公司整體信息安全風險評估及工作情況匯報

公司整體信息平安風險評估及工作情況匯報信息平安部2021年12月21日整理課件目錄公司當前信息平安保護建設進展匯報238公司信息平安現(xiàn)狀及風險分析1信息平安工作面臨的阻礙4下一步行動方案匯報及需要領(lǐng)導提供的支持整理課件研發(fā)體系全面分析公司信息平安存在問題IT管理平安問題研發(fā)體系職能體系IT網(wǎng)絡與終端物理環(huán)境及人員平安平安制度流程終端網(wǎng)絡數(shù)據(jù)中心平安制度流程物理環(huán)境整理課件從研發(fā)體系視角分析信息平安存在問題——網(wǎng)絡與終端存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.缺乏公司級統(tǒng)一備份管理機制；2.應用層密碼設置存在隱患；3.應用效勞器日志無審計；4.存儲介質(zhì)的管理存在重大平安隱患；5.網(wǎng)口管理存在重大平安隱患。1.建立公司級統(tǒng)一備份管理方法；2.優(yōu)化密碼策略，增強密碼復雜度；3.定期查看效勞器日志并做記錄；4.對存儲介質(zhì)造冊管理，明確責任人。5.標準公司網(wǎng)口管理。1.實現(xiàn)公司級統(tǒng)一備份管理；2.明確職責，專人專管，定期審計；3.優(yōu)化效勞器日志查看策略，并定期審計；4.引入USB監(jiān)控系統(tǒng)。整理課件從研發(fā)體系視角分析信息平安存在問題——物理環(huán)境及人員平安存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.研發(fā)網(wǎng)絡未實現(xiàn)真正的隔離；2.ADSL的使用存在重大平安隱患；3.員工平安意識薄弱；4.重要崗位人員背景調(diào)查。1.禁止研發(fā)人員訪問外網(wǎng)；2.ADSL使用整改〔按用途分類分權(quán)管理〕；3.定期培訓；4.對重要崗位人員進行背景調(diào)查。1.最大限度實現(xiàn)研發(fā)網(wǎng)絡隔離；2.對ADSL審計監(jiān)控并持續(xù)優(yōu)化；3.培訓并考試，考核成績納入KPI；4.建立員工信用檔案。整理課件從研發(fā)體系視角分析信息平安存在問題——平安制度流程存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.信息平安相關(guān)政策未在部門落地；2.應用效勞器內(nèi)部管理無成文的制度及操作流程；3.無重要崗位操作指導；4.對外信息流轉(zhuǎn)無控制方法。1.部門內(nèi)部宣貫落地信息平安相關(guān)制度并定期考試；2.對部門內(nèi)部重要應用效勞器必須制定成文的制度標準及操作流程；3.建立重要崗位操作指南；4.制定對外信息發(fā)放管理方法。1.公司建立信息平安文件體系，并定期審核執(zhí)行情況；2.根據(jù)ISO27001建立效勞器基線；3.建立各崗位的操作指南；4.安裝文檔加密系統(tǒng)，標準外發(fā)流程。整理課件從職能體系視角分析信息平安存在問題存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.員工特殊情況離職后相應權(quán)限賬號未作及時清理；2.員工入職培訓缺乏對信息平安的培訓；3.績效考核未考慮信息平安因素；4.涉密部門未做好敏感信息的分級分類管理。1.增加特殊情況離職后相應權(quán)限賬號清理；2.增加信息平安新員工培訓課程；3.考核成績納入KPI；4.涉密部門對內(nèi)部信息資產(chǎn)進行分級劃分。1.