公司整体信息安全风险评估及工作情况汇报

公司整体信息安全风险评估及工作情况汇报

ID:42294678

大小:5.18 MB

页数:44页

时间:2019-09-12

公司整体信息安全风险评估及工作情况汇报_第1页
公司整体信息安全风险评估及工作情况汇报_第2页
公司整体信息安全风险评估及工作情况汇报_第3页
公司整体信息安全风险评估及工作情况汇报_第4页
公司整体信息安全风险评估及工作情况汇报_第5页
资源描述:

《公司整体信息安全风险评估及工作情况汇报》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、公司整体信息安全风险评估及工作情况汇报信息安全部2009年12月21日目录公司当前信息安全保护建设进展汇报238公司信息安全现状及风险分析1信息安全工作面临的阻碍4下一步行动计划汇报及需要领导提供的支持研发体系全面分析公司信息安全存在问题IT管理安全问题研发体系职能体系IT网络与终端物理环境及人员安全安全制度流程终端网络数据中心安全制度流程物理环境从研发体系视角分析信息安全存在问题——网络与终端存在问题优化方案(现阶段)优化方案(未来)1.缺乏公司级统一备份管理机制;2.应用层密码设置存在隐患;3.应用服务器日志无审计;4.存储介质的管理存

2、在重大安全隐患;5.网口管理存在重大安全隐患。1.建立公司级统一备份管理办法;2.优化密码策略,增强密码复杂度;3.定期查看服务器日志并做记录;4.对存储介质造册管理,明确责任人。5.规范公司网口管理。1.实现公司级统一备份管理;2.明确职责,专人专管,定期审计;3.优化服务器日志查看策略,并定期审计;4.引入USB监控系统。从研发体系视角分析信息安全存在问题——物理环境及人员安全存在问题优化方案(现阶段)优化方案(未来)1.研发网络未实现真正的隔离;2.ADSL的使用存在重大安全隐患;3.员工安全意识薄弱;4.重要岗位人员背景调查。1.禁

3、止研发人员访问外网;2.ADSL使用整改(按用途分类分权管理);3.定期培训;4.对重要岗位人员进行背景调查。1.最大限度实现研发网络隔离;2.对ADSL审计监控并持续优化;3.培训并考试,考核成绩纳入KPI;4.建立员工信用档案。从研发体系视角分析信息安全存在问题——安全制度流程存在问题优化方案(现阶段)优化方案(未来)1.信息安全相关政策未在部门落地;2.应用服务器内部管理无成文的制度及操作流程;3.无重要岗位操作指导;4.对外信息流转无控制办法。1.部门内部宣贯落地信息安全相关制度并定期考试;2.对部门内部重要应用服务器必须制定成文的

4、制度规范及操作流程;3.建立重要岗位操作指南;4.制定对外信息发放管理办法。1.公司建立信息安全文件体系,并定期审核执行情况;2.根据ISO27001建立服务器基线;3.建立各岗位的操作指南;4.安装文档加密系统,规范外发流程。从职能体系视角分析信息安全存在问题存在问题优化方案(现阶段)优化方案(未来)1.员工特殊情况离职后相应权限账号未作及时清理;2.员工入职培训缺乏对信息安全的培训;3.绩效考核未考虑信息安全因素;4.涉密部门未做好敏感信息的分级分类管理。1.增加特殊情况离职后相应权限账号清理;2.增加信息安全新员工培训课程;3.考核成

5、绩纳入KPI;4.涉密部门对内部信息资产进行分级划分。1.定期审计离职后相应权限账号的清理工作;2.信息安全成绩作为考核作为员工转正的依据;3.依据公司信息安全相关要求定期检查审计。存在问题优化方案(现阶段)优化方案(未来)1.便携机的管理存在重大安全隐患;2.AD域用户可以建立PC机本地管理员账号;3.USB、打印机未作有效监管;4.送外维修电脑数据无法监管;1.办理便携卡登记备案;2.重新评估AD域策略;3.贴封条,设置BIOS密码;4.送修机器由专人保管并登记。1.引入终端监控系统、USB监控系统、文档机密系统对其信息及端口进行控制和

6、审计;2.定期对AD域策略进行审计;3.新增第三方服务操作流程。从IT视角分析信息安全存在问题——终端存在问题优化方案(现阶段)优化方案(未来)1.上网权限开放审批不严格,导致多数用户均有上网权限2.研发部门测试网络比较混乱,造成ARP攻击异常3.对网络管控有限;1.重新审核用户上网权限2.对研发部门网络整改,隔离3.增加网络监控设备加强网络管理;1、严格规范相关制度2、定期审核权限,日志从IT视角分析信息安全存在问题——网络存在问题优化方案(现阶段)优化方案(未来)1.数据中心没有明确的管理维护制度2.数据中心对重要数据未作异地备份3.对

7、数据未作分级分类管理,且与开发布部门进行沟通确认4、数据中心设备进出入无规范5、数据中心未作灾难恢复测试1.制定数据中心管理维护制度及流程,明确工作流程及人员职责2.严格落实重要数据异地备份机制3.加强数据中心设备管理;4、制定整体容灾解决方案,确保数据安全1、根据标杆企业先进管理方法优化部门管理2、定期审核权限,日志及记录从IT视角分析信息安全存在问题——数据中心目录公司当前信息安全保护建设进展汇报238公司信息安全现状及风险分析1信息安全工作面临的阻碍4下一步行动计划汇报及需要领导提供的支持信息安全部工作ACT-改善Plan-计划Che

8、ck-检查Do-执行评估改善需求执行改善工作报告执行结果确认目标达成持续追踪改善建立ISMS环境信息安全政策;信息安全目标信息安全组织;执行风险管理风险评估;确认控制目标风险处理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。