1報告目錄信息安全建設(shè)需求分析信息安全建設(shè)藍圖規(guī)劃信息安全建設(shè)目標梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實施排序開展信息安全建設(shè)工作藍圖信息安全建設(shè)方案設(shè)計成果說明開展信息安全建設(shè)藍圖開展信息安全建設(shè)工作藍圖梳理建設(shè)工作實施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入附件信息安全建設(shè)方案內(nèi)容說明信息安全需求細部說明信息安全建設(shè)工作任務(wù)績效指標其他補充信息安全建設(shè)需求分析2信息安全建設(shè)需求分析信息安全建設(shè)藍圖規(guī)劃信息安全建設(shè)目標梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實施排序開展信息安全建設(shè)工作藍圖信息安全建設(shè)方案設(shè)計成果說明開展信息安全建設(shè)藍圖開展信息安全建設(shè)工作藍圖梳理建設(shè)工作實施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入華潤集團信息安全現(xiàn)況調(diào)研基準：

ISO27001:2013信息安全管理國際標準3供應(yīng)商關(guān)系Ch1.適用范圍(Scope)CH4.組織環(huán)境(ContextofOrganization)Ch2.規(guī)范性引用標準(Normativereferences)

Ch3.術(shù)語與定義(Termsanddefinitions)Ch5.領(lǐng)導力(Leadership)

Ch6.規(guī)劃(Planning)Ch7.支持(Support)Ch8.

運行(Operation)控制域與控制措施信息安全方針信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全操作安全通信安全系統(tǒng)獲取、開發(fā)與維護A.5A.6A.7A.8A.9A.11A.12A.13A.14A.15Ch9.績效評估(Performanceevaluation)Ch10.

改進(Improvement)A.10信息安全事件管理A.16業(yè)務(wù)連續(xù)性管理A.17合規(guī)性A.18`信息安全方針信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全合規(guī)性業(yè)務(wù)連續(xù)性管理的信息安全層面信息安全事件管理供應(yīng)商關(guān)系系統(tǒng)獲取、開發(fā)及維護通信安全操作安全信息安全管理制度ISO

27001:2013是目前國際上公認的信息安全管理標準，它指引公司對于信息安全的議題，應(yīng)該關(guān)注14個信息安全管理域，對于信息安全的管理才完整信息安全的范疇：

對應(yīng)ISO27001:2013的14個信息安全管理域4人員/單位第三方服務(wù)廠商人員聘雇解雇績效管理人力資源調(diào)研顧客信息市場區(qū)隔營銷知識產(chǎn)權(quán)外包服務(wù)轉(zhuǎn)包第三方會計預算企業(yè)資源計劃財務(wù)合約

訴訟法務(wù)信息管理流程信息消費勘察客戶關(guān)系管理銷售商品研發(fā)運營戰(zhàn)略研發(fā)客戶信息個人身份信息客服運營流程財務(wù)系統(tǒng)客戶關(guān)系管理系統(tǒng)…電銷系統(tǒng)POS系統(tǒng)人力資源系統(tǒng)應(yīng)用系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)倉庫文件服務(wù)器……數(shù)據(jù)存儲網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)辦公大樓(風火水電)物理環(huán)境人員安全業(yè)務(wù)數(shù)據(jù)安全信息系統(tǒng)安全物理環(huán)境安全供應(yīng)商關(guān)系信息安全組織人力資源安全資產(chǎn)管理訪問控制加密物理與環(huán)境安全操作安全信息安全方針系統(tǒng)獲取開發(fā)與維護合規(guī)性信息安全事件管理業(yè)務(wù)連續(xù)性管理通信安全華潤集團在ISO27001:2013的14個信息安全管理域

的管理成熟度現(xiàn)況5初始級可重復級已定義級已管理級

可優(yōu)化級

*目前14個信息安全管理域中，共有10個域在初始級或是可重復級業(yè)務(wù)數(shù)據(jù)安全人員安全信息系統(tǒng)安全物理環(huán)境安全供應(yīng)商關(guān)系信息安全組織人力資源安全物理與環(huán)境安全資產(chǎn)管理(終端)訪問控制加密操作安全通信安全(網(wǎng)絡(luò))系統(tǒng)獲取、開發(fā)與維護信息安全事件管理信息安全方針業(yè)務(wù)連續(xù)性管理合規(guī)性項目團隊透過調(diào)研活動所反饋到的信息安全主要發(fā)現(xiàn)事項

-依信息安全管理域分類6業(yè)務(wù)數(shù)據(jù)安全人員安全信息系統(tǒng)安全物理環(huán)境安全供應(yīng)商關(guān)系信息安全組織人力資源安全物理與環(huán)境安全資產(chǎn)管理(終端)訪問控制加密操作安全通信安全(網(wǎng)絡(luò))系統(tǒng)獲取、開發(fā)與維護信息安全事件管理信息安全方針業(yè)務(wù)連續(xù)性管理合規(guī)性[集團]2個[SBU]3個[集團]1個[SBU]2個[集團]5個[SBU]3個[集團]5個[SBU]9個[SBU]13個[SBU]2個[SBU]3個[集團]3個[SBU]2個[集團]2個[SBU]10個[集團]6個[SBU]26個*本次調(diào)研匯整共97個主要發(fā)現(xiàn)事項，是指未符合ISO27001:2013的相關(guān)要求依據(jù)現(xiàn)況調(diào)研結(jié)果及分析，歸納出華潤集團的

七個主要信息安全管理問題

7Q7目前對于終端設(shè)備的管控薄弱，終端設(shè)備可能成為集團數(shù)據(jù)丟失的渠道或外部入侵的跳板資產(chǎn)管理(終端)Q6部分利潤中心在網(wǎng)絡(luò)層面的安全防御程度不足，在面對或外部網(wǎng)絡(luò)攻擊時可能影響到集團層次通信安全Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運維階段，尚有許多安全控制需要強化及落實，才能保證系統(tǒng)安全運作系統(tǒng)獲取、開發(fā)與維護Q4信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復原能力需強化信息安全事件管理業(yè)務(wù)連續(xù)性管理Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統(tǒng)面臨不當取存的風險訪問控制Q1集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分人力資源安全信息安全組織Q2以等保為核心的合規(guī)壓力加重，加上信息安全管理標準不清，造成部分安全工作執(zhí)行未到位合規(guī)性信息安全方針Q3訪問控制Q4事件應(yīng)變/災(zāi)備Q6網(wǎng)絡(luò)管控Q7終端管控Q5應(yīng)用系統(tǒng)安全根本原因歸納：由于安全權(quán)責不清，加上信息安全標準落實不彰，進而衍生出其他執(zhí)行層面的問題(Q3~Q7)8Q2標準/合規(guī)Q1組織權(quán)責德勤建議先厘清信息安全權(quán)責邊界，并且建立完整的信息安全標準內(nèi)容，再透過設(shè)定實施改善計劃，逐一改善執(zhí)行面的其他問題組織面管理面技術(shù)面信息安全建設(shè)藍圖規(guī)劃9信息安全建設(shè)需求分析信息安全建設(shè)藍圖規(guī)劃信息安全建設(shè)目標梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實施排序開展信息安全建設(shè)工作藍圖信息安全建設(shè)方案設(shè)計成果說明開展信息安全建設(shè)藍圖開展信息安全建設(shè)工作藍圖梳理建設(shè)工作實施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入信息安全建設(shè)目標梳理10信息安全建設(shè)目標信息安全管理現(xiàn)況問題管理目標：規(guī)范信息安全管理，合理控制信息安全風險，支持信息化戰(zhàn)略目標的實現(xiàn)Q7.終端管控Q1.組織權(quán)責Q2.標準/合規(guī)Q3.人員管控Q5.應(yīng)用系統(tǒng)安全Q6.網(wǎng)絡(luò)管控Q4.事件應(yīng)變/災(zāi)備信息安全建設(shè)目標：降低信息安全現(xiàn)況問題所帶來的安全風險及對業(yè)務(wù)運營的影響，并可持續(xù)改善及落實控制的有效性信息安全建設(shè)藍圖規(guī)劃11信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍圖規(guī)劃信息安全建設(shè)目標梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實施排序開展信息安全建設(shè)工作藍圖信息安全建設(shè)方案設(shè)計成果說明開展信息安全建設(shè)藍圖開展信息安全建設(shè)工作藍圖梳理建設(shè)工作實施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入12345671234567P1.組織權(quán)責整改方案12對于信息安全需求的細部說明，請參考附件2

