中央音乐平台业务安全预警体系成果汇报.ppt

安全风险演示 评估发现 风险弱点 针对硬盘损坏需要与第三方厂 商进行硬盘更换时 敏感数据不进行规范销毁，易造成数据非主动泄漏。 非授权人员获取敏感数据 介质中数据被恢复，数据泄漏 日常保存有敏感数据的介质（磁盘或纸质） 需要销毁时，未规范操作。 * 目 录 项目价值 项目推广 项目背景及目标 项目过程及经验分享 提升符合性 全面安全保障 构建安全体系 持续改进 通过全面的调研分析，与集团要求及国际标准对应，全面提升无线音乐基地符合性要求，符合国家的法律法规，符合集团要求，符合ISO27001国际标准要求。 通过全面的评估，包括应用评估和加固和业务数据安全评估，通过调研中央音乐平台业务数据的敏感程度和敏感数据泄露途径，发现数据泄漏问题，提出相应的解决建议，使业务数据的安全风险在整个数据的生命周期中可发现、可控制。 项目价值 提升符合性 全面安全保障 构建安全体系 持续改进 业务的发展、市场环境的变化以及有关法律法规和监管规定的变化，要求管理体系具备不断自我完善的能力，以保证其对相关标准要求的动态符合性。不断提升和完善信息安全管理和技术能力，不断改进信息安全体系。提升企业的竞争力。 通过对中央音乐平台业务流程和业务数据以及应用的评估，建立一个基于技术和管理的比较全面的信息安全体系。 项目价值 * 目 录 项目推广 项目背景及目标 项目过程及经验分享 项目价值 根据业务安全预警体系一期项目所提出的业务安全预警体系规划方案，对无线音乐基地信息安全管理体系进行完善，对业务应用系统信息安全体系进行建设，并同时为信息安全管理体系有效运行搭建安全策略运行管理平台。并在项目开展期间为后期业务安全预警体系建设收集需求。 ThemeGallery is a Design Digital Content Contents mall developed by Guild Design Inc. 本项目推广 本项目成果经过在无线音乐基地一年左右的运行，效果良好，可在全集团进行推广，推广的对象是数据业务系统。 感谢聆听！ * 中央音乐平台 业务安全预警体系成果汇报 * 目 录 项目背景及目标 项目过程及经验分享 项目价值 项目推广 业务数据量逐年增多 发现并重视风险 企业发展 业务种类增多 集团对业务数据的重视 随着业务数据的增多，部分数据与业务息息相关，如果该数据被未授权人获取，或该数据被篡改或破坏，将直接影响业务的正常运营及企业形象。 中国移动集团下发了大量规范业务数据的安全管理规定，包括： 《中国移动业务支撑网数据安全管理办法》 《客户信息必威体育官网网址管理》 《五条禁令》 项目背景 数据与业务关联性增大 信息安全使命：保障业务和信息系统安全、稳定、持续运行，为无线音乐基地提供可持续发展的信息网络安全技术和管理支撑。 由于企业不断发展，运营业务逐年增加，业务数据量也逐年增多，如何保护业务数据资产的必威体育官网网址性、完整性和可用性尤为重要。 宏观分析—外部安全风险和业务发展的驱动 Page * 业务发展加快 业务需求多样化 业务对信息系统依赖程度高 信息化越来越深入 信息系统越来越复杂 数据越来越集中 数据存储都是电子数据 企业员工帐号密码越来越多 外部合作伙伴众多 IT人力资源越来越紧张 操作不规范 岗位重叠，职责不清 企业客户信息泄漏-信誉和客户流损失 企业核心数据完整性遭到破坏 外部合作伙伴管理混乱 商业机密丢失 重大安全事件发生后无法及时恢复业务 – 公司重大损失 业务现状 IT管理现状 信息安全隐患 符合国家有关法律法规规定： 工信部下发了《基础电信企业信息安全责任管理办法（试行）》 遵循中国移动集团公司所发布的标准规范： 2009年集团下发了《关于实施中国移动客户服务“五条禁令”的通知》 符合性 数据安全评估目的 数据安全评估 敏感数据分级分类 敏感数据泄漏途径分析 完善数据安全保护要求 完善数据安全保护流程 完善的数据安全审核计划 保留维护记录 安全技术/管理需求 安全规划 安全技术要求 安全管理要求 数据安全管理办法 中国移动网络与信息安全总纲 《中国移动网络与信息安全总纲》 《中国移动业务支撑网数据安全管理办法》 参考标准 * 目 录 项目过程及经验分享 项目价值 项目推广 项目背景及目标 项目过程 数据安全评估前期准备 调研中央音乐平台系统功能及所涉及数据的敏感程度 调研分析中央音乐平台业务数据操作途径 业务流程安全评估 编写数据安全评估报告 业务数据安全解决方案 项目过程概述 … 数据安全评估前期准备 《数据安全评估访谈计划人员列表》 过程概述 此阶段为数据安全评估前的准备阶段，主要是与局方沟通，收集相关资料： 1、收集相关管理制度，了解相