IT標準項目管理流程課件雙份文檔

IT標準項目管理流程EthantabaMay201901項目實施流程簡介項目實施流程圖項目標準工程文檔清單各階段詳細描述組織架構及角色能力說明020304053大家好項目實施流程簡介????本實施流程參考PMI標準實施流程，根據(jù)Ethan云引擎項目實施具體情況，進行部分修改。本實施流程應用于軟件、硬件、弱電、物聯(lián)等的項目管理。Ethan供應商也應遵守此項目實施流程，按階段提供必要的交付物。實際操作中，經(jīng)客戶同意，部分文檔可選擇合并交付。0102項目實施流程圖簡介項目實施流程圖項目標準工程文檔清單各階段詳細描述組織架構及角色能力說明030405項目管理流程圖分析(Analysis)設計(Design)開發(fā)(Construction)測試(Test)上線驗收(Go-Live)調(diào)研架構設計詳細設計系統(tǒng)開發(fā)集成測試集成測試總結(jié)報告部署/試運行用戶測試用戶測試總結(jié)報告項目業(yè)務需求文檔系統(tǒng)詳細設計文檔)驗收報告需求分析確認需求設計確認單元測試測試驗收系統(tǒng)驗收大家好5010203項目實施流程圖簡介項目實施流程圖項目標準工程文檔清單各階段詳細描述組織架構及角色能力說明0405項目主要文檔清單（1）階段項目業(yè)務需求分析文檔軟硬件清單系統(tǒng)詳細設計文檔單元測試報告系統(tǒng)集成測試計劃系統(tǒng)集成測試報告分析設計設計開發(fā)測試測試編碼ZG-BRDZG-BOMZG-SDDZG-UTRZG-ITPZG-ITR客戶簽收文檔是否是否否是類型交付物交付物交付物交付物交付物交付物大家好7項目主要文檔清單（2）階段用戶驗收測試計劃用戶驗收測試報告系統(tǒng)配置安裝手冊系統(tǒng)部署計劃系統(tǒng)上線計劃用戶培訓資料測試測試上線驗收上線驗收上線驗收上線驗收編碼ZG-UATPZG-UATRZG-SIMZG-SDPZG-SGPZG-UTM客戶簽收文檔否否是是是是類型交付物交付物交付物交付物交付物交付物大家好8項目主要文檔清單（3）階段用戶手冊運營維護計劃項目驗收報告采購流程文檔需求變更文檔需求增補單文檔上線驗收上線驗收上線驗收其他其他其他編碼ZG-UMZG-OSPZG-PARZG-UPDZG-UCRDZG-UNRD客戶簽收文檔是是是否是是類型交付物交付物交付物交付物交付物交付物大家好9項目主要文檔清單（4）階段設備簽收單其他編碼ZG-UAD客戶簽收文檔是類型交付物設備驗收單其他ZG-UCD是交付物??具體各項目可以根據(jù)項目的特性以及客戶要求對文檔清單做一定調(diào)整，在項目啟動時由項目經(jīng)理與項目團隊一同確認下來；項目必須提交必要文檔，如果客戶未作要求，也需要作為公司交付物提交；大家好1001020304項目實施流程圖簡介項目實施流程圖項目標準工程文檔清單各階段詳細描述組織架構及角色能力說明05分析(Analysis)階段階段目標:確定項目業(yè)務需求，并由客戶簽字確認.工作內(nèi)容:業(yè)務顧問圍繞技術協(xié)議及售前調(diào)研結(jié)果，為業(yè)務需求調(diào)研進行準備，業(yè)務需求包括功能需求和非功能需求；業(yè)務顧問對項目所有業(yè)務需求進行調(diào)研和確認；業(yè)務顧問編寫業(yè)務需求文檔(BRD)并定義需求跟蹤表(RTM)在分析階段的內(nèi)容；業(yè)務顧問對業(yè)務需求文檔進行項目組評審及與客戶進行評審，并由客戶簽字確認；工作要點:.保證所有業(yè)務需求符合原合同范圍，包括功能需求和非功能需求；確保所有業(yè)務需求可實現(xiàn)，可衡量工作量；所有需求經(jīng)過客戶業(yè)務和IT用戶簽字確認，所有需求經(jīng)過用戶簽字確認，本階段才算結(jié)束，也才能進入設計階段；初始化需求跟蹤表，定義分析階段的需求跟蹤內(nèi)容；階段結(jié)束標志:客戶簽署全部項目需求文檔；完成更新并完成提交確認需求跟蹤表。設計(Design)階段階段目標：完成項目業(yè)務視圖到技術視圖的轉(zhuǎn)化，確立項目技術架構并對具體功能規(guī)劃技術細節(jié)；工作內(nèi)容–架構師針對客戶提出的功能需求和非功能需求，對系統(tǒng)進行架構設計；架構師基于架構設計確定項目最終的軟硬件清單(BOM)，經(jīng)過項目組評審和客戶評審后由客戶簽字確認；–設計人員基于架構設計以及項目業(yè)務需求，對所有具體業(yè)務功能進行詳細設計，并對系統(tǒng)詳細設計文檔(SDD)進行項目組評審；–設計人員以需求跟蹤表為對照，確定所有業(yè)務藍圖階段定義的需求都已經(jīng)進行設計;工作要點–系統(tǒng)架構設計須滿足所有功能需求和非功能需求；架構設計文檔須經(jīng)過項目組評審，如有必要還需客戶簽字確認；–最終軟硬件清單須基于系統(tǒng)架構設計確定，并經(jīng)由項目組和客戶評審，由客戶簽字，如有變更須嚴格按項目變更流程執(zhí)行；–系統(tǒng)詳細設計須滿足所有功能需求和非功能需求；詳細設計文檔須經(jīng)過項目組評審，如有必要還需客戶簽字確認；–須核對并更新需求跟蹤表，確保業(yè)務需求范圍在設計階段沒有遺漏，也沒有超出；階段結(jié)束標志（可合并)–系統(tǒng)架構設計文檔完成提交確認；–詳細設計文檔完成提交確認；–軟硬件清單完成提交確認；–完成更新并完成提交確認需求跟蹤表；大家好13開發(fā)(Construction)階段階段目標:將系統(tǒng)設計通過編碼轉(zhuǎn)化為系統(tǒng)程序，并完成各功能單元的初步驗證;工作內(nèi)容：程序員根據(jù)詳細設計進行編碼；開發(fā)負責人對各開發(fā)完成的功能點進行單元測試；開發(fā)負責人以需求跟蹤表為對照，確定詳細設計中所有需求都已經(jīng)被開發(fā)并完成單元測試，并確保開發(fā)未超出業(yè)務范圍；工作要點：系統(tǒng)開發(fā)必須嚴格按照詳細設計和公司開發(fā)規(guī)范要求；每一功能點必須通過了單元測試才算完成了開發(fā)；階段結(jié)束標志:單元測試報告完成提交確認；完成提交確認需求跟蹤表；March24,202014測試(Test)階段階段目標：完成對系統(tǒng)程序系統(tǒng)性測試，確保系統(tǒng)功能滿足用戶需求，并達到既定的技術要求；工作內(nèi)容?技術負責人部署系統(tǒng)到生產(chǎn)環(huán)境，并完成系統(tǒng)數(shù)據(jù)的設置；業(yè)務顧問對最終用戶進行培訓，確保其能正常使用系統(tǒng)；在生產(chǎn)環(huán)境中模擬生產(chǎn)數(shù)據(jù)，由最終用戶進行操作，進行全流程冒煙測試，驗證系統(tǒng)在實際生產(chǎn)環(huán)境下的功能使用；?冒煙測試后，系統(tǒng)正式上線使用，正式配合客戶生產(chǎn)進行試運行，并不斷完善修正試運行期間出現(xiàn)的問題；試運行結(jié)束，通過系統(tǒng)驗收，關閉項目；工作要點?業(yè)務數(shù)據(jù)收集必須在集成測試前完成，并在集成測試和用戶測試過程中進行驗證和調(diào)整；功能測試/集成測試/壓力測試和用戶驗收測試都需要測試人員定義測試案例并針對各案例的測試結(jié)果提交完整測試報告；按照程序發(fā)布規(guī)程，控制開發(fā)環(huán)境和測試環(huán)境的程序版本；階段結(jié)束標志?系統(tǒng)用戶驗收測試報告完成提交并由用戶簽字確認；?完成更新并完成提交確認需求跟蹤表；業(yè)務部署(Go-live)階段階段目標：把系統(tǒng)部署到生產(chǎn)環(huán)境，并將系統(tǒng)上線共最終用戶使用，最終完成項目驗收；?上線前須提交系統(tǒng)上線計劃經(jīng)項目組和客戶審核批準后正式上線；驗收報告必須由客戶簽字確認后，正式關閉項目；階段結(jié)束標志?用戶簽署系統(tǒng)驗收報告;工作內(nèi)容?技術負責人部署系統(tǒng)到生產(chǎn)環(huán)境，并完成系統(tǒng)數(shù)據(jù)的設置；業(yè)務顧問對最終用戶進行培訓，確保其能正常使用系統(tǒng)；?在生產(chǎn)環(huán)境中模擬生產(chǎn)數(shù)據(jù)，由最終用戶進行操作，進行全流程冒煙測試，驗證系統(tǒng)在實際生產(chǎn)環(huán)境下的功能使用；冒煙測試后，系統(tǒng)正式上線使用，正式配合客戶生產(chǎn)進行試運行，并不斷完善修正試運行期間出現(xiàn)的問題；?試運行結(jié)束，通過系統(tǒng)驗收，關閉項目；工作要點?系統(tǒng)部署前須提交系統(tǒng)部署安裝手冊，系統(tǒng)部署計劃和用戶權限分配手冊。