企业IT信息安全规划专题培训课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
员、网络管理员、安全管理员等岗位,并定义各 个工作岗位的职责。
设置了明确的信息安全岗位职责, 但未设专人进行日常的运行监管。
人员配备
应配备一定数量的系统管理员、网络管理员、安
全管理员等;安全管理员不能兼任网络管理员、 系统管理员、数据库管理员等。
目前相关管理人员配置不够,部分 岗位无专职人员。
授权和审批
评估风险:识别组织的风险并区分其严 重程度。 这些风险可能与特定的IT系统 和资产相关或无关;
决策支持:根据定义的成本-收益分析过 程确定并选择控制解决方案;
实施控制:部署并操作全面的控制解决 方案以降低信息安全风险;
衡量评测:确定并报告已部署的控制措 施的有效性,以将风险管理至可接受的 级别。
系统操作和备份管理相分离。结合日 志管理,以实现对数据处理过程的监 督;
除要符合中国的安全规范外,还要符 合国际的规范,如ISO27001、 ISO17799等。邮件系统要避免出现 列入黑名单的情况。
3
信息安全管理是一个持续性的闭环过程
信息安全管理 信息安全管理可定义为具有四个主要阶段的持 续过程:
•统一的内部基础网络规划,对不同安 全要求的内网接入进行访问控制管理
•建设满足业务需求的信息系统灾难恢 复能力
安全技术
物理层面安全 控制
网络层面安全 控制
主机层面安全 控制
CE v6.0
•制定和实施符合国家《信息系统安 全等级保护基本要求》以及XX集团 信息系统现状的安全管理策略和规 范
•在信息中心设置信息安全岗位,并 完善职责规范
信息安全 管理
信息安全 技术
CE v6.0
1
XX集团信息安全体系框架及设计目标
基于XX集团信息化安全的现状和设计原则,提出信息安全未来建设目标
安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
安全管理
•对关键的安全技术平台防病毒、防火 墙、入侵检测系统实现,统一的安全 产品选型、统一的安全产品部署、统 一的安全策略发布
初步改进建议:
• 进一步提高从事信息安全相关工作人员的信息 安全从业资质认证的覆盖比例。
• 进一步加强信息系统相关安全管理人员配置, 按照相关岗位要求配置专人进行管理。
• 尽快完善相关管理制度。
CE v6.0
6
信息安全现状评估——安全技术
差距概述
• 现状总体评价:通过实施第一期SOC平台对集团总部已经部署的所有安全设施进行集中管控。后续将 逐步推进SOC平台到各下属公司,通过在各下属公司分节点部署数据采集引擎的方法,将节点数据逐 步汇聚到集团SOC平台中。对关键系统实施灾难恢复方案,备份方式主要采取数据异地容灾备份。 XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。
CE v6.0
信息中心对XX网络安全接入与资源 访问建立了明确的审批流程。
目前信息安全工作仅限于信息人员
内部,缺乏与其他业务部门的合作 与沟通。
XX未制定信息安全内部审计、管理
评审及有效性度量有关制度,未成 立安全内部审核小组。
非常薄弱
比较薄弱
一般
较好
非常好
5
信息安全现状评估——安全管理
差距概述
现状总体评价:XX已经编制信息安全管理规范,并已于2009年启动推广;XX信息系统建设和运维的安 全管理力度相对薄弱;安全管理人员配置不够;相关流程和制度的执行有待改善。
CE v6.0
安全管理的职责分离原则
对于一些涉及敏感数据处理的计算机 系统安全管理而言,以下工作应分开 进行:
系统的操作和系统的开发相分离。这 样系统的开发者即使知道系统有那些 安全漏洞也没有机会利用;
机密资料的接受和传送相分离。这样 任何一方都无法对资料进行篡改;
安全管理和系统管理相分离。这样可 使制定安全措施的人并不能亲自实施 这些安全措施而对其起到制约的作 用;
安全管理的多人负责原则、任期有限原则 多人负责原则: 出于相互监督和相互备份的考虑,如只有单人负责,
则若发生安全问题时此人不在岗就不能处理,或者他 本人有安全问题时,很难察觉。 任期有限原则: 出于监督的目的,负责系统安全和系统管理的人员要 有一定的轮换制度,以防止由单人长期负责一个系统 的安全而造成的漏洞。
