信息安全體系規(guī)劃建設(shè)方案

1、XX信息安全建設(shè)規(guī)劃鄧生品5月9日第1頁目錄處理方案2下一步將開展工作3企業(yè)意見與提議576需要領(lǐng)導(dǎo)提供支持現(xiàn)實(shí)狀況分析1實(shí)施計(jì)劃3質(zhì)量確保與風(fēng)險(xiǎn)控制4第2頁信息安全技術(shù)支撐系統(tǒng)空白企業(yè)信息安全現(xiàn)實(shí)狀況IT基礎(chǔ)設(shè)施脆弱，應(yīng)用平臺(tái)原始流程制度空白、專業(yè)管理與運(yùn)維團(tuán)體微弱1、企業(yè)現(xiàn)實(shí)狀況簡(jiǎn)報(bào)網(wǎng)絡(luò)與數(shù)據(jù)中心現(xiàn)實(shí)狀況信息安全技術(shù)體系現(xiàn)實(shí)狀況安全規(guī)劃與管理現(xiàn)實(shí)狀況第3頁IT應(yīng)用與基礎(chǔ)設(shè)施脆弱企業(yè)網(wǎng)絡(luò)缺乏安全等級(jí)分區(qū)，缺乏DMZ區(qū)規(guī)劃；企業(yè)業(yè)務(wù)應(yīng)用平臺(tái)原始，造成信息安全抵抗能力很脆弱企業(yè)辦公網(wǎng)絡(luò)設(shè)計(jì)沒有考慮雙鏈路冗余，一旦唯一路經(jīng)出問題將造成全網(wǎng)癱瘓，影響業(yè)務(wù)交流缺乏規(guī)范數(shù)據(jù)中心，沒有存貯備份，沒有業(yè)災(zāi)難

2、恢復(fù)與業(yè)務(wù)連續(xù)性規(guī)劃1、企業(yè)現(xiàn)實(shí)狀況簡(jiǎn)報(bào)辦公網(wǎng)絡(luò)架構(gòu)原始、網(wǎng)絡(luò)缺乏IPSIDS能力、容災(zāi)與備份功效缺失、網(wǎng)絡(luò)上流量缺乏監(jiān)管。缺乏基礎(chǔ)辦公應(yīng)用系統(tǒng)（比如OA、ERP等系統(tǒng)），造成企業(yè)業(yè)務(wù)效率低下，信息孤島問題嚴(yán)重，也深層面影響企業(yè)知識(shí)積累與信息安全管控OA、ERP等基礎(chǔ)辦公應(yīng)用系統(tǒng)缺位，嚴(yán)重影響信息共享，同時(shí)信息交流效率低下，影響業(yè)務(wù)效率，也嚴(yán)重影響企業(yè)知識(shí)積累第4頁制度、流程、管理組織幾乎空白沒有信息安全管理綱領(lǐng)性文件，同時(shí)缺乏各業(yè)務(wù)領(lǐng)域流程文件缺乏企業(yè)信息安全獎(jiǎng)懲管理方法沒有任何形式員工信息安全培訓(xùn)，企業(yè)人員整體安全意識(shí)較低沒有信息安全審計(jì)、日常安全檢驗(yàn)制度與流程，也缺乏專業(yè)人手支撐1、企業(yè)

3、現(xiàn)實(shí)狀況簡(jiǎn)報(bào)第5頁安全產(chǎn)品及支撐人力缺位TFJLLO;PO.J.IPOFIHJKGHLKGNFGNJHGC, ,MS打印控制系統(tǒng)缺失，主要信息很輕易文件經(jīng)過打印方式流失缺乏電子文檔密管理系統(tǒng)，企業(yè)主要研發(fā)等結(jié)果等保護(hù)缺失USB、網(wǎng)口、紅外等端口缺乏控制，大批量信息非常方便外泄企業(yè)對(duì)外郵件監(jiān)控系統(tǒng)缺位，經(jīng)過郵件交流形式很輕易流失商業(yè)秘密、技術(shù)秘密企業(yè)當(dāng)前規(guī)模與未來發(fā)展，要求在1）IT技術(shù)支持、2）信息系統(tǒng)維護(hù)與開發(fā)、3）信息安全流程制度建設(shè)、4）日常安全審計(jì)與安全事件調(diào)查、5）總體信息安全連續(xù)改進(jìn)優(yōu)化規(guī)劃等領(lǐng)域，最少各需一人。尤其是企業(yè)信息安全體系建設(shè)項(xiàng)目開啟后，專業(yè)人手需求壓力將更顯著1、企業(yè)