培訓最終用戶前須提交用戶手冊和用戶培訓手冊，由項目組審核批準；如有需要交付給客戶，還須提交客戶審核并簽署確認；010203項目實施流程圖簡介項目實施流程圖項目標準工程文檔清單各階段詳細描述組織架構及角色能力說明0405IT項目組織角色-項目經(jīng)理工作職責–項目工作的最終決策人，按照公司項目管理標準流程，對項目成本、進度、人員、范圍、溝通、質(zhì)量、采購、風險進行管理；–制定項目計劃，并與各方項目干系人溝通，對計劃達成一致；–組織和協(xié)調(diào)各方干系人，推動項目按計劃實施；–監(jiān)控項目計劃的執(zhí)行，對項目實施過程中的變化進行管理，并適時對計劃進行調(diào)整；–定期對項目實施進展進行匯報，確保所有干系人對項目進展的理解一致并推動項目問題的解決；–領導項目組按照公司項目實施方法執(zhí)行項目；能力/知識要求–計劃能力–對項目的成本、進度、人力資源、溝通、質(zhì)量、風險、采購進行規(guī)劃，并提交相應計劃文檔；–執(zhí)行能力–通過對項目團隊的組織和領導，確保各方面工作能夠按計劃進行；監(jiān)控計劃執(zhí)行并對計劃的執(zhí)行結(jié)果進行分析，比對計劃并對計劃作出調(diào)整；–溝通能力–在制定計劃、執(zhí)行計劃以及解決各種項目問題和風險的過程中，能夠充分與各方項目干系人進行溝通，確保所有項目干系人對項目的理解一致，對項目的實施方法策略理解一致并能夠得到各方干系人的支持；–熟悉公司IT項目實施方法和管理方法；大家好18IT項目組織角色-業(yè)務責任人工作職責–領導業(yè)務團隊，帶領業(yè)務顧問制定項目需求調(diào)研文卷，開展對客戶業(yè)務需求的訪談，并確定項目的業(yè)務方案；–負責需求調(diào)研問卷的交付；負責領導業(yè)務方案的撰寫、確認和簽署；并在項目實施過程中根據(jù)實際情況對業(yè)務方案進行調(diào)整和確認；–在項目設計、開發(fā)階段對設計團隊和開發(fā)團隊提供業(yè)務支持；在測試階段對開發(fā)的系統(tǒng)進行測試驗證系統(tǒng)與業(yè)務需求的符合程度；–培訓用戶，確保用戶能開展驗收測試，以及在系統(tǒng)上線后最終用戶能夠正常使用系統(tǒng)；能力/知識要求–行業(yè)專家，熟悉項目所屬行業(yè)生產(chǎn)或管理流程，精通項目業(yè)務領域；–領導能力-計劃、組織、領導和監(jiān)控業(yè)務團隊的工作，確保項目業(yè)務方面工作按項目要求完成；–業(yè)務規(guī)劃驗證能力–結(jié)合行業(yè)最佳實踐，對客戶業(yè)務現(xiàn)狀進行系統(tǒng)性分析，提出需求調(diào)研問卷，并在訪談業(yè)務后能針對客戶需求系統(tǒng)性地提出可執(zhí)行的、符合項目成本、時間、質(zhì)量要求的業(yè)務方案，并能準確撰寫業(yè)務方案并更新RTM；–溝通能力–掌控與客戶的業(yè)務訪談過程，結(jié)合行業(yè)最佳實踐和項目成本、時間、質(zhì)量、可行性方面的要求，在訪談和確認需求的過程中能引導客戶需求，使最終業(yè)務方案既能滿足客戶需求，同時又能符合項目的成本、時間、質(zhì)量、可行性等各方面約束條件；大家好19IT項目組織角色-業(yè)務顧問工作職責–在業(yè)務負責人的領導下，制定項目需求調(diào)研文卷，對客戶業(yè)務需求進行訪談，并確定項目的業(yè)務方案；–配合業(yè)務負責人交付需求調(diào)研問卷，以及進行業(yè)務方案的撰寫、確認和簽署；并在項目實施過程中根據(jù)實際情況對業(yè)務方案進行調(diào)整和確認；–在項目設計、開發(fā)階段對設計團隊和開發(fā)團隊提供業(yè)務支持；在測試階段對開發(fā)的系統(tǒng)進行測試驗證系統(tǒng)與業(yè)務需求的符合程度；能力/知識要求–行業(yè)專家，熟悉項目所屬行業(yè)生產(chǎn)或管理流程，熟悉項目業(yè)務領域；–業(yè)務規(guī)劃驗證能力–在業(yè)務負責人領導下對客戶業(yè)務現(xiàn)狀進行系統(tǒng)性分析，提出需求調(diào)研問卷，并在訪談業(yè)務后能針對客戶需求系統(tǒng)性地提出可執(zhí)行的、符合項目成本、時間、質(zhì)量要求的業(yè)務方案，并能準確撰寫業(yè)務方案并更新RTM；同時，配合業(yè)務負責人在系統(tǒng)部署上線前規(guī)劃用戶權限和用戶培訓，撰寫并提交用戶權限分配手冊、用戶培訓手冊和用戶手冊；–溝通能力–在業(yè)務負責人的領導下，掌控與客戶的業(yè)務訪談過程，結(jié)合行業(yè)最佳實踐和項目成本、時間、質(zhì)量、可行性方面的要求，在訪談和確認需求的過程中能引導客戶需求，使最終業(yè)務方案既能滿足客戶需求；大家好20IT項目組織角色-系統(tǒng)架構師工作職責–領導技術團隊，根據(jù)業(yè)務方案，帶領設計人員對系統(tǒng)架構和詳細功能進行設計，確定架構方案和功能設計方案，撰寫架構文檔和詳細設計文檔并確認，并在項目實施過程中根據(jù)實際情況對技術方案和功能細節(jié)設計進行調(diào)整和確認；–領導技術團隊，根據(jù)系統(tǒng)架構，最終確定系統(tǒng)軟硬件清單；–在項目設計、開發(fā)階段對設計團隊和開發(fā)團隊提供技術指導和支持；在測試階段對開發(fā)的系統(tǒng)進行測試（主要為性能測試和壓力測試）以驗證系統(tǒng)與非功能需求的符合程度；–制定部署方案，并帶領技術團隊進行上線前部署；能力/知識要求–技術專家，熟悉項目所屬業(yè)務領域，精通系統(tǒng)設計和主流軟件技術；–領導能力-計劃、組織、領導和監(jiān)控技術團隊的工作，確保項目設計、開發(fā)、部署工作按項目要求完成；–設計能力–結(jié)合行業(yè)最佳實踐，對客戶業(yè)務需求進行系統(tǒng)性分析，結(jié)合公司的產(chǎn)品或平臺技術，設計符合項目成本、時間、質(zhì)量要求的系統(tǒng)架構方案及具體功能設計方案，并能準確撰寫架構設計文檔和詳細設計文檔并更新RTM；同時，還需要根據(jù)架構設計文檔和詳細設計文檔撰寫并提交系統(tǒng)部署計劃和部署安裝手冊；–溝通能力–主導架構方案確定過程中的對內(nèi)對外的各方面溝通；另外，還要能把項目架構設計、部署方案準確清晰地對其它項目干系人進行知識轉(zhuǎn)移；準確匯報階段狀態(tài)和結(jié)果；大家好21IT項目組織角色-設計人員工作職責–在系統(tǒng)架構師的領導下，根據(jù)業(yè)務方案，對系統(tǒng)架構和詳細功能進行設計，確定架構方案和功能設計方案，撰寫架構文檔和詳細設計文檔并確認，并在項目實施過程中根據(jù)實際情況對技術方案和功能細節(jié)設計進行調(diào)整和確認；–配合系統(tǒng)架構師，根據(jù)系統(tǒng)架構，最終確定系統(tǒng)軟硬件清單；–在項目設計、開發(fā)階段對設計團隊和開發(fā)團隊提供技術指導和支持；在測試階段對開發(fā)的系統(tǒng)進行測試（主要為性能測試和壓力測試）以驗證系統(tǒng)與非功能需求的符合程度；能力/知識要求–技術專家，熟悉項目所屬業(yè)務領域，熟悉系統(tǒng)設計和主流軟件技術；–設計能力–在系統(tǒng)架構師的領導下，結(jié)合行業(yè)最佳實踐，對客戶業(yè)務需求進行系統(tǒng)性分析，結(jié)合公司的產(chǎn)品或平臺技術，設計符合項目成本、時間、質(zhì)量要求的具體功能設計方案甚至系統(tǒng)架構方案，并能準確撰寫詳細設計文檔甚至架構設計文檔并更新RTM；同時，還需要根據(jù)架構設計文檔和詳細設計文檔，配合系統(tǒng)架構師撰寫并提交系統(tǒng)部署計劃和部署安裝手冊；–溝通能力–參與構方案確定過程中的對內(nèi)對外的各方面溝通；另外，還要能把項目架構設計、功能設計、系統(tǒng)部署方案準確清晰地對其它項目干系人進行知識轉(zhuǎn)移；大家好22IT項目組織角色-軟件開發(fā)負責人工作職責–在系統(tǒng)架構師的領導下，根據(jù)技術設計方案，帶領軟件開發(fā)團隊開發(fā)系統(tǒng)并進行單元測試，并在項目實施過程中根據(jù)調(diào)整的技術方案和功能細節(jié)設計進行開發(fā)和優(yōu)化；–在項目開發(fā)階段對軟件開發(fā)團隊提供技術指導和支持；在測試階段配合測試人員的測試以驗證系統(tǒng)與業(yè)務需求的符合程度；–帶領軟件開發(fā)團隊對測試的程序問題進行修復和優(yōu)化；–參與具體開發(fā)、單元測試工作；能力/知識要求–技術專家，精通主流軟件開發(fā)技術；–領導能力-計劃、組織、領導和監(jiān)控軟件開發(fā)團隊的工作，確保項目開發(fā)工作按項目要求完成；并主導項目軟件單元測試報告的編寫和提交確認并更新RTM；–溝通能力–主導軟件開發(fā)團隊內(nèi)的技術溝通及工作安排，能把項目設計方案準確清晰地對其它開發(fā)人員進行知識轉(zhuǎn)移；并能準確匯報開發(fā)狀態(tài)和結(jié)果；大家好23IT項目組織角色-軟件開發(fā)人員工作職責–在軟件開發(fā)負責人的領導下，開發(fā)軟件系統(tǒng)并進行單元測試，并在項目實施過程中根據(jù)調(diào)整的技術方案和功能細節(jié)設計進行開發(fā)和優(yōu)化；–在測試階段配合測試人員的測試以驗證系統(tǒng)與業(yè)務需求的符合程度；–對測試的軟件程序問題進行修復和優(yōu)化；能力/知識要求–熟悉主流軟件技術；熟悉公司產(chǎn)品或平臺技術；–能夠理解系統(tǒng)的架構方案和詳細功能設計，并把設計轉(zhuǎn)化為具體的系統(tǒng)代碼并進行單元測試；–能夠與項目組成員進行開發(fā)相關工作的溝通以達成一致；大家好24IT項目組織角色-測試負責人工作職責–向項目經(jīng)理負責，領導測試團隊為各測試階段分別制定并確認測試計劃，編寫測試案例，并在測試完成后編寫并提交測試報告；–根據(jù)各階段測試計劃和測試案例，結(jié)合系統(tǒng)業(yè)務和技術方案，領導測試團隊進行系統(tǒng)功能測試、集成測試、壓力測試和用戶測試，確保系統(tǒng)符合業(yè)務需求及達到上線標準；–定期(每周)對測試結(jié)果進行分析匯總，并將測試結(jié)果向項目經(jīng)理及其它項目組成員反饋；能力/知識要求–測試專家，精通主流測試方法和工具，熟悉系統(tǒng)業(yè)務領域；熟悉公司產(chǎn)品或平臺技術；–領導能力-計劃、組織、領導和監(jiān)控測試團隊的工作，確保項目測試工作按項目要求完成；并主導項目各測試階段的測試計劃、測試案例、和測試報告的編寫和提交確認并更新RTM；–測試分析能力–定期對測試結(jié)果進行分析匯總，并生成統(tǒng)計報表，用數(shù)據(jù)對項目的實施質(zhì)量進行說明；–溝通能力–主導測試團隊內(nèi)的溝通及工作安排，能把項目測試方案準確清晰地對其它測試人員進行知識轉(zhuǎn)移；并能準確匯報測試狀態(tài)和結(jié)果；大家好25IT項目組織角色-測試工程師工作職責–主要由業(yè)務顧問組成；–配合測試負責人為各測試階段分別制定并確認測試計劃，編能力/知識要求–熟悉主流測試方法和工具；熟悉公司產(chǎn)品或平臺技術；–能夠理解測試計劃和測試案例，在各階段分別根據(jù)各階段測寫測試案例；–在測試負責人的領導下，根據(jù)系統(tǒng)各階段的測試計劃和測試案例，結(jié)合系統(tǒng)業(yè)務和技術方案進行系統(tǒng)功能測試、集成測試、壓力測試和用戶測試，確保系統(tǒng)符合業(yè)務需求及達到上線標準；試計劃和測試案例對系統(tǒng)進行；–能夠與項目組成員進行測試相關工作的溝通以達成一致；????此項目組織能力模型之規(guī)定了Ethan方項目組成員的角色職責和要求，對于客戶方的成員的能力模型，將在需要的情況下后續(xù)進行定義；此模型為標準項目組織能力模型，各項目售前、售后組織架構設立項目角色時都將以此模型為藍本，如需對組織角色進行調(diào)整，須征得各個部門同意；根據(jù)項目的實際情況，一個人員可以兼任多個角色；系統(tǒng)上線計劃和系統(tǒng)運營維護計劃將由項目經(jīng)理主導編寫和提交；大家好26項目組織參考圖簡要說明項目負責人直接相關人間接相關人員其他名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司名字，職位，公司28IT項目標準組織架構說明組織機構項目變更委項目實施組織職責人員組成項目指導委員會項目集管理委員會項目管理辦公室(PMO)項目質(zhì)量保證團隊項目方案領導小組員會成員團隊是否是否是是是是否是項目最高管理組織，為項目提供資金、資源，并提供決策、領導支持，具體包括：?客戶業(yè)務部門主管高層領導；?提供資金、人員、工作環(huán)境設施、知識技術等任何執(zhí)行項目所必須的資源；?客戶IT部門主管高層領導；?對項目的范圍、成本、時間等任何項目變更進行最終審批決策，把握項目執(zhí)行的總體方向；?Ethan部門主管高層領導；?定期聽取項目匯報，監(jiān)督項目實施進度；?直接對項目管理工作進行指導，監(jiān)控項目質(zhì)量；?客戶業(yè)務部門主管領導；?對項目變更進行審批決策；?客戶IT部門主管領導；?協(xié)調(diào)項目資源，協(xié)調(diào)跨項目溝通，推動項目問題解決；?Ethan部門主管領導；?建立組織內(nèi)項目管理的支撐環(huán)境。包括統(tǒng)一的項目實施流程、項目過程實施指南和文檔模板、項目管理工具、項目管理信息系統(tǒng)；?提供項目管理的指導和咨詢。最大限度集中項目管理專家，提供項目管理的咨詢和顧問服務；?客戶IT部門項目經(jīng)理；?組織內(nèi)的多項目管理和監(jiān)控。Ethan部門項目經(jīng)理；其他需要這些信息的組織或部門進行報告。；PMO統(tǒng)一收集和匯總所有項目的信息和績效，并對組織高層或??客戶業(yè)務部門項目經(jīng)理?項目組合管理。包括將組織戰(zhàn)略和項目關聯(lián)，項目選擇和優(yōu)先級排定。組合所關心的是適配、制要求，建議配備)；(不強效用和平衡；?審核項目計劃，監(jiān)控項目計劃的執(zhí)行情況；?客戶業(yè)務部門相關負責人；?監(jiān)控項目實施質(zhì)量，定期對項目質(zhì)量進行檢查；?客戶IT部門相關負責人；?定期向項目指導委員會/項目集管理委員會匯報項目質(zhì)量狀況；?Ethan部門相關負責人；?對PMO負責，全面負責項目的業(yè)務及技術整體解決方案；?領導項目的業(yè)務和技術工作的開展，對項目整體質(zhì)量負責；?客戶業(yè)務部門業(yè)務負責人；?監(jiān)控項目具體工作進展，推動項目按計劃完成各項具體工作；?客戶IT部門業(yè)務/技術負責人；?監(jiān)控各實施人員的工作質(zhì)量，必要時提供相應指導；?Ethan業(yè)務負責人/系統(tǒng)架構師；29IT項目標準組織架構說明組織機構項目變更委項目實施員會成員團隊組織職責?對PMO負責，全面負責項目的業(yè)務方案；?在項目方案領導小組的指導下，完成項目業(yè)務方案相關具體工作，確保業(yè)務方案簽署落地；?在項目實施過程中根據(jù)實際情況對業(yè)務方案進行適當調(diào)整并確認；?對PMO負責，全面負責項目的技術方案；?在項目方案領導小組的指導下，完成項目技術方案相關具體設計工作，確保技術方案簽署落地；?在項目實施過程中根據(jù)實際情況對技術方案進行適當調(diào)整并確認；人員組成?客戶關鍵業(yè)務用戶；?客戶IT部門業(yè)務負責人/業(yè)務顧問；?Ethan業(yè)務負責人/業(yè)務顧問；?客戶IT部門技術負責人/系統(tǒng)架構師；?Ethan系統(tǒng)架構師/設計人員；項目業(yè)務團隊否是項目設計團隊否是項目開發(fā)團隊否是?在項目方案領導小組和設計團隊的指導下，根據(jù)項目設計完成系統(tǒng)的開發(fā)(含單元測試)，建造?客戶軟件/自動化開發(fā)負責人最終的IT系統(tǒng)；(不強制要求，建議配備)；?在項目實施過程中根據(jù)設計的調(diào)整進行開發(fā)的調(diào)整；?Ethan軟件/自動化開發(fā)負責人；?在項目實施過程中根據(jù)測試的結(jié)果對系統(tǒng)問題進行修復；?Ethan軟件/自動化開發(fā)人員?對PMO負責，制定測試計劃、測試案例，對系統(tǒng)進行全面測試；?根據(jù)項目業(yè)務和技術方案，對項目的各項具體功能進行測試，并將測試結(jié)果反饋給方案領導小組、業(yè)務、設計及開發(fā)團隊；?向PMO和質(zhì)量保證團隊會把項目測試結(jié)果；?不是項目實施的核心團隊，但對項目的順利進展提供必要的軟件、硬件、網(wǎng)絡及其它基礎設施方面的支持；?不是項目實施的核心團隊，但作為與項目所構建系統(tǒng)存在交互的其它系統(tǒng)的實施團隊，必然需要與項目組進行相應通信接口方面的技術溝通確認和計劃協(xié)調(diào)，并提供必要支持；?客戶關鍵業(yè)務用戶(UAT)；?客戶IT測試負責人；?Ethan測試負責人/測試人員；?客戶IT基礎設施負責人；?客戶IT數(shù)據(jù)管理負責人；?客戶IT運營及其他支持人員；項目測試團隊否是項目支持團隊否是項目相關系統(tǒng)團隊???否是?其它相關系統(tǒng)團隊負責人；此架構為標準組織架構，各項目售前、售后組織架構設立都將以此架構為藍本，如需對組織架構進行調(diào)整，須征得高層領導同意；組織架構必須兼顧Ethan、客戶業(yè)務、客戶IT三方人員，并要求客戶配備；一個人員可以兼任多個角色屬于多個團隊；IT項目標準管理領域及流程?項目的管理流程涉及到各個不同的部門。?流程之間有重合的部分。?未來在整體項目實施水平提升后，再進一步抽象更多的項目管理方法（比如，質(zhì)量/依賴等）。?詳細內(nèi)容需要參考”項目管理流程.vsd”。資源時間溝通變更成本&采購IT項目標準管理文檔1項目時間計劃(時間質(zhì)量管理)2項目成本計劃(成本采購管理)3項目資源計劃(人員管理)4項目行動清單(風險管理)5項目依賴項清單(風險管理)6項目報告管理()7溝通管理(定期會議等)大家好演講完畢謝謝您的聆聽匯報人：Ethantaba時間：2019年X月X日大家好謝謝觀看單擊此處添加副標題內(nèi)容2年10月甲方集團

