企業(yè)信息安全體系建設(shè)方案V10

Copyright?1998-2021深圳昂楷科技

ShenzhenAnkkiTechnologiesCo.,Ltd企業(yè)信息平安體系建設(shè)方案V1.0鄧生品昂楷科技高級參謀目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設(shè)有效的企業(yè)信息平安體系信息平安標(biāo)桿關(guān)鍵成功因素2023/9/8AnkkiConfidential3公司簡介深圳昂楷技術(shù)

ShenzhenAnkkiTechnologyCO.,Ltd.由業(yè)內(nèi)資深專家共同創(chuàng)立，集網(wǎng)絡(luò)信息平安、存儲(chǔ)、統(tǒng)一通信研發(fā)、生產(chǎn)、銷售于一體的高新技術(shù)企業(yè)。昂楷科技凝聚了約50人的資深網(wǎng)絡(luò)信息平安與電信背景的專家團(tuán)隊(duì)，致力于網(wǎng)絡(luò)信息平安、存儲(chǔ)、統(tǒng)一通信產(chǎn)品及解決方案的創(chuàng)新與研究。華為戰(zhàn)略合作伙伴。全國信息技術(shù)人才培養(yǎng)工程—華南授權(quán)培訓(xùn)機(jī)構(gòu)。華中科技大學(xué)信息平安產(chǎn)學(xué)研合作單位。國際頂級開源應(yīng)用平安組織OWASP中國支持單位。創(chuàng)始人足跡帶隊(duì)研發(fā)的UA5000為全球TOP電信運(yùn)營商英國BT獨(dú)家供貨，世界排名第一。卓越的本錢控制屢次獲得華為公司嘉獎(jiǎng)。創(chuàng)造多篇專利獲得公司獎(jiǎng)勵(lì)所帶著團(tuán)隊(duì)獲得華為“金牌團(tuán)隊(duì)〞榮譽(yù)獎(jiǎng)華賽平安研發(fā)總監(jiān)任職期間成功主導(dǎo)與SYMANTEC技術(shù)合作2023/9/8AnkkiConfidential4積極參與和組織國際OWASP峰會(huì)首屆OWASP中國峰會(huì)發(fā)布SOne解決方案。榮獲OWASP最正確效勞獎(jiǎng)。2023/9/8AnkkiConfidential5://OWASP〔OpenWebApplicationSecurityProject〕2023/9/8AnkkiConfidential6昂楷科技

技術(shù)與咨詢并重是我們的獨(dú)特優(yōu)勢技術(shù)整合進(jìn)行安全、存儲(chǔ)、統(tǒng)一通信技術(shù)層面的評估和分析整合IT環(huán)境，夯實(shí)基礎(chǔ)架構(gòu)規(guī)劃進(jìn)行管理策略、運(yùn)行體系和戰(zhàn)略愿景層面的咨詢和規(guī)劃輔助客戶建立信息安全整體架構(gòu)推廣執(zhí)行推廣技術(shù)和管理策略落實(shí)咨詢方案，實(shí)現(xiàn)業(yè)務(wù)保障和創(chuàng)新與客戶共同成長，成為戰(zhàn)略合作伙伴端到端解決方案平安效勞

管理體系和技術(shù)體系無縫結(jié)合昂楷科技的CISSP專家，ICRA平安主任審核員，有世界TOP10電信運(yùn)營商的效勞經(jīng)驗(yàn)，能夠很好的將管理體系和技術(shù)體系融合起來，提供全面深入的咨詢效勞。擁有自主研發(fā)的應(yīng)用漏洞掃描系統(tǒng)SoneHss，能夠深入掃描和分析WEB系統(tǒng)漏洞。提供國際ISO27001和國家信息平安等級保護(hù)體系咨詢參謀效勞。2023/9/8AnkkiConfidential7ANKKITMSone

