信息安全体系建设方案规划.ppt

XX信息安全建设规划 邓生品2011年5月9日 目录 解决方案 2 下一步将开展的工作 3 公司意见与建议 5 7 6 需要领导提供的支持 现状分析 1 实施计划 3 质量保证与风险控制 4 信息安全技术支撑系统空白 公司信息安全现状 IT基础设施脆弱 应用平台原始 流程制度空白 专业管理与运维团队薄弱 1 公司现状简报 网络与数据中心现状 信息安全技术体系现状 安全规划与管理现状 IT应用与基础设施脆弱 公司网络缺乏安全等级分区 缺乏DMZ区规划 公司业务应用平台原始 导致信息安全抵御能力很脆弱 公司办公网络设计没有考虑双链路冗余 一旦唯一路经出问题将导致全网瘫痪 影响业务交流 缺乏规范数据中心 没有存储备份 没有业灾难恢复与业务连续性规划 1 公司现状简报 办公网络架构原始 网络缺乏IPS IDS能力 容灾与备份功能缺失 网络上的流量缺乏监管 缺乏基础办公应用系统 比如OA ERP等系统 导致公司业务效率低下 信息孤岛问题严重 也深层面影响公司知识积累与信息安全管控 OA ERP等基础办公应用系统缺位 严重影响信息共享 同时信息交流效率低下 影响业务效率 也严重影响公司知识积累 制度 流程 管理组织几乎空白 没有信息安全管理纲领性文件 同时缺乏各业务领域流程文件 缺乏公司信息安全奖惩管理办法 没有任何形式的员工信息安全培训 公司人员整体安全意识较低 没有信息安全审计 日常安全检查制度与流程 也缺乏专业人手支撑 1 公司现状简报 安全产品及支撑人力缺位 TFJLLO PO J I POFIHJKGHLKGNFGNJHGC MS 打印控制系统缺失 重要信息很容易文件通过打印方式流失 缺乏电子文档密管理系统 公司重要研发等成果等保护缺失 USB 网口 红外等端口缺乏控制 大批量信息非常方便外泄 公司对外邮件监控系统缺位 通过邮件交流形式很容易流失商业秘密 技术秘密 公司目前的规模与未来发展 要求在1 IT技术支持 2 信息系统维护与开发 3 信息安全流程制度建设 4 日常安全审计与安全事件调查 5 总体信息安全持续改进优化规划等领域 至少各需一人 特别是公司信息安全体系建设项目启动后 专业人手需求压力将更明显 1 公司现状简报 公司电子信息资产 IT设备与资产管理几乎空白且缺乏安全技术产品支撑 公司缺乏安全流程与制度建设人手 缺乏安全技术产品二次开发与维护人手 缺乏日常安全稽核及事件调查与整改等人手 脆弱的网络架构 缺失的OA与ERP等基础应用 既影响业务效率 有又重重安全隐患 公司目前信息基础设施与管控状态 已制约并威胁公司发展 信息安全监控设施空白 商业与技术秘密外泄处于不可控状态 缺乏制度与流程 拖累公司发展速度 同时增加无意识泄密风险 公司目前信息基础设施与管控状态 已制约并威胁公司发展 风险初尝 持续优化 良性循环 无力回天 损失惨重 教训深刻 安全建设状态 是走向阳光还是鲨鱼 决定于我们是否投入与重视 计划在未来两年时间内 系统化建成公司比较完善和健壮的信息安全防护体系 并通过相关国际认证 ISO27001认证 ISO20000认证 推动公司成为同业领域标杆企业 促进公司国际化运作扎实根基的生长 有效保护公司各类商业及技术秘密 促进公司信息资源最大化的安全使用 以持续有效支撑和推动公司业务长远稳步的发展 是公司信息安全建设的根本使命和存在的唯一理由 也是公司信息安全体系建设的第一宗旨 目标 宗旨 2 1目标 宗旨 2 解决方案 ISO27001 国际信息安全管理体系规范 2 解决方案 公司信息安全防护体系建设和实施的依据 ISO20000 国际信息化建设标准规范 2 2建设依据 2 解决方案 2 3运维与优化指导模型 信息安全管理体系的建设和运作 遵循PDCA不断循环建设与优化的管理理论 建设成最大化支撑公司业务运作发展的信息安全体系 实时改进与优化以有效支撑公司战略调整与管理变革 最终达到最大化推动公司业务的壮大 2 解决方案 信息安全策略目标文件体系 具体确定了公司整体以及各业务体系信息安全防护的目标 也是各业务在实际运作中如何安全开展的指导工具 信息安全技术工具体系 是支撑上述信息安全文件体系目标落地的一个技术手段 