信息安全管理體系優(yōu)化咨詢項目

信息安全建設規(guī)劃報告?2012DD華永會計師事務所有限公司版權所有

保留一切權利35報告目錄信息安全建設需求分析信息安全建設藍圖規(guī)劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設方案輸入附件信息安全建設方案內(nèi)容說明信息安全需求細部說明信息安全建設工作任務績效指標其他補充信息安全建設需求分析36信息安全建設需求分析信息安全建設藍圖規(guī)劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設方案輸入甲方集團信息安全現(xiàn)況調(diào)研基準：

ISO27001:2013信息安全管理國際標準37供應商關系Ch1.適用范圍(Scope)CH4.組織環(huán)境(ContextofOrganization)Ch2.規(guī)范性引用標準(Normativereferences)

Ch3.術語與定義(Termsanddefinitions)Ch5.領導力(Leadership)

Ch6.規(guī)劃(Planning)Ch7.支持(Support)Ch8.運行(Operation)控制域與控制措施信息安全方針信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全操作安全通信安全系統(tǒng)獲取、開發(fā)與維護A.5A.6A.7A.8A.9A.11A.12A.13A.14A.15Ch9.績效評估(Performanceevaluation)Ch10.

改進(Improvement)A.10信息安全事件管理A.16業(yè)務連續(xù)性管理A.17合規(guī)性A.18`信息安全方針信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全合規(guī)性業(yè)務連續(xù)性管理的信息安全層面信息安全事件管理供應商關系系統(tǒng)獲取、開發(fā)及維護通信安全操作安全信息安全管理制度ISO

27001:2013是目前國際上公認的信息安全管理標準，它指引公司對于信息安全的議題，應該關注14個信息安全管理域，對于信息安全的管理才完整信息安全的范疇：

對應ISO27001:2013的14個信息安全管理域38人員/單位第三方服務廠商人員聘雇解雇績效管理人力資源調(diào)研顧客信息市場區(qū)隔營銷知識產(chǎn)權外包服務轉(zhuǎn)包第三方會計預算企業(yè)資源計劃財務合約

訴訟法務信息管理流程信息消費勘察客戶關系管理銷售商品研發(fā)運營戰(zhàn)略研發(fā)客戶信息個人身份信息客服運營流程財務系統(tǒng)客戶關系管理系統(tǒng)…電銷系統(tǒng)POS系統(tǒng)人力資源系統(tǒng)應用系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)倉庫文件服務器……數(shù)據(jù)存儲網(wǎng)絡基礎架構網(wǎng)絡辦公大樓(風火水電)物理環(huán)境人員安全業(yè)務數(shù)據(jù)安全信息系統(tǒng)安全物理環(huán)境安全供應商關系信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全操作安全信息安全方針系統(tǒng)獲取開發(fā)與維護合規(guī)性信息安全事件管理業(yè)務連續(xù)性管理通信安全甲方集團在ISO27001:2013的14個信息安全管理域

的管理成熟度現(xiàn)況39初始級可重復級已定義級已管理級

可優(yōu)化級

*目前14個信息安全管理域中，共有10個域在初始級或是可重復級業(yè)務數(shù)據(jù)安全人員安全信息系統(tǒng)安全物理環(huán)境安全供應商關系信息安全組織人力資源安全物理與環(huán)境安全資產(chǎn)管理(終端)訪問控制加密操作安全通信安全(網(wǎng)絡)系統(tǒng)獲取、開發(fā)與維護信息安全事件管理信息安全方針業(yè)務連續(xù)性管理合規(guī)性項目團隊透過調(diào)研活動所反饋到的信息安全主要發(fā)現(xiàn)事項

