企业信息安全规划课件

,Action title,Subtitle,Unit/measure,First level,Second level,Third level,MASTER STAMP,CE v6.0,感谢您下载包图网平台上提供的,PPT,作品，为了您和包图网以及原创作者的利益，请勿复制、传播、销售，否则将承担法律责任！包图网将对作品进行维权，按照传播下载次数进行十倍的索取赔偿！,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/9/14,#,目录,XX,信息安全规划,信息安全目标框架及设计目标,信息安全目标体系,XX,目录XX,应用系统,信息化建设目标,IT,安全,信息安全,管理,信息安全,技术,支持类,运营类,决策类,专业类,信息化蓝图分类之（五）,IT,安全,IT,治理,IT,组织,机构,IT,人员,IT,流程和制度,IT,运维,企业服务平台,企业服务总线（,ESB,）,业务流程管理（,BPM,）,基础设施平台,数据中心,基础架构,安全与管理,网络与链路,桌面终端,应用系统信息化建设目标IT安全信息安全信息安全支持类运营类决,XX,集团信息安全体系框架及设计目标,基于,XX,集团信息化安全的现状和设计原则，提出信息安全未来建设目标,制定和实施符合国家,信息系统安全等级保护基本要求,以及,XX,集团信息系统现状的安全管理策略和规范,在信息中心设置信息安全岗位，并完善职责规范,制定明确的信息安全策略，定期进行安全风险评估和审核，并制定持续改进计划,对关键的安全技术平台防病毒、防火墙、入侵检测系统实现，统一的安全产品选型、统一的安全产品部署、统一的安全策略发布,统一的内部基础网络规划，对不同安全要求的内网接入进行访问控制管理,建设满足业务需求的信息系统灾难恢复能力,安全技术,安全管理,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,物理层面安全,控制,网络层面安全,控制,主机层面安全,控制,应用层面安全,控制,数据层面安全,控制,XX集团信息安全体系框架及设计目标基于XX集团信息化安全的现,信息安全管理对象与原则介绍,安全管理的职责分离原则,对于一些涉及敏感数据处理的计算机系统安全管理而言，以下工作应分开进行：,系统的操作和系统的开发相分离。这样系统的开发者即使知道系统有那些安全漏洞也没有机会利用；,机密资料的接受和传送相分离。这样任何一方都无法对资料进行篡改；,安全管理和系统管理相分离。这样可使制定安全措施的人并不能亲自实施这些安全措施而对其起到制约的作用；,系统操作和备份管理相分离。结合日志管理，以实现对数据处理过程的监督；,除要符合中国的安全规范外，还要符合国际的规范，如,ISO27001,、,ISO17799,等。邮件系统要避免出现列入黑名单的情况。,安全管理的多人负责原则、任期有限原则,多人负责原则：,出于相互监督和相互备份的考虑，如只有单人负责，则若发生安全问题时此人不在岗就不能处理，或者他本人有安全问题时，很难察觉。,任期有限原则：,出于监督的目的，负责系统安全和系统管理的人员要有一定的轮换制度，以防止由单人长期负责一个系统的安全而造成的漏洞,。,安全管理对象,安全管理的对象是整个系统而不是系统中的某个或某些元素。系统的所有构成要素都是管理的对象，从系统内部看，安全管理涉及计算机、网络、操作、人事和信息资源；从外部环境看，安全管理涉及法律、道德、文化传统和社会制度等方面的内容,信息安全管理对象与原则介绍安全管理的职责分离原则 对于,信息安全管理是一个持续性的闭环过程,评估风险,决策支持,实施控制,评测,安全管理,信息安全管理,信息安全管理可定义为具有四个主要阶段的持续过程：,评估风险：识别组织的风险并区分其严重程度。这些风险可能与特定的,IT,系统和资产相关或无关；,决策支持：根据定义的成本,-,收益分析过程确定并选择控制解决方案；,实施控制：部署并操作全面的控制解决方案以降低信息安全风险；,衡量评测：确定并报告已部署的控制措施的有效性，以将风险管理至可接受的级别。,信息安全管理是一个持续性的闭环过程评估风险决策支持实施控制评,为保障信息安全制度的执行和落实，必需明确信息安全职能，建立相应的信息安全组织,对标国家,信息系统安全等级保护基本要求,，当前,XX,基本建立相应信息安全的组织和职能,应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。,岗位设置,人员配备,授权和审批,沟通和合作,审核和检查,应配备一定数量的系统管理员、网络管理员、安全管理员等；安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。,应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；应针对关键活动建立审批流程，并由批准人签字确认。,应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。,定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。,现状,设置了明确的信息安全岗位职责，但未设专人进行日常的运行监管。,目前相关管理人员配置不够，部分岗位无专职人员。,信息中心对,XX,网络安全接入与资源访问建立了明确的审批流程。,目前信息安全工作仅限于信息人员内部，缺乏与其他业务部门的合作与沟通。,XX,未制定信息安全内部审计、管理评审及有效性度量有关制度，未成立安全内部审核小组。,安全组织职能,要求描述,非常薄弱,比较薄弱,较好,非常好,一般,为保障信息安全制度的执行和落实，必需明确信息安全职能，建立相,信息安全现状评估,安全管理,差距概述,现状总体评价：,XX,已经,编制信息安全管理规范，并,已,于,2009,年启动推广,；,XX,信息系统建设和运维的安全管理力度相对薄弱；安全管理人员配置不够；相关流程和制度的执行有待改善。,主要存在的问题：,初步改进建议：,目前,XX,内部已建立专职的信息安全组织和人员，但,从事信息安全相关工作人员,的,信息安全从业资质认证,的覆盖比例不够。