項次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q1集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分P1.組織權(quán)責整改方案梳理集團與利潤中心信息安全責任邊界O1.信息安全職責分工設(shè)計信息安全管控模式界定集團與利潤中心安全責任梳理信息系統(tǒng)生命周期中建設(shè)、運維、用戶及安全人員的角色責任O1.信息安全職責分工定義信息系統(tǒng)生命周期信息安全工作角色權(quán)責：按“集團信息安全標準”中的人員職責分工，劃清工作邊界設(shè)置信息安全組織O2.信息安全管理組織設(shè)置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員配備信息安全專職人員O3.信息安全管理員定期更新信息安全體系運維任務(wù)欄表定義信息安全管理員工作職能設(shè)置信息安全管理員梳理集團與利潤中心信息安全責任邊界O1.信息安全職責分工設(shè)計信息安全管控模式界定集團與利潤中心安全責任1234567P1.組織權(quán)責整改方案–信息安全責任邊界(管理層)13信息安全執(zhí)行組信息安全決策委員會利潤中心集團信息安全管理委員會信息安全專職人員基礎(chǔ)設(shè)施管理員應(yīng)用管理員終端管理團隊管理層執(zhí)行層管理層：1、確定和細化通用性安全標準2、為管理范圍的安全建設(shè)配備資源3、對利潤中心進行信息安全績效考核（考核標準，依每年安全建設(shè)任務(wù)確定）管理層：1、確定和細化行業(yè)特定安全標準2、為管理范圍內(nèi)的安全建設(shè)配備資源3、可對下屬企業(yè)進行信息安全績效考核集團規(guī)劃通用性安全標準，并考核利潤中心實施狀況利潤中心建立特定安全標準，并考核下屬企業(yè)實施狀況集團（信息部）：充當裁判員，制定集團通用性安全標準利潤中心管理層：充當裁判員，制定個性化安全標準(如銀行、電力、燃氣等)1234567P1.組織權(quán)責整改方案–信息安全責任邊界（執(zhí)行層）14數(shù)據(jù)中心場地核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫利潤中心個性系統(tǒng)辦公場地/服務(wù)器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員服務(wù)器機房核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫集團共性與個性系統(tǒng)辦公場地/服務(wù)器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員利潤中心集團個性系統(tǒng)部分移交集團統(tǒng)一運維目前管理邊界個性化安全標準：各單位充當運動員：落實解決方案信息系統(tǒng)與基礎(chǔ)設(shè)施：配合網(wǎng)絡(luò)集中，廣域網(wǎng)絡(luò)統(tǒng)一出口，廣域網(wǎng)絡(luò)由集團集中管理。放入新一代數(shù)據(jù)中心的應(yīng)用系統(tǒng)技術(shù)類建設(shè)模式，集團以工作協(xié)同的方式，依服務(wù)目錄提供服務(wù)與參考方案。各單位按性價比決定采用哪種方案利潤中心仍需負責未放入新一代數(shù)據(jù)中心的應(yīng)用系統(tǒng)相關(guān)信息環(huán)境、局域網(wǎng)及終端的技術(shù)類建設(shè)工作。通用性安全標準：集團（潤聯(lián)）充當運動員：落實解決方案信息系統(tǒng)與基礎(chǔ)設(shè)施：集團作為服務(wù)方，以服務(wù)目錄的方向，向各單位提供集團的統(tǒng)一方案各單位需要協(xié)同集團的方案對于托管在集團的個性系統(tǒng)，個性化要求如在服務(wù)目錄中，可以由集團落實集團可充當教練員，以服務(wù)目錄的方式，向各單位提供集團的統(tǒng)一方案1234567架構(gòu)師P1.組織權(quán)責整改方案–信息安全責任邊界

（執(zhí)行層按項目生命周期）15項目生命周期設(shè)計階段立項階段定義階段實現(xiàn)階段交付階段運維階段廢棄階段項目組應(yīng)用系統(tǒng)管理員安全專職人員主責人員應(yīng)用、中間件、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)的安全檢查應(yīng)用安全運維應(yīng)用系統(tǒng)廢棄數(shù)據(jù)庫安全設(shè)計中間件安全設(shè)計操作系統(tǒng)安全設(shè)計網(wǎng)絡(luò)安全設(shè)計應(yīng)用系統(tǒng)安全需求分析應(yīng)用系統(tǒng)安全方案設(shè)計應(yīng)用系統(tǒng)開發(fā)測試安全/商業(yè)軟件選型應(yīng)用安全部署應(yīng)用系統(tǒng)安全方案設(shè)計1234567深化、細化現(xiàn)有管理規(guī)范滿足新技術(shù)發(fā)展的需求P1.組織權(quán)責整改方案–各單位建立信息安全管理組織持續(xù)推動16信息安全決策委員會信息安全執(zhí)行組信息安全組織信息安全管理委員會信息安全專職人員各系統(tǒng)的信息安全管理員各部室信息安全聯(lián)絡(luò)員人數(shù)由各單位根據(jù)本行業(yè)的業(yè)務(wù)特點、業(yè)務(wù)規(guī)模、信息系統(tǒng)的數(shù)量和復雜度等因素確定。由各系統(tǒng)管理員兼任。由部室領(lǐng)導指定核心骨干人員擔任。信息安全組織：要求集團和各單位建立信息安全組織管理框架，以啟動和控制組織范圍內(nèi)的信息安全實施和運行。1234567P2.標準/合規(guī)整改方案17對于信息安全需求的細部說明，請參考附件2

項次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q2以等保為核心的合規(guī)壓力加重，加上信息安全管理標準不清，造成部分安全工作執(zhí)行未到位P2.標準/合規(guī)整改方案實施信息安全規(guī)范培訓與意識宣貫M3.培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫建立通用性的信息安全標準與基線M1.信息安全標準建立信息安全管理辦法：進行通用性的信息安全標準制定定期審閱與更新信息安全管理辦法實施信息系統(tǒng)等級保護M2.信息系統(tǒng)等級保護實施信息系統(tǒng)安全等級保護定級實施信息系統(tǒng)安全等級保護備案實施信息系統(tǒng)安全等級保護安全建設(shè)整改實施信息安全規(guī)范培訓與意識宣貫M3.培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫1234567P2.標準與合規(guī)整改方案-建立通用性的信息安全標準與基線18華潤（集團）有限公司信息安全管理辦法華潤（集團）有限公司信息安全標準信息系統(tǒng)安全管控要求信息資產(chǎn)管理人力資源安全供應(yīng)商和外部人員管理信息安全事件管理合規(guī)性管理業(yè)務(wù)連續(xù)性管理數(shù)據(jù)存儲備份應(yīng)用系統(tǒng)安全要求數(shù)據(jù)庫安全要求中間件安全要求操作系統(tǒng)安全要求網(wǎng)絡(luò)安全要求物理安全要求終端安全要求附錄：IT設(shè)備安全基線要求操作系統(tǒng)安全基線要求Web中間件安全基線要求數(shù)據(jù)庫系統(tǒng)安全基線要求網(wǎng)絡(luò)設(shè)備安全基線要求信息系統(tǒng)安全組織與職責信息安全組織對外合作與溝通信息安全角色與職責：信息系統(tǒng)：人員管理：終端1234567P2.標準與合規(guī)整改方案-實施信息系統(tǒng)等級保護191234567系統(tǒng)識別與描述等級確定定級保護對象框架建立選擇和調(diào)整安全措施安全規(guī)劃與方案設(shè)計安全措施實施等級評估符合等級保護要求？規(guī)劃與設(shè)計運行監(jiān)控與改進符合等級保護要求？是否實施、等級評估與改進否是2015年底前集團總部與利潤中心完成等保定級與備案。2016年底前集團總部與利潤中心針對等保三級以上系統(tǒng)需完成整改與等保測評。P3.人員管控整改方案項次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統(tǒng)面臨不當取存的風險P3.人員管控整改方案信息系統(tǒng)帳號權(quán)限審閱納入人員調(diào)離崗作業(yè)M4.人員安全管理簽署人員保密協(xié)議:職前背景調(diào)查、保密協(xié)議定期實施人員信息系統(tǒng)帳戶與權(quán)限復核：職前、職中、職后定期實施LDAP與個性系統(tǒng)帳號權(quán)限審閱T4.操作系統(tǒng)安全實施LDAP與個性系統(tǒng)帳號權(quán)限針對未經(jīng)授權(quán)或異常賬號進行刪除或停用20對于信息安全需求的細部說明，請參考附件2