-依信息安全管理域分類40業(yè)務數(shù)據(jù)安全人員安全信息系統(tǒng)安全物理環(huán)境安全供應商關系信息安全組織人力資源安全物理與環(huán)境安全資產(chǎn)管理(終端)訪問控制加密操作安全通信安全(網(wǎng)絡)系統(tǒng)獲取、開發(fā)與維護信息安全事件管理信息安全方針業(yè)務連續(xù)性管理合規(guī)性[集團]2個[SBU]3個[集團]1個[SBU]2個[集團]5個[SBU]3個[集團]5個[SBU]9個[SBU]13個[SBU]2個[SBU]3個[集團]3個[SBU]2個[集團]2個[SBU]10個[集團]6個[SBU]26個*本次調(diào)研匯整共97個主要發(fā)現(xiàn)事項，是指未符合ISO27001:2013的相關要求依據(jù)現(xiàn)況調(diào)研結(jié)果及分析，歸納出甲方集團的

七個主要信息安全管理問題

41Q7目前對于終端設備的管控薄弱，終端設備可能成為集團數(shù)據(jù)丟失的渠道或外部入侵的跳板資產(chǎn)管理(終端)Q6部分利潤中心在網(wǎng)絡層面的安全防御程度不足，在面對或外部網(wǎng)絡攻擊時可能影響到集團層次通信安全Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運維階段，尚有許多安全控制需要強化及落實，才能保證系統(tǒng)安全運作系統(tǒng)獲取、開發(fā)與維護Q4信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務時的復原能力需強化信息安全事件管理業(yè)務連續(xù)性管理Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統(tǒng)面臨不當取存的風險訪問控制Q1集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分人力資源安全信息安全組織Q2以等保為核心的合規(guī)壓力加重，加上信息安全管理標準不清，造成部分安全工作執(zhí)行未到位合規(guī)性信息安全方針Q3訪問控制Q4事件應變/災備Q6網(wǎng)絡管控Q7終端管控Q5應用系統(tǒng)安全根本原因歸納：由于安全權責不清，加上信息安全標準落實不彰，進而衍生出其他執(zhí)行層面的問題(Q3~Q7)42Q2標準/合規(guī)Q1組織權責DD建議先厘清信息安全權責邊界，并且建立完整的信息安全標準內(nèi)容，再透過設定實施改善計劃，逐一改善執(zhí)行面的其他問題組織面管理面技術面信息安全建設藍圖規(guī)劃43信息安全建設需求分析信息安全建設藍圖規(guī)劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設方案輸入信息安全建設目標梳理44信息安全建設目標信息安全管理現(xiàn)況問題管理目標：規(guī)范信息安全管理，合理控制信息安全風險，支持信息化戰(zhàn)略目標的實現(xiàn)Q7.終端管控Q1.組織權責Q2.標準/合規(guī)Q3.人員管控Q5.應用系統(tǒng)安全Q6.網(wǎng)絡管控Q4.事件應變/災備信息安全建設目標：降低信息安全現(xiàn)況問題所帶來的安全風險及對業(yè)務運營的影響，并可持續(xù)改善及落實控制的有效性信息安全建設藍圖規(guī)劃45信息安全建設需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設需求匯整信息安全建設藍圖規(guī)劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設方案輸入12345671234567P1.組織權責整改方案46對于信息安全需求的細部說明，請參考附件2

項次信息安全現(xiàn)況問題對應建設方案安全需求對應工作任務主要工作內(nèi)容Q1集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分P1.組織權責整改方案梳理集團與利潤中心信息安全責任邊界O1.信息安全職責分工設計信息安全管控模式界定集團與利潤中心安全責任梳理信息系統(tǒng)生命周期中建設、運維、用戶及安全人員的角色責任O1.信息安全職責分工定義信息系統(tǒng)生命周期信息安全工作角色權責：按“集團信息安全標準”中的人員職責分工，劃清工作邊界設置信息安全組織O2.信息安全管理組織設置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員配備信息安全專職人員O3.信息安全管理員定期更新信息安全體系運維任務欄表定義信息安全管理員工作職能設置信息安全管理員梳理集團與利潤中心信息安全責任邊界O1.信息安全職責分工設計信息安全管控模式界定集團與利潤中心安全責任1234567P1.組織權責整改方案–信息安全責任邊界(管理層)47信息安全執(zhí)行組信息安全決策委員會利潤中心集團信息安全管理委員會信息安全專職人員基礎設施管理員應用管理員終端管理團隊管理層執(zhí)行層管理層：1、確定和細化通用性安全標準2、為管理范圍的安全建設配備資源3、對利潤中心進行信息安全績效考核（考核標準，依每年安全建設任務確定）管理層：1、確定和細化行業(yè)特定安全標準2、為管理范圍內(nèi)的安全建設配備資源3、可對下屬企業(yè)進行信息安全績效考核集團規(guī)劃通用性安全標準，并考核利潤中心實施狀況利潤中心建立特定安全標準，并考核下屬企業(yè)實施狀況集團（信息部）：充當裁判員，制定集團通用性安全標準利潤中心管理層：充當裁判員，制定個性化安全標準(如銀行、電力、燃氣等)1234567P1.組織權責整改方案–信息安全責任邊界（執(zhí)行層）48數(shù)據(jù)中心場地核心網(wǎng)操作系統(tǒng)中間件應用存儲數(shù)據(jù)庫利潤中心個性系統(tǒng)辦公場地/服務器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應商和外部人員服務器機房核心網(wǎng)操作系統(tǒng)中間件應用存儲數(shù)據(jù)庫集團共性與個性系統(tǒng)辦公場地/服務器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應商和外部人員利潤中心集團個性系統(tǒng)部分移交集團統(tǒng)一運維目前管理邊界個性化安全標準：各單位充當運動員：落實解決方案信息系統(tǒng)與基礎設施：配合網(wǎng)絡集中，廣域網(wǎng)絡統(tǒng)一出口，廣域網(wǎng)絡由集團集中管理。放入新一代數(shù)據(jù)中心的應用系統(tǒng)技術類建設模式，集團以工作協(xié)同的方式，依服務目錄提供服務與參考方案。各單位按性價比決定采用哪種方案利潤中心仍需負責未放入新一代數(shù)據(jù)中心的應用系統(tǒng)相關信息環(huán)境、局域網(wǎng)及終端的技術類建設工作。通用性安全標準：集團（潤聯(lián)）充當運動員：落實解決方案信息系統(tǒng)與基礎設施：集團作為服務方，以服務目錄的方向，向各單位提供集團的統(tǒng)一方案各單位需要協(xié)同集團的方案對于托管在集團的個性系統(tǒng)，個性化要求如在服務目錄中，可以由集團落實集團可充當教練員，以服務目錄的方式，向各單位提供集團的統(tǒng)一方案1234567架構師P1.組織權責整改方案–信息安全責任邊界

（執(zhí)行層按項目生命周期）49項目生命周期設計階段立項階段定義階段實現(xiàn)階段交付階段運維階段廢棄階段項目組應用系統(tǒng)管理員安全專職人員主責人員應用、中間件、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡的安全檢查應用安全運維應用系統(tǒng)廢棄數(shù)據(jù)庫安全設計中間件安全設計操作系統(tǒng)安全設計網(wǎng)絡安全設計應用系統(tǒng)安全需求分析應用系統(tǒng)安全方案設計應用系統(tǒng)開發(fā)測試安全/商業(yè)軟件選型應用安全部署應用系統(tǒng)安全方案設計1234567深化、細化現(xiàn)有管理規(guī)范滿足新技術發(fā)展的需求P1.組織權責整改方案–各單位建立信息安全管理組織持續(xù)推動50信息安全決策委員會信息安全執(zhí)行組信息安全組織信息安全管理委員會信息安全專職人員各系統(tǒng)的信息安全管理員各部室信息安全聯(lián)絡員人數(shù)由各單位根據(jù)本行業(yè)的業(yè)務特點、業(yè)務規(guī)模、信息系統(tǒng)的數(shù)量和復雜度等因素確定。由各系統(tǒng)管理員兼任。由部室領導指定核心骨干人員擔任。信息安全組織：要求集團和各單位建立信息安全組織管理框架，以啟動和控制組織范圍內(nèi)的信息安全實施和運行。1234567P2.標準/合規(guī)整改方案51對于信息安全需求的細部說明，請參考附件2

