同洲信息平安體系1.0建設(shè)方案書客戶第一|陽光溝通|團隊協(xié)作|擁抱變化|學(xué)習(xí)成長管理工程部鄧生品管理工程部鄧生品

2021年12月24日同洲信息安全管理現(xiàn)狀信息安全管理標(biāo)桿同洲信息安全與標(biāo)桿的差距目錄同洲信息安全體系變革規(guī)劃需要領(lǐng)導(dǎo)提供的支持信息安全介紹平安管理混亂的幾個案例總部高層的辦公室，神秘人士可以越過“重重關(guān)卡”，自由出入；那么，其他辦公場地呢？可想而知……公司各類重要場地、業(yè)務(wù)系統(tǒng)，已有的或是新增的，從來沒有定期的信息安全風(fēng)險評估與管理優(yōu)化這一說，反正，出了問題再“救火”，不但不被處罰，還能向公司體現(xiàn)“我”的“工作績效和工作付出”基地，保安與員工勾結(jié)，硬件資產(chǎn)被盜。那么，公司的重要設(shè)計方案、代碼軟件等電子信息資產(chǎn)，是否也被時時如此“算計”著，不言自喻……各類高危的設(shè)備帶入研發(fā)等場地；USB端口開啟、網(wǎng)絡(luò)服務(wù)器搭建、測試申請時時發(fā)生著……在沒有任何隱患控制措施的情況下，還帶著一副必須得為其開通的言語和表情n…………公司種種業(yè)務(wù)開展中的平安需求很急迫，但無平安系統(tǒng)支撐需要文檔加密系統(tǒng)，支撐IPD等流程文檔發(fā)布的發(fā)布，但我們沒有文檔加密系統(tǒng)公司種種業(yè)務(wù)開展中的平安需求很急迫，但無平安系統(tǒng)支撐需要文檔加密系統(tǒng)，支撐公司研發(fā)核心代碼、設(shè)計文檔。但我們沒有文檔加密系統(tǒng)我們沒有內(nèi)網(wǎng)行為監(jiān)控系統(tǒng)公司具有FTP權(quán)限的人有200多個，占上網(wǎng)總?cè)藬?shù)的約1/7，F(xiàn)TP傳輸?shù)男畔⑾到y(tǒng)也無法監(jiān)控FTP是平安的高危通道。在管理上應(yīng)該是部門統(tǒng)一出口，專人管理；同時，需要對傳輸?shù)膬?nèi)容進行監(jiān)控。但是，目前公司卻沒有做到其中的一點我司目前平安控制水平無標(biāo)準(zhǔn)平安防御與評估體系，外表太平建立管理組織體系、采取周期評估優(yōu)化措施平安標(biāo)準(zhǔn)可控，不斷優(yōu)化破產(chǎn)損失沉重根本無力回天平安水平層次$同洲目前的位置在這里，我們應(yīng)該向有陽光的地方奮進！應(yīng)該不會有人否定吧？同洲位置平安形勢越來越嚴(yán)峻麻痹者跌倒后，將可能永遠倒下案例展示順序，以平安架構(gòu)“核心層分類〞標(biāo)準(zhǔn)為根底我司平安各層面平安管理混亂案例分析必須補充信息平安根底的“憲法〞文件混亂表現(xiàn)1：權(quán)限開通無視平安混亂表現(xiàn)2：開發(fā)測試無平安控制意識混亂表現(xiàn)3：平安管理不能落地混亂表現(xiàn)n……沒有統(tǒng)一的旗幟，所以迷失方向，百年同洲需要護航符，平安壓力需要從高層局部擴展到全員，成為企業(yè)文化的一局部根據(jù)業(yè)務(wù)需要，我們需要外部能訪問內(nèi)網(wǎng)的服務(wù)器和計算機，我們的領(lǐng)導(dǎo)都審批通過了，IT網(wǎng)絡(luò)部趕快給我開通！沒有安全評估流程及標(biāo)準(zhǔn)，所以，領(lǐng)導(dǎo)審批通過了就是安全的了，客觀上是否安全不重要了！我是在測試一個IT方面的平臺系統(tǒng)，又不是在做業(yè)務(wù)無關(guān)的事，所以雖然是因為測試讓研發(fā)的辦公網(wǎng)絡(luò)癱瘓了5小時，但是這個是業(yè)務(wù)上需要！