,XX,信息系统建设和运维的安全管理力度相对薄弱；安全管理人员配置不够，相关流程和制度的执行有待改善。,信息安全内部审计、管理评审及有效性度量,等,有关制度,需进行完善。,进一步提高,从事信息安全相关工作人员,的,信息安全从业资质认证,的覆盖比例。,进一步加强信息系统相关安全管理人员配置，按照相关岗位要求配置专人进行管理。,尽快完善相关管理制度,。,信息安全现状评估安全管理差距概述现状总体评价：XX已经编,信息安全现状评估,安全技术,差距概述,现状总体评价：,通过实施,第一期,SOC,平台,对,集团,总部,已经部署的所有安全设施进行集中管控,。,后续,将逐步推进,SOC,平台,到各下属公司，通过在各下属公司分节点部署数据采集引擎的方法，将节点数据逐步汇聚到集团,SOC,平台中,。,对关键系统实施灾难恢复方案，备份方式主要采取,数据,异地,容灾备份,。,XXSOC,平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。,主要存在的问题：,初步改进建议：,XXSOC,平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。,进一步提高,从事信息安全相关工作人员,的,信息安全从业资质认证,的覆盖比例。,进一步加强信息安全系统建设和运维的安全管理力度，相关安全管理人员按照相关要求尽快配置到位。,信息安全现状评估安全技术差距概述现状总体评价：通过实施第,XX,信息化安全的现状评价总结,非常薄弱,比较薄弱,较好,非常好,一般,名称,内容,评估分数,安全管理,XX,已编制信息安全管理规范，并于,2009,年启动推广。,XX,信息系统建设和运维的安全管理力度相对薄弱,。,安全管理人员配置不够，相关流程和制度的执行有待改善,。,XX,的信息安,全,内部审计、管理评审及有效性度量,等方面有待加强。,安全技术,通过第一期,SOC,平台对集团总部的,所有安全设施进行集中管控,。,后续,逐步推进,SOC,平台,到各下属公司，通过在各下属公司分节点部署数据采集引擎的方法，将节点数据逐步汇聚到集团,SOC,平台中,。,需进一步提高,从事信息安全相关工作人员,的,信息安全从业资质认证,的覆盖比例。,需进一步加强信息安全系统建设和运维的安全管理力度，相关安全管理人员按照相关要求尽快配置到位。,XX信息化安全的现状评价总结非常薄弱比较薄弱较好非常好一般名,XX,集团信息安全设计原则,外部标准,公司需求,可实施性,覆盖度,方案的设计要满足国资委信息化评测标准（安全部分）、公安部信息安全规定、电监会的信息安全要求、,XX,集团公司的安全规范等信息化安全方面的规定或标准,信息化安全方案的制定应充分考虑,XX,集团信息化应用的现状及发展方向，与应用系统分布及基础架构相匹配的安全方案才能保障信息化的安全可靠运行,在方案设计时，需要充分考虑实施中的风险，以及实施的周期和成本，对潜在的风险必须做充分的分析并给出相应的解决对策,全覆盖的安全体系，对象范围覆盖最终用户、服务器端以及信息网络，在企业内部做到信息安全死角为零,可管理性,安全平台设计应充分考虑到后期运营层面与管理层面的平衡性,XX集团信息安全设计原则外部标准公司需求可实施性覆盖度方案的,国家通过出台,信息系统安全等级保护基本要求,，明确了信息安全管理的规范框架,管理制度,制定和发布,评审和修订,岗位设置,人员配备,授权和审批,沟通和合作,审核和检查,人员录用,人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,系统定级,安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,系统备案,等级测试,安全服务商选择,环境管理,资产管理,介质管理,设备管理,监控管理和安全中心,网络安全管理,系统安全管理,恶意代码防范,密码管理,变更管理,备份与恢复管理,安全事件处置,应急预案管理,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,安全技术,安全管理,国资委的央企信息化评价，重点考察信息安全参考的标准和认证情况，信息技术安全机制建设情况，采取的安全措施信息化安全事故情况，与此框架相吻合,国家通过出台信息系统安全等级保护基本要求，明确了信息安全,目录,XX,集团信息化蓝图架构,信息安全规划,信息安全目标框架及设计目标,信息安全目标体系,XX,容灾体系,目录XX集团信息化蓝图架构,管理制度,制定信息安全工作的总体方针和安全策略，说明集团安全工作的总体目标、范围、原则和安全框架等,应对安全管理活动中重要的管理内容建立安全管理制度,应对安全管理人员或操作人员执行的重要管理操作建立操作规程,制定和发布,应指定或授权专门的部门或人员负责安全管理制度的制定,应组织相关人员对制定的安全管理制度进行论证和审定,应将安全管理制度以某种方式发布到相关人员手中,评审和修订,应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订,信息安全目标体系,-XX,安全管理制度,安全技术,安全管理,管理制度信息安全目标体系-XX安全管理制度安全技术安全管理,沟通和合作,应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,与保持合作单位、公安机关、电信公司的合作与沟通,审核和检查,安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况,岗位设置,应设立专职的安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责,应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责,人员配备,应配备一定数量的系统管理员、网络管理员、安全管理员等,安全管理员不能兼任网络管理员、系统管理员、数据库管理员等,授权和审批,应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批,应针对关键活动建立审批流程，并由批准人签字确认,信息安全目