項次信息安全現(xiàn)況問題對應建設方案安全需求對應工作任務主要工作內(nèi)容Q2以等保為核心的合規(guī)壓力加重，加上信息安全管理標準不清，造成部分安全工作執(zhí)行未到位P2.標準/合規(guī)整改方案實施信息安全規(guī)范培訓與意識宣貫M3.培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫建立通用性的信息安全標準與基線M1.信息安全標準建立信息安全管理辦法：進行通用性的信息安全標準制定定期審閱與更新信息安全管理辦法實施信息系統(tǒng)等級保護M2.信息系統(tǒng)等級保護實施信息系統(tǒng)安全等級保護定級實施信息系統(tǒng)安全等級保護備案實施信息系統(tǒng)安全等級保護安全建設整改實施信息安全規(guī)范培訓與意識宣貫M3.培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫1234567P2.標準與合規(guī)整改方案-建立通用性的信息安全標準與基線52甲方（集團）有限公司信息安全管理辦法甲方（集團）有限公司信息安全標準信息系統(tǒng)安全管控要求信息資產(chǎn)管理人力資源安全供應商和外部人員管理信息安全事件管理合規(guī)性管理業(yè)務連續(xù)性管理數(shù)據(jù)存儲備份應用系統(tǒng)安全要求數(shù)據(jù)庫安全要求中間件安全要求操作系統(tǒng)安全要求網(wǎng)絡安全要求物理安全要求終端安全要求附錄：IT設備安全基線要求操作系統(tǒng)安全基線要求Web中間件安全基線要求數(shù)據(jù)庫系統(tǒng)安全基線要求網(wǎng)絡設備安全基線要求信息系統(tǒng)安全組織與職責信息安全組織對外合作與溝通信息安全角色與職責：信息系統(tǒng)：人員管理：終端1234567P2.標準與合規(guī)整改方案-實施信息系統(tǒng)等級保護531234567系統(tǒng)識別與描述等級確定定級保護對象框架建立選擇和調(diào)整安全措施安全規(guī)劃與方案設計安全措施實施等級評估符合等級保護要求？規(guī)劃與設計運行監(jiān)控與改進符合等級保護要求？是否實施、等級評估與改進否是2015年底前集團總部與利潤中心完成等保定級與備案。2016年底前集團總部與利潤中心針對等保三級以上系統(tǒng)需完成整改與等保測評。P3.人員管控整改方案項次信息安全現(xiàn)況問題對應建設方案安全需求對應工作任務主要工作內(nèi)容Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統(tǒng)面臨不當取存的風險P3.人員管控整改方案信息系統(tǒng)帳號權限審閱納入人員調(diào)離崗作業(yè)M4.人員安全管理簽署人員保密協(xié)議:職前背景調(diào)查、保密協(xié)議定期實施人員信息系統(tǒng)帳戶與權限復核：職前、職中、職后定期實施LDAP與個性系統(tǒng)帳號權限審閱T4.操作系統(tǒng)安全實施LDAP與個性系統(tǒng)帳號權限針對未經(jīng)授權或異常賬號進行刪除或停用54對于信息安全需求的細部說明，請參考附件2

1234567P3.人員管控整改方案–信息系統(tǒng)帳號權限審閱551234567用人部門確定任用人員到崗確認帳號權限人員調(diào)崗人員離崗人力資源部門發(fā)布到崗通知發(fā)布調(diào)崗通知發(fā)布離崗通知信息管理部門接收到崗通知確認帳號權限移除帳號權限HR系統(tǒng)LDAP開立帳號設置帳號/權限調(diào)整人員屬性停用帳號/權限與HR系統(tǒng)同步與HR系統(tǒng)同步與HR系統(tǒng)同步與LDAP介接之個性系統(tǒng)與LDAP同步與LDAP同步與LDAP同步未與LDAP介接之個性系統(tǒng)開立帳號設置帳號/權限停用帳號/權限發(fā)布調(diào)崗通知確認帳號權限是否調(diào)整帳號權限審核調(diào)整帳號權限與LDAP同步調(diào)整帳號/權限帳號權限審核P4.事件應變/災備整改方案–總覽項次信息安全現(xiàn)況問題對應建設方案安全需求對應工作任務主要工作內(nèi)容Q4信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務時的復原能力需強化P4.事件應變/災備整改方案實施信息系統(tǒng)安全日志集中留存M6.信息安全事件管理信息系統(tǒng)及基礎設施安全日志異地留存至數(shù)據(jù)中心SIEM平臺實施信息系統(tǒng)安全日志事件分析M6.信息安全事件管理定期檢視SIEM平臺安全事件建立SIEM平臺安全監(jiān)控策略建立緊急聯(lián)系清單及通報程序:包含信息安全事件報告、應急處理和原因調(diào)查建立信息資產(chǎn)分級與管控機制M5.信息資產(chǎn)管理定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實施信息系統(tǒng)安全風險評估：進行定期信息安全檢查和加固方案制定或更新信息系統(tǒng)應急預案M7.業(yè)務連續(xù)性與災備定期審閱與更新信息系統(tǒng)災備方案定期審閱與更新信息系統(tǒng)應急預案建立業(yè)務連續(xù)性計畫(BCP)：包含同城災備中心建設規(guī)劃/異地災備中心建設規(guī)劃實施信息系統(tǒng)應急預案演練M7.業(yè)務連續(xù)性與災備定期實施信息系統(tǒng)應急預案56對于信息安全需求的細部說明，請參考附件2

1234567P4.事件應變/災備整改方案–信息系統(tǒng)安全日志集中留存與分析57遠程管理即時監(jiān)控告警進階事件分析事件管理介面信息安全知識庫SIEM控制臺信息系統(tǒng)漏洞通報信息安全事件通報外部資源事件關聯(lián)平臺收集器事件管理系統(tǒng)信息資產(chǎn)管理系統(tǒng)報表系統(tǒng)信息安全事件響應平臺電子郵件短信告警系統(tǒng)SIEM管理後臺SIEM平臺數(shù)據(jù)庫信息安全設備服務器網(wǎng)絡設備信息系統(tǒng)信息安全管理員安全組HTTPS/HTTPSMSSMTP集團總部利潤中心配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，信息系統(tǒng)安全日志留存由集團統(tǒng)一規(guī)劃、統(tǒng)一建設，信息系統(tǒng)安全日志事件分析由集團集中處理與告警，利潤中心負責事件響應、處理與通報123456758P4.事件應變/災備整改方案–制定或更新信息系統(tǒng)應急預案1234567業(yè)務復原優(yōu)先級業(yè)務所需資源演練情境執(zhí)行回復之程序業(yè)務沖擊分析RTO復原時間目標風險評估威脅種類備份策略RPO數(shù)據(jù)回復目標業(yè)務所需最小資源資產(chǎn)造成損害之機率信息系統(tǒng)應急預案系統(tǒng)復原優(yōu)先級系統(tǒng)所需之軟硬件資源系統(tǒng)回復之程序系統(tǒng)備份策略信息系統(tǒng)災備需考慮軟硬件可能之建置時間依應急預案回復程序執(zhí)行演練P5.應用系統(tǒng)安全整改方案項次信息安全現(xiàn)況問題對應建設方案安全需求對應工作任務主要工作內(nèi)容Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運維階段，尚有許多安全控制需要強化及落實，才能保證系統(tǒng)安全運作P5.應用系統(tǒng)安全整改方案建立覆蓋信息系統(tǒng)生命周期的信息安全標準與基線M1.信息安全標準建立共通性的信息安全標準與基線：銀行、資產(chǎn)、電力、醫(yī)藥等單位進行個性化信息安全標準制定定期審閱與更新信息安全管理辦法建立信息資產(chǎn)分級與管控機制M5.信息資產(chǎn)管理定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期檢視與調(diào)整信息資產(chǎn)分級定期實施系統(tǒng)帳號審閱T4.操作系統(tǒng)安全實施個性系統(tǒng)帳號審閱針對未經(jīng)授權或異常賬號進行刪除或停用實施數(shù)據(jù)脫敏機制T3.數(shù)據(jù)庫/中間件安全評估數(shù)據(jù)脫敏實施需求強化測試環(huán)境安全管控建立測試模擬數(shù)據(jù)或數(shù)據(jù)脫敏工具定期實施信息信息系統(tǒng)安全檢測T2.應用系統(tǒng)安全定期實施信息系統(tǒng)安全檢測定期實施信息系統(tǒng)整改方案59對于信息安全需求的細部說明，請參考附件2