1234567P3.人員管控整改方案–信息系統(tǒng)帳號權(quán)限審閱211234567用人部門確定任用人員到崗確認帳號權(quán)限人員調(diào)崗人員離崗人力資源部門發(fā)布到崗通知發(fā)布調(diào)崗通知發(fā)布離崗通知信息管理部門接收到崗通知確認帳號權(quán)限移除帳號權(quán)限HR系統(tǒng)LDAP開立帳號設(shè)置帳號/權(quán)限調(diào)整人員屬性停用帳號/權(quán)限與HR系統(tǒng)同步與HR系統(tǒng)同步與HR系統(tǒng)同步與LDAP介接之個性系統(tǒng)與LDAP同步與LDAP同步與LDAP同步未與LDAP介接之個性系統(tǒng)開立帳號設(shè)置帳號/權(quán)限停用帳號/權(quán)限發(fā)布調(diào)崗通知確認帳號權(quán)限是否調(diào)整帳號權(quán)限審核調(diào)整帳號權(quán)限與LDAP同步調(diào)整帳號/權(quán)限帳號權(quán)限審核P4.事件應(yīng)變/災(zāi)備整改方案–總覽項次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q4信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復原能力需強化P4.事件應(yīng)變/災(zāi)備整改方案實施信息系統(tǒng)安全日志集中留存M6.信息安全事件管理信息系統(tǒng)及基礎(chǔ)設(shè)施安全日志異地留存至數(shù)據(jù)中心SIEM平臺實施信息系統(tǒng)安全日志事件分析M6.信息安全事件管理定期檢視SIEM平臺安全事件建立SIEM平臺安全監(jiān)控策略建立緊急聯(lián)系清單及通報程序:包含信息安全事件報告、應(yīng)急處理和原因調(diào)查建立信息資產(chǎn)分級與管控機制M5.信息資產(chǎn)管理定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實施信息系統(tǒng)安全風險評估：進行定期信息安全檢查和加固方案制定或更新信息系統(tǒng)應(yīng)急預案M7.業(yè)務(wù)連續(xù)性與災(zāi)備定期審閱與更新信息系統(tǒng)災(zāi)備方案定期審閱與更新信息系統(tǒng)應(yīng)急預案建立業(yè)務(wù)連續(xù)性計畫(BCP)：包含同城災(zāi)備中心建設(shè)規(guī)劃/異地災(zāi)備中心建設(shè)規(guī)劃實施信息系統(tǒng)應(yīng)急預案演練M7.業(yè)務(wù)連續(xù)性與災(zāi)備定期實施信息系統(tǒng)應(yīng)急預案22對于信息安全需求的細部說明，請參考附件2

1234567P4.事件應(yīng)變/災(zāi)備整改方案–信息系統(tǒng)安全日志集中留存與分析23遠程管理即時監(jiān)控告警進階事件分析事件管理介面信息安全知識庫SIEM控制臺信息系統(tǒng)漏洞通報信息安全事件通報外部資源事件關(guān)聯(lián)平臺收集器事件管理系統(tǒng)信息資產(chǎn)管理系統(tǒng)報表系統(tǒng)信息安全事件響應(yīng)平臺電子郵件短信告警系統(tǒng)SIEM管理後臺SIEM平臺數(shù)據(jù)庫信息安全設(shè)備服務(wù)器網(wǎng)絡(luò)設(shè)備信息系統(tǒng)信息安全管理員安全組HTTPS/HTTPSMSSMTP集團總部利潤中心配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，信息系統(tǒng)安全日志留存由集團統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，信息系統(tǒng)安全日志事件分析由集團集中處理與告警，利潤中心負責事件響應(yīng)、處理與通報123456724P4.事件應(yīng)變/災(zāi)備整改方案–制定或更新信息系統(tǒng)應(yīng)急預案1234567業(yè)務(wù)復原優(yōu)先級業(yè)務(wù)所需資源演練情境執(zhí)行回復之程序業(yè)務(wù)沖擊分析RTO復原時間目標風險評估威脅種類備份策略RPO數(shù)據(jù)回復目標業(yè)務(wù)所需最小資源資產(chǎn)造成損害之機率信息系統(tǒng)應(yīng)急預案系統(tǒng)復原優(yōu)先級系統(tǒng)所需之軟硬件資源系統(tǒng)回復之程序系統(tǒng)備份策略信息系統(tǒng)災(zāi)備需考慮軟硬件可能之建置時間依應(yīng)急預案回復程序執(zhí)行演練P5.應(yīng)用系統(tǒng)安全整改方案項次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運維階段，尚有許多安全控制需要強化及落實，才能保證系統(tǒng)安全運作P5.應(yīng)用系統(tǒng)安全整改方案建立覆蓋信息系統(tǒng)生命周期的信息安全標準與基線M1.信息安全標準建立共通性的信息安全標準與基線：銀行、資產(chǎn)、電力、醫(yī)藥等單位進行個性化信息安全標準制定定期審閱與更新信息安全管理辦法建立信息資產(chǎn)分級與管控機制M5.信息資產(chǎn)管理定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期檢視與調(diào)整信息資產(chǎn)分級定期實施系統(tǒng)帳號審閱T4.操作系統(tǒng)安全實施個性系統(tǒng)帳號審閱針對未經(jīng)授權(quán)或異常賬號進行刪除或停用實施數(shù)據(jù)脫敏機制T3.數(shù)據(jù)庫/中間件安全評估數(shù)據(jù)脫敏實施需求強化測試環(huán)境安全管控建立測試模擬數(shù)據(jù)或數(shù)據(jù)脫敏工具定期實施信息信息系統(tǒng)安全檢測T2.應(yīng)用系統(tǒng)安全定期實施信息系統(tǒng)安全檢測定期實施信息系統(tǒng)整改方案25對于信息安全需求的細部說明，請參考附件2

1234567P5.應(yīng)用系統(tǒng)安全整改方案–信息系統(tǒng)生命周期的安全管理工作26信息系統(tǒng)生命周期設(shè)計階段實現(xiàn)階段定義階段立項階段廢棄階段運維階段項目組/應(yīng)用管理員基礎(chǔ)設(shè)施管理團隊數(shù)據(jù)庫安全設(shè)計安全需求調(diào)研和定義開發(fā)測試安全商業(yè)軟件安全選型應(yīng)用安全部署安全方案設(shè)計應(yīng)用安全運維應(yīng)用安全廢棄數(shù)據(jù)存儲備份數(shù)據(jù)庫管理員數(shù)據(jù)庫安全部署數(shù)據(jù)庫安全運維數(shù)據(jù)庫安全回收存儲備份管理員中間件管理員操作系統(tǒng)管理員網(wǎng)絡(luò)管理員場地管理員中間件安全設(shè)計中間件安全部署中間件安全運維中間件安全回收操作系統(tǒng)安全設(shè)計操作系統(tǒng)安全部署操作系統(tǒng)安全運維操作系統(tǒng)安全廢棄網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全建設(shè)網(wǎng)絡(luò)安全運維網(wǎng)絡(luò)設(shè)備安全廢棄場地安全設(shè)計場地安全建設(shè)場地安全運維信息安全專職人員安全方案協(xié)同設(shè)計或評審上線前安全檢查定期安全檢查介質(zhì)消磁安全事件發(fā)現(xiàn)與處理存儲備份系統(tǒng)配置數(shù)據(jù)存儲備份方案設(shè)計數(shù)據(jù)安全廢棄場地安全廢棄1234567P6.網(wǎng)絡(luò)管控整改方案項次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q6部分利潤中心在網(wǎng)絡(luò)層面的安全防御程度不足，在面對或外部網(wǎng)絡(luò)攻擊時可能影響到集團層次

P6.網(wǎng)絡(luò)管控整改方案建置外網(wǎng)新一代防火墻或入侵防御系統(tǒng)T5.網(wǎng)絡(luò)安全建設(shè)外網(wǎng)新一代防火墻或入侵防御系統(tǒng)布署終端防病毒軟件T6.終端安全實現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新布署終端數(shù)據(jù)防泄漏T6.終端安全實施終端安全整改，實現(xiàn)終端數(shù)據(jù)防泄漏安裝全覆蓋，至少包含外設(shè)管控、硬盤加密等定期實施終端系統(tǒng)漏洞檢測T6.終端安全定期實施終端系統(tǒng)漏洞檢測定期實施終端系統(tǒng)補丁更新建置內(nèi)網(wǎng)新一代防火墻T5.網(wǎng)絡(luò)安全評估內(nèi)網(wǎng)網(wǎng)絡(luò)傳輸管道安全風險實現(xiàn)內(nèi)網(wǎng)與下屬公司各網(wǎng)絡(luò)端口新一代防火墻全覆蓋實施生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔T5.網(wǎng)絡(luò)安全評估生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)傳輸管道安全風險實現(xiàn)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)端口網(wǎng)關(guān)全覆蓋27對于信息安全需求的細部說明，請參考附件2

