资产分类、安全指引、安全管理策略办法和或样例

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主要关注在电商活动 的各个业务场景中所 存在的风险,并减少 业务上的损失
数据安全风险,消费 者的隐私信息、销售 订单、商铺租金如果 发生泄漏,则会面临 处罚和声誉问题
主要关注数据的分级 分类,如何差异化安 全管理
系统管控风险,快速 迭代、开发、测试中 不免存在疏漏,系统 漏洞及运维安全漏洞 或导致业务无法正常 进行
各公司信息安全管理员的安全教育
持续改进机制
制定集团 信息安全 年度计划
根据计划 有序开展 各项工作
软件获取、开发和维护
应用系统开发规范 应用系统安全设计 应用系统安全测试
集团信息安全运行体系
日常安全运维管理
人 员 安 全 管 理
用户安全管理

系统安全运维


安全配置管理

物理与环境安全

安全监控与事件响应
定期对网络设备进行安全扫描;定期 审查网络管理及维护日志;有实时的 网络状态、流量的分析与威胁感知; 对发现的风险和漏洞有即使的应对、 优化措施
主机系统
尚未定制对主机系统安全的管理规定 和工作流程;没有定义主机系统安全 的管控岗位和职责
已建立针对主机系统安全管控流程/规则/
已经制定基本的主机系统安全管理规定和工作 流程;有定义系统安全岗位
已初步建立应用系统的信息安全管控流程/ 规则/机制/技术手段,且实际管控工作已按 照流程/规则/机制进行落实; 已初步明确应用系统的信息安全管控岗位 及职责;
已规识安建则别全立/出管机针管控制对控,/技应中定术用的期手系不开段统足展的信;内量息已部化安建风评全立险价管全及体控生安系流命全,程周评并期估/ 。程别建 用速出立 系识/规的了 统别则不全 风应/机足面 险用制而的 管系/形感 控统技成知 体威术的、 系胁手优抵 ,与段化御 能漏的提、 够洞量升应 前并化机对 瞻进评制的 的行价;应 快快识
企业安全运营的 关键成功因素
高层支持 项目安排
关键活动优先
必要的变更管理
► 资源是可用的、经过培训且具有丰富的知识以支持企业安全运营实施路线图中所指 示的计划。
► 业务相关者将有充足的可用性和及时的参入,各业务部门明确其企业安全运营角色 与职责。
► 企业信息安全组织拥有对企业安全运营有绝对责任的高层支持。
► 企业安全运营实施路线图中每一步的计划时间和持续时间将在规划阶段进行修订和 更新,以防止产生冲突的优先级出现。
► 计划将首先专注于关键的业务活动。
► 进行必要的变更管理,解决可能影响信息安全组织执行能力和项目按时完成的潜在 问题。
第6页
一. 安全指引: 信息安全架构优秀实践
集团信息安全治理结构
集团信息安全治理
技术安全:
技术安全管理内容与策略 威胁情报感知技术手段
数据安全:
数据安全管理框架 数据管理的关键组成部分与政策框架 数据管理成熟度模型框架 数据保护体系框架
► 三. 资产分类
IT系统及信息资产分类保护思路 IT系统及信息资产分类实施方法 IT系统及信息资产属性定义 IT系统及信息资产分类控制原则
有专人或机构负责网络服务及网络安全管 理;已经制定完善的网络安全管理规定和 工作流程(比如网络接入管理流程、网络 权限管理流程);网络安全负责人遵守相 关制度进行日常工作
已建立针对网络安全的管控流程/规则/机 制/技术手段的量化评价体系,并识别出 管控中的不足;使用专业网络管理的软件 /硬件进行网络管理,包括配置管理、网 络监控、故障报警/排除等;网络设备的 软硬件系统有及时的升级与更新
• 系统开发安全 • 系统安全漏洞 • 安全运维管控
第三方安全风险
• 第三方资质 • 第三方安全管控 • 第三方数据泄露
合规风险,各监管部 门发布了针对不同业 务的合规要求或执业 牌照
主要关注电商平台所 开展业务是否已经符 合监管要求,获取了 必要的牌照
业务风险,从营销到 交易,从个人到商户, 包含了各类不同的风 险场景
安永标准企业IT能力蓝图
第4页
一. 安全指引: 企业安全运营组织架构、建设路线与必要条件(续)
安全治理层面 企业发展策略与重点方
向目标 项目建设优先级排序 投入资源 …
安全控制点与现 有流程的结合
安全组织架构及 人员职责
安全项目管理 体系结合 …
第5页
业务需求 合规性要求 国内外行业趋势 限制条件 …
已建立针对应用系统信息安全管控流 程/规则/机制/技术手段的量化评价识 别出的不足而形成的优化提升机制; 已通过行为分析、日志分析等手段前 瞻性感知安全风险,并实施及时有效 的应对措施。
网络
尚制全防未度管火制以控墙定及的等网工岗基络作位本安流和的全程职网的;责络相没;安关有缺全管定少配理义网置规网络定络分、安区、已络全经安区制全域定的边初负界步责部的人署网;隔络初离安步设全划备管分或理网措制络施度安;全已域定,义在网安
控制点要求及功能需求 安全管理和安全技术的平衡 安全管控预期 方案测试评估 选商流程 …
提高效率 改善效果 节约资源 …
安全宣传及培训 问题全运营组织架构、建设路线与必要条件(续)
资源可用
业务参与
集团信息安全管理组织
集团信息安全管理体系
信息安全管理体系的规划与管理
保监会监管合规性要求与管理
信息安全标准
安全策略 安全组织
安全标准 安全指导原则 (管理类)
安全流程 和细则
安全标准 安全指导原则
(技术类)
安全操作指南 和技术手册
信息安全教育培训
集团全体员工的安全意识宣导 集团高级管理层意识培训 IT人员安全知识培训
主要关注系统开发、 测试、运维全生命周 期安全
第三方安全风险,当 今的合作构建包括众 多第三方,包括合作 伙伴、供应商、各类 商户等
主要关注第三方的资 质合规、接口安全、 数据安全、运营安全
第2页
一. 安全指引: 企业安全运营风险趋势(续)
► 企业安全风险地图
第3页
一. 安全指引: 企业安全运营组织架构、建设路线与必要条件
速响应和恢复。
尚未建立办公终端桌面系统的信息安 全管控流程/规则/机制/技术手段,仅 存在零星的、被动的管控; 没有定义办公终端桌面系统的信息安 全管控岗位职责;
已初步形成约定俗成的管控要求和工作习惯, 尚未建立完善的桌面系统的信息安全管控流程 /规则/机制/技术手段, 已定义桌面系统的信息安全管控岗位,但尚未 完善定义桌面系统的信息安全管控岗位职责;
工作职责未有明确定义。
可重复级
2
►初步建立了相对正式的制度/流程/机制对信息安全工作进行 管控,但制度/流程/机制不够完善,与其相关的信息安全职
责定义不够完善。
已定义级 3 ►已有明确定义的制度/流程/机制用以支持信息安全工作,与
其相关的信息安全职责定义明确,且能够较好的执行。
量化管理级 4 ►信息安全管控机制成熟,形成了从上至下的管理体系且运转