1234567P5.應用系統(tǒng)安全整改方案–信息系統(tǒng)生命周期的安全管理工作60信息系統(tǒng)生命周期設計階段實現(xiàn)階段定義階段立項階段廢棄階段運維階段項目組/應用管理員基礎設施管理團隊數(shù)據(jù)庫安全設計安全需求調(diào)研和定義開發(fā)測試安全商業(yè)軟件安全選型應用安全部署安全方案設計應用安全運維應用安全廢棄數(shù)據(jù)存儲備份數(shù)據(jù)庫管理員數(shù)據(jù)庫安全部署數(shù)據(jù)庫安全運維數(shù)據(jù)庫安全回收存儲備份管理員中間件管理員操作系統(tǒng)管理員網(wǎng)絡管理員場地管理員中間件安全設計中間件安全部署中間件安全運維中間件安全回收操作系統(tǒng)安全設計操作系統(tǒng)安全部署操作系統(tǒng)安全運維操作系統(tǒng)安全廢棄網(wǎng)絡安全設計網(wǎng)絡安全建設網(wǎng)絡安全運維網(wǎng)絡設備安全廢棄場地安全設計場地安全建設場地安全運維信息安全專職人員安全方案協(xié)同設計或評審上線前安全檢查定期安全檢查介質(zhì)消磁安全事件發(fā)現(xiàn)與處理存儲備份系統(tǒng)配置數(shù)據(jù)存儲備份方案設計數(shù)據(jù)安全廢棄場地安全廢棄1234567P6.網(wǎng)絡管控整改方案項次信息安全現(xiàn)況問題對應建設方案安全需求對應工作任務主要工作內(nèi)容Q6部分利潤中心在網(wǎng)絡層面的安全防御程度不足，在面對或外部網(wǎng)絡攻擊時可能影響到集團層次

P6.網(wǎng)絡管控整改方案建置外網(wǎng)新一代防火墻或入侵防御系統(tǒng)T5.網(wǎng)絡安全建設外網(wǎng)新一代防火墻或入侵防御系統(tǒng)布署終端防病毒軟件T6.終端安全實現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新布署終端數(shù)據(jù)防泄漏T6.終端安全實施終端安全整改，實現(xiàn)終端數(shù)據(jù)防泄漏安裝全覆蓋，至少包含外設管控、硬盤加密等定期實施終端系統(tǒng)漏洞檢測T6.終端安全定期實施終端系統(tǒng)漏洞檢測定期實施終端系統(tǒng)補丁更新建置內(nèi)網(wǎng)新一代防火墻T5.網(wǎng)絡安全評估內(nèi)網(wǎng)網(wǎng)絡傳輸管道安全風險實現(xiàn)內(nèi)網(wǎng)與下屬公司各網(wǎng)絡端口新一代防火墻全覆蓋實施生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡區(qū)隔T5.網(wǎng)絡安全評估生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡傳輸管道安全風險實現(xiàn)生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡端口網(wǎng)關全覆蓋61對于信息安全需求的細部說明，請參考附件2

1234567P6.網(wǎng)絡管控整改方案–利潤中心內(nèi)網(wǎng)新一代防火墻62利潤中心下屬公司互聯(lián)網(wǎng)出口集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司局域網(wǎng)利潤中心下屬公司仍保有獨立對外互聯(lián)網(wǎng)者，利潤中心需評估利潤中心與下屬公司間的網(wǎng)絡傳輸需求。如利潤中心與下屬公司仍需通過網(wǎng)絡傳輸數(shù)據(jù)或使用利潤中心系統(tǒng)，利潤中心需建設內(nèi)網(wǎng)新一代防火墻。集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)現(xiàn)況問題整改方案病毒惡意軟件APT病毒惡意軟件APT1234567P6.網(wǎng)絡管控整改方案–生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡區(qū)隔63集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)如利潤中心自行運維的個性系統(tǒng)為面向客戶提供服務、行業(yè)監(jiān)管要求需區(qū)隔生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡及與生產(chǎn)制造相關系統(tǒng)者，利潤中心需評估辦公網(wǎng)絡與生產(chǎn)網(wǎng)絡間的網(wǎng)絡傳輸需求，并實施生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡區(qū)隔。生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡區(qū)隔需采用防火墻劃分，生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡間的訪問控制需依梳理結(jié)果設置於防火墻。集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)辦公網(wǎng)絡現(xiàn)況問題整改方案病毒惡意軟件APT辦公設備生產(chǎn)系統(tǒng)擴散生產(chǎn)網(wǎng)絡病毒惡意軟件APT1234567集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)P6.網(wǎng)絡管控整改方案–終端防病毒軟件64現(xiàn)況問題整改方案病毒惡意軟件APT集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)病毒惡意軟件APT

區(qū)域功能需求集中管控功能單機版本免費軟件利潤中心總部VXX利潤中心下屬公司VXX利潤中心下屬公司外點(門店或營銷網(wǎng)點)視需選用VX1234567P6.網(wǎng)絡管控整改方案–數(shù)據(jù)防泄漏65集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司辦公環(huán)境現(xiàn)況問題設備丟失U磐云盤共享集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司辦公環(huán)境整改方案硬盤加密外設管控上網(wǎng)管理文檔審計文檔加密1234567P7.終端管控整改方案項次信息安全現(xiàn)況問題對應建設方案安全需求對應工作任務主要工作內(nèi)容Q7目前對于終端設備的管控薄弱，終端設備可能成為集團數(shù)據(jù)丟失的渠道或外部入侵的跳板P7.終端管控整改方案移除用戶本地權限T6.終端安全評估終端用戶使用行為要求終端用戶需加入域管控收回用戶本地最高權限強制啟用智能終端安全配置T6.終端安全實施智能終端安全解決方案設計智能終端管理準則加入用戶智能終端與生效設計終端數(shù)據(jù)備份方案T1.數(shù)據(jù)安全評估終端數(shù)據(jù)備份解決方案終端數(shù)據(jù)解決方案建置實施實施內(nèi)網(wǎng)網(wǎng)絡準入T5.網(wǎng)絡安全建立內(nèi)網(wǎng)網(wǎng)絡準入解決方案盤點內(nèi)網(wǎng)網(wǎng)絡使用資源內(nèi)網(wǎng)網(wǎng)絡準入管控生效建立用戶終端安全配置基線T6.終端安全定期實施終端安全檢測定期實施終端安全整改:實現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新終端用戶權限調(diào)整（由本地管理員權限調(diào)為普通用戶權限）硬盤加密，防止終端丟失時產(chǎn)生數(shù)據(jù)泄露對智能終端存儲的業(yè)務數(shù)據(jù)加密存儲，在終端丟失時，可以遠程安全擦除業(yè)務數(shù)據(jù)(MDM)66對于信息安全需求的細部說明，請參考附件2

1234567P7.終端管控整改方案–移除用戶本地權限67通過用戶本地最大權限現(xiàn)況問題整改方案域管理配置防病毒軟件預設安全配置未授權軟件變更系統(tǒng)配置防止用戶端強制加入域并移除用戶本地最大權限域管理配置防病毒軟件預設安全配置未授權軟件變更系統(tǒng)配置用戶本地環(huán)境數(shù)據(jù)中心局域網(wǎng)用戶本地環(huán)境數(shù)據(jù)中心局域網(wǎng)禁止禁止移除安裝病毒惡意軟件APT破壞病毒惡意軟件APT

1234567P7.終端管控整改方案–智能終端強制啟用安全配置68現(xiàn)況問題集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)服務器智能手機平板電腦推信丟失惡意軟件窺探配合網(wǎng)絡集中，廣域網(wǎng)絡統(tǒng)一出口，由集團總部集中管理。配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，智能終端存取配置由集團總部統(tǒng)一規(guī)劃、統(tǒng)一建設。丟失惡意軟件窺探

集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)服務器智能手機平板電腦推信整改方案強制設置開碼啟用遠程數(shù)據(jù)清除不符合的設備禁止取存服務推信1234567P7.終端管控整改方案–實施內(nèi)網(wǎng)網(wǎng)絡準入69現(xiàn)況問題整改方案集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡辦公環(huán)境未安裝防病毒軟件未加入域未安裝補丁未安裝防病毒軟件未加入域未安裝補丁集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡辦公環(huán)境

配合網(wǎng)絡集中，廣域網(wǎng)絡統(tǒng)一出口，由集團總部集中管理。配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，內(nèi)網(wǎng)網(wǎng)絡準入方案由集團總部統(tǒng)一規(guī)劃、統(tǒng)一建設。在新一代數(shù)據(jù)中心建成前的過渡期間，利潤中心仍需評估更新或新增內(nèi)網(wǎng)網(wǎng)絡準入方案。實施網(wǎng)絡準入，禁止不符合規(guī)定的設備使用集團網(wǎng)絡1234567P7.終端管控整改方案–終端數(shù)據(jù)備份方案70現(xiàn)況問題整改方案集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡辦公環(huán)境部門自行架設網(wǎng)盤U盤集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡辦公環(huán)境丟失毀損部門自行架設網(wǎng)盤U盤