它是在管理手段下无法落实信息安全目标的不可缺少的有力补充手段 信息安全管理组织体系 是公司信息安全体系大厦的核心支柱 首先 负责调研分析公司业务发展实际 编撰和更新公司恰当的信息安全策略目标文件体系 其次 负责规划引入并运作管理公司信息安全技术工具体系 支撑公司安全策略目标的实现 第三 负责统一规划并采取各类安全管理手段 组织风险评估 安全知识宣传 员工安全意识培训 安全检查与安全隐患整改 组织安全奖励与惩罚等等 维护和优化公司信息安全管理体系 2 4公司未来 信息安全大厦 主要构件及说明 2 解决方案 数据中心建设 2 5从加固作为公司数据心脏的数据中心建设入手 改变公司网络脆弱局面 2 解决方案 数据中心建设 2 6公司数据中心机房功能与布局规划 2 解决方案 基础应用平台ERP建设 2 7建立公司商业智能体系与信息安全集中管控的基础 2 解决方案 基础应用平台ERP建设 2 8公司ERP系统功能规划 2 解决方案 建立协同办公平台OA系统 2 9OA办公平台提高了工作效率 支持信息共享 同时安全可控 2 解决方案 流程制度建设 2 10建立公司规范的信息安全制度与流程体系 2 解决方案 流程制度建设 2 11流程制度体系文件示例 信息安全技术支撑工具的引入指导思想 基于公司整体风险评估的基础上 采用分层分级思想 从公司重大安全隐患的防止 从公司各核心资产的保护入手 有计划的引入投资收益比最大化的各类安全工具 2 解决方案 安全控制基础设施建设 2 12信息安全技术架构体系建设指导思想 安全工具的引入 要求各工具体系相互配合支撑 从整体上形成公司有机的安全技术架构体系 达到最小化各工具之间的重复度 最大化各工具间的信息联动与信息共享 2 解决方案 安全控制基础设施建设 2 13公司信息安全技术防护体系有机组件 t 公司的信息安全技术架构体系 将包括但不限于以下信息安全策略支撑工具 1 网关安全防御系统 入侵检测 入侵防御系统 2 终端计算机上网行为监管系统 3 核心文档 代码等电子信息加密工具 4 计算机端口 打印机监控工具 5 终端计算机监控检查与安全接入控制工具 6 移动计算机设备 移动存储介质安全认证工具 7 防火墙 防病毒 容灾备份等系统和工具 2 解决方案 安全管理手段 技术手段有机融合 2 14有效融合并运作信息安全管理与技术手段 2 解决方案 专业支撑团队建设 技术服务与支持 信息中心 BP IT 应用开发与系统维护 制度与流程建设 安全审计与检查 2 15建立培育公司专业高效的信息运维管控团队 3 实施计划 建立公司数据中心 信息安全控制基础设施 组建信息安全支撑团队系统启动信息安全基础设施建设项目建立信息安全组织和政策体系框架推行和落实信息安全管理基础体系 实现信息监控的制度化 流程化和经常化建立安全配置管理体系 实现安全风险的量化管理机制建立安全管理持续优化机制 全面审视 优化和深化信息安全管理体系全面推进体系化的信息安全防护体系建立集中监控平台建立高效应急机制 基础保证 策略固化 集中建设 2012 1 2011 5 2012 9 2013 5 计划用2年的时间 建设成公司高水平的信息安全防护体系 使得公司的信息安全管理水平成为同等规模公司的标杆 总体建设计划如下列作战地图所示 3 1基础保证期 3 实施计划 支撑组织建设 1 增进3个专业人员 建立公司信息安全运维专业团队2 定义各职位基础职责 建立公司信息安全良性循环的人力保证基础 数据中心建设 1 建设安全可控 具备容灾与存储备份能力的公司机房2 基础应用平台建设 OA ERP NOTESDomino SAP 外部邮件系统等 信息安全基础设施建设 1 信息资产安控基础设施建设 文档加密 打印及端口控制 终端机器行为监控 防病毒 邮件过滤与监控等系统引入 2 IT资产安全管理建设 公司内部IT资产流转 外部IT设备流入控制等 配套制度与流程建设 编制输出各类基础性安全制度与流程文件 比如 公司信息安全策略大纲 公司信息安全奖惩管理规定 人员安全意识提升 通过入职培训 日常安全检查 安全案例与事件宣传等方式 逐步培育并提升公司全员的信息安全意识 20XX X 20XX X 基础保证建设期 核心重点工作 3 2核心业务优化与巩固建设期 3 