4、現(xiàn)實(shí)狀況簡(jiǎn)報(bào)企業(yè)電子信息資產(chǎn)、IT設(shè)備與資產(chǎn)管理幾乎空白且缺乏安全技術(shù)產(chǎn)品支撐，企業(yè)缺乏安全流程與制度建設(shè)人手、缺乏安全技術(shù)產(chǎn)品二次開發(fā)與維護(hù)人手、缺乏日常安全稽核及事件調(diào)查與整改等人手第6頁脆弱網(wǎng)絡(luò)架構(gòu)、缺失OA與ERP等基礎(chǔ)應(yīng)用，既影響業(yè)務(wù)效率、有又重重安全隱患企業(yè)當(dāng)前信息基礎(chǔ)設(shè)施與管控狀態(tài)，已制約并威脅企業(yè)發(fā)展信息安全監(jiān)控設(shè)施空白，商業(yè)與技術(shù)秘密外泄處于不可控狀態(tài)缺乏制度與流程，拖累企業(yè)發(fā)展速度，同時(shí)增加無意識(shí)泄密風(fēng)險(xiǎn)第7頁企業(yè)當(dāng)前信息基礎(chǔ)設(shè)施與管控狀態(tài)，已制約并威脅企業(yè)發(fā)展風(fēng)險(xiǎn)初嘗連續(xù)優(yōu)化良性循環(huán)無力回天損失慘重教訓(xùn)深刻安全建設(shè)狀態(tài)$是走向陽光還是鯊魚，決定于我們是否投入與重視第8頁計(jì)

5、劃在未來兩年時(shí)間內(nèi)，系統(tǒng)化建成企業(yè)比較完善和健壯信息安全防護(hù)體系，并經(jīng)過相關(guān)國(guó)際認(rèn)證（ISO27001認(rèn)證、ISO0認(rèn)證），推進(jìn)企業(yè)成為同業(yè)領(lǐng)域標(biāo)桿企業(yè)、促進(jìn)企業(yè)國(guó)際化運(yùn)作扎實(shí)根基生長(zhǎng)。“有效保護(hù)企業(yè)各類商業(yè)及技術(shù)秘密，促進(jìn)企業(yè)信息資源最大化安全使用，以連續(xù)有效支撐和推進(jìn)企業(yè)業(yè)務(wù)久遠(yuǎn)穩(wěn)步發(fā)展”是企業(yè)信息安全建設(shè)根本使命和存在唯一理由，也是企業(yè)信息安全體系建設(shè)第一宗旨。目標(biāo)宗旨2.1 目標(biāo)、宗旨2、處理方案第9頁ISO27001國(guó)際信息安全管理體系規(guī)范2、處理方案企業(yè)信息安全防護(hù)體系建設(shè)和實(shí)施依據(jù)ISO0國(guó)際信息化建設(shè)標(biāo)準(zhǔn)規(guī)范2.2 建設(shè)依據(jù)第10頁2、處理方案2.3 運(yùn)維與優(yōu)化指導(dǎo)模型 信息安