他并沒有意識到，在生產(chǎn)環(huán)境測試是違反安全基本標(biāo)準(zhǔn)的，也沒有意識到這個一個嚴(yán)重的安全事故。而且還有要讓網(wǎng)絡(luò)癱瘓5天的架勢制定實驗室安全管理細則？那是公司的事情，實驗室管理員是做什么的我不是很清楚，但是肯定不是負責(zé)這方面的。自己的職責(zé)是什么很含糊，但是，怎樣推卸職責(zé)是一點也不含糊。1.你是IT信息安全部而又不是全公司的信息安全部，所以只是負責(zé)你們部門范圍的安全，我們部門的事情，什么時候輪到你來管了？2.我現(xiàn)在有一臺私人電腦要帶進來，你必須給我解決，不然，我的工作事情你來負責(zé)做完……

不知道怎么評價了！往往這個時候似乎感到自己的智商突然變低了平安管理無明確身份面臨的為難……我們需象標(biāo)桿企業(yè)一樣，從公司管理制度上，確認和保證平安建設(shè)與檢查機構(gòu)的“法定〞身份和權(quán)威。你只是IT部門下的一個小小主管，你是為我效勞的！你以為你是誰啊？N……華為公司的平安機構(gòu)，內(nèi)部從高管到基層員工、外部從政府官員到各類來訪人員，都“懼怕〞他們而事事注意遵從其平安要求。但是在同洲，不少人卻對公司平安要求不以為然的吆五喝六。難道，同洲的平安境界非常高了，已經(jīng)到達不需平安管理的境地了嗎？我們部門的領(lǐng)導(dǎo)都審批同意了，你憑什么不批？必須在5分鐘內(nèi)給我開通！我沒有違反規(guī)定，我們部門的規(guī)定就是這樣的，你無權(quán)干預(yù)！是誰給你的權(quán)利，讓我遵守這遵守那的？無統(tǒng)一平安監(jiān)管機構(gòu)導(dǎo)致的混亂亟待建立貫穿高層至基層的平安管理體系總部行政中心保安負責(zé)總部大樓安全。但是，對環(huán)境安全保護是否到位、方案是否根據(jù)業(yè)務(wù)發(fā)展進行周期性調(diào)整優(yōu)化？缺少專業(yè)的引導(dǎo)和評估，缺少統(tǒng)一的監(jiān)督和檢查?；乜倓?wù)安全部負責(zé)基地的物業(yè)安全，但是，其安全措施標(biāo)準(zhǔn)是否與總部一致？其日常的工作狀態(tài)缺少明確獨立的機構(gòu)監(jiān)督。IT系統(tǒng)維護部門，負責(zé)系統(tǒng)的配置等服務(wù)。但是，各系統(tǒng)之間的通信是否符合安全標(biāo)準(zhǔn)？系統(tǒng)的性能是否進行周期性評估以支撐業(yè)務(wù)連續(xù)性？沒有評估，也沒有標(biāo)準(zhǔn)及統(tǒng)一監(jiān)管各外地分公司、辦事處的物理安全是否有負責(zé)人在監(jiān)管和落實？沒有！IT網(wǎng)絡(luò)部認為職責(zé)是負責(zé)日常網(wǎng)絡(luò)的通暢。缺少開展網(wǎng)絡(luò)安全狀態(tài)周期性評估和周期優(yōu)化鞏固方案設(shè)計與實施。沒有統(tǒng)一的安全要求標(biāo)準(zhǔn)及符合性監(jiān)管統(tǒng)一負責(zé)整個公司平安體系的標(biāo)準(zhǔn)制定、日常平安運作情況的評估與監(jiān)管機構(gòu)在哪里？沒有！我們必須建立起來！總部、基地、外地的各部門及員工日常形形色色的行為安全狀況，是否有統(tǒng)一監(jiān)管、優(yōu)化？沒有！