搜索
管理工程部邓生品2008年12月24日同洲信息安全管理现状信息安全管理标杆同洲信息安全与标杆的差距目录同洲信息安全体系变革规划需要领导提供的支持信息安全介绍安全管理混乱的几个案例总部高层的办公室,神秘人士可以越过“重重关卡”,自由出入;那么,其他办公场地呢?可想而知……公司各类重要场地、业务系统,已有的或是新增的,从来没有定期的信息安全风险评估与管理优化这一说,反正,出了问题再“救火”,不但不被处罚,还能向公司体现“我”的“工作绩效和工作付出”基地,保安与员工勾结,硬件资产被盗。那么,公司的重要设计方案、代码软件等电子信息资产,是否也被时时如此“算计”着,不言自喻……各类高危的设备带入研发等场地;USB端口开启、网络服务器搭建、测试申请时时发生着……在没有任何隐患控制措施的情况下,还带着一副必须得为其开通的言语和表情n…………公司种种业务开展中的安全需求很急迫,但无安全系统支撑公司种种业务开展中的安全需求很急迫,但无安全系统支撑防火墙并没有详细的外发资料的记录,比如:通过Web邮箱(163、SOHU等)外发的邮件的记录或者是通过BBS发布的信息等从防火墙上能够看到种种违规数据传递、工作时间的网络“闲逛”行为,但是防火墙却提供不了证据证明公司具有FTP权限的人有200多个,占上网总人数的约1/7,FTP传输的信息系统也无法监控FTP是安全的高危通道。在管理上应该是部门统一出口,专人管理;同时,需要对传输的内容进行监控。但是,目前公司却没有做到其中的一点我司目前安全控制水平无规范安全防御与评估体系,表面太平建立管理组织体系、采取周期评估优化措施安全规范可控,不断优化破产损失惨重基本无力回天重大事故发生时“救火”安全水平层次$同洲位置•信息安全文件体系•管理与技术支撑体系•信息安全组织架构案例展示顺序,以安全架构“核心层分类”标准为基础我司安全各层面安全管理混乱案例分析必须补充信息安全基础的“宪法”文件混乱表现1:权限开通无视安全混乱表现2:开发测试无安全控制意识混乱表现3:安全管理不能落地混乱表现n……没有统一的旗帜,所以迷失方向,百年同洲需要护航符,安全压力需要从高层局部扩展到全员,成为企业文化的一部分根据业务需要,我们需要外部能访问内网的服务器和计算机,我们的领导都审批通过了,IT网络部赶快给我开通!没有安全评估流程及标准,所以,领导审批通过了就是安全的了,客观上是否安全不重要了!我是在测试一个IT方面的平台系统,又不是在做业务无关的事,所以虽然是因为测试让研发的办公网络瘫痪了5小时,但是这个是业务上需要!他并没有意识到,在生产环境测试是违反安全基本标准的,也没有意识到这个一个严重的安全事故。而且还有要让网络瘫痪5天的架势制定实验室安全管理细则?那是公司的事情,实验室管理员是做什么的我不是很清楚,但是肯定不是负责这方面的。自己的职责是什么很含糊,但是,怎样推卸职责是一点也不含糊。1.你是IT信息安全部而又不是全公司的信息安全部,所以只是负责你们部门范围的安全,我们部门的事情,什么时候轮到你来管了?2.我现在有一台私人电脑要带进来,你必须给我解决,不然,我的工作事情你来负责做完……不知道怎么评价了!往往这个时候似乎感到自己的智商突然变低了安全管理无明确身份面临的尴尬1.你只是IT部门下的一个小小主管,你是为我服务的!你以为你是谁啊?N……华为公司的安全机构,内部从高管到基层员工、外部从政府官员到各类来访人员,都“惧怕”他们而事事注意遵从其安全要求。但是在同洲,不少人却对公司安全要求不以为然的吆五喝六。难道,同洲的安全境界非常高了,已经达到不需安全管理的境地了吗?2.我们部门的领导都审批同意了,你凭什么不批?必须在5分钟内给我开通!4.