1234567P6.網(wǎng)絡(luò)管控整改方案–利潤中心內(nèi)網(wǎng)新一代防火墻28利潤中心下屬公司互聯(lián)網(wǎng)出口集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司局域網(wǎng)利潤中心下屬公司仍保有獨立對外互聯(lián)網(wǎng)者，利潤中心需評估利潤中心與下屬公司間的網(wǎng)絡(luò)傳輸需求。如利潤中心與下屬公司仍需通過網(wǎng)絡(luò)傳輸數(shù)據(jù)或使用利潤中心系統(tǒng)，利潤中心需建設(shè)內(nèi)網(wǎng)新一代防火墻。集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)現(xiàn)況問題整改方案病毒惡意軟件APT病毒惡意軟件APT1234567P6.網(wǎng)絡(luò)管控整改方案–生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔29集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)如利潤中心自行運維的個性系統(tǒng)為面向客戶提供服務(wù)、行業(yè)監(jiān)管要求需區(qū)隔生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)及與生產(chǎn)制造相關(guān)系統(tǒng)者，利潤中心需評估辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)間的網(wǎng)絡(luò)傳輸需求，并實施生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔。生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔需采用防火墻劃分，生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)間的訪問控制需依梳理結(jié)果設(shè)置於防火墻。集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)辦公網(wǎng)絡(luò)現(xiàn)況問題整改方案病毒惡意軟件APT辦公設(shè)備生產(chǎn)系統(tǒng)擴散生產(chǎn)網(wǎng)絡(luò)病毒惡意軟件APT1234567集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)P6.網(wǎng)絡(luò)管控整改方案–終端防病毒軟件30現(xiàn)況問題整改方案病毒惡意軟件APT集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司互聯(lián)網(wǎng)出口利潤中心下屬公司局域網(wǎng)病毒惡意軟件APT

區(qū)域功能需求集中管控功能單機版本免費軟件利潤中心總部VXX利潤中心下屬公司VXX利潤中心下屬公司外點(門店或營銷網(wǎng)點)視需選用VX1234567P6.網(wǎng)絡(luò)管控整改方案–數(shù)據(jù)防泄漏31集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司辦公環(huán)境現(xiàn)況問題設(shè)備丟失U磐云盤共享集團互聯(lián)網(wǎng)集中出口數(shù)據(jù)中心局域網(wǎng)利潤中心局域網(wǎng)利潤中心下屬公司辦公環(huán)境整改方案硬盤加密外設(shè)管控上網(wǎng)管理文檔審計文檔加密1234567P7.終端管控整改方案項次信息安全現(xiàn)況問題對應(yīng)建設(shè)方案安全需求對應(yīng)工作任務(wù)主要工作內(nèi)容Q7目前對于終端設(shè)備的管控薄弱，終端設(shè)備可能成為集團數(shù)據(jù)丟失的渠道或外部入侵的跳板P7.終端管控整改方案移除用戶本地權(quán)限T6.終端安全評估終端用戶使用行為要求終端用戶需加入域管控收回用戶本地最高權(quán)限強制啟用智能終端安全配置T6.終端安全實施智能終端安全解決方案設(shè)計智能終端管理準則加入用戶智能終端與生效設(shè)計終端數(shù)據(jù)備份方案T1.數(shù)據(jù)安全評估終端數(shù)據(jù)備份解決方案終端數(shù)據(jù)解決方案建置實施實施內(nèi)網(wǎng)網(wǎng)絡(luò)準入T5.網(wǎng)絡(luò)安全建立內(nèi)網(wǎng)網(wǎng)絡(luò)準入解決方案盤點內(nèi)網(wǎng)網(wǎng)絡(luò)使用資源內(nèi)網(wǎng)網(wǎng)絡(luò)準入管控生效建立用戶終端安全配置基線T6.終端安全定期實施終端安全檢測定期實施終端安全整改:實現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新終端用戶權(quán)限調(diào)整（由本地管理員權(quán)限調(diào)為普通用戶權(quán)限）硬盤加密，防止終端丟失時產(chǎn)生數(shù)據(jù)泄露對智能終端存儲的業(yè)務(wù)數(shù)據(jù)加密存儲，在終端丟失時，可以遠程安全擦除業(yè)務(wù)數(shù)據(jù)(MDM)32對于信息安全需求的細部說明，請參考附件2

1234567P7.終端管控整改方案–移除用戶本地權(quán)限33通過用戶本地最大權(quán)限現(xiàn)況問題整改方案域管理配置防病毒軟件預設(shè)安全配置未授權(quán)軟件變更系統(tǒng)配置防止用戶端強制加入域并移除用戶本地最大權(quán)限域管理配置防病毒軟件預設(shè)安全配置未授權(quán)軟件變更系統(tǒng)配置用戶本地環(huán)境數(shù)據(jù)中心局域網(wǎng)用戶本地環(huán)境數(shù)據(jù)中心局域網(wǎng)禁止禁止移除安裝病毒惡意軟件APT破壞病毒惡意軟件APT

1234567P7.終端管控整改方案–智能終端強制啟用安全配置34現(xiàn)況問題集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)服務(wù)器智能手機平板電腦推信丟失惡意軟件窺探配合網(wǎng)絡(luò)集中，廣域網(wǎng)絡(luò)統(tǒng)一出口，由集團總部集中管理。配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，智能終端存取配置由集團總部統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)。丟失惡意軟件窺探

集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)服務(wù)器智能手機平板電腦推信整改方案強制設(shè)置開碼啟用遠程數(shù)據(jù)清除不符合的設(shè)備禁止取存服務(wù)推信1234567P7.終端管控整改方案–實施內(nèi)網(wǎng)網(wǎng)絡(luò)準入35現(xiàn)況問題整改方案集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境未安裝防病毒軟件未加入域未安裝補丁未安裝防病毒軟件未加入域未安裝補丁集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境

配合網(wǎng)絡(luò)集中，廣域網(wǎng)絡(luò)統(tǒng)一出口，由集團總部集中管理。配合新一代數(shù)據(jù)中心建成，信息系統(tǒng)集中於新一代數(shù)據(jù)中心代管，內(nèi)網(wǎng)網(wǎng)絡(luò)準入方案由集團總部統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)。在新一代數(shù)據(jù)中心建成前的過渡期間，利潤中心仍需評估更新或新增內(nèi)網(wǎng)網(wǎng)絡(luò)準入方案。實施網(wǎng)絡(luò)準入，禁止不符合規(guī)定的設(shè)備使用集團網(wǎng)絡(luò)1234567P7.終端管控整改方案–終端數(shù)據(jù)備份方案36現(xiàn)況問題整改方案集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境部門自行架設(shè)網(wǎng)盤U盤集團互聯(lián)網(wǎng)出口數(shù)據(jù)中心局域網(wǎng)辦公環(huán)境網(wǎng)絡(luò)辦公環(huán)境丟失毀損部門自行架設(shè)網(wǎng)盤U盤