平安產(chǎn)品的選型、洽談、考察、測試、平安人員接待與溝通公司平安組織建設(shè)；各類權(quán)限申請電子流審批；員工日常平安事件調(diào)查；員工平安意識培訓(xùn)公司信息平安人手太過薄弱各類信息平安標(biāo)準(zhǔn)、制度、方案的制定；以及組織評審、簽發(fā)信息平安工程群的組織、開發(fā)、實施、推行、以及工程日常管理其他工作：假設(shè)干平安權(quán)限電子流審批；部門內(nèi)部QA組及驗收測試部的部門建設(shè)、標(biāo)準(zhǔn)制定、日常管理協(xié)調(diào)等工作目前,只有信息平安部主管+一名新畢業(yè)大學(xué)生公司信息安全工作同洲信息安全管理現(xiàn)狀信息安全管理標(biāo)桿同洲信息安全與標(biāo)桿的差距目錄同洲信息安全體系變革規(guī)劃需要領(lǐng)導(dǎo)提供的支持信息安全介紹標(biāo)桿核心層分析不斷完善的信息平安文件體系平安制度、平安流程——誰，什么時候、做什么，在哪里各類平安符合性證據(jù)Level2各類安全管理規(guī)定、安全流程及流程文件Level1安全手冊描述任務(wù)及具體活動怎么做的各類模板、表單Level3操作指導(dǎo)、檢查彪、模板等Level4各類記錄華為建立了以?信息平安策略總綱?為根底的、由各層級細化的平安管理規(guī)定、文件、模板等組成的信息平安白皮書文件體系。它們分別由對應(yīng)層級的平安機構(gòu)修訂和實施上下一體的的信息平安組織架構(gòu)渾然一體、運作高效的信息安全體系公司信息安全監(jiān)管委員會信息安全部（全球信息安全管理辦公室）網(wǎng)絡(luò)安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團隊國內(nèi)各地物業(yè)安全處海外各地物業(yè)安全處…………CIO內(nèi)網(wǎng)行為監(jiān)管與審計系統(tǒng)終端接入認證、終端軟件標(biāo)準(zhǔn)檢查等系統(tǒng)文檔加密、打印、USB等控制系統(tǒng)網(wǎng)絡(luò)隔離；物理劃分安全等級，并實施不同等級的配套保護信息安全工作納入部門績效考核周期性年度風(fēng)險評估暢通的安全問題反饋通道、嚴(yán)明的安全獎懲機制全員日常例行安全檢查同洲信息安全管理現(xiàn)狀信息安全管理標(biāo)桿同洲信息安全與標(biāo)桿的差距目錄同洲信息安全體系變革規(guī)劃需要領(lǐng)導(dǎo)提供的支持信息安全介紹差距分析我司平安內(nèi)控與標(biāo)桿的位置示意圖無標(biāo)準(zhǔn)平安防御與評估體系，外表太平建立管理組織體系、采取周期評估優(yōu)化措施平安標(biāo)準(zhǔn)可控不斷優(yōu)化破產(chǎn)損失沉重根本無力回天平安水平$華為位置同洲位置有差距不可怕！可怕的是我們看不到差距，甚至看到了差距后，不是想方法趕上，而是找借口不為！我司信息平安文件體系狀況Level2Level3Level4Level1平安制度、平安流程——誰，什么時候、做什么，在哪里各類平安符合性證據(jù)各類平安管理規(guī)定、平安流程及流程文件平安手冊描述任務(wù)及具體活動怎么做的各類模板、表單操作指導(dǎo)、檢查表、模板等各類記錄沒有規(guī)矩，就沒有方圓！所以，沒有平安的標(biāo)準(zhǔn)指導(dǎo)性文件，平安建設(shè)失去了引導(dǎo)和度量的標(biāo)準(zhǔn)。現(xiàn)代社會是契約型社會，公司的“平安契約〞在哪里？沒有。那我們就用心建立起來吧！無公司安全綱領(lǐng)文件有少部分散亂的安全制度及流程，不全面且相互也缺乏互補，等待規(guī)范除了物業(yè)保安場地檢查記錄外，其他基本沒有嚴(yán)重缺失沒，基本沒有沒有總部、基地、各外地機構(gòu)等物業(yè)監(jiān)管隸屬、考核關(guān)系，以及管理標(biāo)準(zhǔn)等模糊不明，有待明確和改善需優(yōu)化上下一體的的信息平安組織架構(gòu)公司信息安全監(jiān)管委員會信息安全部（全球信息安全管理辦公室）網(wǎng)絡(luò)安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團隊國內(nèi)各地物業(yè)安全處海外各地物業(yè)安全處…………CIO1.只有一個專業(yè)人員和一個新畢業(yè)大學(xué)生；2.沒有從制度上明確安全機構(gòu)的責(zé)任和權(quán)利力量薄弱

