公司信息安全管理体系建设规划.ppt

同洲信息安全管理体系建设规划汇报人:信息安全部邓生品 2008年5月24日
公司信息安全现状调查结果汇报
1
公司信息安全建设愿景及目标
2
下一步工作计划
4
3
公司信息安全推行Roadmap
目录
公司信息安全现状调查结果
总体概况
一方面,公司规模步入了中大型规模企业范畴,业务众多,信息交流方式各种各样,交流需求频繁,为了规范信息管理、保护公司核心竞争力、支撑公司长远发展和百年同洲的理想,需要构建公司信息安全管理体系,为公司的发展保驾护航;
另一方面,公司目前信息安全管理基本空白,现有的安全管理水平基本停留在初级的物业安全监管水平,没有形成网络安全的规范和体系化管理;
公司人员总体看安全意识比较淡薄,没有形成系统化的安全意识宣传培训机制和安全管理持续优化系统。
公司信息安全现状调查结果
网络安全现状
1)企业内部研发网络和非研发网络整体互通,互通;
2)公司员工内部邮箱(@)的收发权限基本全部开放;
3)公司研发网和研发重要实验室网络基本互通。
…………
以上网络现状,基本使得公司内部信息网络对外开放,安全隐患比较严重。
公司信息安全现状调查结果
物理安全现状
1)公司总部大楼门岗处,保安对员工的身份核实松散——使得非同洲人员较容易进出,增加公司办公场地各类安全隐患;
2)外来人员出入公司,缺乏系统有效的身份标识及登记管理,缺乏有效的陪同机制——一方面,不利于外来人员办事效率和对同洲规范度好的整体印象,另一方面,外来人员若无意或者有意进入到不该进入的地方,带来较大的信息资产泄露隐患;
3)公司大部分会议室隔音效果不佳——使得一些重要信息容易被其他不该知悉此信息的人获悉;
4)办公位各位文件资料摆放较为随意,下班后工作相关的信息资料大部分没有放置到有锁抽屉,下班后电脑显示器及主机时有没有关闭的现象——办公文件资料留在办公位,有被恶意收集公司内部信息的人恶意收集的安全隐患;电脑电源没有关闭,电脑容易被他人侵入,同时容易引发火灾。
…………
公司信息安全现状调查结果
人员安全现状
1)公司目前没有自上而下的专职安全组织,严重缺乏安全工作专业人员,导致安全工作事务运作困难、缓慢;
2)没有例行的安全检查标准(Check-list),没有例行的安全检查工作;
3)没有组织起规范的周期性安全培训;
4)公司高层重视信息安全,但基层人员整体信息安全意识不强
…………
需要通过规范化的安全管理组织建设、安全制度建设、系统化培训等改变这一现状,否则严重影响公司信息安全管理水平的提升。
公司信息安全现状调查结果
安全组织、制度现状
1)公司没有组建起信息安全运作的组织架构,就如一把雨伞只有布而没有撑起雨伞的脊梁,信息安全工作只停留在高层意识(雨伞的布),但安全隐患的控制和落实没有得到有效和持续展开(缺少自上而下的安全组织)——公司安全组织,需要至少以下三个部分:信息安全监管委员会(公司高层组成的代表公司利益和各部门安全需要,决定公司安全发展战略,决策重大安全事件等);信息安全部(执行和落实公司安全战略,组织日常的安全运行工作,组织公司年度安全风险评估和督促控制措施的落实,调研业界各类安全现转和技术发展状况,以持续维持公司安全能力的提升等);业务部门信息安全工作组(负责在各部门落实信息安全部的各项安全项目的推广、日常安全的例行检查、部门安全事件调查、部门人员安全培训和安全宣传等);
2)公司缺乏一个信息安全的纲领性文件,用以指导公司各项安全工作的开展、指引公司各体系部门安全的建设,为各类安全文件的制定提供基础。目前公司信息安全各项工作的开展零散无序,缺乏持续优化基础,核心原因就在于此;
3)公司缺乏一个信息安全奖惩管理规定,她有利于树立安全工作在员工的意识中没有威信,避免安全工作成为一种停留在嘴上的摆设。在安全管理体系建立初期,以惩罚为主线,辅以安全意识培训和宣传;在安全管理体系水平较高时期,以奖励为主线,也辅以安全意识培训和宣传。
公司信息安全建设愿景及目标
为公司百年同洲的理想,提供保驾护航的安全支撑平台
组建公司自上而下的信息安全管理体系
组建公司系统化的信息安全管理文件体系
组建并培养一支专业的、可持续发展的信息安全工作队伍
提升公司内部员工的信息意识,提升公司对内及对外的安全攻击的预防与抵制能力
目录
公司信息安全现状调查结果汇报
1
公司信息安全建设愿景及目标
2
下一步工作计划
4
3
公司信息安全推行Roadmap