同洲電子信息平安建設(shè)規(guī)劃信息平安部鄧生品2021年9月25日目錄公司信息平安建設(shè)目標(biāo)及依據(jù)2當(dāng)前及下一步將開展的工作3領(lǐng)導(dǎo)意見與建議公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃34578公司信息平安建設(shè)地圖與路標(biāo)分解6需要領(lǐng)導(dǎo)提供的支持公司信息平安現(xiàn)狀簡報1公司規(guī)模戰(zhàn)略調(diào)整，商業(yè)模式轉(zhuǎn)變及IPD變革，信息的交流形式眾多，交流需求頻繁，公司核心資產(chǎn)缺乏保護(hù)；為了標(biāo)準(zhǔn)信息管理、保護(hù)公司核心競爭力、支撐公司長遠(yuǎn)開展和推動藍(lán)海戰(zhàn)略的實現(xiàn)，又需要構(gòu)建公司信息平安管理體系，為公司的開展保護(hù)駕航；公司大局部員工總體信息平安意識比較淡薄，各部門日常平安管理工作根本空白，公司沒有形成系統(tǒng)化的平安管理持續(xù)優(yōu)化系統(tǒng)。1、公司信息平安現(xiàn)狀簡報12物理平安現(xiàn)狀公司信息平安現(xiàn)狀網(wǎng)絡(luò)平安現(xiàn)狀人員平安現(xiàn)狀1、公司信息平安現(xiàn)狀簡報網(wǎng)絡(luò)平安現(xiàn)狀公司內(nèi)部研發(fā)網(wǎng)絡(luò)和非研發(fā)網(wǎng)絡(luò)整體互通，內(nèi)部辦公網(wǎng)與外部互聯(lián)網(wǎng)整體互通，信息交流缺乏監(jiān)控。公司內(nèi)部員工郵箱〔@coship〕收發(fā)權(quán)限根本全部放開，但同時沒有監(jiān)控。1、公司信息平安現(xiàn)狀簡報以下網(wǎng)絡(luò)現(xiàn)狀，根本使得公司內(nèi)部信息網(wǎng)絡(luò)對外開發(fā)，平安隱患比較嚴(yán)重，平安水平與公司社會地位不符。物理平安現(xiàn)狀TFJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC,,MS打印機(jī)、機(jī)等敏感設(shè)備放置在非受控的平安區(qū)域，設(shè)備所在部門也未落實有效監(jiān)督。公司研發(fā)等重要場地，存儲和攝像功能的設(shè)備使用很隨意。非公司人員進(jìn)出公司大樓來訪證監(jiān)管不力，容易被鉆空子帶來隱患。使用公共區(qū)域的打印機(jī)、機(jī)、復(fù)印機(jī)，經(jīng)常有敏感文件遺漏，所在部門也無人管理。公司重要場地進(jìn)出缺乏有效登記，門禁在人員變動時的權(quán)限調(diào)整無統(tǒng)一定期審視清理，出現(xiàn)重大平安事故時追求困難。1、公司信息平安現(xiàn)狀簡報人員平安現(xiàn)狀沒有執(zhí)行檢查監(jiān)督和獎懲機(jī)制員工內(nèi)部轉(zhuǎn)崗或離職時，訪問控制變更沒有有效監(jiān)督未對不同崗位在職位描述書中參加平安方面的責(zé)任要求，特別是敏感崗位招聘環(huán)節(jié)人員篩選和背景調(diào)查工作比較薄弱，敏感崗位人員入職未簽訂專門的保密協(xié)議。目前在新員工培訓(xùn)中，未很好落實信息平安內(nèi)容的培訓(xùn)〔我到公司后為一批新員工培訓(xùn)過一次，后來均沒有看到安排〕。1、公司信息平安現(xiàn)狀簡報希望在未來三年時間內(nèi)，建成公司比較完善和健壯的信息平安防護(hù)體系，并通過國際企業(yè)信息平安管理水平標(biāo)準(zhǔn)認(rèn)證〔ISO27001認(rèn)證〕，推動公司藍(lán)海戰(zhàn)略的展開、促進(jìn)公司國際化運作扎實根基的生長?！