現(xiàn)狀下的公司安全組織，就如“農(nóng)民起義軍”一樣，有形無神！無統(tǒng)一的章程、無統(tǒng)一的中央機構(gòu)，憑少數(shù)“起義發(fā)起者”在“點火”，員工和各部門缺失主動的安全防范措施和意識。IT技術(shù)支持、網(wǎng)絡(luò)維護人員在負責(zé)。沒有規(guī)范的標(biāo)準(zhǔn)、沒有IT狀態(tài)安全評估、沒有例行檢查與優(yōu)化……需加強部門安全績效考核周期性風(fēng)險評估暢通的問題反饋通道、明確的安全獎懲全員日常例行安全檢查脆弱的安全內(nèi)控終端接入安全認證系統(tǒng)（SPES）桌面軟件標(biāo)準(zhǔn)檢查系統(tǒng)（ACC）網(wǎng)絡(luò)隔離；場地安全等級劃分與配套管理等等……內(nèi)網(wǎng)行為防護與審計系統(tǒng)(CPM、PM、信息出口監(jiān)管系統(tǒng))物理平安有一定監(jiān)控，其他防內(nèi)部泄密監(jiān)管根本空白！同洲信息安全管理現(xiàn)狀信息安全管理標(biāo)桿同洲信息安全與標(biāo)桿的差距目錄同洲信息安全體系變革規(guī)劃需要領(lǐng)導(dǎo)提供的支持信息安全介紹什么是信息平安平安平安平安平安信息威脅弱點完整性保護信息及其處理步驟不被未授權(quán)的修改可用性確保信息能夠被授權(quán)的用戶在需要時訪問風(fēng)險確保信息只被授權(quán)的人訪問保密性信息平安關(guān)注的“三性〞信息平安之路——4P平安策略與流程(Policy&Process)專業(yè)團隊People支撐產(chǎn)品(Product)信息平安的組成領(lǐng)域總攬信息平安11個控制領(lǐng)域

39個控制目標(biāo)

133個控制項平安制度及流程管理措施11通信與操作管理10業(yè)務(wù)連續(xù)性管理2組織安全3資產(chǎn)分類與控制

5物理及環(huán)境安全8符合性4系統(tǒng)與維護9信息安全事件管理6訪問控制7人員安全1安全策略平安風(fēng)險控制方案設(shè)計過程23451企業(yè)信息平安管理體系(ISMS)建設(shè)PDCA做什么怎么做把方案方案轉(zhuǎn)化成現(xiàn)實實際的情況是否與方案一樣得到控制下一步如何優(yōu)化建立與公司策略與目標(biāo)相適宜的安全策略、對象、目標(biāo)、流程活動等，聚焦于風(fēng)險管理和提升信息的安全狀態(tài)。1.發(fā)起建設(shè)ISMS實施與運作各類安全策略、控制，以及安全流程與活動。2.實施與運作ISMS基于安全策略，評估、度量各安全控制過程的實際效用；形成評估結(jié)果報告提交管理層審視。3.監(jiān)控與審視ISMS基于管理層對風(fēng)險評估結(jié)果(步驟3的輸出)的審視意見，采取正確有效的ISMS持續(xù)改進措施。4.維護與改進ISMS計劃行動檢查改進做什么怎么做把計劃方案轉(zhuǎn)化成現(xiàn)實實際的情況是否與計劃一樣得到控制下一步如何優(yōu)化輸入輸出平安工作模塊總攬平安風(fēng)險評估平安根底平安功能平安優(yōu)化平安戰(zhàn)略平安管理平安區(qū)域定義和劃分平安組織和責(zé)任劃分企業(yè)平安策略定義信息資產(chǎn)分類和分級緊急響應(yīng)機制業(yè)務(wù)持續(xù)方案核心平安標(biāo)準(zhǔn)/流程平安變更管理平安補丁管理平安備份管理其它平安標(biāo)準(zhǔn)/流程平安培訓(xùn)與教育第三方平安控制要求平安策略和標(biāo)準(zhǔn)修訂系統(tǒng)平安強化網(wǎng)絡(luò)入侵檢測體系高危數(shù)據(jù)傳輸加密關(guān)鍵系統(tǒng)日志記錄病毒防范機制身份認證體系訪問控制體系可用性與冗余性遠程訪問平安機制時間同步機制集中平安審計體系平安事件管理平臺企業(yè)身份認證平臺其它內(nèi)容平安機制其它數(shù)據(jù)傳輸加密主機入侵檢測體系數(shù)據(jù)存儲平安體系平安體系全面整合和控管國際或國內(nèi)平安認證同洲信息安全管理現(xiàn)狀信息安全管理標(biāo)桿同洲信息安全與標(biāo)桿的差距目錄同洲信息安全體系變革規(guī)劃需要領(lǐng)導(dǎo)提供的支持信息安全介紹本期目標(biāo)：搭建我司平安防御大廈框架