6、全管理體系建設(shè)和運(yùn)作，遵照PDCA不停循環(huán)建設(shè)與優(yōu)化管理理論，建設(shè)成最大化支撐企業(yè)業(yè)務(wù)運(yùn)作發(fā)展信息安全體系，實(shí)時(shí)改進(jìn)與優(yōu)化以有效支撐企業(yè)戰(zhàn)略調(diào)整與管理變革，最終到達(dá)最大化推進(jìn)企業(yè)業(yè)務(wù)壯大。第11頁2、處理方案信息安全策略目標(biāo)文件體系，詳細(xì)確定了企業(yè)整體以及各業(yè)務(wù)體系信息安全防護(hù)目標(biāo)，也是各業(yè)務(wù)在實(shí)際運(yùn)作中怎樣安全開展指導(dǎo)工具。信息安全技術(shù)工詳細(xì)系，是支撐上述信息安全文件體系目標(biāo)落地一個(gè)技術(shù)伎倆，它是在管理伎倆下無法落實(shí)信息安全目標(biāo)不可缺乏有力補(bǔ)充伎倆。信息安全管理組織體系，是企業(yè)信息安全體系大廈關(guān)鍵支柱。首先，負(fù)責(zé)調(diào)研分析企業(yè)業(yè)務(wù)發(fā)展實(shí)際，編撰和更新企業(yè)恰當(dāng)信息安全策略目標(biāo)文件體系；其次，負(fù)責(zé)

7、規(guī)劃引入并運(yùn)作管理企業(yè)信息安全技術(shù)工詳細(xì)系，支撐企業(yè)安全策略目標(biāo)實(shí)現(xiàn)；第三，負(fù)責(zé)統(tǒng)一規(guī)劃并采取各類安全管理伎倆（組織風(fēng)險(xiǎn)評(píng)定、安全知識(shí)宣傳、員工安全意識(shí)培訓(xùn)、安全檢驗(yàn)與安全隱患整改、組織安全獎(jiǎng)勵(lì)與處罰等等），維護(hù)和優(yōu)化企業(yè)信息安全管理體系。2.4 企業(yè)未來“信息安全大廈”主要構(gòu)件及說明第12頁2、處理方案數(shù)據(jù)中心建設(shè)2.5 從加固作為企業(yè)數(shù)據(jù)心臟數(shù)據(jù)中心建設(shè)入手，改變企業(yè)網(wǎng)絡(luò)脆弱局面第13頁2、處理方案數(shù)據(jù)中心建設(shè)2.6 企業(yè)數(shù)據(jù)中心機(jī)房功效與布局規(guī)劃第14頁2、處理方案基礎(chǔ)應(yīng)用平臺(tái)ERP建設(shè)2.7 建立企業(yè)商業(yè)智能體系與信息安全集中管控基礎(chǔ)第15頁2、處理方案基礎(chǔ)應(yīng)用平臺(tái)ERP建設(shè)2.8 企

8、業(yè)ERP系統(tǒng)功效規(guī)劃第16頁2、處理方案建立協(xié)同辦公平臺(tái)OA系統(tǒng)2.9 OA辦公平臺(tái)提升了工作效率、支持信息共享，同時(shí)安全可控第17頁2、處理方案流程制度建設(shè)2.10 建立企業(yè)規(guī)范信息安全制度與流程體系第18頁2、處理方案流程制度建設(shè)2.11 流程制度體系文件示例第19頁信息安全技術(shù)支撐工具引入指導(dǎo)思想基于企業(yè)整體風(fēng)險(xiǎn)評(píng)定基礎(chǔ)上，采取分層分級(jí)思想，從企業(yè)重大安全隱患預(yù)防、從企業(yè)各關(guān)鍵資產(chǎn)保護(hù)入手，有計(jì)劃引入投資收益比最大化各類安全工具2、處理方案安全控制基礎(chǔ)設(shè)施建設(shè)2.12 信息安全技術(shù)架構(gòu)體系建設(shè)指導(dǎo)思想安全工具引入，要求各工詳細(xì)系相互配合支撐，從整體上形成企業(yè)有機(jī)安全技術(shù)架構(gòu)體系，到達(dá)最小

