資源描述:
《公司電子信息安全建設(shè)規(guī)劃V1版》由會員上傳分享�,免費在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1����、同洲電子信息安全建設(shè)規(guī)劃信息安全部鄧生品2009年9月25日目錄公司信息安全建設(shè)目標(biāo)及依據(jù)2當(dāng)前及下一步將開展的工作3領(lǐng)導(dǎo)意見與建議公司未來信息安全大廈概貌及大廈各組件建設(shè)規(guī)劃34578公司信息安全建設(shè)地圖與路標(biāo)分解6需要領(lǐng)導(dǎo)提供的支持公司信息安全現(xiàn)狀簡報1公司規(guī)模戰(zhàn)略調(diào)整��,商業(yè)模式轉(zhuǎn)變及IPD變革��,信息的交流形式眾多��,交流需求頻繁��,公司核心資產(chǎn)缺乏保護;為了規(guī)范信息管理��、保護公司核心競爭力��、支撐公司長遠發(fā)展和推動藍海戰(zhàn)略的實現(xiàn)�,又需要構(gòu)建公司信息安全管理體系,為公司的發(fā)展保護駕航����;公司大部分員工總體信息安全意識比較淡薄,各部門日常安全管理工作基本空白���,公司沒有
2��、形成系統(tǒng)化的安全管理持續(xù)優(yōu)化系統(tǒng)�。1�、公司信息安全現(xiàn)狀簡報12物理安全現(xiàn)狀公司信息安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀人員安全現(xiàn)狀1、公司信息安全現(xiàn)狀簡報網(wǎng)絡(luò)安全現(xiàn)狀公司內(nèi)部研發(fā)網(wǎng)絡(luò)和非研發(fā)網(wǎng)絡(luò)整體互通���,內(nèi)部辦公網(wǎng)與外部互聯(lián)網(wǎng)整體互通��,信息交流缺乏監(jiān)控�。公司內(nèi)部員工郵箱(@coship.com)收發(fā)權(quán)限基本全部放開�����,但同時沒有監(jiān)控。公司對外只有較為傳統(tǒng)過時的防火墻防病毒安全措施��,適應(yīng)當(dāng)前網(wǎng)絡(luò)威脅控制的入侵檢測與防御系統(tǒng)(網(wǎng)關(guān)安全防護系統(tǒng))處于空白��。1�、公司信息安全現(xiàn)狀簡報以下網(wǎng)絡(luò)現(xiàn)狀,基本使得公司內(nèi)部信息網(wǎng)絡(luò)對外開發(fā)�����,安全隱患比較嚴重�,安全水平與公司社會地位不符�����。物理安全現(xiàn)狀T
3��、FJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC,,MS打印機�、傳真機等敏感設(shè)備放置在非受控的安全區(qū)域,設(shè)備所在部門也未落實有效監(jiān)督�。公司研發(fā)等重要場地,存儲和攝像功能的設(shè)備使用很隨意���。非公司人員進出公司大樓來訪證監(jiān)管不力����,容易被鉆空子帶來隱患。使用公共區(qū)域的打印機����、傳真機、復(fù)印機��,經(jīng)常有敏感文件遺漏��,所在部門也無人管理�����。公司重要場地進出缺乏有效登記����,門禁在人員變動時的權(quán)限調(diào)整無統(tǒng)一定期審視清理,出現(xiàn)重大安全事故時追求困難�����。1��、公司信息安全現(xiàn)狀簡報各部門沒有兼職或?qū)B毜男畔踩珜T,導(dǎo)致各部門的各類日常辦公設(shè)備與行為安全管理“一片狼藉”����。人員