主要存在的问题:
• 目前XX内部已建立专职的信息安全组织和人员 ,但从事信息安全相关工作人员的信息安全从 业资质认证的覆盖比例不够。
• XX信息系统建设和运维的安全管理力度相对薄 弱;安全管理人员配置不够,相关流程和制度 的执行有待改善。
• 信息安全内部审计、管理评审及有效性度量等 有关制度需进行完善。
企业IT信息安全规 划
CE v6.0
0
信息化蓝图分类之(五)IT安全
IT治理
IT组织 机构
IT人员
IT流程和 制度
IT运维
信息化建设目标 应用系统
决策类 运营类 支持类 专业类
企业服务平台
业务流程管理(BPM)
企业服务总线(ESB)
数据中心
基础设施平台
基础架构
安全与管理 网络与链路
桌面终端
IT安全
CE v6.0
评测
评估风险
安全管理
实施控制
决策支持Fra Baidu bibliotek
4
为保障信息安全制度的执行和落实,必需明确信息安全职能,建立相应的信息 安全组织
对标国家《信息系统安全等级保护基本要求》,当前XX基本建立相应信息安全的组织和职能
安全组织职能
要求描述
现状
岗位设置
应设立安全主管、安全管理各个方面的负责人岗
位,并定义各负责人的职责;应设立系统管理
应根据各个部门和岗位的职责明确授权审批部门
及批准人,对系统投入运行、网络系统接入和重 要资源的访问等关键活动进行审批; 应针对关
键活动建立审批流程,并由批准人签字确认。
沟通和合作
应加强各类管理人员之间、组织内部机构之间以 及信息安全职能部门内部的合作与沟通。
审核和检查
定期进行安全检查,检查内容包括系统日常运 行、系统漏洞和数据备份等情况。
•制定明确的信息安全策略,定期进 行安全风险评估和审核,并制定持 续改进计划
应用层面安全 控制
数据层面安全 控制
2
信息安全管理对象与原则介绍
安全管理对象
安全管理的对象是整个系统而不是系统中的某个或某些 元素。系统的所有构成要素都是管理的对象,从系统内 部看,安全管理涉及计算机、网络、操作、人事和信息 资源;从外部环境看,安全管理涉及法律、道德、文化 传统和社会制度等方面的内容
设置了明确的信息安全岗位职责, 但未设专人进行日常的运行监管。
人员配备
应配备一定数量的系统管理员、网络管理员、安
全管理员等;安全管理员不能兼任网络管理员、 系统管理员、数据库管理员等。
目前相关管理人员配置不够,部分 岗位无专职人员。
授权和审批
评估风险:识别组织的风险并区分其严 重程度。 这些风险可能与特定的IT系统 和资产相关或无关;
决策支持:根据定义的成本-收益分析过 程确定并选择控制解决方案;
实施控制:部署并操作全面的控制解决 方案以降低信息安全风险;
衡量评测:确定并报告已部署的控制措 施的有效性,以将风险管理至可接受的 级别。
系统操作和备份管理相分离。结合日 志管理,以实现对数据处理过程的监 督;
除要符合中国的安全规范外,还要符 合国际的规范,如ISO27001、 ISO17799等。邮件系统要避免出现 列入黑名单的情况。
3
信息安全管理是一个持续性的闭环过程
信息安全管理 信息安全管理可定义为具有四个主要阶段的持 续过程:
•统一的内部基础网络规划,对不同安 全要求的内网接入进行访问控制管理
•建设满足业务需求的信息系统灾难恢 复能力
安全技术
物理层面安全 控制
网络层面安全 控制
主机层面安全 控制
CE v6.0
•制定和实施符合国家《信息系统安 全等级保护基本要求》以及XX集团 信息系统现状的安全管理策略和规 范
•在信息中心设置信息安全岗位,并 完善职责规范
信息安全 管理
信息安全 技术
CE v6.0
1
XX集团信息安全体系框架及设计目标
基于XX集团信息化安全的现状和设计原则,提出信息安全未来建设目标
安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
安全管理
•对关键的安全技术平台防病毒、防火 墙、入侵检测系统实现,统一的安全 产品选型、统一的安全产品部署、统 一的安全策略发布
初步改进建议:
• 进一步提高从事信息安全相关工作人员的信息 安全从业资质认证的覆盖比例。