終端數(shù)據(jù)備份方案丟失毀損1234567信息安全現(xiàn)況問題、建設(shè)方案與工作任務(wù)對應(yīng)37Q1Q2Q3Q4Q5Q6Q7P7.終端管控整改方案P1.標準/合規(guī)整改方案P2.組織權(quán)責整改方案P3.人員管控整改方案P5.應(yīng)用系統(tǒng)安全整改方案P6.網(wǎng)絡(luò)管控整改方案P4.事件應(yīng)變/災(zāi)備整改方案T6.終端安全T1.數(shù)據(jù)安全T5.網(wǎng)絡(luò)安全M1.信息安全標準M2.信息系統(tǒng)等級保護M3.培訓與宣貫O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員M4.人員安全管理T4.操作系統(tǒng)安全M5.信息資產(chǎn)管理T3.數(shù)據(jù)庫/中間件安全M6.信息安全事件管理M7.業(yè)務(wù)連續(xù)性與災(zāi)備T2.應(yīng)用系統(tǒng)安全組織管理技術(shù)問題建設(shè)方案建設(shè)方案工作任務(wù)信息安全建設(shè)方案總覽(續(xù))38M7、業(yè)務(wù)連續(xù)性與災(zāi)備管理O2、信息安全管理組織組織技術(shù)M2、信息系統(tǒng)等級保護M6、信息安全事件管理M3、培訓與宣貫M1、信息安全標準M5、信息資產(chǎn)管理O3、信息安全管理員O1、信息安全職責分工T3、數(shù)據(jù)庫/中間件安全T5、終端安全T2、應(yīng)用系統(tǒng)安全T4、操作系統(tǒng)安全T1、數(shù)據(jù)安全T6、網(wǎng)絡(luò)安全M4、人員安全管理P7.終端管控整改方案P1.標準/合規(guī)整改方案P2.組織權(quán)責整改方案P3.人員管控整改方案P5.應(yīng)用系統(tǒng)安全整改方案P6.網(wǎng)絡(luò)管控整改方案P4.事件應(yīng)變/災(zāi)備整改方案信息安全建設(shè)目標：降低信息安全現(xiàn)況問題所帶來的安全風險及對業(yè)務(wù)運營的影響，并可持續(xù)改善及落實控制的有效性信息安全建設(shè)藍圖規(guī)劃39信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍圖規(guī)劃信息安全建設(shè)目標梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實施排序開展信息安全建設(shè)工作藍圖信息安全建設(shè)方案設(shè)計成果說明開展信息安全建設(shè)藍圖開展信息安全建設(shè)工作藍圖梳理建設(shè)工作實施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入梳理信息安全建設(shè)路徑規(guī)劃原則40不需要額外投入、投入較少的安全要求先實施；人員安全管理：保密協(xié)議、培訓、安全知識宣貫；終端用戶權(quán)限改為普通用戶權(quán)限，減少病毒危害（通過AD策略實現(xiàn)）終端補丁管理：架設(shè)補丁服務(wù)器，或通過互聯(lián)網(wǎng)直接升級；優(yōu)先實施最基礎(chǔ)的、緊迫度高的安全要求先實施：發(fā)生過安全事件的：終端防病毒U盤等外設(shè)控制網(wǎng)絡(luò)準入網(wǎng)絡(luò)攻擊檢測有利于發(fā)現(xiàn)和避免重大安全事件的：開啟系統(tǒng)審計日志（個別系統(tǒng)日志審計未開啟或日志保存時間過短）安全檢查和整改評估計算原則：類別人力需求預算需求復雜度迫切性比重10%30%20%40%說明人力投入需求分為三級。<1分最高>預算投入需求分為三級。<1分最高>方案執(zhí)行復雜度分為三級。<1分最高>方案實施迫切性分為三級。<3分最高>梳理信息安全建設(shè)路徑規(guī)劃原則(續(xù))41數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施終端互聯(lián)網(wǎng)個性系統(tǒng)辦公環(huán)境核心網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施終端核心網(wǎng)絡(luò)互聯(lián)網(wǎng)個性協(xié)同辦公環(huán)境數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)接入網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施終端核心網(wǎng)絡(luò)互聯(lián)網(wǎng)共性系統(tǒng)辦公環(huán)境場地基礎(chǔ)設(shè)施場地基礎(chǔ)設(shè)施場地基礎(chǔ)設(shè)施利潤中心機房數(shù)據(jù)中心機房數(shù)據(jù)中心機房信息系統(tǒng)類型終端地點應(yīng)用系統(tǒng)與基礎(chǔ)設(shè)施信息系統(tǒng)地點終端互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)核心網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施互聯(lián)網(wǎng)大運維服務(wù)機房信息安全建設(shè)方案優(yōu)先序分析人力需求10%<1分最高>預算需求30%<1分最高>復雜度20%<1分最高>迫切性40%<3分最高>總分優(yōu)先序P1.組織權(quán)責整改方案33132.61P2.標準/合規(guī)整改方案23132.52P3.人員管控整改方案13222.25P4.事件應(yīng)變/災(zāi)備整改方案32322.34P5.應(yīng)用系統(tǒng)整改方案21221.77P6.網(wǎng)絡(luò)管控整改方案32222.16P7.終端管控整改方案32232.5342確立信息安全演進路線43第三方單位人員實施層面：繼續(xù)推廣，擴大推廣范圍，各單位將種子單位的經(jīng)驗在本單位內(nèi)推廣，推廣的下屬企業(yè)數(shù)量達80%以上效果要求：推廣單位的信息安全成熟度達到3級水平建設(shè)規(guī)劃階段（14年底）體系試點階段（2015-2016）體系推廣階段（2017-2020）管理邊界：確定集團與利潤中心信息安全管理邊界標準與規(guī)劃：設(shè)計通用性信息安全標準,制定信息安全建設(shè)規(guī)劃,并完成對各單位信息管理部門的宣貫組織建設(shè)：各單位建議安全組織、配備信息安全專職人員標準：個別單位依監(jiān)管要求，制定個性化安全標準實施層面：落實“基礎(chǔ)級”的安全要求，解決最緊迫度高的安全問題，特別是發(fā)生過安全事件的如終端防病毒、U盤控制、網(wǎng)絡(luò)攻擊檢測，及不需要額外投入的安全要求，如保密協(xié)議，安全培訓、開啟系統(tǒng)審計日志、安全檢查和加固落實策略：各單位在本單位選擇1-2種子單位進行試點落實實施層面：繼續(xù)推廣落實信息安全標準與基線的安全要求；落實策略：各單位將種子單位的經(jīng)驗在本單位內(nèi)推廣，推廣的下屬企業(yè)數(shù)量達40%-50%；效果要求：推廣單位的信息安全成熟度達到3級水平2016年底2018年底2014年底2020年底信息安全建設(shè)藍圖規(guī)劃44信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍圖規(guī)劃信息安全建設(shè)目標梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實施排序開展信息安全建設(shè)工作藍圖信息安全建設(shè)方案設(shè)計成果說明開展信息安全建設(shè)藍圖開展信息安全建設(shè)工作藍圖梳理建設(shè)工作實施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入開展信息安全建設(shè)工作藍圖年度試點階段推廣階段201520162017201820192020建設(shè)方案Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4P1.組織權(quán)責整改方案P2.標準/合規(guī)整改方案P3.人員管控整改方案P4.事件應(yīng)變/災(zāi)備整改方案P5.應(yīng)用系統(tǒng)整改方案P6.網(wǎng)絡(luò)管控整改方案P7.終端管控整改方案建立組織各單位持續(xù)落實建立標準持續(xù)落實集團試點與布建集團試點實施與推廣集團實施各單位持續(xù)落實集團推廣與方案優(yōu)化各單位按需實施制定標準細化安全標準與落實45目前針對P1與P2建設(shè)方案，己經(jīng)由德勤與華潤集團項目成員共同完成設(shè)計工作，將于后面章節(jié)細部說明開展信息安全建設(shè)工作藍圖–

設(shè)計信息安全建設(shè)實施路線(集團總部)46建設(shè)方案工作任務(wù)201520162017201820192020P1.組織權(quán)責整改方案O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員P2.標準/合規(guī)整改方案M3.培訓與宣貫

M1.信息安全標準M2.信息系統(tǒng)等級保護P3.人員管控整改方案M4.人員安全管理

T4.操作系統(tǒng)安全

P4.事件應(yīng)變與災(zāi)備整改方案M6.信息安全事件管理M5.信息資產(chǎn)管理M7.業(yè)務(wù)連續(xù)性與災(zāi)備P5.應(yīng)用系統(tǒng)安全整改方案M1.信息安全標準

M5.信息資產(chǎn)管理T4.操作系統(tǒng)安全T3.數(shù)據(jù)庫/中間件安全

T2.應(yīng)用系統(tǒng)安全

P6.網(wǎng)絡(luò)管控整改方案T6.網(wǎng)絡(luò)安全T5.終端安全

P7.終端安全整改方案T5.終端安全

T1.數(shù)據(jù)安全

T6.網(wǎng)絡(luò)安全

開展信息安全建設(shè)工作藍圖–

設(shè)計信息安全建設(shè)實施路線(利潤中心)47建設(shè)方案工作任務(wù)201520162017201820192020P1.組織權(quán)責整改方案O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員P2.標準/合規(guī)整改方案M3.培訓與宣貫

M1.信息安全標準M2.信息系統(tǒng)等級保護P3.人員管控整改方案M4.人員安全管理

T4.操作系統(tǒng)安全

P4.事件應(yīng)變與災(zāi)備整改方案M6.信息安全事件管理M5.信息資產(chǎn)管理M7.業(yè)務(wù)連續(xù)性與災(zāi)備P5.應(yīng)用系統(tǒng)安全整改方案M1.信息安全標準