9、化各工具之間重復(fù)度，最大化各工具間信息聯(lián)動(dòng)與信息共享第20頁2、處理方案安全控制基礎(chǔ)設(shè)施建設(shè)2.13 企業(yè)信息安全技術(shù)防護(hù)體系有機(jī)組件t企業(yè)信息安全技術(shù)架構(gòu)體系，將包含但不限于以下信息安全策略支撐工具1.網(wǎng)關(guān)安全防御系統(tǒng)（入侵檢測(cè)、入侵防御系統(tǒng)）。2.終端計(jì)算機(jī)上網(wǎng)行為監(jiān)管系統(tǒng)。3.關(guān)鍵文檔、代碼等電子信息加密工具。4.計(jì)算機(jī)端口、打印機(jī)監(jiān)控工具。5.終端計(jì)算機(jī)監(jiān)控檢驗(yàn)與安全接入控制工具。6.移動(dòng)計(jì)算機(jī)設(shè)備、移動(dòng)存放介質(zhì)安全認(rèn)證工具。7.防火墻、防病毒、容災(zāi)備份等系統(tǒng)和工具。第21頁2、處理方案安全管理伎倆、技術(shù)伎倆有機(jī)融合2.14 有效融合并運(yùn)作信息安全管理與技術(shù)伎倆管理伎倆技術(shù)伎倆第22頁

10、2、處理方案專業(yè)支撐團(tuán)體建設(shè)技術(shù)服務(wù)與支持信息中心（BP&IT）應(yīng)用開發(fā)與系統(tǒng)維護(hù)制度與流程建設(shè)安全審計(jì)與檢查2.15 建立培育企業(yè)專業(yè)高效信息運(yùn)維管控團(tuán)體第23頁3、實(shí)施計(jì)劃建立企業(yè)數(shù)據(jù)中心、信息安全控制基礎(chǔ)設(shè)施、組建信息安全支撐團(tuán)體系統(tǒng)開啟信息安全基礎(chǔ)設(shè)施建設(shè)項(xiàng)目建立信息安全組織和政策體系框架 推行和落實(shí)信息安全管理基礎(chǔ)體系實(shí)現(xiàn)信息監(jiān)控制度化，流程化和經(jīng)常化建立安全配置管理體系，實(shí)現(xiàn)安全風(fēng)險(xiǎn)量化管理機(jī)制 建立安全管理連續(xù)優(yōu)化機(jī)制全方面審閱，優(yōu)化和深化信息安全管理體系全方面推進(jìn)體系化信息安全防護(hù)體系建立集中監(jiān)控平臺(tái)建立高效應(yīng)急機(jī)制基礎(chǔ)確保策略固化集中建設(shè).1.5.9.5 計(jì)劃用2年時(shí)間,建設(shè)

11、成企業(yè)高水平信息安全防護(hù)體系,使得企業(yè)信息安全管理水平成為同等規(guī)模企業(yè)標(biāo)桿。總體建設(shè)計(jì)劃以以下作戰(zhàn)地圖所表示：第24頁3.1 基礎(chǔ)確保期3、實(shí)施計(jì)劃1345支撐組織建設(shè)：1.促進(jìn)3個(gè)專業(yè)人員，建立企業(yè)信息安全運(yùn)維專業(yè)團(tuán)體2.定義各職位基礎(chǔ)職責(zé)，建立企業(yè)信息安全良性循環(huán)人力確?；A(chǔ)。2數(shù)據(jù)中心建設(shè)：1.建設(shè)安全可控、具備容災(zāi)與存貯備份能力公司機(jī)房2.基礎(chǔ)應(yīng)用平臺(tái)建設(shè)OA、ERP（NOTES Domino、SAP、外部郵件系統(tǒng)等）信息安全基礎(chǔ)設(shè)施建設(shè)：1.信息資產(chǎn)安控基礎(chǔ)設(shè)施建設(shè)文檔加密、打印及端口控制、終端機(jī)器行為監(jiān)控、防病毒、郵件過濾與監(jiān)控等系統(tǒng)引入；2.IT資產(chǎn)安全管理建設(shè)企業(yè)內(nèi)部IT資產(chǎn)流

