企業(yè)信息安全體系建設方案V10

Copyright?1998-2021深圳昂楷科技

ShenzhenAnkkiTechnologiesCo.,Ltd企業(yè)信息平安體系建設方案V1.0鄧生品昂楷科技高級參謀目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關(guān)鍵成功因素2025/4/3AnkkiConfidential3公司簡介創(chuàng)始人足跡2025/4/3AnkkiConfidential4積極參與和組織國際OWASP峰會首屆OWASP中國峰會發(fā)布SOne解決方案。榮獲OWASP最正確效勞獎。2025/4/3AnkkiConfidential5://OWASP〔OpenWebApplicationSecurityProject〕2025/4/3AnkkiConfidential6進行安全、存儲、統(tǒng)一通信技術(shù)層面的評估和分析整合IT環(huán)境，夯實基礎(chǔ)架構(gòu)規(guī)劃進行管理策略、運行體系和戰(zhàn)略愿景層面的咨詢和規(guī)劃輔助客戶建立信息安全整體架構(gòu)推廣執(zhí)行推廣技術(shù)和管理策略落實咨詢方案，實現(xiàn)業(yè)務保障和創(chuàng)新與客戶共同成長，成為戰(zhàn)略合作伙伴端到端解決方案2025/4/3AnkkiConfidential7ANKKITMSone