M5.信息資產(chǎn)管理T4.操作系統(tǒng)安全T3.數(shù)據(jù)庫/中間件安全

T2.應(yīng)用系統(tǒng)安全

P6.網(wǎng)絡(luò)管控整改方案T6.網(wǎng)絡(luò)安全T5.終端安全

P7.終端安全整改方案T5.終端安全

T1.數(shù)據(jù)安全

T6.網(wǎng)絡(luò)安全

信息安全建設(shè)方案說明48信息安全建設(shè)需求分析信息安全現(xiàn)況問題信息安全發(fā)展趨勢信息安全建設(shè)需求匯整信息安全建設(shè)藍圖規(guī)劃信息安全建設(shè)目標梳理信息安全建設(shè)工作匯整梳理建設(shè)工作實施排序開展信息安全建設(shè)工作藍圖信息安全建設(shè)方案設(shè)計成果說明開展信息安全建設(shè)藍圖開展信息安全建設(shè)工作藍圖梳理建設(shè)工作實施排序信息安全建設(shè)工作匯整信息安全建設(shè)目標梳理信息安全建設(shè)需求分析信息安全建設(shè)需求匯整信息安全現(xiàn)況問題信息安全發(fā)展趨勢輸入開展信息安全建設(shè)方案輸入P1.組織權(quán)責整改方案-信息安全管理什么？49著重于業(yè)務(wù)層面的數(shù)據(jù)保密與數(shù)據(jù)質(zhì)量如：數(shù)據(jù)保密數(shù)據(jù)質(zhì)量….保密管理部門業(yè)務(wù)部門著重于人員職前職中職后的要求如：聘雇前背景調(diào)查保密協(xié)議離職前回收…人力資源管理部門著重于信息系統(tǒng)生命周期安全管控如：場地基礎(chǔ)設(shè)施安全IT基礎(chǔ)設(shè)施安全應(yīng)用系統(tǒng)安全…信息管理部門著重于物理環(huán)境安全之管控如：物理門禁管控外部人員訪問…..物理環(huán)境管理部門管理范疇負責單位集團信息安全內(nèi)容業(yè)務(wù)數(shù)據(jù)安全人力資源安全信息系統(tǒng)安全物理環(huán)境安全透過四個領(lǐng)域：業(yè)務(wù)數(shù)據(jù)安全、人力資源安全、信息系統(tǒng)安全、物理環(huán)境安全的強化，確保信息安全管理目標實現(xiàn)，并降低潛在風險立項定義設(shè)計實現(xiàn)運維廢棄用戶供應(yīng)商建設(shè)方運維方P1.組織權(quán)責整改方案–信息系統(tǒng)安全的管理對象50數(shù)據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)庫/中間件操作系統(tǒng)網(wǎng)絡(luò)場地基礎(chǔ)設(shè)施智能終端筆記本臺式機P1.組織權(quán)責整改方案-信息安全體系框架51ISO27001:2013信息安全管理國際標準最佳實務(wù)華潤集團信息治理框架人員安全管理數(shù)據(jù)安全管理應(yīng)用系統(tǒng)安全管理數(shù)據(jù)庫/中間件安全管理操作系統(tǒng)安全管理終端安全管理場地基礎(chǔ)設(shè)施安全管理網(wǎng)絡(luò)安全管理行業(yè)監(jiān)管信息安全合規(guī)遵循信息安全績效評價與評審信息安全組織/管控模式信息安全事件管理信息系統(tǒng)的業(yè)務(wù)連續(xù)性管理供應(yīng)商安全管理信息安全管理標準/基線信息安全管理框架人員安全管理數(shù)據(jù)安全管理應(yīng)用系統(tǒng)安全管理數(shù)據(jù)庫/中間件安全管理操作系統(tǒng)安全管理終端安全管理場地基礎(chǔ)設(shè)施安全管理網(wǎng)絡(luò)安全管理行業(yè)監(jiān)管信息安全合規(guī)遵循信息安全績效評價與評審信息安全組織/管控模式信息安全事件管理信息系統(tǒng)的業(yè)務(wù)連續(xù)性管理供應(yīng)商安全管理信息安全管理標準/基線P1.組織權(quán)責整改方案-管理層工作邊界52信息安全執(zhí)行組信息安全決策委員會利潤中心集團信息安全管理委員會信息安全專職人員基礎(chǔ)設(shè)施管理員應(yīng)用管理員終端管理團隊管理層執(zhí)行層管理層：1、確定和細化通用性安全標準2、為管理范圍的安全建設(shè)配備資源3、對利潤中心進行信息安全績效考核（考核標準，依每年安全建設(shè)任務(wù)確定）管理層：1、確定和細化行業(yè)特定安全標準2、為管理范圍內(nèi)的安全建設(shè)配備資源3、可對下屬企業(yè)進行信息安全績效考核集團規(guī)劃通用性安全標準，并考核利潤中心實施狀況利潤中心建立特定安全標準，并考核下屬企業(yè)實施狀況集團（信息部）：充當裁判員，制定集團通用性安全要求利潤中心管理層：充當裁判員，制定個性化標準(如銀行、電力、燃氣等)P1.組織權(quán)責整改方案

-執(zhí)行層工作邊界（集團執(zhí)行層）53數(shù)據(jù)中心場地核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L3、L4類系統(tǒng)辦公場地/服務(wù)器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員服務(wù)器機房核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L1、L2類系統(tǒng)辦公場地/服務(wù)器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員利潤中心集團L3、L4類系統(tǒng)部分移交集團統(tǒng)一運維目前管理邊界未來管理邊界集團以工作協(xié)同的方式，提供參考方案各單位按性價比決定采用哪種方案集團充當教練員，以服務(wù)目錄的方式，向各單位提供集團的統(tǒng)一方案通用性安全標準：集團（潤聯(lián)）充當運動員：落實解決方案集團作為服務(wù)方，以服務(wù)目錄的方式，向各單位提供集團的統(tǒng)一方案各單位需要協(xié)同集團的方案P1.組織權(quán)責整改方案

-執(zhí)行層工作邊界（利潤中心執(zhí)行層）54數(shù)據(jù)中心場地核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L3、L4類系統(tǒng)辦公場地/服務(wù)器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員服務(wù)器機房核心網(wǎng)操作系統(tǒng)中間件應(yīng)用存儲數(shù)據(jù)庫L1、L2類系統(tǒng)辦公場地/服務(wù)器機房接入網(wǎng)傳統(tǒng)終端終端互聯(lián)網(wǎng)智能終端人員供應(yīng)商和外部人員利潤中心集團L3、L4類系統(tǒng)部分移交集團統(tǒng)一運維目前管理邊界未來管理邊界對于托管在集團的系統(tǒng)，個性化要求如在服務(wù)目錄中，可以由集團落實個性化安全標準：各單位自己充當運動員落實P2.標準與合規(guī)整改方案-信息安全標準設(shè)計思路55ISO27001:2013信息安全管理國際標準最佳實務(wù)行業(yè)監(jiān)管部門要求信息系統(tǒng)等級保護信息安全標準信息安全工作領(lǐng)域P2.標準與合規(guī)整改方案-信息安全標準框架56華潤（集團）有限公司信息安全管理辦法信息系統(tǒng)安全管控要求信息資產(chǎn)管理人力資源安全供應(yīng)商和外部人員管理信息安全事件管理合規(guī)性管理業(yè)務(wù)連續(xù)性管理華潤（集團）有限公司信息安全標準數(shù)據(jù)存儲備份應(yīng)用系統(tǒng)安全要求數(shù)據(jù)庫安全要求中間件安全要求操作系統(tǒng)安全要求網(wǎng)絡(luò)安全要求物理安全要求終端安全要求附錄：IT設(shè)備安全基線要求操作系統(tǒng)安全基線要求Web中間件安全基線要求數(shù)據(jù)庫系統(tǒng)安全基線要求網(wǎng)絡(luò)設(shè)備安全基線要求信息系統(tǒng)安全組織與職責信息安全組織對外合作與溝通信息安全角色與職責：信息系統(tǒng)：人員管理：終端P2.標準與合規(guī)整改方案

–信息安全標準覆蓋項目全生命周期、各對象層面57項目生命周期設(shè)計階段實現(xiàn)階段定義階段立項階段廢棄階段運維階段項目組/應(yīng)用管理員基礎(chǔ)設(shè)施管理團隊數(shù)據(jù)庫安全設(shè)計安全需求調(diào)研和定義開發(fā)測試安全商業(yè)軟件安全選型應(yīng)用安全部署安全方案設(shè)計應(yīng)用安全運維應(yīng)用安全廢棄數(shù)據(jù)存儲備份數(shù)據(jù)庫管理員數(shù)據(jù)庫安全部署數(shù)據(jù)庫安全運維數(shù)據(jù)庫安全回收存儲備份管理員中間件管理員操作系統(tǒng)管理員網(wǎng)絡(luò)管理員場地管理員中間件安全設(shè)計中間件安全部署中間件安全運維中間件安全回收操作系統(tǒng)安全設(shè)計操作系統(tǒng)安全部署操作系統(tǒng)安全運維操作系統(tǒng)安全廢棄網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全建設(shè)網(wǎng)絡(luò)安全運維網(wǎng)絡(luò)設(shè)備安全廢棄場地安全設(shè)計場地安全建設(shè)場地安全運維信息安全專職人員安全方案協(xié)同設(shè)計或評審上線前安全檢查定期安全檢查介質(zhì)消磁安全事件發(fā)現(xiàn)與處理存儲備份系統(tǒng)配置數(shù)據(jù)存儲備份方案設(shè)計數(shù)據(jù)安全廢棄場地安全廢棄P2.標準與合規(guī)整改方案

