文档介绍:该【公司信息安全体系10建设计划书 】是由【niuww】上传分享,文档一共【71】页,该文档可以免费在线阅读,需要了解更多关于【公司信息安全体系10建设计划书 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。公司信息安全体系10建设计划书
第1页/共71页
安全管理混乱的几个案例
总部高层的办公室,神秘人士可以越过“重重关卡”,自由出入;那么,其他办公场地呢?可想而知……
公司各类重要场地、业务系统,已有的或是新增的,从来没有定期的信息安全风险评估与管理优化这一说,反正,出了问题再“救火”,不但不被处罚,还能向公司体现“我”的“工作绩效和工作付出”
基地,保安与员工勾结,硬件资产被盗。那么,公司的重要设计方案、代码软件等电子信息资产,是否也被时时如此“算计”着,不言自喻……
各类高危的设备带入研发等场地;USB端口开启、网络服务器搭建、测试申请时时发生着……在没有任何隐患控制措施的情况下,还带着一副必须得为其开通的言语和表情
n…………
第2页/共71页
公司种种业务开展中的安全需求很急迫,但无安全系统支撑
第3页/共71页
公司种种业务开展中的安全需求很急迫,但无安全系统支撑
第4页/共71页
防火墙并没有详细的外发资料的记录,比如:通过Web邮箱(163、SOHU等)外发的邮件的记录或者是通过BBS发布的信息等
从防火墙上能够看到种种违规数据传递、工作时间的网络“闲逛”行为,但是防火墙却提供不了证据证明
第5页/共71页
公司具有FTP权限的人有200多个,占上网总人数的约1/7,FTP传输的信息系统也无法监控
FTP是安全的高危通道。在管理上应该是部门
统一出口,专人管理;同时,需要对传输的内容进行监控。
但是,目前公司却没有做到其中的一点
第6页/共71页
我司目前安全控制水平
无规范安全防御与评估体系,
表面太平
建立管理组织体系、采取周期评估优化措施
安全规范可控,不断优化
破产
损失惨重
基本无力回天
重大事故发生时“救火”
安全水平层次
$
同洲位置
第7页/共71页
信息安全文件体系
管理与技术支撑体系
信息安全组织架构
案例展示顺序,以安全架构“核心层分类”标准为基础
我司安全各层面安全管理混乱案例分析
第8页/共71页
必须补充信息安全基础的“宪法”文件
混乱表现1:权限开通无视安全
混乱表现2:开发测试无安全控制意识
混乱表现3:安全管理不能落地
混乱表现n……
没有统一的旗帜,所以迷失方向,百年同洲需要护航符,
安全压力需要从高层局部扩展到全员,成为企业文化的一部分
根据业务需要,我们需要外部能访问内网的服务器和计算机,我们的领导都审批通过了,IT网络部赶快给我开通!
没有安全评估流程及
标准,所以,领导审批通过了
就是安全的了,客观上是否安全
不重要了!
我是在测试一个IT方面的平台系统,又不是在做业务无关的事,所以虽然是因为测试让研发的办公网络瘫痪了5小时,但是这个是业务上需要!
他并没有意识到,在生产环境
测试是违反安全基本标准的,也
没有意识到这个一个严重的安全
事故。而且还有要让网络
瘫痪5天的架势
制定实验室安全管理细则?那是公司的事情,实验室管理员是做什么的我不是很清楚,但是肯定不是负责这方面的。
自己的职责是什么很含糊,
但是,怎样推卸职责是一点
也不含糊。
,所以只是负责你们部门范围的安全,我们部门的事情,什么时候轮到你来管了?
,你必须给我解决,不然,我的工作事情你来负责做完……
不知道怎么评价了!往往这个
时候似乎感到自己的智商
突然变低了
第9页/共71页
安全管理无明确身份面临的尴尬
你只是IT部门下的一个小小主管,你是为我服务的!你以为你是谁啊?
N……
华为公司的安全机构,内部从高管到基层员工、外部从政府官员到各类来访人员,
都“惧怕”他们而事事注意遵从其安全要求。但是在同洲,不少人却对公司安全要求
不以为然的吆五喝六。难道,同洲的安全境界非常高了,已经达到不需安全管理的境地了吗?
我们部门的领导都审批同意了,你凭什么不批?必须在5分钟内给我开通!
我没有违反规定,我们部门的规定就是这样的,你无权干涉!
是谁给你的权利,让我遵守这遵守那的?
第10页/共71页