我没有违反规定,我们部门的规定就是这样的,你无权干涉!3.是谁给你的权利,让我遵守这遵守那的?无统一安全监管机构导致的混乱亟待建立贯穿高层至基层的安全管理体系总部行政中心保安负责总部大楼安全。但是,对环境安全保护是否到位、方案是否根据业务发展进行周期性调整优化?缺少专业的引导和评估,缺少统一的监督和检查。基地总务安全部负责基地的物业安全,但是,其安全措施标准是否与总部一致?其日常的工作状态缺少明确独立的机构监督。IT系统维护部门,负责系统的配置等服务。但是,各系统之间的通信是否符合安全标准?系统的性能是否进行周期性评估以支撑业务连续性?没有评估,也没有标准及统一监管各外地分公司、办事处的物理安全是否有负责人在监管和落实?没有!IT网络部认为职责是负责日常网络的通畅。缺少开展网络安全状态周期性评估和周期优化巩固方案设计与实施。没有统一的安全要求标准及符合性监管统一负责整个公司安全体系的标准制定、日常安全运作情况的评估与监管机构在哪里?没有!我们必须建立起来!总部、基地、外地的各部门及员工日常形形色色的行为安全状况,是否有统一监管、优化?没有!安全产品的选型、洽谈、考察、测试、安全人员接待与沟通公司安全组织建设;各类权限申请电子流审批;员工日常安全事件调查;员工安全意识培训公司信息安全人手太过薄弱各类信息安全标准、制度、方案的制定;以及组织评审、签发信息安全项目群的组织、开发、实施、推行、以及项目日常管理其他工作:若干安全权限电子流审批;部门内部QA组及验收测试部的部门建设、标准制定、日常管理协调等工作目前,只有信息安全部主管+一名新毕业大学生公司信息安全工作同洲信息安全管理现状信息安全管理标杆同洲信息安全与标杆的差距目录同洲信息安全体系变革规划需要领导提供的支持信息安全介绍标杆核心层分析•信息安全文件体系•信息安全组织架构•管理与技术支撑体系不断完善的信息安全文件体系安全政策、风险评估标准安全制度、安全流程——谁,什么时候、做什么,在哪里各类安全符合性证据Level2各类安全管理规定、安全流程及流程文件Level1安全手册描述任务及具体活动怎么做的各类模板、表单Level3操作指导、检查彪、模板等Level4各类记录华为建立了以《信息安全策略总纲》为基础的、由各层级细化的安全管理规定、文件、模板等组成的信息安全白皮书文件体系。它们分别由对应层级的安全机构修订和实施上下一体的的信息安全组织架构03年起,华为持续投入重金,请DNV公司协助其根据BS7799标准,构建设置了其信息安全管理体系,并通过了企业BS7799认证。有目共睹的事实证明,这个体系的运作,推动了华为这列“火车”更加高效、安全平稳地前行……浑然一体、运作高效的信息安全体系公司信息安全监管委员会信息安全部(全球信息安全管理办公室)网络安全部物业行政管理部各大部门信管办各子公司信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处…………CIO坚实的信息安全内控管理与技术支撑体系管理手段与技术工具有机结合内网行为监管与审计系统终端接入认证、终端软件标准检查等系统文档加密、打印、USB等控制系统网络隔离;物理划分安全等级,并实施不同等级的配套保护信息安全工作纳入部门绩效考核周期性年度风险评估畅通的安全问题反馈通道、严明的安全奖惩机制全员日常例行安全检查同洲信息安全管理现状信息安全管理标杆同洲信息安全与标杆的差距目录同洲信息安全体系变革规划需要领导提供的支持信息安全介绍差距分析•信息安全文件体系•信息安全组织架构•管理与技术支撑体系我司安全内控与标杆的位置示意图无规范安全防御与评估体系,表面太平建立管理组织体系、采取周期评估优化措施安全规范可控不断优化破产损失惨重基本无力回天重大事故发生时“救火”安全水平$华为位置同洲位置有差距不可怕!