深度業(yè)務(wù)平安解決方案隨著平安威脅不斷升級，傳統(tǒng)網(wǎng)絡(luò)級的平安解決方案已不能滿足豐富多彩的業(yè)務(wù)應(yīng)用平安保障需要。昂楷科技不斷研發(fā)創(chuàng)新，研發(fā)出SOne深度業(yè)務(wù)平安解決方案，滿足金融、政府、證券、互聯(lián)網(wǎng)、電信、電力、高校、制造業(yè)等各行各業(yè)對應(yīng)用系統(tǒng)平安日趨強(qiáng)烈的需要——業(yè)務(wù)平安，昂楷領(lǐng)航！2023/9/8AnkkiConfidential8支持HTTPS獨(dú)有的透明工作模式，方便部署平安的Bypass自學(xué)習(xí)自適應(yīng)功能Web應(yīng)用安全靈活定義群組、用戶的細(xì)粒度權(quán)限可靠容災(zāi)機(jī)制，保護(hù)文件不被破壞靈活分級控制策略，適合超大規(guī)模組織機(jī)構(gòu)ALL-IN-ONE，防止多軟件客戶端帶來的種種困擾知識產(chǎn)權(quán)防泄密DLP多達(dá)200條的檢測基準(zhǔn)獨(dú)特的可信管理機(jī)制業(yè)界獨(dú)有的風(fēng)險(xiǎn)級別量化機(jī)制效勞于德國電信DT、法國電信FT可配置可管理的全自動(dòng)化加固機(jī)制可根據(jù)平安標(biāo)準(zhǔn)、風(fēng)險(xiǎn)級別靈活定制的策略包主機(jī)基線檢查和加固第三代防篡改技術(shù)多平臺、多架構(gòu)支持網(wǎng)站防篡改系統(tǒng)WDS效勞于德國電信DT、法國電信FT全面支持6大主流數(shù)據(jù)庫類型多達(dá)150多條的檢測基準(zhǔn)數(shù)據(jù)庫基線檢查和加固獨(dú)有的雙向?qū)徲?jì)機(jī)制領(lǐng)先的三層審計(jì)機(jī)制數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)認(rèn)證培訓(xùn)ISO27001/ISO20000LA審核員認(rèn)證培訓(xùn)COBIT/ITIL認(rèn)證培訓(xùn)CCIECCNPNSACE認(rèn)證〔初級/中級/高級〕－可頒發(fā)工信部證書數(shù)據(jù)庫主機(jī)平安培訓(xùn)〔專項(xiàng)技能培訓(xùn)〕Windows系統(tǒng)平安培訓(xùn)〔專項(xiàng)技能培訓(xùn)〕Linux系統(tǒng)平安培訓(xùn)〔專項(xiàng)技能培訓(xùn)〕2023/9/8AnkkiConfidential9效勞承諾2023/9/8AnkkiConfidential10我們承諾銷售的產(chǎn)品解決方案提供終身免費(fèi)遠(yuǎn)程支持效勞不斷拓展和完善的效勞網(wǎng)絡(luò)保障您的權(quán)益熱線：400－6228－990總部地址：深圳市福田區(qū)新聞路一號中電信息大廈1318－1319室研發(fā)中心：深圳市南山區(qū)高新技術(shù)園北區(qū)清華源興大廈〔源政創(chuàng)新大廈〕四樓效勞的客戶2023/9/8AnkkiConfidential11大亞灣核電站第二職校易斯博舜全電子惠科電子海能達(dá)思博倫北京富蘭電子千色店目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設(shè)有效的企業(yè)信息平安體系信息平安標(biāo)桿關(guān)鍵成功因素我們公司信息平安管理體系水平，處于哪個(gè)狀態(tài)？無標(biāo)準(zhǔn)平安防御與評估體系，外表太平建立管理組織體系、采取周期評估優(yōu)化措施平安標(biāo)準(zhǔn)可控，不斷優(yōu)化破產(chǎn)損失沉重根本無力回天重大事故發(fā)生時(shí)“救火〞平安水平$平安形勢越來越嚴(yán)峻麻痹者跌倒后，可能將永遠(yuǎn)倒下典型的信息平安事件HW事件HW到中東某國投標(biāo)，５、６人住當(dāng)?shù)匾患揖频?。