企业信息安全体系建设方案V1.0.ppt

典型的信息安全事件 HW事件 HW到中东某国投标，５、６人住当地一家酒店。辛苦了很长时间，开标时却发现竞争对手的标书中多了很多HW特有的东西，报价也较自己低 经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭时，有人到其中一个房间取走了笔记本电脑中的硬盘…… LM事件 LM一直与中国军方关系密切，承接过国家级信息安全项目 骨干中一人离职出国，带出很多涉密文件，结果LM被封杀 艳照门 很傻很天真 这三项，是业界标杆用重金构建起来、用成功实践 证明了的安全大厦的“脊梁” 信息安全体系 What What What 建立信息安全文件体系框架 建立公司信 息安全组织 建立管理与 技术支撑体系 如何搭建企业信息安全防御大厦？ 公司信息安全文件体系如何建设与运维？ 确定公司信息 安全类文件体系架构 确定各层文件内容框 架及编撰的责任部门 1 2 确立公司信息安全纲领性文件 3 建立公司安全策略被执行的确 保机制和各类流程模板 安全文件体系架构 安全纲领性文件 安全基准奖惩制度 构建反应灵敏、运作高效的安全管理组织 公司信息安全监管委员会 全球信息安全管理办公室 网络安全部 物业行政管理部 各 大 部 门 信 管 办 各 子 公 司 信 管 办 各 部 门 信 息 安 全 专 员 团 队 国 内 各 地 物 业 安 全 处 海 外 各 地 物 业 安 全 处 …… …… 分管高管 技术支撑体系，应从何处入手？ 公司的信息安全技术架构体系，包括但不限于以下信息安全策略支撑工具 1.网关安全防御系统（入侵检测、入侵防御系统）。 2.终端计算机上网行为监管系统。 3.核心文档、代码等电子信息加密工具。 4.计算机端口、打印机监控工具。 5.终端计算机监控检查与安全接入控制工具。 6.移动计算机设备、移动存储介质安全认证工具。 7.防火墙、防病毒、容灾备份等系统和工具…… 信息安全评估和差距分析 建立信息安全组织和政策体系 初步推行和落实信息安全管理体系 启动信息安全基础设置建设 实现监控的制度化，流程化和经常化 建立安全配置管理，实现安全风险的量化管理机制 建立安全管理持续优化机制 全面审视，优化和深化信息安全管理体系 建立整体的信息安全防护体系 建立集中监控平台 建立数据中心和应急机制 基础保证 策略固化 集中建设 20xx.xx 20xx.xx 20xx.xx 20xx.xx 企业信息安全管理体系建设如何有效规划？ 信息安全体系建设总流程 动员部署阶段 体系 维持 体系 设计 体系 诊断 导入 准备 培训 体系 建立 体系 实施 评价 改进 认证 评审 文件化阶段 总结经验巩固成果阶段 进度控制、各子项目关系协调等如何开展？ 公司安全组织建设 20xx.xx …… 15 30 15 15 15 15 15 15 15 30 30 30 30 30 30 30 日常安全状态检查与维护 文档分层分级管理与加密 网络分区与安全隔离 办公场地安全梳理与优化 1 2 3 4 5 项目成功完成 办公网络安全分区、数据中心服务与应用安全分区 4 安全组织建设与培育 项目成功完成 1 例行维护与优化…… 项目成功完成 日常安全状态检查与维护建设 2 例行维护与优化…… 物理环境安全梳理与优化项目 项目成功完成 5 例行维护与优化…… 文档分层分级管理，对应各层文档加密控制 项目成功完成 3 例行维护与优化…… 20xx.xx 20xx.xx 20xx.xx 20xx.xx 20xx.xx 20xx.xx 20xx.xx 总体质量与进度如何控制？ 详细信息双击此文件展开 WBS分解计划 甘特图 阻碍企业安全体系建设成功的主要风险是什么，怎样控制？ 40% 思想观念 现存体制 缺乏使命感 缺乏领导 不现实的预期 缺乏团队组织 人员素质 技术支持 项目授权 20% 60% 80% 风险识别 控制措施 安全人力薄弱，项目实施进度延迟，影响业务部门对安全项目建设的信心 成立跨部门项目组，关联部门领导给予有力的人力的支持；信息安全部确定安全兼职人员，补充安全力量。 安全组织结构调整后，相关部门并不配合安全专业机构的工作，或者推诿，造成安全项目质量受到严重影响 完善绩效考评机制。确认对部门及安全工作人员的绩效，公司信息安全监管委员会或信息安全部有建议权。 安全专业人员目前无“备份”力量，公司安全大厦搭建起来以后，影响安全整体的运作质量 关注培养公司内部信息安全人员，加大引入有经验的专业安全人员力度 目录 昂楷公司简介 企业安全压力与挑战 建设有效的企业信息安全体系 信息安全标杆 关键成功因素 标杆公