深度業(yè)務平安解決方案隨著平安威脅不斷升級，傳統(tǒng)網(wǎng)絡級的平安解決方案已不能滿足豐富多彩的業(yè)務應用平安保障需要。昂楷科技不斷研發(fā)創(chuàng)新，研發(fā)出SOne深度業(yè)務平安解決方案，滿足金融、政府、證券、互聯(lián)網(wǎng)、電信、電力、高校、制造業(yè)等各行各業(yè)對應用系統(tǒng)平安日趨強烈的需要——業(yè)務平安，昂楷領(lǐng)航！2025/4/3AnkkiConfidential8支持HTTPS獨有的透明工作模式，方便部署平安的Bypass自學習自適應功能Web應用安全靈活定義群組、用戶的細粒度權(quán)限可靠容災機制，保護文件不被破壞靈活分級控制策略，適合超大規(guī)模組織機構(gòu)ALL-IN-ONE，防止多軟件客戶端帶來的種種困擾知識產(chǎn)權(quán)防泄密DLP多達200條的檢測基準獨特的可信管理機制業(yè)界獨有的風險級別量化機制效勞于德國電信DT、法國電信FT可配置可管理的全自動化加固機制可根據(jù)平安標準、風險級別靈活定制的策略包主機基線檢查和加固網(wǎng)站防篡改系統(tǒng)WDS效勞于德國電信DT、法國電信FT全面支持6大主流數(shù)據(jù)庫類型多達150多條的檢測基準數(shù)據(jù)庫基線檢查和加固獨有的雙向?qū)徲嫏C制領(lǐng)先的三層審計機制數(shù)據(jù)庫審計與風險控制系統(tǒng)認證培訓ISO27001/ISO20000LA審核員認證培訓COBIT/ITIL認證培訓CCIECCNPNSACE認證〔初級/中級/高級〕－可頒發(fā)工信部證書數(shù)據(jù)庫主機平安培訓〔專項技能培訓〕Windows系統(tǒng)平安培訓〔專項技能培訓〕Linux系統(tǒng)平安培訓〔專項技能培訓〕2025/4/3AnkkiConfidential9效勞承諾2025/4/3AnkkiConfidential10我們承諾銷售的產(chǎn)品解決方案提供終身免費遠程支持效勞效勞的客戶2025/4/3AnkkiConfidential11大亞灣核電站第二職校易斯博舜全電子惠科電子海能達思博倫北京富蘭電子千色店目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關(guān)鍵成功因素我們公司信息平安管理體系水平，處于哪個狀態(tài)？無標準平安防御與評估體系，外表太平建立管理組織體系、采取周期評估優(yōu)化措施平安標準可控，不斷優(yōu)化破產(chǎn)損失沉重根本無力回天平安水平$平安形勢越來越嚴峻麻痹者跌倒后，可能將永遠倒下典型的信息平安事件ISO27001對企業(yè)的意義ISO27001對企業(yè)的意義公司大局部員工總體信息平安意識比較淡?。桓鞑块T日常平安管理工作根本空白；公司沒有形成系統(tǒng)化的平安管理持續(xù)優(yōu)化系統(tǒng)。需求現(xiàn)實企業(yè)信息平安壓力與挑戰(zhàn)物理平安現(xiàn)狀企業(yè)信息平安現(xiàn)狀網(wǎng)絡平安現(xiàn)狀人員平安現(xiàn)狀企業(yè)信息平安現(xiàn)狀簡報問題重重疊加，風險時時攀升公司高密級網(wǎng)絡與低密級網(wǎng)絡無隔離；內(nèi)部網(wǎng)絡與外部網(wǎng)絡無有效隔離公司內(nèi)部員工之間、內(nèi)部員工與外網(wǎng)之間的通信，缺乏內(nèi)容的監(jiān)控與過濾公司數(shù)據(jù)中心缺乏容災備份機制、缺乏災難恢復方案，重大問題不知道如何恢復，缺乏持續(xù)的災難恢復演練各類密級信息無序流轉(zhuǎn)，無分層分級控制網(wǎng)絡平安現(xiàn)狀列舉TFJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC,,MS打印機、機等敏感設備放置在非受控的平安區(qū)域，缺乏有效監(jiān)控在公司重要場地，存儲和攝像功能的設備隨意使用公司辦公場地出入無有效證件登記與監(jiān)管、公司各區(qū)域門禁系統(tǒng)管理混亂門禁權(quán)限缺乏定期審核、清理，處于實驗室、數(shù)據(jù)中心等機要場地時未嚴格落實登記問題重重疊加，風險時時攀升物理平安現(xiàn)狀舉例平安要求的落地情況沒有人檢查，也沒有檢查標準、獎懲標準員工內(nèi)部轉(zhuǎn)崗或離職時，工作文件、權(quán)限等沒有及時交接或清理公司崗位職責缺乏平安要求定義，缺乏平安保密協(xié)議模板或者簽署的習慣敏感崗位缺乏有效的平安背景調(diào)查，既要崗位缺乏詳實的保密協(xié)議的簽署與執(zhí)行監(jiān)督?jīng)]有進行定期的全員平安意識培訓、考試，沒有將各部門的信息平安情況納入考核指標問題重重疊加，風險時時攀升人員平安現(xiàn)狀舉例目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關(guān)鍵成功因素什么是信息平安平安平安平安平安信息威脅弱點完整性保護信息及其處理步驟不被未授權(quán)的修改可用性確保信息能夠被授權(quán)的用戶在需要時訪問風險確保信息只被授權(quán)的人訪問保密性信息平安關(guān)注的“三性〞信息平安的4P平安策略與流程(Policy&Process)專業(yè)團隊和較高平安意識的員工People支撐產(chǎn)品(Product)信息平安的組成領(lǐng)域總攬信息平安11個控制領(lǐng)域