定期審計離職后相應權(quán)限賬號的清理工作；2.信息平安成績作為考核作為員工轉(zhuǎn)正的依據(jù)；3.依據(jù)公司信息平安相關(guān)要求定期檢查審計。整理課件存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.便攜機的管理存在重大平安隱患；2.AD域用戶可以建立PC機本地管理員賬號；3.USB、打印機未作有效監(jiān)管；4.送外維修電腦數(shù)據(jù)無法監(jiān)管；1.辦理便攜卡登記備案；2.重新評估AD域策略；3.貼封條，設置BIOS密碼；4.送修機器由專人保管并登記。1.引入終端監(jiān)控系統(tǒng)、USB監(jiān)控系統(tǒng)、文檔機密系統(tǒng)對其信息及端口進行控制和審計；2.定期對AD域策略進行審計；3.新增第三方效勞操作流程。從IT視角分析信息平安存在問題——終端整理課件存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.上網(wǎng)權(quán)限開放審批不嚴格，導致多數(shù)用戶均有上網(wǎng)權(quán)限2.研發(fā)部門測試網(wǎng)絡比較混亂，造成ARP攻擊異常3.對網(wǎng)絡管控有限；1.重新審核用戶上網(wǎng)權(quán)限2.對研發(fā)部門網(wǎng)絡整改，隔離3.增加網(wǎng)絡監(jiān)控設備加強網(wǎng)絡管理；1、嚴格標準相關(guān)制度2、定期審核權(quán)限，日志從IT視角分析信息平安存在問題——網(wǎng)絡整理課件存在問題優(yōu)化方案〔現(xiàn)階段〕優(yōu)化方案〔未來〕1.數(shù)據(jù)中心沒有明確的管理維護制度2.數(shù)據(jù)中心對重要數(shù)據(jù)未作異地備份3.對數(shù)據(jù)未作分級分類管理，且與開發(fā)布部門進行溝通確認4、數(shù)據(jù)中心設備進出入無標準5、數(shù)據(jù)中心未作災難恢復測試1.制定數(shù)據(jù)中心管理維護制度及流程，明確工作流程及人員職責2.嚴格落實重要數(shù)據(jù)異地備份機制3.加強數(shù)據(jù)中心設備管理；4、制定整體容災解決方案，確保數(shù)據(jù)平安1、根據(jù)標桿企業(yè)先進管理方法優(yōu)化部門管理2、定期審核權(quán)限，日志及記錄從IT視角分析信息平安存在問題——數(shù)據(jù)中心整理課件目錄公司當前信息平安保護建設進展匯報238公司信息平安現(xiàn)狀及風險分析1信息平安工作面臨的阻礙4下一步行動方案匯報及需要領(lǐng)導提供的支持整理課件信息平安部工作ACT-改善Plan-方案Check-檢查Do-執(zhí)行評估改善需求執(zhí)行改善工作報告執(zhí)行結(jié)果確認目標達成持續(xù)追蹤改善建立ISMS環(huán)境信息平安政策；信息平安目標信息平安組織；執(zhí)行風險管理風險評估；確認控制目標風險處理方案執(zhí)行監(jiān)控程序風險再評估定期實施稽核績效評估建立管理文件體系建置控制方法信息平安程序文件營運持續(xù)運作方案執(zhí)行管理程序教育訓練及宣導整理課件Do-管理文件體系建設情況信息平安政策管理程序標準，要點指引記錄，日志信息平安部各業(yè)務部門整理課件ISO27001Do-建置控制方法記錄，日志內(nèi)網(wǎng)隔離USB端口管控打印管控文件加密物理控制全員宣導制度政策信息安全專員信息資產(chǎn)ISMS上網(wǎng)行為監(jiān)控第三方信息流轉(zhuǎn)管控防火墻ADSL管控防病毒網(wǎng)關(guān)整理課件Do-關(guān)鍵控制方法部署進展：文檔加密系統(tǒng)已使用在全公司IPD變革各領(lǐng)域使用，效果顯著整理課件Do-研發(fā)與市場文檔加密需求反響緊迫，二期增量采購部門已進行談判，信息平安部已做好部署方案與支持準備1.