岗位在职位描述书中加入安全方面的责任要求,特别是敏感岗位招聘环节人员筛选和背景调查工作比较薄弱,敏感岗位人员入职未签
6、订专门的保密协议。目前在新员工培训中,未很好落实信息安全内容的培训(我到公司后为一批新员工培训过一次,后来均没有看到安排)。1 1、公司信息安全现状简报公司信息安全现状简报行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长希望在未来三年时间内,建成公司比较完善和健壮的信息安全防护体系,并通过国际企业信息安全管理水平标准认证(ISO27001认证),推动公司蓝海战略的展开、促进公司国际化运作扎实根基的生长。“有效保护公司各类商业及技术秘密,促进公司信息资源最大化的安全使用,以持续有效支撑和推动公司业务长远稳步的发展”是公司信
7、息安全防护体系建设的根本使命和存在的唯一理由,也是公司信息安全防护体系建设的第一宗旨。建设目标建设目标宗旨宗旨2.1 建设目标、宗旨建设目标、宗旨2 2、公司信息安全建设目标及依据公司信息安全建设目标及依据行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长ISO27001:2005国际信息安全管理体系规范2 2、公司信息安全建设目标及依据公司信息安全建设目标及依据公司信息安全防护体系建设和实施的依据ISO17799:2005(BS17799-1)国际信息安全管理实施细则2.2 建设依据建设依据行为准则:尊重简单重用检查并行
8、勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长2 2、公司信息安全建设目标及依据公司信息安全建设目标及依据2.3 信息安全运作与改进基于的指导模型信息安全运作与改进基于的指导模型 信息安全管理体系的建设和运作,遵循PDCA不断循环建设与优化的管理理论,建设成最大化支撑公司业务运作发展的信息安全体系,实时改进与优化以有效支撑公司战略调整与管理变革,最终达到最大化推动公司业务的壮大。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、公司、公司未来信息安全大厦概貌及大厦各组件
9、建设规划未来信息安全大厦概貌及大厦各组件建设规划3.1 公司未来公司未来“信息安全大厦信息安全大厦”概貌概貌-1公司未来的信息安全防护体系大厦如下图,其将在PDCA过程中不断循环优化与完善。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来信息安全大厦概貌及大厦各组件建设规划1. 信息安全策略目标文件体系信息安全策略目标文件体系,具体确定了公司整体以及各业务体系信息安全防护的目标,也是各业务在实际运作中如何安全开展的指导工具。2. 信息安全技术工具体系信息安全技
10、术工具体系,是支撑上述信息安全文件体系目标落地的一个技术手段,它是在管理手段下无法落实信息安全目标的不可缺少的有力补充手段。3. 信息安全管理组织体系信息安全管理组织体系,是公司信息安全体系大厦的核心支柱。首先,负责调研分析公司业务发展实际,编撰和更新公司恰当的信息安全策略目标文件体系;其次,负责规划引入并运作管理公司信息安全技术工具体系,支撑公司安全策略目标的实现;第三,负责统一规划并采取各类安全管理手段(组织风险评估、安全知识宣传、员工安全意识培训、安全检查与安全隐患整改、组织安全奖励与惩罚等等),维护和优化公司信息安全管理体系。3.1 公司未来公司未来“信息安全大厦信息安全大厦”主要构件
11、及说明主要构件及说明-2行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来信息安全大厦概貌及大厦各组件建设规划变革管理委员会变革管理委员会(信息安全监管委员会)(信息安全监管委员会)安安全全策策略略与与标标准准组组信息安全部信息安全部分管高管分管高管安安全全技技术术架架构构组组安安全全审审计计组组系系统统账账号号监监管管组组各各业业务务体体系系安安全全专专员员IT部:部:负责负责落实落实网络网络安全安全策略策略行政:行政:负责负责落实落实物理物理安全安全策略策略
12、3.2 信息安全管理组织体系信息安全管理组织体系架构图架构图-1行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来信息安全大厦概貌及大厦各组件建设规划3.2 同洲信息安全管理组织体系同洲信息安全管理组织体系职责职责-2详细内容参阅公司签发文件详细内容参阅公司签发文件1.公司变革管理委员会与日常安全工作分管高管:负责公司安全重大策略的决策并提供支持。2.公司信息安全部:负责公司信息安全防护体系的建设与维护。3.公司IT部:负责公司网络安全领域的信息安全策略的落地。
13、4.公司行政中心:负责公司物理安全领域的信息安全策略的落地。5.各部门信息安全员:负责各部门日常办公的安全监督。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来信息安全大厦概貌及大厦各组件建设规划3.3 信息安全文件体系建设规划信息安全文件体系建设规划文件层级架构文件层级架构-1行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来
