返回
企业信息安全解决方案456

企业信息安全解决方案456

ID:21630002

大小:411.00 KB

页数:22页

时间:2018-10-23

企业信息安全解决方案456_第1页
企业信息安全解决方案456_第2页
企业信息安全解决方案456_第3页
企业信息安全解决方案456_第4页
企业信息安全解决方案456_第5页
资源描述:

《企业信息安全解决方案456》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、企业信息安全解决方案白皮书-内部资料,注意保密-Page22of22目录1概述31.1信息安全面临的难题分析31.2如何实现高效卓越的企业信息安全体系41.3信息安全方案特点61.3.1设计基本原则61.3.2建设目标及要求71.4安全体系基本内容81.5安全体系结构建议81.6信息安全通用方案91.6.1安全系统架构91.6.2安全管理系统-制度建设101.6.3边界防护设计111.6.4系统安全保护131.6.5应用系统安全151.6.6数据安全防护161.6.7安全保障手段和技术方法要求161.7信息安全专项方案17

2、1.7.14A安全解决方案171.7.2PKI安全解决方案21-内部资料,注意保密-Page22of22概述1.1信息安全面临的难题分析网络带给人们很大便利,但互联网是一个面向大众的公开网络,存在安全隐患。网络的安全形势日趋严峻,对很多公司来说,信息安全不仅是挑战技术,更是生存的历练。一般来说,公司关注的安全威胁包括下面几种(按照关注程度从高到低排序):n病毒或蠕虫n间谍软件/流氓软件n垃圾邮件n未经授权的雇员对文件或数据的访问n外部人员偷窃客户数据n网络钓鱼和域欺骗n带有公司数据的可移动设备遗失或失窃n知识产权失窃n拒绝

3、服务攻击或其他网络攻击n僵尸网络对IT资源的远程控制n对无线/RFID系统的攻击nVoIP入侵公司在安全防范方面进行投资以期获得回报,一般来说,是为了达到几个目的:n员工处理安全相关问题的时间减少n更好地保护客户数据n安全漏洞减少n网络宕机时间减少n改进对知识产权的保护n采取更好的风险管理策略n用于处理偶发时间的时间减少-内部资料,注意保密-Page22of22这些年来,一系列财务失败事件的发生加强了人们对企业风险的关注。美国在2002年颁布了《萨班斯-奥克斯利法案》,我国相关部委也发布了有着中国萨班斯法案之称的《企业内部

4、控制基本规范》。内控规范要求企业将内部控制框架纳入企业风险管理框架中,要求企业进行信息化系统落地,要求企业遵从财政部、国资委相关管理条文要求,特别是在战略、财务、法律风险管理信息的搜集、风险评估、风险行为管理等方面,符合深交所、上交所关于上市公司加强内部控制和信息披露方面的要求和控制点。1.3如何实现高效卓越的企业信息安全体系企业需要评估IT安全风险,获得相关建议,降低安全复杂度,并量化安全投资的价值。企业一般以信息化基础架构作为信息安全的切入点,希望防患于未然,将安全嵌入到业务流程和内控制度中,提供更好的整合度,变人工干

5、预为自动化,从而提升管理和监控的效能。企业也认识到,需要与国际安全标准接轨,在内部贯彻ISO27001和ISO2000、ITIL,能更好保证管控制度落地,有效杜绝安全隐患。我们建议,实现高效卓越的企业信息安全体系,可以参考如下过程,同时这也是我公司的信息安全咨询服务流程:-内部资料,注意保密-Page22of22首先,基于企业自身安全方面的成熟度和企业信息安全需求,结合国家和行业政策标准要求,进行合理评估,制定最佳的安全策略和风险防御计划。在瞬息万变的形势下,企业应从整体角度考虑信息安全的投资和安全保障风险的价值,制定符合

6、自身需求的安全策略和风险防御计划,并随着市场压力的变化和业务目标的调整,不断调整企业自身的应对策略,追求安全能力的动态平衡。企业的治理活动包括设定经营战略和目标,确定风险偏好。制定内部政策和监督绩效;风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应对策略和控制活动;遵守活动包括遵照目标经营,确保遵守法律和法规、内部政策与程序以及利益相关者的委托。其次,对企业进行信息安全能力评级,结合各类风险知识库和规范的风险评估流程,从资产调查开始,进行安全管理评估、网络安全评估、应用安全

7、评估、主机安全评估和漏洞测试,进行系统安全等级评价和差距评估。然后,构筑企业的信息安全路线图,寻求安全的解决之道,通过信息安全技术与产品的优化组合,寻求最优解决方案。最后,提出实施计划,进行安全体系实施,形成安全的最佳实践-内部资料,注意保密-Page22of22,并在此实践的基础上进行日常运营和持续改进。在整个安全体系的建立过程中,应重点梳理业务系统相关实施与运维支持相关的制度和流程,以内控管理制度为基础,参考ISO20000及ISO270001相关标准,设计具有一定前瞻性的业务系统内控体系框架;对业务系统关键流程、风险

8、控制、制度及文档体系进行评估,提出内部整改方案,与信息安全解决方案整体考虑,统一实施。在公司控制层上,应形成有效的IT治理架构、IT战略与规划、IT组织与政策等。我公司信息安全解决之道:我公司拥有多年的企业信息化建设的经验,在企业信息安全方面可以提供专业经验和行业知识,能够运用我们的解决方案和专业技术,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。