公司电子信息安全建设规划V1版

公司电子信息安全建设规划V1版

ID:42391769

大小:1.74 MB

页数:30页

时间:2019-09-14

公司电子信息安全建设规划V1版_第1页
公司电子信息安全建设规划V1版_第2页
公司电子信息安全建设规划V1版_第3页
公司电子信息安全建设规划V1版_第4页
公司电子信息安全建设规划V1版_第5页
资源描述:

《公司电子信息安全建设规划V1版》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、同洲电子信息安全建设规划信息安全部邓生品2009年9月25日目录公司信息安全建设目标及依据2当前及下一步将开展的工作3领导意见与建议公司未来信息安全大厦概貌及大厦各组件建设规划34578公司信息安全建设地图与路标分解6需要领导提供的支持公司信息安全现状简报1公司规模战略调整,商业模式转变及IPD变革,信息的交流形式众多,交流需求频繁,公司核心资产缺乏保护;为了规范信息管理、保护公司核心竞争力、支撑公司长远发展和推动蓝海战略的实现,又需要构建公司信息安全管理体系,为公司的发展保护驾航;公司大部分员工总体信息安全意识比较淡薄,各部门日常安全管理工作基本空白,公司没有

2、形成系统化的安全管理持续优化系统。1、公司信息安全现状简报12物理安全现状公司信息安全现状网络安全现状人员安全现状1、公司信息安全现状简报网络安全现状公司内部研发网络和非研发网络整体互通,内部办公网与外部互联网整体互通,信息交流缺乏监控。公司内部员工邮箱(@coship.com)收发权限基本全部放开,但同时没有监控。公司对外只有较为传统过时的防火墙防病毒安全措施,适应当前网络威胁控制的入侵检测与防御系统(网关安全防护系统)处于空白。1、公司信息安全现状简报以下网络现状,基本使得公司内部信息网络对外开发,安全隐患比较严重,安全水平与公司社会地位不符。物理安全现状T

3、FJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC,,MS打印机、传真机等敏感设备放置在非受控的安全区域,设备所在部门也未落实有效监督。公司研发等重要场地,存储和摄像功能的设备使用很随意。非公司人员进出公司大楼来访证监管不力,容易被钻空子带来隐患。使用公共区域的打印机、传真机、复印机,经常有敏感文件遗漏,所在部门也无人管理。公司重要场地进出缺乏有效登记,门禁在人员变动时的权限调整无统一定期审视清理,出现重大安全事故时追求困难。1、公司信息安全现状简报各部门没有兼职或专职的信息安全专员,导致各部门的各类日常办公设备与行为安全管理“一片狼藉”。人员

4、安全现状没有执行检查监督和奖惩机制员工内部转岗或离职时,访问控制变更没有有效监督未对不同岗位在职位描述书中加入安全方面的责任要求,特别是敏感岗位招聘环节人员筛选和背景调查工作比较薄弱,敏感岗位人员入职未签订专门的保密协议。目前在新员工培训中,未很好落实信息安全内容的培训(我到公司后为一批新员工培训过一次,后来均没有看到安排)。1、公司信息安全现状简报希望在未来三年时间内,建成公司比较完善和健壮的信息安全防护体系,并通过国际企业信息安全管理水平标准认证(ISO27001认证),推动公司蓝海战略的展开、促进公司国际化运作扎实根基的生长。…“有效保护公司各类商业及技术

5、秘密,促进公司信息资源最大化的安全使用,以持续有效支撑和推动公司业务长远稳步的发展”是公司信息安全防护体系建设的根本使命和存在的唯一理由,也是公司信息安全防护体系建设的第一宗旨。…建设目标宗旨2.1建设目标、宗旨2、公司信息安全建设目标及依据ISO27001:2005——国际信息安全管理体系规范2、公司信息安全建设目标及依据公司信息安全防护体系建设和实施的依据ISO17799:2005(BS17799-1)——国际信息安全管理实施细则2.2建设依据2、公司信息安全建设目标及依据2.3信息安全运作与改进基于的指导模型信息安全管理体系的建设和运作,遵循PDCA不断循

6、环建设与优化的管理理论,建设成最大化支撑公司业务运作发展的信息安全体系,实时改进与优化以有效支撑公司战略调整与管理变革,最终达到最大化推动公司业务的壮大。3、公司未来信息安全大厦概貌及大厦各组件建设规划3.1公司未来“信息安全大厦”概貌-1公司未来的信息安全防护体系大厦如下图,其将在PDCA过程中不断循环优化与完善。3、公司未来信息安全大厦概貌及大厦各组件建设规划信息安全策略目标文件体系,具体确定了公司整体以及各业务体系信息安全防护的目标,也是各业务在实际运作中如何安全开展的指导工具。信息安全技术工具体系,是支撑上述信息安全文件体系目标落地的一个技术手段,它是在

7、管理手段下无法落实信息安全目标的不可缺少的有力补充手段。信息安全管理组织体系,是公司信息安全体系大厦的核心支柱。首先,负责调研分析公司业务发展实际,编撰和更新公司恰当的信息安全策略目标文件体系;其次,负责规划引入并运作管理公司信息安全技术工具体系,支撑公司安全策略目标的实现;第三,负责统一规划并采取各类安全管理手段(组织风险评估、安全知识宣传、员工安全意识培训、安全检查与安全隐患整改、组织安全奖励与惩罚等等),维护和优化公司信息安全管理体系。3.1公司未来“信息安全大厦”主要构件及说明-23、公司未来信息安全大厦概貌及大厦各组件建设规划变革管理委员会(信息安全监

8、管委员会)安全策略与标准

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。