怎么做？How誰做？Who什么時候做？When做什么？What公司安全大廈WhatistheBaseWhatWhatWhat

做什么？What這三項，是業(yè)界標(biāo)桿用重金構(gòu)建起來、用成功實踐證明了的安全大廈的“脊梁”平安“大廈〞的脊梁是什么？公司安全大廈公司安全大廈堅固的基石是什么？WhatWhatWhat建立信息安全文件體系框架建立公司信息安全組織架構(gòu)建立初級的管理與技術(shù)支撐體系建立并落實公司信息平安文件體系框架

基于IPD的文件架構(gòu)標(biāo)準(zhǔn)，確定公司信息安全類文件體系架構(gòu)確定各層文件內(nèi)容框架及編撰的責(zé)任部門12確立公司信息安全綱領(lǐng)性文件——設(shè)計并簽發(fā)《同洲信息安全管理手冊》3建立公司安全策略被執(zhí)行的確保機制——設(shè)計并簽發(fā)《同洲信息安全獎懲管理規(guī)定》平安文件體系架構(gòu)平安綱領(lǐng)性文件平安基準(zhǔn)獎懲制度建立公司信息平安組織架構(gòu)公司信息安全監(jiān)管委員會信息安全部（全球信息安全管理辦公室）網(wǎng)絡(luò)安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團隊國內(nèi)各地物業(yè)安全處海外各地物業(yè)安全處…………公司CIO