辛苦了很長時(shí)間，開標(biāo)時(shí)卻發(fā)現(xiàn)競爭對手的標(biāo)書中多了很多HW特有的東西，報(bào)價(jià)也較自己低經(jīng)調(diào)閱酒店錄像，發(fā)現(xiàn)投標(biāo)前一晚上當(dāng)他們離開房間去吃飯時(shí)，有人到其中一個(gè)房間取走了筆記本電腦中的硬盤……LM事件LM一直與中國軍方關(guān)系密切，承接過國家級信息平安工程骨干中一人離職出國，帶出很多涉密文件，結(jié)果LM被封殺艷照門很傻很天真ISO27001對企業(yè)的意義ISO27001對企業(yè)的意義公司生存、開展、壯大的推動(dòng)，加上上市、融資、品牌建設(shè)的需求驅(qū)使，商業(yè)秘密、技術(shù)秘密等核心競爭力信息的標(biāo)準(zhǔn)有序流轉(zhuǎn)與運(yùn)用要求越來越明顯。公司大局部員工總體信息平安意識比較淡??；各部門日常平安管理工作根本空白；公司沒有形成系統(tǒng)化的平安管理持續(xù)優(yōu)化系統(tǒng)。需求現(xiàn)實(shí)企業(yè)信息平安壓力與挑戰(zhàn)物理平安現(xiàn)狀企業(yè)信息平安現(xiàn)狀網(wǎng)絡(luò)平安現(xiàn)狀人員平安現(xiàn)狀企業(yè)信息平安現(xiàn)狀簡報(bào)問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升公司高密級網(wǎng)絡(luò)與低密級網(wǎng)絡(luò)無隔離；內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)無有效隔離公司內(nèi)部員工之間、內(nèi)部員工與外網(wǎng)之間的通信，缺乏內(nèi)容的監(jiān)控與過濾公司數(shù)據(jù)中心缺乏容災(zāi)備份機(jī)制、缺乏災(zāi)難恢復(fù)方案，重大問題不知道如何恢復(fù)，缺乏持續(xù)的災(zāi)難恢復(fù)演練各類密級信息無序流轉(zhuǎn)，無分層分級控制網(wǎng)絡(luò)平安現(xiàn)狀列舉TFJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC,,MS打印機(jī)、機(jī)等敏感設(shè)備放置在非受控的平安區(qū)域，缺乏有效監(jiān)控在公司重要場地，存儲(chǔ)和攝像功能的設(shè)備隨意使用公司辦公場地出入無有效證件登記與監(jiān)管、公司各區(qū)域門禁系統(tǒng)管理混亂打印件、件經(jīng)常遺漏，導(dǎo)致重大商務(wù)與技術(shù)信息泄密門禁權(quán)限缺乏定期審核、清理，處于實(shí)驗(yàn)室、數(shù)據(jù)中心等機(jī)要場地時(shí)未嚴(yán)格落實(shí)登記問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升物理平安現(xiàn)狀舉例平安要求的落地情況沒有人檢查，也沒有檢查標(biāo)準(zhǔn)、獎(jiǎng)懲標(biāo)準(zhǔn)員工內(nèi)部轉(zhuǎn)崗或離職時(shí)，工作文件、權(quán)限等沒有及時(shí)交接或清理公司崗位職責(zé)缺乏平安要求定義，缺乏平安保密協(xié)議模板或者簽署的習(xí)慣敏感崗位缺乏有效的平安背景調(diào)查，既要崗位缺乏詳實(shí)的保密協(xié)議的簽署與執(zhí)行監(jiān)督?jīng)]有進(jìn)行定期的全員平安意識培訓(xùn)、考試，沒有將各部門的信息平安情況納入考核指標(biāo)問題重重疊加，風(fēng)險(xiǎn)時(shí)時(shí)攀升人員平安現(xiàn)狀舉例目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設(shè)有效的企業(yè)信息平安體系信息平安標(biāo)桿關(guān)鍵成功因素什么是信息平安平安平安平安平安信息威脅弱點(diǎn)完整性保護(hù)信息及其處理步驟不被未授權(quán)的修改可用性確保信息能夠被授權(quán)的用戶在需要時(shí)訪問風(fēng)險(xiǎn)確保信息只被授權(quán)的人訪問保密性信息平安關(guān)注的“三性〞信息平安的4P平安策略與流程(Policy&Process)專業(yè)團(tuán)隊(duì)和較高平安意識的員工People支撐產(chǎn)品(Product)信息平安的組成領(lǐng)域總攬信息平安11個(gè)控制領(lǐng)域