ㄔO(shè)目標(biāo)宗旨2.1建設(shè)目標(biāo)、宗旨2、公司信息平安建設(shè)目標(biāo)及依據(jù)ISO27001：2005——國際信息平安管理體系標(biāo)準(zhǔn)2、公司信息平安建設(shè)目標(biāo)及依據(jù)公司信息平安防護(hù)體系建設(shè)和實施的依據(jù)ISO17799：2005〔BS17799-1〕——國際信息平安管理實施細(xì)那么2.2建設(shè)依據(jù)2、公司信息平安建設(shè)目標(biāo)及依據(jù)2.3信息平安運作與改進(jìn)基于的指導(dǎo)模型信息平安管理體系的建設(shè)和運作，遵循PDCA不斷循環(huán)建設(shè)與優(yōu)化的管理理論，建設(shè)成最大化支撐公司業(yè)務(wù)運作開展的信息平安體系，實時改進(jìn)與優(yōu)化以有效支撐公司戰(zhàn)略調(diào)整與管理變革，最終到達(dá)最大化推動公司業(yè)務(wù)的壯大。3、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃3.1公司未來“信息平安大廈〞概貌-1公司未來的信息平安防護(hù)體系大廈如以下圖，其將在PDCA過程中不斷循環(huán)優(yōu)化與完善。3、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃3.1公司未來“信息平安大廈〞主要構(gòu)件及說明-23、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃變革管理委員會（信息安全監(jiān)管委員會）安全策略與標(biāo)準(zhǔn)組信息安全部分管高管安全技術(shù)架構(gòu)組安全審計組系統(tǒng)賬號監(jiān)管組各業(yè)務(wù)體系安全專員IT部：負(fù)責(zé)落實網(wǎng)絡(luò)安全策略行政：負(fù)責(zé)落實物理安全策略3.2信息平安管理組織體系——架構(gòu)圖-13、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃3.2同洲信息平安管理組織體系——職責(zé)-2詳細(xì)內(nèi)容參閱公司簽發(fā)文件

3、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃3.3信息平安文件體系建設(shè)規(guī)劃——文件層級架構(gòu)-13、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃3.3信息平安文件體系建設(shè)規(guī)劃——各層級文件列舉-23、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃3.4信息平安支撐工具建設(shè)規(guī)劃——指導(dǎo)思想-13、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃t1.網(wǎng)關(guān)平安防御系統(tǒng)〔入侵檢測、入侵防御系統(tǒng)〕。2.終端計算機(jī)上網(wǎng)行為監(jiān)管系統(tǒng)。3.核心文檔、代碼等電子信息加密工具。4.計算機(jī)端口、打印機(jī)監(jiān)控工具。5.終端計算機(jī)監(jiān)控檢查與平安接入控制工具。6.移動計算機(jī)設(shè)備、移動存儲介質(zhì)平安認(rèn)證工具。3、公司未來信息平安大廈概貌及大廈各組件建設(shè)規(guī)劃管理手段4、公司公司信息平安建設(shè)地圖與路標(biāo)分解信息安全評估和差距分析建立信息安全組織和政策體系