–信息安全標準要求控制措施（示例）控制措施：也稱控制活動，包括管理控制活動和技術(shù)控制活動；實施時間點：控制活動實施的最佳時期；啟動條件：觸發(fā)控制措施實施的前提條件；技術(shù)方法：在控制措施實施過程中所使用的各種技術(shù)性方法，如漏洞掃描、QoS等；執(zhí)行人：執(zhí)行控制措施的主責部門或人員；工作步驟：工作步驟是指某項控制措施從啟動到完成，所必須經(jīng)過的技術(shù)環(huán)節(jié)或過程，不包括管理環(huán)節(jié)（如審批）；完成標準：控制措施完成的標志；輸入：控制措施執(zhí)行時需要遵循的信息安全要求；輸出：控制措施執(zhí)行的成果5859謝謝！

60附件1

-信息安全需求細部說明信息安全需求細部說明編號信息安全現(xiàn)況問題安全需求細部說明后續(xù)強劃建議備注Q1以等保為核心的合規(guī)壓力加重，加上信息安全管理標準不清，造成部分安全工作執(zhí)行未到位實施信息安全規(guī)范培訓與意識宣貫執(zhí)行信息安全培訓，強化人員對于安全的認知定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫建立通用性的信息安全標準與基線建立通用性信息安全標準供集團使用建立信息安全管理辦法：進行通用性的信息安全標準制定定期審閱與更新信息安全管理辦法

實施信息系統(tǒng)等級保護落實等保規(guī)定實施信息系統(tǒng)安全等級保護定級實施信息系統(tǒng)安全等級保護備案實施系統(tǒng)安全等級保護安全建設(shè)整改61信息安全需求細部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細部說明后續(xù)強劃建議備注Q2集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分梳理集團與利潤中心信息安全責任邊界厘清集團與利潤中心在信息安全的管理邊界設(shè)計信息安全管控模式界定集團與利潤中心安全責任梳理信息系統(tǒng)生命周期中建設(shè)、運維、用戶及安全人員角色責任配合信息系統(tǒng)生命周期明訂安全人員權(quán)責定義信息系統(tǒng)生命周期信息安全工作角色權(quán)責：按“集團信息安全標準”中的人員職責分工，劃清工作邊界設(shè)置信息安全組織建立信息安全組織、選派人員與運作設(shè)置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員配備信息安全專職人員配置專職人員執(zhí)行信息安全工作定期更新信息安全體系運維任務(wù)欄表定義信息安全管理員工作職能設(shè)置信息安全管理員62信息安全需求細部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細部說明后續(xù)強劃建議備注Q3系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統(tǒng)面臨不當取存的風險信息系統(tǒng)帳號權(quán)限審閱納入人員調(diào)離崗作業(yè)強化人員調(diào)離崗與賬號的同步連動簽署人員保密協(xié)議:職前背景調(diào)查、保密協(xié)議定期實施人員信息系統(tǒng)帳戶與權(quán)限復核：職前、職中、職后定期實施LDAP與個性系統(tǒng)帳號權(quán)限審閱建立賬號定期審閱，減少異常賬號被利用的機率實施LDAP與個性系統(tǒng)帳號權(quán)限針對未經(jīng)授權(quán)或異常賬號進行刪除或停用63信息安全需求細部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細部說明后續(xù)強劃建議備注Q4信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復原能力需強化實施信息系統(tǒng)安全日志集中留存。保護系統(tǒng)安全日志的完整性及不可否認性信息系統(tǒng)及基礎(chǔ)設(shè)施安全日志異地留存至數(shù)據(jù)中心SIEM平臺實施信息系統(tǒng)安全日志事件分析。針對系統(tǒng)安全日志進行分析，以便于極早發(fā)現(xiàn)異常定期檢視SIEM平臺安全事件建立SIEM平臺安全監(jiān)控策略建立緊急聯(lián)系清單及通報程序:包含信息安全事件報告、應(yīng)急處理和原因調(diào)查建立信息資產(chǎn)分級與管控機制。建立信息資產(chǎn)分級與定期檢查機制定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實施信息系統(tǒng)安全風險評估：進行定期信息安全檢查和加固方案制定或更新信息系統(tǒng)應(yīng)急預案。強化信息系統(tǒng)對于重大災(zāi)害發(fā)生時的復員能力定期審閱與更新信息系統(tǒng)災(zāi)備方案定期審閱與更新信息系統(tǒng)應(yīng)急預案建立業(yè)務(wù)連續(xù)性計畫(BCP)：包含同城災(zāi)備中心建設(shè)規(guī)劃/異地災(zāi)備中心建設(shè)規(guī)劃實施信息系統(tǒng)應(yīng)急預案演練。強化同仁對于應(yīng)急預案的熟悉程度定期實施信息系統(tǒng)應(yīng)急預案64信息安全需求細部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細部說明后續(xù)強劃建議備注Q5信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運維階段，尚有許多安全控制需要強化及落實，才能保證系統(tǒng)安全運作建立覆蓋信息系統(tǒng)生命周期的信息安全標準與基線建立通用性信息安全標準供集團使用建立共通性的信息安全標準與基線定期審閱與更新信息安全管理辦法建立信息資產(chǎn)分級與管控機制。建立信息資產(chǎn)分級與定期檢查機制定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實施信息系統(tǒng)安全風險評估：進行定期信息安全檢查和加固方案定期實施系統(tǒng)帳號權(quán)限審閱。建立賬號定期審閱，減少異常賬號被利用的機率實施個性系統(tǒng)帳號權(quán)限審閱針對未經(jīng)授權(quán)或異常賬號進行刪除或停用實施數(shù)據(jù)脫敏機制。對于測試環(huán)境內(nèi)不應(yīng)存在正式機敏數(shù)據(jù)評估數(shù)據(jù)脫敏實施需求建立測試模擬數(shù)據(jù)或數(shù)據(jù)脫敏工具定期實施信息系統(tǒng)安全檢測。定期對于信息系統(tǒng)進行檢測確認安全防御程度定期實施信息系統(tǒng)安全檢測定期實施信息系統(tǒng)整改方案65信息安全需求細部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細部說明后續(xù)強劃建議備注Q6部分利潤中心在網(wǎng)絡(luò)層面的安全防御程度不足，在面對或外部網(wǎng)絡(luò)攻擊時可能影響到集團層次

建置外網(wǎng)新一代防火墻或入侵防御系統(tǒng)。強化對于外部網(wǎng)絡(luò)攻擊的防御程度建設(shè)外網(wǎng)新一代防火墻或入侵防御系統(tǒng)。布署終端防病毒軟件。強化終端設(shè)備對于病毒或惡意軟件的防御程度實現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新布署終端數(shù)據(jù)防泄漏。強化終端設(shè)備防御程度實施終端安全整改，實現(xiàn)終端數(shù)據(jù)防泄漏安裝全覆蓋，至少包含外設(shè)管控、硬盤加密等定期實施終端系統(tǒng)漏洞檢測。確認終端系統(tǒng)防御強度定期實施終端系統(tǒng)漏洞檢測定期實施終端系統(tǒng)補丁更新建置內(nèi)網(wǎng)新一代防火墻。強化對于網(wǎng)絡(luò)攻擊的防御程度評估內(nèi)網(wǎng)網(wǎng)絡(luò)傳輸管道安全風險實現(xiàn)內(nèi)網(wǎng)與下屬公司各網(wǎng)絡(luò)端口新一代防火墻全覆蓋實施生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)區(qū)隔。透過網(wǎng)絡(luò)區(qū)隔，避免網(wǎng)絡(luò)損害迅速擴大，能夠先將損失控制在某一個區(qū)域評估生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)傳輸管道安全風險實現(xiàn)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)端口網(wǎng)關(guān)全覆蓋66信息安全需求細部說明(續(xù))編號信息安全現(xiàn)況問題安全需求細部說明后續(xù)強劃建議備注Q7目前對于終端設(shè)備的管控薄弱，終端設(shè)備可能成為集團數(shù)據(jù)丟失的渠道或外部入侵的跳板移除用戶本地權(quán)限移除收回用戶本地最高權(quán)限，降為用戶權(quán)力，如有特殊需要另外開放與管理評估終端用戶使用行為要求終端用戶需加入域管控收回用戶本地最高權(quán)限強制啟用智能終端安全配置透過解決方案有效管理智能終端設(shè)定及使用行為，同時保護放在智能終端中的業(yè)務(wù)數(shù)據(jù)實施智能終端安全解決方案對智能終端存儲的業(yè)務(wù)數(shù)據(jù)加密存儲，在終端丟失時，可以遠程安全擦除業(yè)務(wù)數(shù)據(jù)(MDM)設(shè)計終端數(shù)據(jù)方案建立完整的數(shù)據(jù)備份及使用機制，同時禁止同仁使用其他有風險的數(shù)據(jù)傳輸管道(如U盤、云端網(wǎng)碟)評估終端數(shù)據(jù)備份解決方案終端數(shù)據(jù)解決方案建置實施實施內(nèi)網(wǎng)網(wǎng)絡(luò)準入確保僅有通過申請的設(shè)備才能夠連入網(wǎng)絡(luò)，管控內(nèi)網(wǎng)安全建立內(nèi)網(wǎng)網(wǎng)絡(luò)準入解決方案盤點內(nèi)網(wǎng)網(wǎng)絡(luò)使用資源內(nèi)網(wǎng)網(wǎng)絡(luò)準入管控生效建立用戶終端安全配置基線強化終端設(shè)備的自身防御能力，包含防毒偵測、筆記本硬盤加密定期實施終端安全檢測定期實施終端安全整改:實現(xiàn)終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新硬盤加密，防止終端丟失時產(chǎn)生數(shù)據(jù)泄露6768附件2

