文档介绍：XX信息安全建设规划
邓生品
2011年5月9日
目录
解决方案
2
下一步将开展的工作
3
公司意见与建议
5
7
6
需要领导提供的支持
现状分析
1
实施计划
3
质量保证与风险控制
4
信息安全技术支撑系统空白
公司信息安全现状
IT基础设施脆弱,应用平台原始
流程制度空白、专业管理与运维团队薄弱
1、公司现状简报
网络与数据中心现状
信息安全技术体系现状
安全规划与管理现状
IT应用与基础设施脆弱
公司网络缺乏安全等级分区,缺乏DMZ区规划;公司业务应用平台原始,导致信息安全抵御能力很脆弱
公司办公网络设计没有考虑双链路冗余,一旦唯一路经出问题将导致全网瘫痪,影响业务交流
缺乏规范数据中心,没有存储备份,没有业灾难恢复与业务连续性规划
1、公司现状简报
办公网络架构原始、网络缺乏IPS\IDS能力、容灾与备份功能缺失、网络上的流量缺乏监管。
缺乏基础办公应用系统(比如OA、ERP等系统),导致公司业务效率低下,信息孤岛问题严重,也深层面影响公司知识积累与信息安全管控
OA、ERP等基础办公应用系统缺位,严重影响信息共享,同时信息交流效率低下,影响业务效率,也严重影响公司知识积累
制度、流程、管理组织几乎空白
没有信息安全管理纲领性文件,同时缺乏各业务领域流程文件
缺乏公司信息安全奖惩管理办法
没有任何形式的员工信息安全培训,公司人员整体安全意识较低
没有信息安全审计、日常安全检查制度与流程,也缺乏专业人手支撑
1、公司现状简报
安全产品及支撑人力缺位
TFJLLO;PO’.’POFIHJKGHLKG
NFGNJHGC, ,MS
打印控制系统缺失,重要信息很容易文件通过打印方式流失
缺乏电子文档密管理系统,公司重要研发等成果等保护缺失
USB、网口、红外等端口缺乏控制,大批量信息非常方便外泄
公司对外邮件监控系统缺位,通过邮件交流形式很容易流失商业秘密、技术秘密
公司目前的规模与未来发展,要求在1)IT技术支持、2)信息系统维护与开发、3)信息安全流程制度建设、4)日常安全审计与安全事件调查、5)总体信息安全持续改进优化规划等领域,至少各需一人。特别是公司信息安全体系建设项目启动后,专业人手需求压力将更明显
1、公司现状简报
公司电子信息资产、IT设备与资产管理几乎空白且缺乏安全技术产品支撑,公司缺乏安全流程与制度建设人手、缺乏安全技术产品二次开发与维护人手、缺乏日常安全稽核及事件调查与整改等人手
脆弱的网络架构、缺失的OA与ERP等基础应用,既影响业务效率、有又重重安全隐患
公司目前信息基础设施与管控状态,已制约并威胁公司发展
信息安全监控设施空白,商业与技术秘密外泄处于不可控状态
缺乏制度与流程,拖累公司发展速度,同时增加无意识泄密风险
公司目前信息基础设施与管控状态,已制约并威胁公司发展
风险初尝
持续优化
良性循环
无力回天
损失惨重
教训深刻
安全建设状态
$
是走向阳光还是鲨鱼,决定于我们是否投入与重视
计划在未来两年时间内,系统化建成公司比较完善和健壮的信息安全防护体系,并通过相关国际认证(ISO27001认证、ISO20000认证),推动公司成为同业领域标杆企业、促进公司国际化运作扎实根基的生长。
…
“有效保护公司各类商业及技术秘密,促进公司信息资源最大化的安全使用,以持续有效支撑和推动公司业务长远稳步的发展”是公司信息安全建设的根本使命和存在的唯一理由,也是公司信息安全体系建设的第一宗旨。
…
目标
宗旨
目标、宗旨
2、解决方案
ISO27001
——国际信息安全
管理体系规范
2、解决方案
公司信息安全防护体系建设和实施的依据
ISO20000
——国际信息化建设标准规范
建设依据