公司整体信息安全风险评估及工作情况汇报1.ppt

公司整体信息安全风险评估及工作情况汇报,信息安全部 2009年12月21日,目 录,公司当前信息安全保护建设进展汇报,2,3,8,公司信息安全现状及风险分析,1,信息安全工作面临的阻碍,4,下一步行动计划汇报及需要领导提供的支持,研发体系,全面分析公司信息安全存在问题,IT管理,安全问题,研发体系,职能体系,IT,网络与终端 物理环境及人员安全 安全制度流程,终端 网络 数据中心,安全制度流程 物理环境,从研发体系视角分析信息安全存在问题网络与终端,存在问题,优化方案（现阶段）,优化方案（未来）,1.缺乏公司级统一备份管理机制； 2.应用层密码设置存在隐患； 3.应用服务器日志无审计； 4.存储介质的管理存在重大安全隐患； 5.网口管理存在重大安全隐患。,1.建立公司级统一备份管理办法； 2.优化密码策略，增强密码复杂度； 3.定期查看服务器日志并做记录； 4.对存储介质造册管理，明确责任人。 5.规范公司网口管理。,1.实现公司级统一备份管理； 2.明确职责，专人专管，定期审计； 3.优化服务器日志查看策略，并定期审计； 4.引入USB监控系统。,从研发体系视角分析信息安全存在问题物理环境及人员安全,存在问题,优化方案（现阶段）,优化方案（未来）,1.研发网络未实现真正的隔离； 2.ADSL的使用存在重大安全隐患； 3.员工安全意识薄弱； 4.重要岗位人员背景调查。,1.禁止研发人员访问外网； 2.ADSL使用整改（按用途分类分权管理）； 3.定期培训； 4.对重要岗位人员进行背景调查。,1. 最大限度实现研发网络隔离； 2.对ADSL审计监控并持续优化； 3.培训并考试，考核成绩纳入KPI； 4.建立员工信用档案。,从研发体系视角分析信息安全存在问题安全制度流程,存在问题,优化方案（现阶段）,优化方案（未来）,1.信息安全相关政策未在部门落地； 2.应用服务器内部管理无成文的制度及操作流程； 3.无重要岗位操作指导； 4.对外信息流转无控制办法。,1.部门内部宣贯落地信息安全相关制度并定期考试； 2.对部门内部重要应用服务器必须制定成文的制度规范及操作流程； 3.建立重要岗位操作指南； 4.制定对外信息发放管理办法。,1.公司建立信息安全文件体系，并定期审核执行情况； 2.根据ISO27001建立服务器基线； 3.建立各岗位的操作指南； 4.安装文档加密系统，规范外发流程。,从职能体系视角分析信息安全存在问题,存在问题,优化方案（现阶段）,优化方案（未来）,1.员工特殊情况离职后相应权限账号未作及时清理； 2.员工入职培训缺乏对信息安全的培训； 3.绩效考核未考虑信息安全因素； 4.涉密部门未做好敏感信息的分级分类管理。,1.增加特殊情况离职后相应权限账号清理； 2.增加信息安全新员工培训课程； 3.考核成绩纳入KPI ； 4.涉密部门对内部信息资产进行分级划分。,1.定期审计离职后相应权限账号的清理工作； 2.信息安全成绩作为考核作为员工转正的依据； 3.依据公司信息安全相关要求定期检查审计。,存在问题,优化方案（现阶段）,优化方案（未来）,1.便携机的管理存在重大安全隐患； 2.AD域用户可以建立PC机本地管理员账号； 3.USB、打印机未作有效监管； 4.送外维修电脑数据无法监管；,1.办理便携卡登记备案； 2.重新评估AD域策略； 3.贴封条，设置BIOS密码； 4.送修机器由专人保管并登记 。,1. 引入终端监控系统、USB监控系统、文档机密系统对其信息及端口进行控制和审计； 2.定期对AD域策略进行审计； 3.新增第三方服务操作流程 。,从IT视角分析信息安全存在问题终端,存在问题,优化方案（现阶段）,优化方案（未来）,1. 