-信息安全建設(shè)方案內(nèi)容說明P1.組織權(quán)責整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團責任利潤中心責任備注O1信息安全職責分工設(shè)計信息安全管控模式界定集團與利潤中心安全責任項目性工作2015/Q12015/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)O1信息安全職責分工定義信息系統(tǒng)生命周期信息安全工作角色權(quán)責：按“集團信息安全標準”中的人員職責分工，劃清工作邊界日常性工作2015/Q12015/Q4定義權(quán)責(P)落實規(guī)定(D)進行檢核(C)落實規(guī)定(D)進行改善(A)集團與利潤中心需要共同執(zhí)行O2信息安全管理組織設(shè)置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員日常性工作2015/Q12015/Q4建立規(guī)范(P)進行檢核(C)建立組織(D)進行改善(A)集團已完成規(guī)范建立O3信息安全管理員定期更新信息安全體系運維任務(wù)欄表定義信息安全管理員工作職能設(shè)置信息安全管理員項目性工作2015/Q12015/Q4定義職能(P)設(shè)置人員(D)設(shè)置人員(D)整體方案規(guī)劃時程預估投入成本對業(yè)務(wù)單位潛在風險預防程度約12個月低度投入，僅需人力成本低度，但屬于基本的安全管控問題1:集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分*細部執(zhí)行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內(nèi)容69P1P1P2P3P4P5P6P7完成P2.標準與合規(guī)整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團責任利潤中心責任備注M3培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫日常性工作2015/Q12015/Q4建立規(guī)范(P)辦理培訓(D)進行檢核(C)辦理培訓(D)M1信息安全標準建立信息安全管理辦法：進行通用性的信息安全標準制定定期審閱與更新信息安全管理辦法日常性工作2015/Q12016/Q4建立辦法(P)落實規(guī)定(D)定期審閱(C)更新規(guī)定(A)細化辦法(P)落實規(guī)定(D)定期審閱(C)更新規(guī)定(A)集團已完成規(guī)范建立M2信息系統(tǒng)等級保護實施信息系統(tǒng)安全等級保護定級實施信息系統(tǒng)安全等級保護備案實施信息系統(tǒng)安全等級保護安全建設(shè)整改日常性工作2015/Q12015/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)整體方案規(guī)劃時程預估投入成本對業(yè)務(wù)單位潛在風險預防程度約24個月低度投入，僅需人力成本低度，但屬于基本的安全管控問題2:以等保為核心的合規(guī)壓力加重，加上信息安全管理標準不清，造成部分安全工作執(zhí)行未到位*細部執(zhí)行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內(nèi)容70P1P1P2P2P3P4P5P6P7完成P3.人員管控整改方案71編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團責任利潤中心責任備注M4人員安全管理簽署人員保密協(xié)議:職前背景調(diào)查、保密協(xié)議定期實施人員信息系統(tǒng)帳戶與權(quán)限復核：職前、職中、職后日常性工作2015/Q12015/Q4建立規(guī)范(P)落實管控(D)進行檢核(C)落實管控(D)T4操作系統(tǒng)安全實施LDAP與個性系統(tǒng)帳號權(quán)限針對未經(jīng)授權(quán)或異常賬號進行刪除或停用日常性工作2015/Q12015/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)整體方案規(guī)劃時程預估投入成本對業(yè)務(wù)單位潛在風險預防程度約12個月低度投入，僅需人力成本高度，能降低業(yè)務(wù)單位遭受攻擊之機率問題3:系統(tǒng)賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統(tǒng)面臨不當取存的風險P1P1P2P2P3P3P4P4P5P6P7*細部執(zhí)行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內(nèi)容P4.事件應(yīng)變/災(zāi)備整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團責任利潤中心責任備注M6信息安全事件管理信息系統(tǒng)及基礎(chǔ)設(shè)施安全日志異地留存至數(shù)據(jù)中心SIEM平臺項目性工作2015/Q12016/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)M6信息安全事件管理定期檢視SIEM平臺安全事件建立SIEM平臺安全監(jiān)控策略建立緊急聯(lián)系清單及通報程序:包含信息安全事件報告、應(yīng)急處理和原因調(diào)查日常性工作2015/Q32016/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)按利潤中心需求實施M5信息資產(chǎn)管理定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實施信息系統(tǒng)安全風險評估：進行定期信息安全檢查和加固方案日常性工作2015/Q12016/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)利潤中心可采購集團的服務(wù)，或采購第三方的服務(wù)整體方案規(guī)劃時程預估投入成本對業(yè)務(wù)單位潛在風險預防程度約24個月中度投入，可能添購解決方案中度，能夠降低重大事件所帶來之沖擊*細部執(zhí)行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內(nèi)容問題4:信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復原能力需強化72P1P1P2P2P3P3P4P4P5P6P7P4.事件應(yīng)變/災(zāi)備整改方案(續(xù))編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團責任利潤中心責任備注M7業(yè)務(wù)連續(xù)性與災(zāi)備定期審閱與更新信息系統(tǒng)災(zāi)備方案定期審閱與更新信息系統(tǒng)應(yīng)急預案建立業(yè)務(wù)連續(xù)性計畫(BCP)：包含同城災(zāi)備中心建設(shè)規(guī)劃/異地災(zāi)備中心建設(shè)規(guī)劃日常性工作2015/Q12016/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)M7業(yè)務(wù)連續(xù)性與災(zāi)備定期實施信息系統(tǒng)應(yīng)急預案日常性工作2015/Q12016/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)整體方案規(guī)劃時程預估投入成本對業(yè)務(wù)單位潛在風險預防程度約24個月中度投入，可能添購解決方案中度，能夠降低重大事件所帶來之沖擊*細部執(zhí)行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內(nèi)容問題4:信息系統(tǒng)缺乏審計紀錄，人員不易快速排除異常，且發(fā)生重要系統(tǒng)中斷服務(wù)時的復原能力需強化73P1P1P2P2P3P3P4P4P5P6P7P5.應(yīng)用系統(tǒng)安全整改方案編號工作任務(wù)主要工作任務(wù)內(nèi)容活動類別規(guī)劃開始日期規(guī)劃結(jié)束日期集團責任利潤中心責任備注M1信息安全標準建立共通性的信息安全標準與基線：銀行、資產(chǎn)、電力、醫(yī)藥等單位進行個性化信息安全標準制定定期審閱與更新信息安全管理辦法日常性工作2015/Q12016/Q4建立辦法(P)落實規(guī)定(D)定期審閱(C)更新規(guī)定(A)細化辦法(P)落實規(guī)定(D)定期審閱(C)更新規(guī)定(A)集團已完成規(guī)范建立M5信息資產(chǎn)管理定期實施信息資產(chǎn)分級管理：信息資產(chǎn)登記定期實施信息系統(tǒng)安全風險評估：進行定期信息安全檢查和加固方案日常性工作2015/Q12016/Q4建立規(guī)范(P)落實管控(D)進行檢核(C)落實管控(D)利潤中心可采購集團或采購第三方的服務(wù)T4操作系統(tǒng)安全實施個性系統(tǒng)帳號權(quán)限審閱針對未經(jīng)授權(quán)或異常賬號進行刪除或停用日常性工作2015/Q12015/Q4建立規(guī)范(P)落實規(guī)范(D)進行檢核(C)落實規(guī)范(D)整體方案規(guī)劃時程預估投入成本對業(yè)務(wù)單位潛在風險預防程度約48個月高度投入，需購置配套解決方案高度，能降低業(yè)務(wù)單位遭受外來攻擊之機率問題5:信息系統(tǒng)及數(shù)據(jù)在開發(fā)與運維階段，尚有許多安全控制需要強化及落實，才能保證系統(tǒng)安全運作P1P1P2P2P3P3P4