4、安全現(xiàn)狀沒有執(zhí)行檢查監(jiān)督和獎懲機制員工內(nèi)部轉(zhuǎn)崗或離職時�����,訪問控制變更沒有有效監(jiān)督未對不同崗位在職位描述書中加入安全方面的責(zé)任要求����,特別是敏感崗位招聘環(huán)節(jié)人員篩選和背景調(diào)查工作比較薄弱,敏感崗位人員入職未簽訂專門的保密協(xié)議����。目前在新員工培訓(xùn)中�,未很好落實信息安全內(nèi)容的培訓(xùn)(我到公司后為一批新員工培訓(xùn)過一次,后來均沒有看到安排)���。1��、公司信息安全現(xiàn)狀簡報希望在未來三年時間內(nèi)����,建成公司比較完善和健壯的信息安全防護體系,并通過國際企業(yè)信息安全管理水平標(biāo)準(zhǔn)認證(ISO27001認證)�����,推動公司藍海戰(zhàn)略的展開����、促進公司國際化運作扎實根基的生長?����!坝行ПWo公司各類商業(yè)及技術(shù)
5��、秘密�,促進公司信息資源最大化的安全使用,以持續(xù)有效支撐和推動公司業(yè)務(wù)長遠穩(wěn)步的發(fā)展”是公司信息安全防護體系建設(shè)的根本使命和存在的唯一理由��,也是公司信息安全防護體系建設(shè)的第一宗旨�����?!ㄔO(shè)目標(biāo)宗旨2.1建設(shè)目標(biāo)、宗旨2���、公司信息安全建設(shè)目標(biāo)及依據(jù)ISO27001:2005——國際信息安全管理體系規(guī)范2��、公司信息安全建設(shè)目標(biāo)及依據(jù)公司信息安全防護體系建設(shè)和實施的依據(jù)ISO17799:2005(BS17799-1)——國際信息安全管理實施細則2.2建設(shè)依據(jù)2�、公司信息安全建設(shè)目標(biāo)及依據(jù)2.3信息安全運作與改進基于的指導(dǎo)模型信息安全管理體系的建設(shè)和運作,遵循PDCA不斷循
6�、環(huán)建設(shè)與優(yōu)化的管理理論,建設(shè)成最大化支撐公司業(yè)務(wù)運作發(fā)展的信息安全體系��,實時改進與優(yōu)化以有效支撐公司戰(zhàn)略調(diào)整與管理變革�����,最終達到最大化推動公司業(yè)務(wù)的壯大�。3、公司未來信息安全大廈概貌及大廈各組件建設(shè)規(guī)劃3.1公司未來“信息安全大廈”概貌-1公司未來的信息安全防護體系大廈如下圖���,其將在PDCA過程中不斷循環(huán)優(yōu)化與完善�。3��、公司未來信息安全大廈概貌及大廈各組件建設(shè)規(guī)劃信息安全策略目標(biāo)文件體系�����,具體確定了公司整體以及各業(yè)務(wù)體系信息安全防護的目標(biāo)�,也是各業(yè)務(wù)在實際運作中如何安全開展的指導(dǎo)工具。信息安全技術(shù)工具體系���,是支撐上述信息安全文件體系目標(biāo)落地的一個技術(shù)手段�����,它是在
7���、管理手段下無法落實信息安全目標(biāo)的不可缺少的有力補充手段。信息安全管理組織體系�,是公司信息安全體系大廈的核心支柱。首先��,負責(zé)調(diào)研分析公司業(yè)務(wù)發(fā)展實際��,編撰和更新公司恰當(dāng)?shù)男畔踩呗阅繕?biāo)文件體系�;其次,負責(zé)規(guī)劃引入并運作管理公司信息安全技術(shù)工具體系����,支撐公司安全策略目標(biāo)的實現(xiàn);第三��,負責(zé)統(tǒng)一規(guī)劃并采取各類安全管理手段(組織風(fēng)險評估���、安全知識宣傳�����、員工安全意識培訓(xùn)����、安全檢查與安全隱患整改、組織安全獎勵與懲罰等等)�,維護和優(yōu)化公司信息安全管理體系。3.1公司未來“信息安全大廈”主要構(gòu)件及說明-23�、公司未來信息安全大廈概貌及大廈各組件建設(shè)規(guī)劃變革管理委員會(信息安全監(jiān)
8、管委員會)安全策略與標(biāo)準(zhǔn)