密码键盘
物理安全边界 物理隔离卡
建筑安全 机房安全 介质安全
物理环境监控
灾备中心 办公职场
第7页
一. 安全指引: 信息安全监管制度要求对标成熟度模型
参考国际公认的IT治理框架(COBIT) 成熟度模型,信息安全成熟度模型如下:
成熟度等级描述
初始级 1 ►信息安全工作存在零星的管控,但未建立制度/流程/机制,
的、被动的管控;
/规则/机制/技术手段,
照流程/规则/机制进行落实;
规则/机制/技术手段的量化评价体系,并 程/规则/机制/技术手段的量化评价识
没有定义数据资产的信息安全管控岗 已定义数据资产的信息安全管控岗位,但尚未 已初步明确数据资产的信息安全管控岗位 识别出管控中的不足;
别出的不足而形成的优化提升机制。
位职责;
完善定义数据资产的信息安全管控岗位职责; 及职责;
应用 桌面系统
已建立针对应用系统信息安全管控流
尚未建立应用系统的信息安全管控流 程/规则/机制/技术手段,仅存在零星 的、被动的管控; 没有定义应用系统的信息安全管控岗 位职责;
已初步形成约定俗成的管控要求和工作习惯, 尚未建立完善的应用系统的信息安全管控流程 /规则/机制/技术手段, 已定义应用系统的信息安全管控岗位,但尚未 完善定义应用系统的信息安全管控岗位职责;
WEB防护技术 防篡改技术(数字签名)
加密技术(SSL\PKI) 数字权限管理 邮件内容侦测
文件加密 主机恶意代码防范 主机入侵防护HIPS 服务器虚拟化技术
输入安全 防垃圾邮件 流量清洗 防病毒网关 VOIP防护 防泄漏网关
网络入侵防护NIPS
软件资产管理(SAM)
文件分布扫描
桌面监控审计


