公司信息安全体系10建设计划书

n… …… …
公司种种业务开展中的安全需求很急迫， 但无安全系统支撑
公司种种业务开展中的安全需求很急迫， 但无安全系统支撑
从防火墙上能够看到种种违规数据传递、工作时间的网 络“闲逛”行为，但是防火墙却提供不了证据证明
防火墙并没有详细的外发资料的记录，比如：通过Web邮箱（163、 SOHU等）外发的邮件的记录或者是通过BBS发布的信息等
目录
同洲信息安全管理现状 信息安全管理标杆 管理工程部 邓生品 2008年12月24日 同洲信息安全与标杆的差距 信息安全介绍 同洲信息安全体系变革规划 需要领导提供的支持
安全管理混乱的几个案例
总部高层的 办公室，神 秘人士可以 越过“重重 关卡”，自 由出入；那 么，其他办 公场地呢？ 可想而知 …… 公司各类重要场 地、业务系统， 已有的或是新增 的，从来没有定 期的信息安全风 险评估与管理优 化这一说，反正 ，出了问题再“ 救火”，不但不 被处罚，还能向 公司体现“我” 的“工作绩效和 工作付出” 基地，保安与员 工勾结，硬件资 产被盗。那么， 公司的重要设计 方案、代码软件 等电子信息资产 ，是否也被时时 如此“算计”着 ，不言自喻…… 各类高危的设备 带入研发等场地 ；USB端口开启 、网络服务器搭 建、测试申请时 时发生着……在 没有任何隐患控 制措施的情况下 ，还带着一副必 须得为其开通的 言语和表情
总部行政中心保安负责总部大 楼安全。但是，对环境安全保 护是否到位、方案是否根据业 务发展进行周期性调整优化？ 缺少专业的引导和评估，缺少 统一的监督和检查。 IT网络部认为职责是负责 日常网络的通畅。缺少开 展网络安全状态周期性评 估和周期优化巩固方案设 计与实施。没有统一的安 全要求标准及符合性监管 基地总务安全部负责基地的 统一负责整个公司安全体系的 物业安全，但是，其安全措 标准制定、日常安全运作情况的 施标准是否与总部一致？其 评估与监管机构在哪里？没有！ 日常的工作状态缺少明确独 我们必须建立起来！ 立的机构监督。
公司信息安全人手太过薄弱
公司信息安全工作 公司安全组织建设；各类权限申 请电子流审批；员工日常安全事 件调查；员工安全意识培训
目前,只有信息安全部主管+ 一名新毕业大学生
各类信息安全标准、制度、方案 的制定；以及组织评审、签发
其他工作：若干安全权 限电子流审批；部门内 部QA组及验收测试部 的部门建设、标准制定 、日常管理协调等工作
自己的职责是什么很含糊， 但是，怎样推卸职责是一点 也不含糊。
华为公司的安全机构，内部从高管到基层员工、外部从政府官员到各类来访人员， 都“惧怕”他们而事事注意遵从其安全要求。但是在同洲，不少人却对公司安全要求 不以为然的吆五喝六。难道，同洲的安全境界非常高了，已经达到不需安全管理的境地了吗？
1.
重大事故发生时 无规范安全防御与 “救火” 评估体系， 表面太平
建立管理组织体 系、采取周期评 估优化措施
安全规范可控， 不断优化
我司安全各层面安全管理混乱案例分析
• 信息安全文件体系
Байду номын сангаас
•
•
管理与技术支撑体系
信息安全组织架构
案例展示顺序，以安全架构“核心层分类”标准 为基础
必须补充信息安全基础的“宪法”文件
无统一安 全监管机 构导致的 混乱
IT系统维护部门，负责系 统的配臵等服务。但是， 各系统之间的通信是否符 合安全标准？系统的性能 是否进行周期性评估以支 撑业务连续性？没有评估 ，也没有标准及统一监管
总部、基地、外地的各部 门及员工日常形形色色的 行为安全状况，是否有统 一监管、优化？没有！
各外地分公司、办事处的 物理安全是否有负责人在 监管和落实？没有！
你只是IT部门下的一个小小主管 ，你是为我服务的！你以为你 是谁啊？
3.
是谁给你的权利，让我遵守 这遵守那的？
安全管理无 明确身份面 临的尴尬
4.
2.
我们部门的领导都审批同意了，你
凭什么不批？必须在5分钟内给我 开通！
我没有违反规定，我们部门的规
定就是这样的，你无权干涉！
N ……
亟待建立贯穿高层至基层的安全管理体系
没有统一的旗臶，所以迷失方向，百年同洲需要护航符， 安全压力需要从高层局部扩展到全员，成为企业文化的一部分 混乱表现1：权限开 通无视安全 混乱表现2：开发测 试无安全控制意识 我是在测试一个IT方 面的平台系统，又不 是在做业务无关的事 ，所以虽然是因为测 试让研发的办公网络 瘫痪了5小时，但是 这个是业务上需要！
他并没有意识到，在生产环境 测试是违反安全基本标准的，也 没有意识到这个一个严重的安全 事故。而且还有要让网络 瘫痪5天的架势
混乱表现3：安全管 理不能落地
混乱表现n……
1.你是IT信息安全部而又 不是全公司的信息安全 部，所以只是负责你们 部门范围的安全，我们 部门的事情，什么时候 轮到你来管了？ 2.我现在有一台私人电脑 要带进来，你必须给我 解决，不然，我的工作 事情你来负责做完……
不知道怎么评价了！往往这个 时候似乎感到自己的智商 突然变低了
根据业务需要，我们 需要外部能访问内网 的服务器和计算机， 我们的领导都审批通 过了，IT网络部赶快 给我开通！
没有安全评估流程及 标准，所以，领导审批通过了 就是安全的了，客观上是否安全 不重要了！
制定实验室安全管理 细则？那是公司的事 情，实验室管理员是 做什么的我不是很清 楚，但是肯定不是负 责这方面的。
信息安全项目群的组织 、开发、实施、推行、 以及项目日常管理
安全产品的选型、洽 谈、考察、测试、安 全人员接待与沟通
目录
同洲信息安全管理现状 信息安全管理标杆
同洲信息安全与标杆的差距
信息安全介绍 同洲信息安全体系变革规划 需要领导提供的支持
标杆核心层分析
• • • 信息安全文件体系 信息安全组织架构 管理与技术支撑体系
公司具有FTP权限的人有200多个，占上网总人数的约 1/7，FTP传输的信息系统也无法监控
FTP是安全的高危通道。在管理上应该是部门 统一出口，专人管理；同时，需要对传输的内容进行监控。 但是，目前公司却没有做到其中的一点
我司目前安全控制水平
$
安全 水平 层次
同洲位置
破产
损失惨重 基本无力回天