39個控制目標

133個控制項平安制度及流程管理措施11通信與操作管理10業(yè)務連續(xù)性管理2組織安全3資產(chǎn)分類與控制

5物理及環(huán)境安全8符合性4系統(tǒng)與維護9信息安全事件管理6訪問控制7人員安全1安全策略平安風險控制方案設計過程23451如何保證企業(yè)平安控制水平持續(xù)優(yōu)化？做什么怎么做把方案方案轉(zhuǎn)化成現(xiàn)實實際的情況是否與方案一樣得到控制下一步如何優(yōu)化建立與公司策略與目標相適宜的安全策略、對象、目標、流程活動等，聚焦于風險管理和提升信息的安全狀態(tài)。1.發(fā)起建設ISMS實施與運作各類安全策略、控制，以及安全流程與活動。2.實施與運作ISMS基于安全策略，評估、度量各安全控制過程的實際效用；形成評估結(jié)果報告提交管理層審視。3.監(jiān)控與審視ISMS基于管理層對風險評估結(jié)果(步驟3的輸出)的審視意見，采取正確有效的ISMS持續(xù)改進措施。4.維護與改進ISMSCDPA實際的情況是否與計劃一樣得到控制把計劃方案轉(zhuǎn)化成現(xiàn)實下一步如何優(yōu)化輸入輸出做什么怎么做平安工作模塊細分，全貌是什么？平安風險評估平安根底平安功能平安優(yōu)化平安戰(zhàn)略平安管理平安區(qū)域定義和劃分平安組織和責任劃分企業(yè)平安策略定義信息資產(chǎn)分類和分級緊急響應機制業(yè)務持續(xù)方案核心平安標準/流程平安變更管理平安補丁管理平安備份管理其它平安標準/流程平安培訓與教育第三方平安控制要求平安策略和標準修訂系統(tǒng)平安強化網(wǎng)絡入侵檢測體系高危數(shù)據(jù)傳輸加密關(guān)鍵系統(tǒng)日志記錄病毒防范機制身份認證體系訪問控制體系可用性與冗余性遠程訪問平安機制時間同步機制集中平安審計體系平安事件管理平臺企業(yè)身份認證平臺其它內(nèi)容平安機制其它數(shù)據(jù)傳輸加密主機入侵檢測體系數(shù)據(jù)存儲平安體系平安體系全面整合和控管國際或國內(nèi)平安認證這三項，是業(yè)界標桿用重金構(gòu)建起來、用成功實踐證明了的平安大廈的“脊梁〞信息安全體系WhatWhatWhat建立信息平安文件體系框架建立公司信息平安組織如何搭建企業(yè)信息平安防御大廈？公司信息平安文件體系如何建設與運維？確定公司信息安全類文件體系架構(gòu)確定各層文件內(nèi)容框架及編撰的責任部門12確立公司信息安全綱領(lǐng)性文件3建立公司安全策略被執(zhí)行的確保機制和各類流程模板平安文件體系架構(gòu)平安綱領(lǐng)性文件平安基準獎懲制度構(gòu)建反響靈敏、運作高效的平安管理組織公司信息安全監(jiān)管委員會全球信息安全管理辦公室網(wǎng)絡安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團隊國內(nèi)各地物業(yè)安全處海外各地物業(yè)安全處…………分管高管1.網(wǎng)關(guān)平安防御系統(tǒng)〔入侵檢測、入侵防御系統(tǒng)〕。2.終端計算機上網(wǎng)行為監(jiān)管系統(tǒng)。3.核心文檔、代碼等電子信息加密工具。4.計算機端口、打印機監(jiān)控工具。5.終端計算機監(jiān)控檢查與平安接入控制工具。6.移動計算機設備、移動存儲介質(zhì)平安認證工具。信息安全評估和差距分析建立信息安全組織和政策體系

初步推行和落實信息安全管理體系啟動信息安全基礎(chǔ)設置建設實現(xiàn)監(jiān)控的制度化，流程化和經(jīng)?；踩渲霉芾恚瑢崿F(xiàn)安全風險的量化管理機制