上网权限开放审批不严格，导致多数用户均有上网权限 2.研发部门测试网络比较混乱，造成ARP攻击异常 3.对网络管控有限；,1.重新审核用户上网权限 2.对研发部门网络整改，隔离 3.增加网络监控设备加强网络管理；,1、严格规范相关制度 2、定期审核权限，日志,从IT视角分析信息安全存在问题网络,存在问题,优化方案（现阶段）,优化方案（未来）,1. 数据中心没有明确的管理维护制度 2.数据中心对重要数据未作异地备份 3.对数据未作分级分类管理，且与开发布部门进行沟通确认 4、数据中心设备进出入无规范 5、数据中心未作灾难恢复测试,1.制定数据中心管理维护制度及流程，明确工作流程及人员职责 2.严格落实重要数据异地备份机制 3.加强数据中心设备管理； 4、制定整体容灾解决方案，确保数据安全,1、根据标杆企业先进管理方法优化部门管理 2、定期审核权限，日志及记录,从IT视角分析信息安全存在问题数据中心,目 录,公司当前信息安全保护建设进展汇报,2,3,8,公司信息安全现状及风险分析,1,信息安全工作面临的阻碍,4,下一步行动计划汇报及需要领导提供的支持,信息安全部工作,ACT-改善,Plan-计划,Check-检查,Do-执行,评估改善需求 执行改善工作 报告执行结果 确认目标达成 持续追踪改善,建立ISMS环境 信息安全政策； 信息安全目标 信息安全组织； 执行风险管理 风险评估； 确认控制目标 风险处理计划,执行监控程序 风险再评估 定期实施稽核 绩效评估,建立管理文件体系 建置控制方法 信息安全程序文件 营运持续运作计划 执行管理程序 教育训练及宣导,Do-管理文件体系建设情况,信息 安全政策,管理程序,规范，要点指引,记录，日志,信息安全部,各业务部门,ISO27001,Do-建置控制方法,记录，日志,信息资产 ISMS,Do-关键控制办法部署进展：文档加密系统,已使用在全公司IPD变革各领域使用，效果显著,Do-研发与市场文档加密需求反馈紧迫，二期增量采购部门已进行谈判，信息安全部已做好部署方案与支持准备,1.解决方案部、移动通信产品线等研发部门已多次提出，要求文档加密支持； 2.供应链体系ISC变革文档,袁总（华）专门组织会议研究讨论，要求文档加密系统支持； 3.同洲大学等功能支撑部门，多次提出对顾问咨询材料、公司重要课件等提出加密请求 ,Do-关键系统情况汇报：终端上网行为安全监控,Do-终端上网行为安全监控系统功能解析,Do-终端上网行为监控系统上线，前期准备工作状况,企业核心机密,引入安全管理系统 1.对USB安全管理系统、打印监控系统进行测试。 2。已完成采购申请流程，待招标采购。,控制计算机端口泄密,控制打印泄密,利于事前防范，事后审计,Do-关键系统情况汇报：USB端口、打印等管控系统,Do-USB端口、打印等管控系统引进进展,Do-安全基础设施引进总体进度时间表,Do-执行管理程序,目前已建立从上至下的信息安全组织架构，下一步将充分发挥信息安全专员的职能，从基层落实信息安全,目前信息安全是一个治理过程，而不是一个项目产物；现阶段的任务是：各个部门内部进行自我风险评估改进,信息安全部将以ISO27001标准来持续改善公司的信息安全，对各个部门将定期不定期进行审计，以确保信息安全的真正落实,1,2,3,组织,推行,审计,IT部门风险评估,Do-执行管理程序,信息安全部将以ISO27001标准来持续改善公司的信息安全，对各个部门将定期不定期进行审计，以确保信息安全的真正落实,Do-教育训练及宣导,部门信息安全意识提升,全员信息安 全意识培育,员工入职及入职后 