39個(gè)控制目標(biāo)

133個(gè)控制項(xiàng)平安制度及流程技術(shù)措施管理措施11通信與操作管理10業(yè)務(wù)連續(xù)性管理2組織安全3資產(chǎn)分類與控制

5物理及環(huán)境安全8符合性4系統(tǒng)與維護(hù)9信息安全事件管理6訪問控制7人員安全1安全策略平安風(fēng)險(xiǎn)控制方案設(shè)計(jì)過程23451如何保證企業(yè)平安控制水平持續(xù)優(yōu)化？做什么怎么做把方案方案轉(zhuǎn)化成現(xiàn)實(shí)實(shí)際的情況是否與方案一樣得到控制下一步如何優(yōu)化建立與公司策略與目標(biāo)相適宜的安全策略、對象、目標(biāo)、流程活動(dòng)等，聚焦于風(fēng)險(xiǎn)管理和提升信息的安全狀態(tài)。1.發(fā)起建設(shè)ISMS實(shí)施與運(yùn)作各類安全策略、控制，以及安全流程與活動(dòng)。2.實(shí)施與運(yùn)作ISMS基于安全策略，評估、度量各安全控制過程的實(shí)際效用；形成評估結(jié)果報(bào)告提交管理層審視。3.監(jiān)控與審視ISMS基于管理層對風(fēng)險(xiǎn)評估結(jié)果(步驟3的輸出)的審視意見，采取正確有效的ISMS持續(xù)改進(jìn)措施。4.維護(hù)與改進(jìn)ISMSCDPA實(shí)際的情況是否與計(jì)劃一樣得到控制把計(jì)劃方案轉(zhuǎn)化成現(xiàn)實(shí)下一步如何優(yōu)化輸入輸出做什么怎么做平安工作模塊細(xì)分，全貌是什么？平安風(fēng)險(xiǎn)評估平安根底平安功能平安優(yōu)化平安戰(zhàn)略平安管理平安技術(shù)防火墻和邊界隔離平安區(qū)域定義和劃分平安組織和責(zé)任劃分企業(yè)平安策略定義信息資產(chǎn)分類和分級緊急響應(yīng)機(jī)制業(yè)務(wù)持續(xù)方案核心平安標(biāo)準(zhǔn)/流程平安變更管理平安補(bǔ)丁管理平安備份管理其它平安標(biāo)準(zhǔn)/流程平安培訓(xùn)與教育第三方平安控制要求平安策略和標(biāo)準(zhǔn)修訂系統(tǒng)平安強(qiáng)化網(wǎng)絡(luò)入侵檢測體系高危數(shù)據(jù)傳輸加密關(guān)鍵系統(tǒng)日志記錄病毒防范機(jī)制身份認(rèn)證體系訪問控制體系可用性與冗余性遠(yuǎn)程訪問平安機(jī)制時(shí)間同步機(jī)制集中平安審計(jì)體系平安事件管理平臺企業(yè)身份認(rèn)證平臺其它內(nèi)容平安機(jī)制其它數(shù)據(jù)傳輸加密主機(jī)入侵檢測體系數(shù)據(jù)存儲(chǔ)平安體系平安體系全面整合和控管國際或國內(nèi)平安認(rèn)證這三項(xiàng)，是業(yè)界標(biāo)桿用重金構(gòu)建起來、用成功實(shí)踐證明了的平安大廈的“脊梁〞信息安全體系WhatWhatWhat建立信息平安文件體系框架建立公司信息平安組織建立管理與技術(shù)支撐體系如何搭建企業(yè)信息平安防御大廈？公司信息平安文件體系如何建設(shè)與運(yùn)維？確定公司信息安全類文件體系架構(gòu)確定各層文件內(nèi)容框架及編撰的責(zé)任部門12確立公司信息安全綱領(lǐng)性文件3建立公司安全策略被執(zhí)行的確保機(jī)制和各類流程模板平安文件體系架構(gòu)平安綱領(lǐng)性文件平安基準(zhǔn)獎(jiǎng)懲制度構(gòu)建反響靈敏、運(yùn)作高效的平安管理組織公司信息安全監(jiān)管委員會(huì)全球信息安全管理辦公室網(wǎng)絡(luò)安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團(tuán)隊(duì)國內(nèi)各地物業(yè)安全處海外各地物業(yè)安全處…………分管高管技術(shù)支撐體系，應(yīng)從何處入手？公司的信息平安技術(shù)架構(gòu)體系，包括但不限于以下信息平安策略支撐工具1.網(wǎng)關(guān)平安防御系統(tǒng)〔入侵檢測、入侵防御系統(tǒng)〕。2.終端計(jì)算機(jī)上網(wǎng)行為監(jiān)管系統(tǒng)。3.核心文檔、代碼等電子信息加密工具。4.計(jì)算機(jī)端口、打印機(jī)監(jiān)控工具。5.終端計(jì)算機(jī)監(jiān)控檢查與平安接入控制工具。6.移動(dòng)計(jì)算機(jī)設(shè)備、移動(dòng)存儲(chǔ)介質(zhì)平安認(rèn)證工具。7.防火墻、防病毒、容災(zāi)備份等系統(tǒng)和工具……信息安全評估和差距分析建立信息安全組織和政策體系

初步推行和落實(shí)信息安全管理體系啟動(dòng)信息安全基礎(chǔ)設(shè)置建設(shè)實(shí)現(xiàn)監(jiān)控的制度化，流程化和經(jīng)常化建立安全配置管理，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的量化管理機(jī)制