实施计划 20XX X 20XX X 核心业务优化巩固建设期 核心重点工作 根据业务与风险发展 优化并升级公司各类技术支撑系统 对公司研发 非研发网络进行深度隔离 第一次启动组织各一级部门的例行年度风险评估工作 深入组织各一级部门信息安全专员的月度 季度部门信息安全工作检查工作 加大公司信息安全部对各业务部门信息安全运作差距分析与安全审计工作 组织公司ISO27001认证工作 3 3全业务优化与固化期 3 实施计划 20XX X 20XX X 策略加固期 核心重点工作 1 根据公司业务实际 全面审视公司信息安全文件体系并修订完善 基于PDCA理论 全面优化公司网络架构 安全基础设施 将全公司以及重点项目的风险评估工作制度化 4 深入开展信息安全检查 人员安全意识培训 将安全要求纳入部门与员工KPI管理体系 3 加大对外交流信息的监管 内部间交流信息的工作相关性审查 4 质量保证与风险控制 4 1基于最佳实践证明有效的项目群实施模式 指导项目群有效有序进行 4 质量保证与风险控制 4 2基于PMP项目管理方法 控制各子项目的 范围 时间 成本 建成后的公司信息安全体系图景 公司未来的信息安全防护体系大厦如下图 其将在PDCA过程中不断循环优化与完善 建立后的公司信息安全状况图景 业务交流信息安全可控 物理环境安全有序 安全制度流程完善 网络安全 电子信息资划分标识密级 并落实配套密级控制内部信息交流 对外信息交流可控并可审计研发与非研发网络隔离办公终端实现标准化管理 人员安全 落实不同安全等级的物理区域划分和配套措施各类物理存储介质出入有效监管重要场地人员及设备出入登记与控制规范有序 安全考核纳入部门绩效 个人绩效考核入职离职权限清理 审查到位员工信息安全意识浓厚来访接待 对外合作与交流管理有序 建立后的公司数据中心与网络基础设施图景 内部网 研发网 非研发网 Internet 安全VPN 分支机构防火墙 数据中心 交换机 ERP 文件共享 E mail 分支机构 安全VPN 外部网 DMZ区 远端用户 OA及其他系统 5 下一步将开展的工做 1 增加防火墙与网关防病毒系统 标准化并加固公司网络 提升其安全水平 2 引入OA ERP等办公基础应用系统 解决公司业务发展在信息共享效率上的瓶颈 同时满足公司对重要信息集中安全管理的要求 3 引入文档加密 打印监控 端口控制 终端上网行为监控等系统 填补公司安全控制上的空白 同时编撰输出各类配套的安全管理制度与流程文件 4 增加3个专业人员 以满足公司业务扩张对信息部门的支撑需求 同时有效支撑公司引入的各类IT应用系统与安全监管系统的运维工作 6 需要领导提供的支持 6 1达到一定的建设规模 依据政策将可获取政府的资金扶持 深圳市企业信息化重点项目资助资金计划 根据政策 如果公司以项目群的形式 一次性较大投资把公司信息化与信息安全基础建设做起来 一方面效果较明显 另一方面也可以申请政府的资金资助 可申请的资助额占比为30 70 不等 需要领导提供的支持1 在基础保证建设期 需要引入1 OA系统 2 ERP系统 3 文档加密系统 4 打印监控系统 5 端口监控等系统 6 终端上网行为监控系统 7 邮件监控系统 8 网关防病毒系统 9 防火墙 10 购置一套IT支撑工具和摄像机 用于安全调查取证以及公司其他部门办公支持 11 数据中心建设 13 配套的交换机 路由器 UPS 系统服务器 存储备份系统等以上系列基础软硬件系统 根据目前中等偏上质量规格 若以100个信息点容量计算 总预算约人民币XXX万 请领导审批 6 需要领导提供的支持 企业核心机密 需要领导提供的支持2 6 需要领导提供的支持 技术服务与支持 信息安全 应用开发与系统维护 制度与业务流程建设 安全审计与安全检查 一方面 基于公司当前信息化与信息安全控制紧迫需求 目前至少需要如左图所示的四个独立领域专业人员 另一方面 以公司一年的扩张战略估计 目前的两个专业人员 几乎不可能满足公司不久后对信息部门的支撑需求 若加上公司信息安全基础建设期的大量工作压力 当前专业人力空缺较大 因此 需根据基础建设期进度状况逐步增加3个专业人员 请领导审批 7 公司意见与建议 公司意见与建议 ThankYou