初步推行和落實信息安全管理體系啟動信息安全基礎(chǔ)設(shè)置建設(shè)實現(xiàn)監(jiān)控的制度化，流程化和經(jīng)?；踩渲霉芾?，實現(xiàn)安全風(fēng)險的量化管理機(jī)制

建立安全管理持續(xù)優(yōu)化機(jī)制全面審視，優(yōu)化和深化信息安全管理體系建立整體的信息安全防護(hù)體系建立集中監(jiān)控平臺建立數(shù)據(jù)中心和應(yīng)急機(jī)制基礎(chǔ)保證策略固化集中建設(shè)2010.92009.92011.92012.94.1同洲信息平安防護(hù)體系建設(shè)總體方案方案用3年的時間,建設(shè)成公司高水平的信息平安防護(hù)體系,使得同洲的信息平安管理水平成為同等規(guī)模公司的標(biāo)桿?？傮w建設(shè)方案如以下作戰(zhàn)地圖所示：4.2路標(biāo)分解——根底保證期-14、公司公司信息平安建設(shè)地圖與路標(biāo)分解1345成立公司一級部門信息安全部，組建公司信息安全管理體系；公司信息安全部由原BR&IT信息安全部擴(kuò)招建立。2由公司信息安全部負(fù)責(zé)牽頭，編撰并簽發(fā)公司信息安全建設(shè)基礎(chǔ)性文件《同洲公司信息安全管理手冊》；編撰并簽發(fā)《同洲信息安全獎懲管理規(guī)定》、《同洲公司辦公環(huán)境安全管理規(guī)定》、《同洲公司信息資產(chǎn)密集劃分標(biāo)準(zhǔn)與安全管理規(guī)定》等基礎(chǔ)安全運作文件。全面有效實施公司電子文檔加密系統(tǒng)項目；引入并全面實施公司終端計算機(jī)上網(wǎng)行為監(jiān)控系統(tǒng)項目；引入并全面實施公司計算機(jī)端口、打印等監(jiān)控系統(tǒng)項目；引入并全面實施網(wǎng)關(guān)安全防護(hù)系統(tǒng)（入侵檢測、入侵防御系統(tǒng)。擴(kuò)招信息安全專業(yè)人員以支撐公司信息安全部的運作。以公司各一級部門為單位，組建公司各一級部門信息安全專員，開始初步運作部門日常辦公安全的規(guī)范化工作。2009.9~2010.9,同洲信息安全防護(hù)體系“基礎(chǔ)保證建設(shè)期”，核心重點工作4.2路標(biāo)分解——集中建設(shè)期-24、公司公司信息平安建設(shè)地圖與路標(biāo)分解2021.9~2021.9,同洲信息平安防護(hù)體系“集中建設(shè)期〞，核心重點工作2345671由信息安全部牽頭，組織專業(yè)人員以及各關(guān)聯(lián)領(lǐng)域業(yè)務(wù)部門人員，編撰或修訂公司信息安全文件體系二、三、四級文件，建設(shè)成公司相對完善的信息安全文件體系。引入并實施終端平安檢查及準(zhǔn)入系統(tǒng)、引入并實施辦公計算機(jī)桌面標(biāo)準(zhǔn)策略監(jiān)控系統(tǒng)。對公司研發(fā)、非研發(fā)網(wǎng)絡(luò)進(jìn)行深度隔離。第一次啟動組織各一級部門的例行年度風(fēng)險評估工作。深入組織各一級部門信息平安專員的月度、季度部門信息平安工作檢查工作加大公司信息平安部對各業(yè)務(wù)部門信息平安運作差距分析與平安審計工作。組織公司ISO27001認(rèn)證工作。4.2路標(biāo)分解——策略固化期-34、公司公司信息平安建設(shè)地圖與路標(biāo)分解2021.9~2021.9,同洲信息平安防護(hù)體系“策略加固〞建設(shè)期，開始全面根據(jù)ISO27001標(biāo)準(zhǔn)的要求來運作公司信息平安管理體系，核心重點工作1根據(jù)公司業(yè)務(wù)實際，全面審視公司信息平安文件體系并修訂完善。2更加細(xì)化和深入開展“全面建設(shè)期〞時期開展的6大領(lǐng)域工作。