14、信息安全大厦概貌及大厦各组件建设规划3.3 信息安全文件体系建设规划信息安全文件体系建设规划各层级各层级文件列举文件列举-2行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长同洲信息安同洲信息安全技术支撑全技术支撑工具的引入工具的引入指导思想指导思想基于公司整体风险基于公司整体风险评估的基础上,采评估的基础上,采用分层分级思想,用分层分级思想,从公司重大安全隐从公司重大安全隐患的防止、从公司患的防止、从公司各核心资产的保护各核心资产的保护入手,有计划的引入手,有计划的引入投资收益比最大入投资收益比最大化的各类安全工具化的各
15、类安全工具3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来信息安全大厦概貌及大厦各组件建设规划3.4 信息安全支撑工具建设规划信息安全支撑工具建设规划指导思想指导思想-1安全工具的引入,要求安全工具的引入,要求各工具体系相互配合支各工具体系相互配合支撑,从整体上形成公司撑,从整体上形成公司有机的安全技术架构体有机的安全技术架构体系,达到最小化各工具系,达到最小化各工具之间的重复度,最大化之间的重复度,最大化各工具间的信息联动与各工具间的信息联动与信息共享信息共享行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成
16、长3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来信息安全大厦概貌及大厦各组件建设规划3.4 信息安全支撑工具建设规划信息安全支撑工具建设规划将引入填补技术防护空白的安全系统将引入填补技术防护空白的安全系统-2 t同洲公司的信息安全同洲公司的信息安全技术架构体系,将包技术架构体系,将包括但不限于以下信息括但不限于以下信息安全策略支撑工具安全策略支撑工具1.网关安全防御系统(入侵检测、入侵防御系统)。2.终端计算机上网行为监管系统。3.核心文档、代码等电子信息加密工具。4.计算机端口、打印机监控工具。5.终端计算机监控检查与安全接入控制工具。6.移动计算机设备、移动存储介质安全认证
17、工具。7.防火墙、防病毒、容灾备份等系统和工具。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长3 3、公司、公司未来信息安全大厦概貌及大厦各组件建设规划未来信息安全大厦概貌及大厦各组件建设规划3.5 信息安全管理与技术手段的有机融合运作规划信息安全管理与技术手段的有机融合运作规划管理手段管理手段技术手段技术手段行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长4 4、公司、公司公司信息安全建设地图与路标分解公司信息安全建设地图与路标分解信息安全评估
18、和差距分析建立信息安全组织和政策体系 初步推行和落实信息安全管理体系启动信息安全基础设置建设实现监控的制度化,流程化和经常化建立安全配置管理,实现安全风险的量化管理机制 建立安全管理持续优化机制全面审视,优化和深化信息安全管理体系建立整体的信息安全防护体系建立集中监控平台建立数据中心和应急机制基础保证基础保证策略固化策略固化集中建设集中建设2010.92009.92011.92012.94.1同洲信息安全防护体系建设总体计划同洲信息安全防护体系建设总体计划 计划用3年的时间,建设成公司高水平的信息安全防护体系,使得同洲的信息安全管理水平成为同等规模公司的标杆。总体建设计划如下列作战地图所示:行
19、为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长4.2 4.2 路标分解路标分解基础保证期基础保证期-1-14 4、公司、公司公司信息安全建设地图与路标分解公司信息安全建设地图与路标分解1345成立公司一级部门信息安全部,组建公司信息安全管理体系;公司信息安全部由原BR&IT信息安全部扩招建立。2由公司信息安全部负责牵头,编撰并签发公司信息安全建设基础性文件同洲公司信息安全管理手册;编撰并签发同洲信息安全奖惩管理规定、同洲公司办公环境安全管理规定、同洲公司信息资产密集划分标准与安全管理规定等基础安全运作文件。全面有效实施公
20、司电子文档加密系统项目;引入并全面实施公司终端计算机上网行为监控系统项目;引入并全面实施公司计算机端口、打印等监控系统项目;引入并全面实施网关安全防护系统(入侵检测、入侵防御系统。扩招信息安全专业人员以支撑公司信息安全部的运作。以公司各一级部门为单位,组建公司各一级部门信息安全专员,开始初步运作部门日常办公安全的规范化工作。2009.92010.9,同洲信息安全防护体系同洲信息安全防护体系“基础保证建设期基础保证建设期”,核心重点工,核心重点工作作行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长4.2 4.2 路标分解路
21、标分解集中建设期集中建设期-2-24 4、公司、公司公司信息安全建设地图与路标分解公司信息安全建设地图与路标分解2010.92011.9,同洲信息安全防护体系同洲信息安全防护体系“集中建设期集中建设期”,核心重点工作,核心重点工作 2 3 4 5 6 7 1由信息安全部牵头,组织专业人员以及各关联领域业务部门人员,编撰或修订公司信息安全文件体系二、三、四级文件,建设成公司相对完善的信息安全文件体系。引入并实施终端安全检查及准入系统、引入并实施办公计算机桌面标准策略监控系统。对公司研发、非研发网络进行深度隔离。第一次启动组织各一级部门的例行年度风险评估工作。深入组织各一级部门信息安全专员的月度、
