返回
信息安全项目规划兼容模式.pdf

信息安全项目规划兼容模式.pdf

ID:55570663

大小:1.54 MB

页数:57页

时间:2020-05-18

信息安全项目规划兼容模式.pdf_第1页
信息安全项目规划兼容模式.pdf_第2页
信息安全项目规划兼容模式.pdf_第3页
信息安全项目规划兼容模式.pdf_第4页
信息安全项目规划兼容模式.pdf_第5页
资源描述:

《信息安全项目规划兼容模式.pdf》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、华润三九信息安全治理规划DingjinsongISMS/ITMS/QMSLeadAuditorJune21,2011主题项目实施规划华润三九信息安全治理n信息安全治理基本要素n信息安全治理分析n信息安全治理规划建议2011年6月21日上海天帷企业管理咨询公司2项目实施计划完成情况启动准备信息安全项目启动大会2010年10月下旬1已完成企业信息安全现状评估重要资产梳理11月上旬-11月22日内部信息收集2已完成资产识别与重要风险梳理概要风险评估311月下旬-12月中旬风险评估阶段已完成风险控制与安全策略讨论中4体系建设信息安全管理制度(修

2、改稿)12月中旬-12月30日信息安全治理规划12月下旬-5后续实施规划进行中IT服务规划2011年1月目前项目实施情况启动准备信息安全项目启动大会2010年10月下旬1企业信息安全现状评估重要资产梳理11月上旬-11月22日内部信息收集2资产识别与重要风险梳理信息安全治理分析5信息安全治理3、风险评估阶段11月下旬-12月中旬信息安全治理建议12月下旬-2011年1月体系建设信息安全管理制度(修改稿)4信息安全治理规划行业最佳实践国际认证流程应用服务层建设化业务系统整合、标准化理顺治理结构信息安全治理规划建设初步建立管理体系基础运维外

3、包IT基础服务建设2010年2010-20112011年开始持续改进主题项目实施规划华润三九信息安全治理n信息安全治理基本要素n信息安全治理分析n信息安全治理规划建议2011年6月21日上海天帷企业管理咨询公司6信息安全治理定义信息安全治理就是明确有关信息安全决策权的归属和有关信息安全责任承担的管理机制,保护依靠信息的人、系统和传输信息的通讯系统不受损害,这种损害来源于信息可用性、机密性和完整性的失效,从而实现组织的业务战略目标,促进管理创新,合理管控信息化过程的风险。2011年6月21日上海天帷企业管理咨询公司7信息安全治理与信息安全

4、管理的关系2011年6月21日上海天帷企业管理咨询公司8华润三九信息安全管理定位公司业务战略内部管理要求信息化战略缺失信息安全治理信息安全管理体系2011年6月21日上海天帷企业管理咨询公司9可以考虑的信息安全治理决策组织2011年6月21日上海天帷企业管理咨询公司10信息安全委员会1.负责公司的整体信息安全管理工作,负责公司信息资产的安全;2.负责协调公司内部信息安全工作,分配信息安全管理目标、职责,并支持和推动信息安全工作在公司范围内的实施;3.负责对与信息安全管理有关的重大事项进行决策,包括安全组织机构调整、信息安全关键人事变动、

5、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等;4.审批和发布信息安全方针、信息安全管理制度及具体管理规定5.负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系;6.评审与监督重大信息安全事件的处理;7.对内部整改意见负最终责任。2011年6月21日上海天帷企业管理咨询公司11华润三九的信息安全方针、目标u华润三九信息安全方针:以流程制度建设带动技术管理,实施风险管理,确保信息安全,实现持续改进。u业务系统可用性(目标可向二级公司延伸)(1)主要应用系统的可确保系统7*24小时不中断运行,不可抗因素除外。用性(如:ER

6、P、CRM)(2)非主要应用系统的确保系统5*8小时不中断运行,不可抗因素除外。可用性(3)主机系统的可用性确保系统7*24小时不中断运行,不可抗因素除外。(4)动力环境的可用性确保电源、空调等动力环境7*24不中断,不可抗因素除外。2011年6月21日上海天帷企业管理咨询公司12华润三九的信息安全管理机制信息安全管理机制最高管理者3、系统开发、获取管理者代表4、应用服务支持1、信息安全组织信息安全管理委员会外部审计5、审计信息安全小组内部审计保密职责要求6、业务连续管理2、人员安全信息安全培训7、信息安全的奖惩相关方人员2011年6月

7、21日上海天帷企业管理咨询公司13主题项目实施规划华润三九信息安全治理n信息安全治理基本要素n信息安全治理分析n信息安全治理规划建议2011年6月21日上海天帷企业管理咨询公司14信息安全治理框架缺失2011年6月21日上海天帷企业管理咨询公司15信息安全治理框架不足2011年6月21日上海天帷企业管理咨询公司16风险评估阶段概述•高(中)风险分布:仅限华润三九ISMS项目组内部使用17风险评估-信息安全治理风险管理措施技术措施描述风险等级缺乏相应的管理组织框架,缺乏业务部门、普通用户、管理人员、应用软件开发设计人员、审计人员的协作机制

8、和4建立信息安全委员会责任分配。致使信息安全管理变成了一个部门或者几个人的事缺乏明确的信息安全治理责任体系架构,导致信息安全管明确信息安全委员会4理体系无法有效实施的职责权限缺乏整体性规划。制度主要是基于某

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。