数据库安全审计
已 有来经 专负制 人责定 或主完 机机善 构系的 基统网 于的络 主运安 机维全 系管 统理 安规 全定 管和 理流 制程 度;机出会置制管定管/控期理技中对、术的日系手不志统段足进资的;行源量有评监化系审控评统工与价运作报体行;警系日有的,志专软并记业件识录的;别并配有
目录
► 一. 安全指引
企业安全运营风险趋势 企业安全运营组织架构、建设路线与必要条件 信息安全架构优秀实践 信息安全监管制度要求对标成熟度模型 信息安全同业对标成熟度模型
► 二. 安全管理策略
信息安全与合规:
信息科技风险审计管控领域与审计重点 全面合规,管理体系融合建设思路 信息安全管理框架与ISO-27001信息安全体系 ISO-27001信息安全体系实施方法论 信息安全事件响应与业务连续性管理
运 营

源代码安全控制 心

应用系统日志监控
日 志


系统漏洞扫描 、

系统完整性审计
联 分
系统安全审计
析 、

网络入侵检测
果 呈
网络渗透测试 现
网络行为监控

网络日志审计
防火墙规则审阅
备份恢复
终端数据备份 终端系统备份
应用程序与日志备份 数据库与日志备份
本地数据与日志备份 远程数据与日志备份
网络链路冗余 网络设备冗余
第1页
一. 安全指引: 企业安全运营风险趋势
► 除了传统的IT系统风险及内部控制风险以外,在互联网+时代中,企业安全运营可能涉及以下众多风险
合规风险
• 合规监管满足 • 业务牌照要求
电商业务风险
• 收入确认 • 交易欺诈 • 营销套利 • 商户违规
数据安全风险
• 数据泄露防范 • 客户隐私保护
系统安全风险
已初步建立桌面系统的信息安全管控流程/ 规则/机制/技术手段,且实际管控工作已按 照流程/规则/机制进行落实; 已初步明确桌面系统的信息安全管控岗位 及职责;
已建立针对桌面系统信息安全管控流程/ 规则/机制/技术手段的量化评价体系,能 够实时监控并识别桌面系统威胁及隐患, 并对桌面系统事件进行及时响应。
安全监控 安全事件管理
应急管理 异地容灾 灾难恢复
集团信息安全技术平台
身份认证
终 用户名密码 生物特征 端 数字证书CA
统统
一一
身认
应 用户名密码 份 证 管管
用 理理 数字证书CA ( (
用注
户册
、、
目认
系 用户名密码
录 、
证 、
统 密授 数字证书CA 码 权 、、
信会
用话
度、
网 管注 用户名密码 理 销
顺畅,并能够通过量化的手段展示信息安全工作效果。
已优化级 5 ►形成了持续改进的运行机制,对信息安全管控机制进行不断
优化提升
1级
初始 级
2级
可重 复级
3级
已定 义级
4级
量化管 理级
5级
已优 化级
信息安全成熟度等级
第8页
一. 安全指引: 信息安全监管制度要求对标成熟度模型(续)
根据该成熟度模型,各评估域的成熟度对标定义如下:
))
络 数字证书CA
访问控制
内容安全
监控审计
操作系统的访问控制 软件程序的访问控制
应用系统内置的授权管理 利用LDAP实现访问控制 基于代理技术的访问控制
数据库安全防护
操作系统的安全特性 系统安全内容的访问控制
安全域 访问控制列表 防火墙 网络接入控制 VPN 统一威胁管理
标签水印 全盘加密 终端防泄漏 虚拟化桌面 终端恶意代码防范
1-初始级
2-可重复级
3-已定义级
4-量化管理级
5-已优化级
数据
尚未建立数据资产的信息安全管控流 已初步形成约定俗成的管控要求和工作习惯, 已初步建立数据资产的信息安全管控流程/
程/规则/机制/技术手段,仅存在零星 尚未建立完善的数据资产的信息安全管控流程 规则/机制/技术手段,且实际管控工作已按 已建立针对数据资产信息安全管控流程/ 已建立针对数据资产信息安全管控流
集团信息安全监督体系
信息安全风险评估
威胁
分析








脆弱性
选 择 与 评 价
规 划 与 实 施
分析
信息安全合规审计
安全体系合规审计 信息科技一般审计(ITGC) 信息系统应用审计(ITAC)
独立第三方审计评估
信息安全绩效测量
针对问题 持续开展 整改督办
定期开展 落实情况 监督检查

生物特征
门禁卡
相关文档
最新文档