12、轉(zhuǎn)、外部IT設(shè)備流入控制等配套制度與流程建設(shè)：編制輸出各類基礎(chǔ)性安全制度與流程文件，比如企業(yè)信息安全策略綱領(lǐng)、企業(yè)信息安全獎(jiǎng)懲管理要求人員安全意識(shí)提升：經(jīng)過入職培訓(xùn)、日常安全檢驗(yàn)、安全案例與事件宣傳等方式，逐步培育并提升企業(yè)全員信息安全意識(shí)20XX.X20XX.X, 基礎(chǔ)確保建設(shè)期，關(guān)鍵重點(diǎn)工作第25頁3.2 關(guān)鍵業(yè)務(wù)優(yōu)化與鞏固建設(shè)期3、實(shí)施計(jì)劃20XX.X20XX.X, 關(guān)鍵業(yè)務(wù)優(yōu)化鞏固建設(shè)期，關(guān)鍵重點(diǎn)工作 2 3 4 5 6 7 1由信息安全部牽頭，組織專業(yè)人員以及各關(guān)聯(lián)領(lǐng)域業(yè)務(wù)部門人員，編撰或修訂企業(yè)信息安全文件體系二、三、四級(jí)文件，建設(shè)成企業(yè)相對(duì)完善信息安全文件體系。依據(jù)業(yè)務(wù)與風(fēng)險(xiǎn)發(fā)展

13、，優(yōu)化并升級(jí)企業(yè)各類技術(shù)支撐系統(tǒng)對(duì)企業(yè)研發(fā)、非研發(fā)網(wǎng)絡(luò)進(jìn)行深度隔離。第一次開啟組織各一級(jí)部門例行年度風(fēng)險(xiǎn)評(píng)定工作。深入組織各一級(jí)部門信息安全專員月度、季度部門信息安全工作檢驗(yàn)工作加大企業(yè)信息安全部對(duì)各業(yè)務(wù)部門信息安全運(yùn)作差距分析與安全審計(jì)工作。組織企業(yè)ISO27001認(rèn)證工作。第26頁3.3 全業(yè)務(wù)優(yōu)化與固化期3、實(shí)施計(jì)劃20XX.X20XX.X, 策略加固期，關(guān)鍵重點(diǎn)工作1依據(jù)企業(yè)業(yè)務(wù)實(shí)際，全方面審閱企業(yè)信息安全文件體系并修訂完善。2基于PDCA理論，全面優(yōu)化公司網(wǎng)絡(luò)架構(gòu)、安全基礎(chǔ)設(shè)施，將全公司以及重點(diǎn)項(xiàng)目風(fēng)險(xiǎn)評(píng)估工作制度化 4深入開展信息安全檢驗(yàn)、人員安全意識(shí)培訓(xùn)，將安全要求納入部門與員工

14、KPI管理體系 3加大對(duì)外交流信息監(jiān)管、內(nèi)部間交流信息工作相關(guān)性審查。第27頁4、質(zhì)量確保與風(fēng)險(xiǎn)控制4.1 基于最正確實(shí)踐證實(shí)有效項(xiàng)目群實(shí)施模式，指導(dǎo)項(xiàng)目群有效有序進(jìn)行第28頁4、質(zhì)量確保與風(fēng)險(xiǎn)控制4.2 基于PMP項(xiàng)目管理方法，控制各子項(xiàng)目“范圍、時(shí)間、成本”第29頁建成后企業(yè)信息安全體系圖景企業(yè)未來信息安全防護(hù)體系大廈以下列圖，其將在PDCA過程中不停循環(huán)優(yōu)化與完善。第30頁建立后企業(yè)信息安全情況圖景業(yè)務(wù)交流信息安全可控、物理環(huán)境安全有序、安全制度流程完善網(wǎng)絡(luò)安全電子信息資劃分標(biāo)識(shí)密級(jí)，并落實(shí)配套密級(jí)控制內(nèi)部信息交流、對(duì)外信息交流可控并可審計(jì)研發(fā)與非研發(fā)網(wǎng)絡(luò)隔離辦公終端實(shí)現(xiàn)標(biāo)準(zhǔn)化管理 物理