建立安全管理持續(xù)優(yōu)化機制全面審視，優(yōu)化和深化信息安全管理體系建立整體的信息安全防護體系建立集中監(jiān)控平臺建立數(shù)據(jù)中心和應急機制基礎(chǔ)保證策略固化集中建設20xx.xx20xx.xx20xx.xx20xx.xx企業(yè)信息平安管理體系建設如何有效規(guī)劃？信息平安體系建設總流程發(fā)動部署階段體系維持體系設計體系診斷導入準備培訓體系建立體系實施評價改進認證評審文件化階段總結(jié)經(jīng)驗穩(wěn)固成果階段進度控制、各子工程關(guān)系協(xié)調(diào)等如何開展？公司安全組織建設20xx.xx……15301515151515151530303030303030日常安全狀態(tài)檢查與維護文檔分層分級管理與加密網(wǎng)絡分區(qū)與安全隔離辦公場地安全梳理與優(yōu)化12345項目成功完成辦公網(wǎng)絡安全分區(qū)、數(shù)據(jù)中心服務與應用安全分區(qū)4

安全組織建設與培育項目成功完成1例行維護與優(yōu)化……項目成功完成日常安全狀態(tài)檢查與維護建設2例行維護與優(yōu)化……物理環(huán)境安全梳理與優(yōu)化項目項目成功完成5例行維護與優(yōu)化……文檔分層分級管理，對應各層文檔加密控制項目成功完成3例行維護與優(yōu)化……20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx總體質(zhì)量與進度如何控制？詳細信息雙擊此文件展開WBS分解計劃甘特圖阻礙企業(yè)平安體系建設成功的主要風險是什么，怎樣控制？40%思想觀念現(xiàn)存體制缺乏使命感缺乏領(lǐng)導不現(xiàn)實的預期缺乏團隊組織人員素質(zhì)技術(shù)支持項目授權(quán)20%60%80%風險識別控制措施安全人力薄弱，項目實施進度延遲，影響業(yè)務部門對安全項目建設的信心成立跨部門項目組，關(guān)聯(lián)部門領(lǐng)導給予有力的人力的支持；信息安全部確定安全兼職人員，補充安全力量。安全組織結(jié)構(gòu)調(diào)整后，相關(guān)部門并不配合安全專業(yè)機構(gòu)的工作，或者推諉，造成安全項目質(zhì)量受到嚴重影響完善績效考評機制。確認對部門及安全工作人員的績效，公司信息安全監(jiān)管委員會或信息安全部有建議權(quán)。安全專業(yè)人員目前無“備份”力量，公司安全大廈搭建起來以后，影響安全整體的運作質(zhì)量關(guān)注培養(yǎng)公司內(nèi)部信息安全人員，加大引入有經(jīng)驗的專業(yè)安全人員力度目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關(guān)鍵成功因素標桿公司信息平安管理體系簡介反響高效、上下一體的公司信息平安“神經(jīng)系統(tǒng)〞公司信息安全監(jiān)管委員會信息安全部（全球信息安全管理辦公室）網(wǎng)絡安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團隊國內(nèi)各地物業(yè)安全處海外各地物業(yè)安全處…………公司高管

業(yè)界最佳實踐標桿安全組織架構(gòu)管理手段技術(shù)手段內(nèi)部網(wǎng)研發(fā)網(wǎng)非研發(fā)網(wǎng)Internet平安VPN數(shù)據(jù)中心交換機ERP文件共享E-mail分支機構(gòu)控制臺IDS流量鏡像監(jiān)控引擎入侵檢測WEB監(jiān)控郵件監(jiān)控MSN監(jiān)控文件傳輸監(jiān)控會話監(jiān)控服務器監(jiān)控平安VPN外部網(wǎng)DMZ區(qū)遠端用戶管理有序、布局標準而平安的公司網(wǎng)絡系統(tǒng)OA及其他系統(tǒng)內(nèi)、外入侵行為監(jiān)管隔離梳理研發(fā)與非研發(fā)網(wǎng)絡安全梳理服務器區(qū)域清晰明了、有效搭配的信息平安金字塔文件體系各分支領(lǐng)域安全管理規(guī)定安全手冊操作指導、模板等各類記錄表、檢查表信息平安金字塔文件體系關(guān)鍵文件展示目錄昂楷公司簡介企