• 进一步加强信息系统相关安全管理人员配置, 按照相关岗位要求配置专人进行管理。
• 尽快完善相关管理制度。
CE v6.0
6
信息安全现状评估——安全技术
差距概述
• 现状总体评价:通过实施第一期SOC平台对集团总部已经部署的所有安全设施进行集中管控。后续将 逐步推进SOC平台到各下属公司,通过在各下属公司分节点部署数据采集引擎的方法,将节点数据逐 步汇聚到集团SOC平台中。对关键系统实施灾难恢复方案,备份方式主要采取数据异地容灾备份。 XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。
CE v6.0
信息中心对XX网络安全接入与资源 访问建立了明确的审批流程。
目前信息安全工作仅限于信息人员
内部,缺乏与其他业务部门的合作 与沟通。
XX未制定信息安全内部审计、管理
评审及有效性度量有关制度,未成 立安全内部审核小组。
非常薄弱
比较薄弱
一般
较好
非常好
5
信息安全现状评估——安全管理
差距概述
现状总体评价:XX已经编制信息安全管理规范,并已于2009年启动推广;XX信息系统建设和运维的安 全管理力度相对薄弱;安全管理人员配置不够;相关流程和制度的执行有待改善。
CE v6.0
安全管理的职责分离原则
对于一些涉及敏感数据处理的计算机 系统安全管理而言,以下工作应分开 进行:
系统的操作和系统的开发相分离。这 样系统的开发者即使知道系统有那些 安全漏洞也没有机会利用;
机密资料的接受和传送相分离。这样 任何一方都无法对资料进行篡改;
安全管理和系统管理相分离。这样可 使制定安全措施的人并不能亲自实施 这些安全措施而对其起到制约的作 用;
安全管理的多人负责原则、任期有限原则 多人负责原则: 出于相互监督和相互备份的考虑,如只有单人负责,
则若发生安全问题时此人不在岗就不能处理,或者他 本人有安全问题时,很难察觉。 任期有限原则: 出于监督的目的,负责系统安全和系统管理的人员要 有一定的轮换制度,以防止由单人长期负责一个系统 的安全而造成的漏洞。
主要存在的问题:
• 目前XX内部已建立专职的信息安全组织和人员 ,但从事信息安全相关工作人员的信息安全从 业资质认证的覆盖比例不够。
• XX信息系统建设和运维的安全管理力度相对薄 弱;安全管理人员配置不够,相关流程和制度 的执行有待改善。
• 信息安全内部审计、管理评审及有效性度量等 有关制度需进行完善。
企业IT信息安全规 划
CE v6.0
0
信息化蓝图分类之(五)IT安全
IT治理
IT组织 机构
IT人员
IT流程和 制度
IT运维
信息化建设目标 应用系统
决策类 运营类 支持类 专业类
企业服务平台
业务流程管理(BPM)
企业服务总线(ESB)
数据中心
基础设施平台
基础架构
安全与管理 网络与链路
桌面终端
IT安全
CE v6.0
评测
评估风险
安全管理
实施控制
决策支持Fra Baidu bibliotek
4
为保障信息安全制度的执行和落实,必需明确信息安全职能,建立相应的信息 安全组织
对标国家《信息系统安全等级保护基本要求》,当前XX基本建立相应信息安全的组织和职能
安全组织职能
要求描述
现状
岗位设置
应设立安全主管、安全管理各个方面的负责人岗
位,并定义各负责人的职责;应设立系统管理
应根据各个部门和岗位的职责明确授权审批部门
及批准人,对系统投入运行、网络系统接入和重 要资源的访问等关键活动进行审批; 应针对关
键活动建立审批流程,并由批准人签字确认。
沟通和合作
应加强各类管理人员之间、组织内部机构之间以 及信息安全职能部门内部的合作与沟通。
审核和检查
定期进行安全检查,检查内容包括系统日常运 行、系统漏洞和数据备份等情况。
•制定明确的信息安全策略,定期进 行安全风险评估和审核,并制定持 续改进计划
应用层面安全 控制
数据层面安全 控制
2
信息安全管理对象与原则介绍
安全管理对象
安全管理的对象是整个系统而不是系统中的某个或某些 元素。系统的所有构成要素都是管理的对象,从系统内 部看,安全管理涉及计算机、网络、操作、人事和信息 资源;从外部环境看,安全管理涉及法律、道德、文化 传统和社会制度等方面的内容