建立安全管理持續(xù)優(yōu)化機(jī)制全面審視，優(yōu)化和深化信息安全管理體系建立整體的信息安全防護(hù)體系建立集中監(jiān)控平臺建立數(shù)據(jù)中心和應(yīng)急機(jī)制基礎(chǔ)保證策略固化集中建設(shè)20xx.xx20xx.xx20xx.xx20xx.xx企業(yè)信息平安管理體系建設(shè)如何有效規(guī)劃？信息平安體系建設(shè)總流程發(fā)動(dòng)部署階段體系維持體系設(shè)計(jì)體系診斷導(dǎo)入準(zhǔn)備培訓(xùn)體系建立體系實(shí)施評價(jià)改進(jìn)認(rèn)證評審文件化階段總結(jié)經(jīng)驗(yàn)穩(wěn)固成果階段進(jìn)度控制、各子工程關(guān)系協(xié)調(diào)等如何開展？公司安全組織建設(shè)20xx.xx……15301515151515151530303030303030日常安全狀態(tài)檢查與維護(hù)文檔分層分級管理與加密網(wǎng)絡(luò)分區(qū)與安全隔離辦公場地安全梳理與優(yōu)化12345項(xiàng)目成功完成辦公網(wǎng)絡(luò)安全分區(qū)、數(shù)據(jù)中心服務(wù)與應(yīng)用安全分區(qū)4

安全組織建設(shè)與培育項(xiàng)目成功完成1例行維護(hù)與優(yōu)化……項(xiàng)目成功完成日常安全狀態(tài)檢查與維護(hù)建設(shè)2例行維護(hù)與優(yōu)化……物理環(huán)境安全梳理與優(yōu)化項(xiàng)目項(xiàng)目成功完成5例行維護(hù)與優(yōu)化……文檔分層分級管理，對應(yīng)各層文檔加密控制項(xiàng)目成功完成3例行維護(hù)與優(yōu)化……20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx總體質(zhì)量與進(jìn)度如何控制？詳細(xì)信息雙擊此文件展開WBS分解計(jì)劃甘特圖阻礙企業(yè)平安體系建設(shè)成功的主要風(fēng)險(xiǎn)是什么，怎樣控制？40%思想觀念現(xiàn)存體制缺乏使命感缺乏領(lǐng)導(dǎo)不現(xiàn)實(shí)的預(yù)期缺乏團(tuán)隊(duì)組織人員素質(zhì)技術(shù)支持項(xiàng)目授權(quán)20%60%80%風(fēng)險(xiǎn)識別控制措施安全人力薄弱，項(xiàng)目實(shí)施進(jìn)度延遲，影響業(yè)務(wù)部門對安全項(xiàng)目建設(shè)的信心成立跨部門項(xiàng)目組，關(guān)聯(lián)部門領(lǐng)導(dǎo)給予有力的人力的支持；信息安全部確定安全兼職人員，補(bǔ)充安全力量。安全組織結(jié)構(gòu)調(diào)整后，相關(guān)部門并不配合安全專業(yè)機(jī)構(gòu)的工作，或者推諉，造成安全項(xiàng)目質(zhì)量受到嚴(yán)重影響完善績效考評機(jī)制。確認(rèn)對部門及安全工作人員的績效，公司信息安全監(jiān)管委員會(huì)或信息安全部有建議權(quán)。安全專業(yè)人員目前無“備份”力量，公司安全大廈搭建起來以后，影響安全整體的運(yùn)作質(zhì)量關(guān)注培養(yǎng)公司內(nèi)部信息安全人員，加大引入有經(jīng)驗(yàn)的專業(yè)安全人員力度目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設(shè)有效的企業(yè)信息平安體系信息平安標(biāo)桿關(guān)鍵成功因素標(biāo)桿公司信息平安管理體系簡介信息平安管理組織技術(shù)支撐體系信息平安制度體系03年起，標(biāo)桿公司持續(xù)投入重金，根據(jù)ISO27001標(biāo)準(zhǔn)，構(gòu)建設(shè)置了其信息平安管理體系，并通過了認(rèn)證。有目共睹的事實(shí)證明，這個(gè)體系的運(yùn)作，推動(dòng)了標(biāo)桿公司這列“火車〞的市場更加高效、平安平穩(wěn)地前行與增長，……反響高效、上下一體的公司信息平安“神經(jīng)系統(tǒng)〞公司信息安全監(jiān)管委員會(huì)信息安全部（全球信息安全管理辦公室）網(wǎng)絡(luò)安全部物業(yè)行政管理部各大部門信管辦各子公