4對公司各一級部門信息平安專員開展系統(tǒng)化的平安專業(yè)培訓(xùn)，全面提升公司信息平安從業(yè)人員的素質(zhì)水平。3加大對外交流信息的監(jiān)管、內(nèi)部間交流信息的工作相關(guān)性審查。5、當(dāng)前及下一步將開展的工做5.1當(dāng)前已經(jīng)開展的工作1制定了公司未來三年信息安全建設(shè)規(guī)劃詳細(xì)文件、制定并通過審核簽發(fā)了公司信息安全組織結(jié)構(gòu)、部門職責(zé)及干部任命文件。2完善《同洲信息安全管理手冊》，作為公司信息安全管理體系的基礎(chǔ)綱領(lǐng)性文件；完善了《同洲電子信息安全獎懲管理規(guī)定》，是公司信息安全高壓線劃分標(biāo)準(zhǔn)，從具體操作上引導(dǎo)員工了解與培養(yǎng)正確的安全行為。3對已引入的文擋加密系統(tǒng)進(jìn)行二次開發(fā)，將逐步推廣到公司各業(yè)務(wù)核心資產(chǎn)與代碼的安全保護(hù)領(lǐng)域。4立項并引入終端上網(wǎng)行為監(jiān)控系統(tǒng)進(jìn)入招標(biāo)流程。5規(guī)劃新一級部門信息安全部人員編制6人（新增4人），已經(jīng)面試確定，11月份將全部陸續(xù)到崗。5、當(dāng)前及下一步將開展的工做5.2下一步方案開展的工作1推動終端上網(wǎng)行為監(jiān)控系統(tǒng)的運行,簽發(fā)配套的管理制度《同洲公司辦公環(huán)境安全管理規(guī)則》，通過“前期宣傳、中期試運行、后期逐步落地”三步，實現(xiàn)最后穩(wěn)定運作終端上網(wǎng)行為監(jiān)控機(jī)制。2將文檔加密系統(tǒng)應(yīng)用于公司全范圍核心資產(chǎn)的保護(hù)；同時，進(jìn)一步配合便攜機(jī)安全檢查機(jī)制，落實便攜機(jī)非經(jīng)許可攜帶公司文檔外出也不可用的機(jī)制（從拒絕外來便攜機(jī)威脅公司資產(chǎn)安全，優(yōu)化完善到防止公司便攜機(jī)威脅公司內(nèi)部信息資產(chǎn)安全）。3測試并引入打印、USB等監(jiān)控系統(tǒng)，填補(bǔ)安全漏洞，控制公司機(jī)密文檔、代碼通過移動計算設(shè)備或者紙件的形式流失的隱患；測試并引入網(wǎng)關(guān)安全系統(tǒng)，填補(bǔ)公司網(wǎng)絡(luò)內(nèi)外安全攻擊威脅的防護(hù)空白（詳細(xì)項目規(guī)劃方案，另行進(jìn)行專題匯報）。4正式簽發(fā)《同洲信息安全管理手冊》、《同洲電子信息安全獎懲管理規(guī)定》等文件，同時，根據(jù)安全工作的開展需要，編制并簽發(fā)各配套安全流程文件。

需要領(lǐng)導(dǎo)提供的支持1

如左圖所示，公司“信息安全保護(hù)傘”目前架構(gòu)已成型；但是，還需要伸向四面八方的傘的節(jié)狀支架——各一級部門信息安全專員。沒有他們的存在，公司信息安全控制策略在各部門的落地將大打折扣，同時，公司各部門領(lǐng)導(dǎo)在重大安全事故發(fā)生時承擔(dān)管理連帶責(zé)任的風(fēng)險也隨之增高。與沈君主任的溝通，她們可以配合進(jìn)行安全制度宣導(dǎo)與部分安全措施落地的協(xié)助，但基于秘書職責(zé)導(dǎo)向及秘書個人考慮，秘書很難做到較為強(qiáng)勢的安全管理推行。為了各部門安全防護(hù)能夠有效順利開展，提請公司及各一級部門領(lǐng)導(dǎo)決策；是否可以每個一級部門提供一個兼職的信息安全專員，負(fù)責(zé)公司的安全策略制度在本部的日常執(zhí)行監(jiān)管工作？…變革管理委員會（信息安全監(jiān)管委員會）安全策略與標(biāo)準(zhǔn)組信息安全部分管高管安全技術(shù)架構(gòu)組安全審計組系統(tǒng)賬號監(jiān)管組各業(yè)