信息安全教育培训,信息安全绩效考核,Do-员工入职及入职后信息安全教育培训,Do-全员信息安全意识培育,坚持具有我司特色的信息安全意识建设信息安全每周谈，进行专业安全防护专业知识宣讲，同时进行信息安全案例警示,核心安全防护习惯时刻显示在眼前,Do-部门信息安全意识提升,推动部门开展各类形式的日常安全意识培育与宣讲,Do-信息安全绩效考核KPI,目 录,公司当前信息安全保护建设进展汇报,2,3,8,公司信息安全现状及风险分析,1,信息安全工作面临的阻碍,4,下一步行动计划汇报及需要领导提供的支持,信息安全工作面临的阻碍,信息安全部风险 管理展开面临挑战,个别部门风险管理 存在方向性错误,安全工作 认识存在局限,安全工作认识存在局限,信息资 产安全,信息安全，人人有责,Security is a process，not a product,信息安全部风险管理展开受到挑战,信息安全工作,部门成立时间短，权威性处于建设初期，当前非常弱势,各部门对信息安全部的标准参照度不高,信息安全部共5人，须负责制度及意识宣导、管控技术预研与引进，以及各部门的协调工作等,个别各部门信息安全工作基于自身的理解和要求开展，效度有限，导致后期重复工作与资源浪费,业界知名标杆企业在建立ISMS体制初期，均有第三方咨询机构协助进行全面的风险评估和标准制度导入，我们当前还没有，更增加部门弱势与工作难度,各部门正在开展部门自我风险评估，安全咨询需求增大,个别部门风险管理存在方向性错误,最佳实践的风险评估过程,安全专业人员参与，提供基于安全最佳标准、最佳实践的指导,被评估领域业务代表，进行充分风险分析和识别,安全专业部门汇集和分析风险信息，进行风险严重等级划分和控制措施设计，并进行汇报,被评估领域组织落实风险控制措施、整改,整改完毕，安全专业部门进行稽核与审计,不断循环改进,方向性错误的风险管理过程对公司的危害,重大风险不上报，潜伏并威胁着公司信息资产安全,个别部门风险拒绝汇集到安全专业部门统一分析，导致对风险的严重等级判断没有站在公司全局的视角进行，使得个别严重隐患被部门“抹掉”，潜伏隐患时时在威胁公司,规避信息安全专业人员的指导，整改效果参差不齐，风险继续存在，同时造成人力物力重复使用和浪费,这类部门的风险整改多是以项目方式开展，结束了即关闭，然后人员解散，其直接与“风险管理是一个持续的过程”规则相违背，最后风险管理是“一阵风”，吹过了安全隐患又迅速生长起来,拒绝安全监管，导致公司安全总体情况不可控，也导致在此类部门的各类安全威胁处于“潜伏”状态,风险整改无章法，浪费成本且效果有限,整改行为一阵风吹过，风险缺乏持续控制,规避后期安全稽核，凌驾于第三方安全监管之上,目 录,公司当前信息安全保护建设进展汇报,2,3,8,公司信息安全现状及风险分析,1,信息安全工作面临的阻碍,4,下一步行动计划汇报及需要领导提供的支持,信息安全部下一步总体行动计划汇报,加大工作量投入，稳步有效测试采购及IT部门同事推荐的USB、打印、网关防毒等 安全工具， 配合采购的工作计划，引入UTM集成工具，尽快（计划2010年二月底前）控制公司当前重大 安全隐患,立即分析研发、IT两大重点体系风险评估信息，输出统一风险评估及控制措施 正式报告， 提请审核后，交付并跟踪责任部门整改，同时，规划整改后的安全 稽核方案,策划基础建设期安全支撑工具的宣传培训工作，组织部署安全基础建设期 支撑工具，并推动在全公司运行。,落实对研发、IT两大重点体系整改后的安全审计工作，助力 推动整改措施落地，并系统化启动其他业务领域的风险评估工作,需要领导提供的支持,领导意见与建议,Q&A,企业价值观 客户第一、阳光沟通、团队协作 拥抱变化、学习成长,变革执行团队行为准则 尊重、简单、重用、检查、并行 勇气、反馈、改善、认真、责任,