業(yè)界最佳實踐標(biāo)桿安全組織架構(gòu)BR&IT信息平安部是公司平安組織的“行業(yè)領(lǐng)導(dǎo)〞機構(gòu)，虛線平安層級的行政領(lǐng)導(dǎo)關(guān)系和人事關(guān)系在原部門體系對照分析技術(shù)監(jiān)控管理監(jiān)控技術(shù)監(jiān)控管理監(jiān)控建立并運作各業(yè)務(wù)體系日常平安檢查機制加固物理平安優(yōu)化及監(jiān)督機制部署內(nèi)網(wǎng)行為監(jiān)控系統(tǒng)部署電子文檔平安管理系統(tǒng)明確IT網(wǎng)絡(luò)體系、IT應(yīng)用體系風(fēng)險評估與控制機制知道了“大廈〞的各要素后，怎么做出來呢？公司安全大廈高層支持、全員參與、有效協(xié)作、定期檢查、獨立審計、周期性評估與優(yōu)化，是公司平安大廈鞏固的基石！安全件體系框架安全組織架構(gòu)管理與技術(shù)支撐體系建立根底：簽發(fā)?同洲信息平安管理手冊?，建立平安文件體系架構(gòu)；建立貫穿上下的公司信息平安組織，明確各部門及員工平安防護要求、。確立各部門平安專員，與秘書體系合并，設(shè)計日常平安檢查表，引導(dǎo)開展日常的平安檢查，并落實獎懲機制實施公司研發(fā)與非研發(fā)網(wǎng)絡(luò)、物理場地的隔離部署文檔加密系統(tǒng)、內(nèi)部入侵檢測系統(tǒng)……怎么做？How如此建立公司信息安全大廈！公司安全大廈逐步建立安全項目1從零開始成長著成長著安全項目2安全項目3安全項目n……平安體系1.0建設(shè)工程群總攬序號名稱項目目標(biāo)備注12345公司安全組織架構(gòu)搭建項目確定公司從上至下的安全組織架構(gòu)體系，簽發(fā)安全綱領(lǐng)文件確定各安全組織的職責(zé)分工及及工作匯報關(guān)系項目詳細計劃續(xù)后日常辦公行為安全整改項目建立各業(yè)務(wù)體系安全專員組織（與公司秘書體系合并）輸出安全專員工作操作指導(dǎo)辦法輸出日常安全狀態(tài)監(jiān)管CheckList指導(dǎo)專員工作，開展落實例行檢查建立全員參與的安全問題反饋通道項目詳細計劃續(xù)后研發(fā)網(wǎng)絡(luò)安全隔離項目定義研發(fā)業(yè)務(wù)研發(fā)物理場地與非研發(fā)各類研發(fā)網(wǎng)絡(luò)與非研發(fā)網(wǎng)絡(luò)隔離加固研發(fā)門禁權(quán)限項目詳細計劃續(xù)后公司電子文檔安全內(nèi)控項目部署電子文檔加密系統(tǒng)確定公司文檔密級分類及對應(yīng)密級定義、確定公司各類文檔密級并落實文檔密級標(biāo)識確定公司各類密級文檔加密規(guī)則確定跨部門文檔獲取規(guī)則項目詳細計劃續(xù)后公司物理場地安全優(yōu)化項目協(xié)作行政中心，明確以總部為首的各地物業(yè)保安管理體系，統(tǒng)一明確物業(yè)安全標(biāo)準(zhǔn)和監(jiān)管機制確立公司物理場地安全等級劃分標(biāo)準(zhǔn)，確立配套的物理安全管理措施確立公司物理場地安全狀態(tài)定期風(fēng)險評估、安全監(jiān)督與措施優(yōu)化機制項目詳細計劃續(xù)后平安工程細化介紹組織架構(gòu)公司平安組織架構(gòu)問題解決方案對應(yīng)職責(zé)1.平安行業(yè)領(lǐng)導(dǎo)關(guān)系;2.下級機構(gòu)落實上級機構(gòu)的策略;3.上級機構(gòu)對下級機構(gòu)的平安工作，有績效考評結(jié)果的建議權(quán)總裁辦全體人員組成，審批公司重大平安策略、方案等，提供決策支持負責(zé)公司信息平安管理體系(ISMS)的維護與建設(shè)；牽頭規(guī)劃或制定公司平安策略、方案、制度、標(biāo)準(zhǔn)等；導(dǎo)各業(yè)務(wù)部門開展周期性風(fēng)險評估；平安工程規(guī)劃與實施；日常平安監(jiān)管；平安事故調(diào)查處理物業(yè)行政管理部：物理平安方面策略的落地，具體平安制度的細化與控制措施周期性評估優(yōu)化公司各項平安要求在本部門的落地與日常檢查監(jiān)管；公司平安工程在本部門的宣傳與推行；協(xié)助參與與本部門員工有關(guān)的平安事件調(diào)查與處理……IT網(wǎng)絡(luò)及應(yīng)用維護部門：公司網(wǎng)絡(luò)平安方面策略的細化和落地，具體網(wǎng)絡(luò)平安制度、流程的制定與周期性評估優(yōu)化公司信息平安部人力薄弱的解決方案部門間的責(zé)任躲避或者推委

1.負責(zé)公司信息安全管理體系(ISMS)的維護與建設(shè)；2.牽頭規(guī)劃或制定公司安全策略、方案、制度、標(biāo)準(zhǔn)等；3.引導(dǎo)各業(yè)務(wù)部門開展周期性風(fēng)險評估；4。安全項目規(guī)劃與實施；5。日常安全監(jiān)管；6。安全事故調(diào)查處理繁重的任務(wù)薄弱的人力：一個安全專業(yè)人員+一名新大學(xué)生重重的問題和障礙員工單薄的安全責(zé)任意識薄弱的安全支撐技術(shù)設(shè)施BR&IT信息安全部…安全制度設(shè)計小組安全技術(shù)架構(gòu)小組安全系統(tǒng)開發(fā)維護小組安全審計小組現(xiàn)狀