解決方案部、移動通信產(chǎn)品線等研發(fā)部門已屢次提出，要求文檔加密支持；2.供給鏈體系ISC變革文檔,袁總〔華〕專門組織會議研究討論，要求文檔加密系統(tǒng)支持；3.同洲大學等功能支撐部門，屢次提出對參謀咨詢材料、公司重要課件等提出加密請求…………整理課件有效過濾控制各類機密信息的外傳降低法律風險，滿足國家法律要求Do-關(guān)鍵系統(tǒng)情況匯報：終端上網(wǎng)行為平安監(jiān)控整理課件Do-終端上網(wǎng)行為平安監(jiān)控系統(tǒng)功能解析整理課件Do-終端上網(wǎng)行為監(jiān)控系統(tǒng)上線，前期準備工作狀況整理課件企業(yè)核心機密引入平安管理系統(tǒng)1.對USB平安管理系統(tǒng)、打印監(jiān)控系統(tǒng)進行測試。2。已完成采購申請流程，待招標采購?？刂朴嬎銠C端口泄密控制打印泄密利于事前防范，事后審計Do-關(guān)鍵系統(tǒng)情況匯報：USB端口、打印等管控系統(tǒng)整理課件Do-USB端口、打印等管控系統(tǒng)引進進展整理課件Do-平安根底設施引進總體進度時間表整理課件Do-執(zhí)行管理程序目前已建立從上至下的信息平安組織架構(gòu)，下一步將充分發(fā)揮信息平安專員的職能，從基層落實信息平安…目前信息平安是一個治理過程，而不是一個工程產(chǎn)物；現(xiàn)階段的任務是：各個部門內(nèi)部進行自我風險評估改進信息平安部將以ISO27001標準來持續(xù)改善公司的信息平安，對各個部門將定期不定期進行審計，以確保信息平安的真正落實123組織推行審計IT部門風險評估整理課件Do-執(zhí)行管理程序信息平安部將以ISO27001標準來持續(xù)改善公司的信息平安，對各個部門將定期不定期進行審計，以確保信息平安的真正落實整理課件Do-教育訓練及宣導部門信息平安意識提升全員信息安全意識培育員工入職及入職后信息平安教育培訓信息平安績效考核整理課件Do-員工入職及入職后信息平安教育培訓整理課件Do-全員信息平安意識培育堅持具有我司特色的信息安全意識建設——信息安全每周談，進行專業(yè)安全防護專業(yè)知識宣講，同時進行信息安全案例警示核心安全防護習慣時刻顯示在眼前整理課件Do-部門信息平安意識提升推動部門開展各類形式的日常平安意識培育與宣講整理課件Do-信息平安績效考核KPI整理課件目錄公司當前信息平安保護建設進展匯報238公司信息平安現(xiàn)狀及風險分析1信息平安工作面臨的阻礙4下一步行動方案匯報及需要領(lǐng)導提供的支持整理課件信息平安工作面臨的阻礙信息平安部風險管理展開面臨挑戰(zhàn)個別部門風險管理存在方向性錯誤平安工作認識存在局限整理課件平安工作認識存在局限信息資產(chǎn)平安信息平安，人人有責Securityisaprocess，notaproduct整理課件信息平安部風險管理展開受到挑戰(zhàn)信息平安工作部門成立時間短，權(quán)威性處于建設初期，當前非常弱勢各部門對信息平安部的標準參照度不高信息平安部共5人，須負責制度及意識宣導、管控技術(shù)預研與引進，以及各部門的協(xié)調(diào)工作等個別各部門信息平安工作基于自身的理解和要求開展，效度有限，導致后期重復工作與資源浪費業(yè)界知名標桿企業(yè)在建立ISMS體制初期，均有第三方咨詢機構(gòu)協(xié)助進行全面的風險評估和標準制度導入，我們當前還沒有，更增加部門弱勢與工作難度各部門正在開展部門自我風險評估，平安咨詢需求增大整理課件個別部門風險管理存在方向性錯誤最正確實踐的風險評估過程平安專業(yè)人員參與，提供基于平安最正確標準、最正確實踐的指導被評估領(lǐng)域業(yè)務代表，進行充分風險分析和識別平安專業(yè)部門聚集和分析風險信息，進行風險嚴重等級劃分和控制措施設計，并進行匯報被評估領(lǐng)域組織落實風險控制措施、整改整改完畢，平安專業(yè)部門進行稽核與審計不斷循環(huán)改進個別部門的風險管理過程無安全標準參照，自我內(nèi)部評估根據(jù)自身需要匯集篩選風險信息參照部門業(yè)務設計風險控制措施內(nèi)部成立項目組進行整改，然后解散項目組，不接受安全稽核風險管理“一陣風”吹過整理課件方向性錯誤的風險管理過程對公司的危害…………12345整改行為一陣風吹過，風險缺乏持續(xù)控制躲避后期平安稽核，凌駕于第三方平安監(jiān)管之上風險整改無章法，不參照專業(yè)指導，浪費本錢且效果有限內(nèi)部自我評估發(fā)現(xiàn)的漏洞，可能反而被內(nèi)部人員利用泄密重大風險不上報，潛伏并威脅著公司信息資產(chǎn)平安整理課件過去信息平安工作的反省對公司平安工作開展阻力思考不夠深入，認識缺乏需要改善推動各部門平安工作開展的方式整理課件目錄公司當前信息平安保護建設進展匯報238公司信息平安現(xiàn)狀及風險分析1信息平安工作面臨的阻礙4下一步行動方案匯報及需要領(lǐng)導提供的支持整理課件夯實公司信息安全風險控制的每一層“土”信息平安部下一步總體行動方案匯報加大工作量投入，穩(wěn)步有效測試采購及IT部門同事推薦的USB、打印、網(wǎng)關(guān)防毒等平安工具，配合采購的工作方案，引入UTM集成工具，盡快〔方案2021年二月底前〕控制公司當前重大平安隱患立即分析研發(fā)、IT兩大重點體系風險評估信息，輸出統(tǒng)一風險評估及控制措施正式報告，提請審核后，交付并跟蹤責任部門整改，同時，規(guī)劃整改后的平安稽核方案籌劃根底建設期平安支撐工具的宣傳培訓工作，組織部署平安根底建設期支撐工具，并推動在全公司運行。落實對研發(fā)、IT兩大重點體系整改后的平安審計工作，助力推動整改措施落地，并系統(tǒng)化啟動其他業(yè)務領(lǐng)域的風險評估工作整理課件需要領(lǐng)導提供的支持1為防止“自我評估，自我整改，脫離最正確實踐參照指導〞的風險管理在公司蔓延開來、并將公司信息平安管理引到“水溝〞里的這一隱患的發(fā)生，請領(lǐng)導支持我們在公司宣導并執(zhí)行經(jīng)過業(yè)界實踐檢驗后的最正確風險管理過程，將公司風險管理與控制引向良序開展之路。整理課件需要領(lǐng)導提供的支持2基于風險控制工作的性質(zhì)所決定，公司平安監(jiān)管部門應該是“強勢〞的，但是，目前由于公司信息平安部門成立時間短、人手緊迫〔本來12月21號到位的平安專業(yè)人員，HR反響對方認為上班路途遠不來了〕，也沒有咨詢公司的支持效勞，使得信息平安部當前相當弱勢。參照業(yè)界標桿最正確實踐的經(jīng)驗，ISMS體系建立初期，應該引入優(yōu)質(zhì)第三方咨詢效勞支持平安建設，ISMS架構(gòu)建立后，每兩年周期性請第三方平安機構(gòu)復核優(yōu)化ISMS體系。請領(lǐng)導支持我們在2021年引入優(yōu)質(zhì)第三方平安資訊效勞〔咨詢費10萬元左右〕，優(yōu)化公司平安管理，培育支撐公司藍海戰(zhàn)略落地的平安風險控制文化。整理課件需要領(lǐng)導提供的支