公司整体信息安全风险评估及工作情况汇报
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
优化方案(未来)
1、严格规范相关制 度 2、定期审核权限, 日志
从IT视角分析信息安全存在问题 ——数据中心
存在问题
1. 数据中心没有明确的 管理维护制度
2.数据中心对重要数据 未作异地备份
3.对数据未作分级分类 管理,且与开发布部门 进行沟通确认
4、数据中心设备进出 入无规范
5、数据中心未作灾难 恢复测试
2
公司当前信息安全保护建设进展汇报
3
信息安全工作面临的阻碍
4
下一步行动计划汇报及需要领导提供的支持
8
信息安全部工作
ACT-改善
评估改善需求 执行改善工作 报告执行结果 确认目标达成 持续追踪改善
Check- 检查
执行监控程序 风险再评估
定期实施稽核 绩效评估
Plan- 计划
建立 ISMS 环境
信息安全政策; 信息安全目标 信息安全组织;
从研发体系视角分析信息安全存在问题 ——网络与终端
存在问题
1.缺乏公司级统一备 份管理机制;
2.应用层密码设置存 在隐患;
3.应用服务器日志无 审计;
4.存储介质的管理存 在重大安全隐患;
5.网口管理存在重大 安全隐患。
优化方案(现阶段)
优化方案(未来)
1.建立公司级统一备 份管理办法;
2.优化密码策略,增 强密码复杂度;
3.建立重要岗位操作 指南;
4.制定对外信息发放 管理办法。
优化方案(未来)
1.公司建立信息安全 文件体系,并定期审 核执行情况;
2.根据ISO27001建 立服务器基线;
3.建立各岗位的操作 指南;
4.安装文档加密系统, 规范外发流程。Leabharlann Baidu
从职能体系视角分析信息安全存在问题
存在问题
优化方案(现阶段)
从研发体系视角分析信息安全存在问题 ——安全制度流程
存在问题
1.信息安全相关政策 未在部门落地;
2.应用服务器内部管 理无成文的制度及 操作流程;
3.无重要岗位操作指 导;
4.对外信息流转无控 制办法。
优化方案(现阶段)
1.部门内部宣贯落地 信息安全相关制度并 定期考试;
2.对部门内部重要应 用服务器必须制定成 文的制度规范及操作 流程;
执行风险管理
风险评估; 确认控制目标 风险处理计划
Do-执行
建立管理文件体系 建置控制方法
信息安全程序文件 营运持续运作计划 执行管理程序 教育训练及宣导
Do-管理文件体系建设情况
信息 安全政策
管理程序
信息安全部
各业务部门
规范,要点指引 记录,日志
Do-建置控制方法
防火墙
防病毒网关
第
三
方
信 息 流 转 管
优化方案(现阶段)
1.制定数据中心管理维 护制度及流程,明确工 作流程及人员职责
2.严格落实重要数据异 地备份机制
3.加强数据中心设备管 理;
4、制定整体容灾解决 方案,确保数据安全
优化方案(未来)
1、根据标杆企业先进 管理方法优化部门管理 2、定期审核权限,日 志及记录
目录
1
公司信息安全现状及风险分析
优化方案(未来)
1.员工特殊情况离职后 相应权限账号未作及 时清理;
2.员工入职培训缺乏对 信息安全的培训;
3.绩效考核未考虑信息 安全因素;
4.涉密部门未做好敏感 信息的分级分类管理。
1.增加特殊情况离职 后相应权限账号清理;
2.增加信息安全新员 工培训课程;
3.考核成绩纳入KPI ;
4.涉密部门对内部信 息资产进行分级划分。
1.定期审计离职后相 应权限账号的清理工 作;
2.信息安全成绩作为 考核作为员工转正的 依据;
3.依据公司信息安全 相关要求定期检查审 计。
从IT视角分析信息安全存在问题 ——终端
存在问题
1.便携机的管理存在 重大安全隐患;
2.AD域用户可以建 立PC机本地管理员 账号;
3.USB、打印机未作 有效监管;
3.新增第三方服务操 作流程 。
从IT视角分析信息安全存在问题 ——网络
存在问题
1. 上网权限开放审批 不严格,导致多数用 户均有上网权限
2.研发部门测试网络 比较混乱,造成ARP 攻击异常
3.对网络管控有限;
优化方案(现阶段)
1.重新审核用户上网 权限 2.对研发部门网络整 改,隔离 3.增加网络监控设备 加强网络管理;
1.解决方案部、移动通信产品线等研发部门已多 次提出,要求文档加密支持; 2.供应链体系ISC变革文档,袁总(华)专门组织 会议研究讨论,要求文档加密系统支持; 3.同洲大学等功能支撑部门,多次提出对顾问咨 询材料、公司重要课件等提出加密请求
3.定期查看服务器日 志并做记录;
4.对存储介质造册管 理,明确责任人。
5.规范公司网口管理。
1.实现公司级统一备 份管理;
2.明确职责,专人专 管,定期审计;
3.优化服务器日志查 看策略,并定期审计;
4.引入USB监控系统。
从研发体系视角分析信息安全存在问题——物理环境及人员安全
存在问题
优化方案(现阶段)
制打 度印 政管 策控
控
信息安全专员
内网隔离
上
信息资产
文 件
物 理
ISMS
加控 密制
网 行 为 监 控
USB端口管控
全员宣导
记录,日志
ADSL管控
Do -关键控制办法部署进展:文档加密系统
已使用在全公司 IPD变革各领域 使用,效果显著
Do -研发与市场文档加密需求反馈紧迫,二期增量采购
部门已进行谈判,信息安全部已做好部署方案与支持准备
目录
1
公司信息安全现状及风险分析
2
公司当前信息安全保护建设进展汇报
3
信息安全工作面临的阻碍
4
下一步行动计划汇报及需要领导提供的支持
8
全面分析公司信息安全存在问题
研IT管发体理系
?网络与终端 ?物理环境及人 员安全 ?安全制度流程
IT ?终端 ?网络 ?数据中心
研安发全体问系题
职能体系
?安全制度流程 ?物理环境
1.研发网络未实现真 正的隔离;
2.ADSL的使用存在 重大安全隐患;
3.员工安全意识薄弱;
4.重要岗位人员背景 调查。
1.禁止研发人员访问 外网;
2.ADSL使用整改 (按用途分类分权管 理);
3.定期培训;
4.对重要岗位人员进 行背景调查。
优化方案(未来)
1. 最大限度实现研发 网络隔离; 2.对ADSL审计监控 并持续优化; 3.培训并考试,考核 成绩纳入KPI; 4.建立员工信用档案。
4.送外维修电脑数据 无法监管;
优化方案(现阶段)
优化方案(未来)
1.办理便携卡登记备 案;
2.重新评估AD域策略;
3.贴封条,设置BIOS 密码;
4.送修机器由专人保 管并登记 。
1. 引入终端监控系统、 USB监控系统、文档 机密系统对其信息及 端口进行控制和审计;
2.定期对AD域策略进 行审计;