充分利用現(xiàn)有部門人力資源，確定4名合適的兼職人員，在安全主管的指導(dǎo)下，分解“安全制度制定、安全技術(shù)架構(gòu)、安全系統(tǒng)維護、日常安全審計”四個方面工作，提高安全各層面兼顧及防護效率；同時，時刻關(guān)注引進有專業(yè)經(jīng)驗的人才解決辦法研發(fā)網(wǎng)絡(luò)平安隔離工程細化介紹內(nèi)部網(wǎng)控制臺研發(fā)網(wǎng)非研發(fā)網(wǎng)Internet安全VPN分支機構(gòu)防火墻數(shù)據(jù)中心IDS交換機流量鏡像監(jiān)控引擎ERP文件共享E-mail分支機構(gòu)入侵檢測WEB監(jiān)控郵件監(jiān)控MSN監(jiān)控文件傳輸監(jiān)控會話監(jiān)控服務(wù)器監(jiān)控安全VPN外部網(wǎng)DMZ區(qū)遠端用戶研發(fā)、非研發(fā)網(wǎng)絡(luò)隔離方案top圖OA及其他系統(tǒng)內(nèi)部網(wǎng)研發(fā)網(wǎng)非研發(fā)網(wǎng)Internet平安VPN數(shù)據(jù)中心交換機ERP文件共享E-mail分支機構(gòu)控制臺IDS流量鏡像監(jiān)控引擎入侵檢測WEB監(jiān)控郵件監(jiān)控MSN監(jiān)控文件傳輸監(jiān)控會話監(jiān)控服務(wù)器監(jiān)控平安VPN外部網(wǎng)DMZ區(qū)遠端用戶隔離方案top圖解析OA及其他系統(tǒng)內(nèi)、外入侵行為監(jiān)管隔離梳理研發(fā)與非研發(fā)網(wǎng)絡(luò)安全梳理服務(wù)器區(qū)域此部分目前沒有，建設(shè)增加物理場地平安優(yōu)化工程細化介紹物理安全整改策略公司物理平安隱患整改策略各類不同業(yè)務(wù)性質(zhì)、不同平安等級要求的人員在一起辦公，隱患控制難度大，怎么辦？確定公司物理場地安全等級劃分標(biāo)準(zhǔn)1結(jié)合實際場地情況，落實劃分公司不同安全等級的物理區(qū)域2對不同安全等級的物理區(qū)域，部署配套的安全控制措施——比如研發(fā)區(qū)域、高層辦公區(qū)域等場地加固訪問控制措施3我司物理平安防護方案總部4、5樓隔離成研發(fā)辦公區(qū)域，與6樓高層辦公室等區(qū)域，平安控制級別最高設(shè)計更為嚴(yán)密的平安例行檢查CheckList并開展周期性日常平安檢查。物理平安具體方案在最高級被平安區(qū)域，增設(shè)身份認證設(shè)備和保安崗；高層配置指紋鼠標(biāo)關(guān)閉研發(fā)辦公區(qū)所有USB口。重要辦公場地出入口，增設(shè)工卡有效性識別設(shè)備和保安崗。研發(fā)區(qū)總部大樓4、5層總部大樓6層重要辦公室評估基地及各地辦公場地的平安等級，參照實施配套的物理平安防護措施。日常平安狀態(tài)檢查與監(jiān)管工程細化介紹