15、安全人員安全 落實(shí)不一樣安全等級(jí)物理區(qū)域劃分和配套辦法各類物理存放介質(zhì)出入有效監(jiān)管主要場(chǎng)地人員及設(shè)備出入登記與控制規(guī)范有序 安全考評(píng)納入部門績(jī)效、個(gè)人績(jī)效考評(píng)入職離職權(quán)限清理、審查到位員工信息安全意識(shí)濃厚來訪接待、對(duì)外合作與交流管理有序 第31頁建立后企業(yè)數(shù)據(jù)中心與網(wǎng)絡(luò)基礎(chǔ)設(shè)施圖景內(nèi)部網(wǎng)研發(fā)網(wǎng)非研發(fā)網(wǎng)Internet安全VPN分支機(jī)構(gòu)防火墻數(shù)據(jù)中心交換機(jī)ERP文件共享E-mail分支機(jī)構(gòu)控制臺(tái)IDS流量鏡像監(jiān)控引擎入侵檢測(cè)WEB監(jiān)控郵件監(jiān)控MSN監(jiān)控文件傳輸監(jiān)控會(huì)話監(jiān)控服務(wù)器監(jiān)控安全VPN外部網(wǎng)DMZ區(qū)遠(yuǎn)端用戶OA及其它系統(tǒng)第32頁5、下一步將開展工做1增加防火墻與網(wǎng)關(guān)防病毒系統(tǒng)，標(biāo)準(zhǔn)化并加固

16、企業(yè)網(wǎng)絡(luò)，提升其安全水平2引入OA、ERP等辦公基礎(chǔ)應(yīng)用系統(tǒng)，處理企業(yè)業(yè)務(wù)發(fā)展在信息共享效率上瓶頸，同時(shí)滿足企業(yè)對(duì)主要信息集中安全管理要求3引入文檔加密、打印監(jiān)控、端口控制、終端上網(wǎng)行為監(jiān)控等系統(tǒng)，填補(bǔ)企業(yè)安全控制上空白，同時(shí)編撰輸出各類配套安全管理制度與流程文件4增加3個(gè)專業(yè)人員，以滿足企業(yè)業(yè)務(wù)擴(kuò)張對(duì)信息部門支撐需求，同時(shí)有效支撐企業(yè)引入各類IT應(yīng)用系統(tǒng)與安全監(jiān)管系統(tǒng)運(yùn)維工作第33頁6、需要領(lǐng)導(dǎo)提供支持6.1 到達(dá)一定建設(shè)規(guī)模，依據(jù)政策將可獲取政府資金扶持深圳市企業(yè)信息化重點(diǎn)項(xiàng)目資助資金計(jì)劃 根據(jù)政策，如果公司以項(xiàng)目群形式，一次性較大投資把公司信息化與信息安全基礎(chǔ)建設(shè)做起來，一方面效果較明顯，其次也可以申請(qǐng)政府資金資助(可申請(qǐng)資助額占比為30-70%不等)。第34頁需要領(lǐng)導(dǎo)提供支持1 在基礎(chǔ)保證建設(shè)期，需要引入1）OA系統(tǒng)；2）ERP系統(tǒng)；3）文檔加密系統(tǒng)；4）打印監(jiān)控系統(tǒng)；5）端口監(jiān)控等系統(tǒng)；6）終端上網(wǎng)行為監(jiān)控系統(tǒng)；7）郵件監(jiān)控系統(tǒng)；8）網(wǎng)關(guān)防病毒系統(tǒng)；9）防火墻；10）購(gòu)置一套IT支撐工具和攝像機(jī)（用于安全調(diào)查取證以及公司其他部門辦公支持）；11）數(shù)據(jù)中心建設(shè)；13）配套交換機(jī)、路由器、UPS、系統(tǒng)服務(wù)器、存貯備份系統(tǒng)等 以上系列基礎(chǔ)軟硬件系統(tǒng)，根據(jù)目前中等偏上質(zhì)量規(guī)格，若以100個(gè)信息點(diǎn)容量計(jì)算，總預(yù)算約人民幣XXX萬，請(qǐng)領(lǐng)導(dǎo)審批。6、需要領(lǐng)導(dǎo)