22、季度部门信息安全工作检查工作加大公司信息安全部对各业务部门信息安全运作差距分析与安全审计工作。组织公司ISO27001认证工作。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长4.2 4.2 路标分解路标分解策略固化期策略固化期-3-34 4、公司、公司公司信息安全建设地图与路标分解公司信息安全建设地图与路标分解2011.92012.9,同洲信息安全防护体系同洲信息安全防护体系“策略加固策略加固”建设期,开始全面根建设期,开始全面根据据ISO27001标准的要求来运作公司信息安全管理体系,核心重点工作标准的要求来运作公司
23、信息安全管理体系,核心重点工作1根据公司业务实际,全面审视公司信息安全文件体系并修订完善。2更加细化和深入开展“全面建设期”时期开展的6大领域工作。 4对公司各一级部门信息安全专员开展系统化的安全专业培训,全面提升公司信息安全从业人员的素质水平。 3加大对外交流信息的监管、内部间交流信息的工作相关性审查。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长5 5、当前及下一步将开展的工做当前及下一步将开展的工做5.1 5.1 当前已经开展的工作当前已经开展的工作1制定了公司未来三年信息安全建设规划详细文件、制定并通过审核签发
24、了公司信息安全组织结构、部门职责及干部任命文件。2完善同洲信息安全管理手册,作为公司信息安全管理体系的基础纲领性文件;完善了同洲电子信息安全奖惩管理规定,是公司信息安全高压线划分标准,从具体操作上引导员工了解与培养正确的安全行为。3对已引入的文挡加密系统进行二次开发,将逐步推广到公司各业务核心资产与代码的安全保护领域。4立项并引入终端上网行为监控系统进入招标流程。5规划新一级部门信息安全部人员编制6人(新增4人),已经面试确定,11月份将全部陆续到岗。行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长5 5、当前及下一步将
25、开展的工做当前及下一步将开展的工做5.2 5.2 下一步计划开展的工作下一步计划开展的工作1推动终端上网行为监控系统的运行,签发配套的管理制度同洲公司办公环境安全管理规则,通过“前期宣传、中期试运行、后期逐步落地”三步,实现最后稳定运作终端上网行为监控机制。2将文档加密系统应用于公司全范围核心资产的保护;同时,进一步配合便携机安全检查机制,落实便携机非经许可携带公司文档外出也不可用的机制(从拒绝外来便携机威胁公司资产安全,优化完善到防止公司便携机威胁公司内部信息资产安全)。3测试并引入打印、USB等监控系统,填补安全漏洞,控制公司机密文档、代码通过移动计算设备或者纸件的形式流失的隐患;测试并引
26、入网关安全系统,填补公司网络内外安全攻击威胁的防护空白(详细项目规划方案,另行进行专题汇报)。4正式签发同洲信息安全管理手册、同洲电子信息安全奖惩管理规定等文件,同时,根据安全工作的开展需要,编制并签发各配套安全流程文件。 行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长需要领导提供的支持需要领导提供的支持1如左图所示,公司“信息安全保护伞”目前架构已成型;但是,还需要伸向四面八方的伞的节状支架各一级部门信息安全专员。没有他们的存在,公司信息安全控制策略在各部门的落地将大打折扣,同时,公司各部门领导在重大安全事故发生时承
27、担管理连带责任的风险也随之增高。与沈君主任的沟通,她们可以配合进行安全制度宣导与部分安全措施落地的协助,但基于秘书职责导向及秘书个人考虑,秘书很难做到较为强势的安全管理推行。为了各部门安全防护能够有效顺利开展,提请公司及各一级部门领导决策;是否可以每个一级部门提供一个兼职的信息安全专员,负责公司的安全策略制度在本部的日常执行监管工作? 变革管理委员会变革管理委员会(信息安全监管委员会)(信息安全监管委员会)安安全全策策略略与与标标准准组组信息安全部信息安全部分管高管分管高管安安全全技技术术架架构构组组安安全全审审计计组组系系统统账账号号监监管管组组各各业业务务体体系系安安全全专专员员IT部:部
28、:负责负责落实落实网络网络安全安全策略策略行政:行政:负责负责落实落实物理物理安全安全策略策略6 6、需要领导提供的支持需要领导提供的支持行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长需要领导提供的支持需要领导提供的支持2在基础保证建设期引入打印监控及计算机端口监控系统、网关病毒防御系统,需要领导审批预算。6 6、需要领导提供的支持需要领导提供的支持企业核企业核心机密心机密行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长7 7、领导意见与建议、领导意见与建议领导意见与建议领导意见与建议行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长Thank You行为准则:尊重简单重用检查并行勇气反馈改善认真责任价值观:客户第一 | 阳光沟通 | 团队协作 | 拥抱变化 | 学习成长企业价值观企业价值观客户第一、阳光沟通、团队协作客户第一、阳光沟通、团队协作拥抱变化、学习成长拥抱变化、学习成长变革执行团队行为准则变革执行团队行为准则尊重、简单、重用、检查、并行尊重、简单、重用、检查、并行勇气、反馈、改善、认真、责任勇气、反馈、改善、认真、责任