秘書之“秘”，在于有效保證公司的“秘密”信息為支撐其所在部門及公司的業(yè)務(wù)高效運作服務(wù)。

秘書體系，天然就是信息安全管理體系的有機組成部分！日常平安狀態(tài)檢查與監(jiān)管實施方案平安專業(yè)人員與秘書體系之間、秘書體系與所在部門各業(yè)務(wù)之間，加強日常工作的充分溝通與商討，實施平安控制措施秘書安全職責(zé)部門日常安全狀況檢查部門安全問題反饋部門安全問題跟蹤與解決去年已匯報并通過審批立項，具體工程Charter電子文檔平安系統(tǒng)工程電子文檔平安系統(tǒng)實施方案vs直接購置加密系統(tǒng)與供給商定制開發(fā)方式提供文檔加密系統(tǒng)定制合作開發(fā)實施方案收益分析報告結(jié)論：以“合作定制開發(fā)〞為優(yōu)先攻關(guān)選擇供給商；如果不行再退其次，選擇“直接購置加密系統(tǒng)〞公司信息平安管理體系〔ISMS〕1.0平安工程群開展進度方案平安工程群的各工程范圍公司安全組織架構(gòu)搭建項目確定公司安全組織架構(gòu)、各組織職責(zé)確定公司安全文件體系架構(gòu)、設(shè)計輸出基礎(chǔ)基礎(chǔ)性安全文件設(shè)計公司安全狀態(tài)監(jiān)管與優(yōu)化情況評估的會議機制，確保公司安全運作有序可控1日常安全狀態(tài)檢查與監(jiān)管項目設(shè)計輸出公司各部門、業(yè)務(wù)公用的日常安全監(jiān)管檢查表內(nèi)容模板CheckList根據(jù)秘書體系建設(shè)項目組的需要，提供有效的配合工作設(shè)計輸出部門安全工作開展培訓(xùn)課件，培訓(xùn)秘書成員，推動各部門秘書安全工作的開展2研發(fā)網(wǎng)絡(luò)安全隔離項目規(guī)劃設(shè)計輸出公司研發(fā)隔離網(wǎng)絡(luò)架構(gòu)方案圖設(shè)計適合公司業(yè)務(wù)運作的研發(fā)物理安全方案規(guī)劃部署支撐研發(fā)網(wǎng)絡(luò)安全隔離的技術(shù)防御系統(tǒng)研發(fā)人員與非研發(fā)人員辦公場地隔離3公司電子文檔安全內(nèi)控項目確定公司電子文檔密級劃分標(biāo)準(zhǔn)，落地公司各類電子文檔的密級標(biāo)識工作調(diào)研分析公司電子文檔流轉(zhuǎn)情況，分析輸出適合公司業(yè)務(wù)和安全需求的各類文件加密標(biāo)準(zhǔn)部署文檔加密服務(wù)器系統(tǒng)，完成各電腦終端加密客戶端的安裝提供配套支撐研發(fā)網(wǎng)絡(luò)隔離實施工作4公司物理環(huán)境安全優(yōu)化項目確定公司辦公場地安全等級劃分標(biāo)準(zhǔn)基于辦公場地的安全等級標(biāo)準(zhǔn)，優(yōu)化落實各場地的安全控制措施建立各辦公場地安全狀態(tài)定期評估與優(yōu)化的會議機制5公司平安組織架構(gòu)搭建工程工程群實施總體進度方案2021.012021.022021.032021.042021.052021.062021.072021.08……15301515151515151530303030303030日常平安狀態(tài)檢查與監(jiān)管項公司電子文檔平安內(nèi)控工程研發(fā)網(wǎng)絡(luò)平安隔離工程公司物理環(huán)境平安優(yōu)化工程12345項目成功完成文檔安全項目成果為重要支撐環(huán)節(jié)，其關(guān)閉后試運行一個月，研發(fā)網(wǎng)絡(luò)隔離項目關(guān)閉4

安全組織架構(gòu)項目項目成功完成1例行維護與優(yōu)化……項目成功完成配合秘書體系建設(shè)項目，部分工作進度視情況作調(diào)整2例行維護與優(yōu)化……物理環(huán)境安全優(yōu)化項目項目成功完成5例行維護與優(yōu)化……電子文檔安全項目項目成功完成3例行維護與優(yōu)化……WBS分解方案詳細信息雙擊此文件展開甘特圖主要風(fēng)險及控制措施風(fēng)險控制措施安全人力薄弱，項目實施進度延遲，影響業(yè)務(wù)部門對安全項目建設(shè)的信心成立跨部門項目組，關(guān)聯(lián)部門領(lǐng)導(dǎo)給予有力的人力的支持；信息安全部確定安全兼職人員，補充安全力量。安全組織結(jié)構(gòu)調(diào)整后，相關(guān)部門并不配合安全專業(yè)機構(gòu)的工作，或者推諉，造成安全項目質(zhì)量受到嚴(yán)重影響完善績效考評機制。確認對部門及安全工作人員的績效，公司信息安全監(jiān)管委員會或信息安全部有建議權(quán)。安全專業(yè)人員目前無“備份”力量，公司安全大廈搭建起來以后，影響安全整體的運作質(zhì)量關(guān)注培養(yǎng)公司內(nèi)部信息安全人員，加大引入有經(jīng)驗的專業(yè)安全人員力度收益分析1公司管理標(biāo)準(zhǔn)化水平提升統(tǒng)一規(guī)范化公司各項安全建設(shè)，避免建設(shè)中的重復(fù)投資。為建設(shè)與公司日益發(fā)展壯大相配的安全保駕護航體打下了堅實的基礎(chǔ)。實現(xiàn)規(guī)范的公司信息安全管理體系架構(gòu)。收益分析2研究成果流失率大幅降低研發(fā)成果流失的風(fēng)險得到大幅度控制。降低了因各種信息流是造成的損失。各業(yè)務(wù)主管在研發(fā)設(shè)計方案、軟件代碼等核心競爭力資產(chǎn)保護上的精力開銷得