終端數(shù)據(jù)備份方案丟失毀損1234567信息安全現(xiàn)況問題、建設方案與工作任務對應71Q1Q2Q3Q4Q5Q6Q7P7.終端管控整改方案P1.標準/合規(guī)整改方案P2.組織權責整改方案P3.人員管控整改方案P5.應用系統(tǒng)安全整改方案P6.網(wǎng)絡管控整改方案P4.事件應變/災備整改方案T6.終端安全T1.數(shù)據(jù)安全T5.網(wǎng)絡安全M1.信息安全標準M2.信息系統(tǒng)等級保護M3.培訓與宣貫O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員M4.人員安全管理T4.操作系統(tǒng)安全M5.信息資產(chǎn)管理T3.數(shù)據(jù)庫/中間件安全M6.信息安全事件管理M7.業(yè)務連續(xù)性與災備T2.應用系統(tǒng)安全組織管理技術問題建設方案建設方案工作任務信息安全建設方案總覽(續(xù))72M7、業(yè)務連續(xù)性與災備管理O2、信息安全管理組織組織技術M2、信息系統(tǒng)等級保護M6、信息安全事件管理M3、培訓與宣貫M1、信息安全標準M5、信息資產(chǎn)管理O3、信息安全管理員O1、信息安全職責分工T3、數(shù)據(jù)庫/中間件安全T5、終端安全T2、應用系統(tǒng)安全T4、操作系統(tǒng)安全T1、數(shù)據(jù)安全T6、網(wǎng)絡安全M4、人員安全管理P7.終端管控整改方案P1.標準/合規(guī)整改方案P2.組織權責整改方案P3.人員管控整改方案P5.應用系統(tǒng)安全整改方案P6.網(wǎng)絡管控整改方案P4.事件應變/災備整改方案信息安全建設目標：降低信息安全現(xiàn)況問題所帶來的安全風險及對業(yè)務運營的影響，并可持續(xù)改善及落實控制的有效性信息安全建設藍圖規(guī)劃73信息安全建設需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設需求匯整信息安全建設藍圖規(guī)劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設方案輸入梳理信息安全建設路徑規(guī)劃原則74不需要額外投入、投入較少的安全要求先實施；人員安全管理：保密協(xié)議、培訓、安全知識宣貫；終端用戶權限改為普通用戶權限，減少病毒危害（通過AD策略實現(xiàn)）終端補丁管理：架設補丁服務器，或通過互聯(lián)網(wǎng)直接升級；優(yōu)先實施最基礎的、緊迫度高的安全要求先實施：發(fā)生過安全事件的：終端防病毒U盤等外設控制網(wǎng)絡準入網(wǎng)絡攻擊檢測有利于發(fā)現(xiàn)和避免重大安全事件的：開啟系統(tǒng)審計日志（個別系統(tǒng)日志審計未開啟或日志保存時間過短）安全檢查和整改評估計算原則：類別人力需求預算需求復雜度迫切性比重10%30%20%40%說明人力投入需求分為三級。<1分最高>預算投入需求分為三級。<1分最高>方案執(zhí)行復雜度分為三級。<1分最高>方案實施迫切性分為三級。<3分最高>梳理信息安全建設路徑規(guī)劃原則(續(xù))75數(shù)據(jù)應用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡場地基礎設施終端互聯(lián)網(wǎng)個性系統(tǒng)辦公環(huán)境核心網(wǎng)絡數(shù)據(jù)應用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡場地基礎設施終端核心網(wǎng)絡互聯(lián)網(wǎng)個性協(xié)同辦公環(huán)境數(shù)據(jù)應用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡場地基礎設施終端核心網(wǎng)絡互聯(lián)網(wǎng)共性系統(tǒng)辦公環(huán)境場地基礎設施場地基礎設施場地基礎設施利潤中心機房數(shù)據(jù)中心機房數(shù)據(jù)中心機房信息系統(tǒng)類型終端地點應用系統(tǒng)與基礎設施信息系統(tǒng)地點終端互聯(lián)網(wǎng)應用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)核心網(wǎng)絡場地基礎設施互聯(lián)網(wǎng)大運維服務機房信息安全建設方案優(yōu)先序分析人力需求10%<1分最高>預算需求30%<1分最高>復雜度20%<1分最高>迫切性40%<3分最高>總分優(yōu)先序P1.組織權責整改方案33132.61P2.標準/合規(guī)整改方案23132.52P3.人員管控整改方案13222.25P4.事件應變/災備整改方案32322.34P5.應用系統(tǒng)整改方案21221.77P6.網(wǎng)絡管控整改方案32222.16P7.終端管控整改方案32232.5376確立信息安全演進路線77第三方單位人員實施層面：繼續(xù)推廣，擴大推廣范圍，各單位將種子單位的經(jīng)驗在本單位內(nèi)推廣，推廣的下屬企業(yè)數(shù)量達80%以上效果要求：推廣單位的信息安全成熟度達到3級水平建設規(guī)劃階段（14年底）體系試點階段（2015-2016）體系推廣階段（2017-2020）管理邊界：確定集團與利潤中心信息安全管理邊界標準與規(guī)劃：設計通用性信息安全標準,制定信息安全建設規(guī)劃,并完成對各單位信息管理部門的宣貫組織建設：各單位建議安全組織、配備信息安全專職人員標準：個別單位依監(jiān)管要求，制定個性化安全標準實施層面：落實“基礎級”的安全要求，解決最緊迫度高的安全問題，特別是發(fā)生過安全事件的如終端防病毒、U盤控制、網(wǎng)絡攻擊檢測，及不需要額外投入的安全要求，如保密協(xié)議，安全培訓、開啟系統(tǒng)審計日志、安全檢查和加固落實策略：各單位在本單位選擇1-2種子單位進行試點落實實施層面：繼續(xù)推廣落實信息安全標準與基線的安全要求；落實策略：各單位將種子單位的經(jīng)驗在本單位內(nèi)推廣，推廣的下屬企業(yè)數(shù)量達40%-50%；效果要求：推廣單位的信息安全成熟度達到3級水平2016年底2018年底2014年底2020年底信息安全建設藍圖規(guī)劃78信息安全建設需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設需求匯整信息安全建設藍圖規(guī)劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設方案輸入開展信息安全建設工作藍圖年度試點階段推廣階段201520162017201820192020建設方案Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4P1.組織權責整改方案P2.標準/合規(guī)整改方案P3.人員管控整改方案P4.事件應變/災備整改方案P5.應用系統(tǒng)整改方案P6.網(wǎng)絡管控整改方案P7.終端管控整改方案建立組織各單位持續(xù)落實建立標準持續(xù)落實集團試點與布建集團試點實施與推廣集團實施各單位持續(xù)落實集團推廣與方案優(yōu)化各單位按需實施制定標準細化安全標準與落實79目前針對P1與P2建設方案，己經(jīng)由DD與甲方集團項目成員共同完成設計工作，將于后面章節(jié)細部說明開展信息安全建設工作藍圖–

設計信息安全建設實施路線(集團總部)80建設方案工作任務201520162017201820192020P1.組織權責整改方案O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員P2.標準/合規(guī)整改方案M3.培訓與宣貫

M1.信息安全標準M2.信息系統(tǒng)等級保護P3.人員管控整改方案M4.人員安全管理

T4.操作系統(tǒng)安全

P4.事件應變與災備整改方案M6.信息安全事件管理M5.信息資產(chǎn)管理M7.業(yè)務連續(xù)性與災備P5.應用系統(tǒng)安全整改方案M1.信息安全標準

M5.信息資產(chǎn)管理T4.操作系統(tǒng)安全T3.數(shù)據(jù)庫/中間件安全

T2.應用系統(tǒng)安全

P6.網(wǎng)絡管控整改方案T6.網(wǎng)絡安全T5.終端安全

P7.終端安全整改方案T5.終端安全

T1.數(shù)據(jù)安全

T6.網(wǎng)絡安全

開展信息安全建設工作藍圖–

設計信息安全建設實施路線(利潤中心)81建設方案工作任務201520162017201820192020P1.組織權責整改方案O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員P2.標準/合規(guī)整改方案M3.培訓與宣貫

M1.信息安全標準M2.信息系統(tǒng)等級保護P3.人員管控整改方案M4.人員安全管理