可怕的是我们看不到差距,甚至看到了差距后,不是想办法赶上,而是找借口不为!我司信息安全文件体系状况Level2Level3Level4Level1安全政策、风险评估标准安全制度、安全流程——谁,什么时候、做什么,在哪里各类安全符合性证据各类安全管理规定、安全流程及流程文件安全手册描述任务及具体活动怎么做的各类模板、表单操作指导、检查表、模板等各类记录没有规矩,就没有方圆!所以,没有安全的规范指导性文件,安全建设失去了引导和度量的标准。现代社会是契约型社会,公司的“安全契约”在哪里?没有。那我们就用心建立起来吧!无公司安全纲领文件有少部分散乱的安全制度及流程,不全面且相互也缺乏互补,等待规范除了物业保安场地检查记录外,其他基本没有严重缺失没,基本没有没有总部、基地、各外地机构等物业监管隶属、考核关系,以及管理标准等模糊不明,有待明确和改善需优化上下一体的的信息安全组织架构公司信息安全监管委员会信息安全部(全球信息安全管理办公室)网络安全部物业行政管理部各大部门信管办各子公司信管办各部门信息安全专员团队国内各地物业安全处海外各地物业安全处…………CIO1.只有一个专业人员和一个新毕业大学生;2.没有从制度上明确安全机构的责任和权利力量薄弱现状下的公司安全组织,就如“农民起义军”一样,有形无神!无统一的章程、无统一的中央机构,凭少数“起义发起者”在“点火”,员工和各部门缺失主动的安全防范措施和意识。IT技术支持、网络维护人员在负责。没有规范的标准、没有IT状态安全评估、没有例行检查与优化……需加强我司安全内控管理与技术支撑体系状况部门安全绩效考核周期性风险评估畅通的问题反馈通道、明确的安全奖惩全员日常例行安全检查脆弱的安全内控终端接入安全认证系统(SPES)桌面软件标准检查系统(ACC)网络隔离;场地安全等级划分与配套管理等等……内网行为防护与审计系统(CPM、PM、信息出口监管系统)只有ISA和Juniper防火墙,无其他安全内控系统物理安全有一定监控,其他防内部泄密监管基本空白!同洲信息安全管理现状信息安全管理标杆同洲信息安全与标杆的差距目录同洲信息安全体系变革规划需要领导提供的支持信息安全介绍什么是信息安全安全安全安全安全信息完整性可用性保密性信息安全关注的“三性”信息安全之路——4P安全策略与流程(Policy&Process)专业团队People支撑产品(Product)信息安全的组成领域总揽信息安全•11个控制领域•39个控制目标•133个控制项11通信与操作管理10业务连续性管理3资产分类与控制5物理及环境安全8符合性4系统与维护9信息安全事件管理6访问控制7人员安全安全风险控制方案设计过程23451企业信息安全管理体系(ISMS)建设PDCA•做什么•怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制•下一步如何优化•建立与公司策略与目标相适宜的安全策略、对象、目标、流程活动等,聚焦于风险管理和提升信息的安全状态。1.发起建设ISMS•实施与运作各类安全策略、控制,以及安全流程与活动。2.实施与运作ISMS•基于安全策略,评估、度量各安全控制过程的实际效用;•形成评估结果报告提交管理层审视。3.监控与审视ISMS•基于管理层对风险评估结果(步骤3的输出)的审视意见,采取正确有效的ISMS持续改进措施。4.维护与改进ISMS计划行动检查改进•做什么•怎么做把计划方案转化成现实实际的情况是否与计划一样得到控制•下一步如何优化输入输出安全工作模块总揽安全风险评估安全基础安全功能安全优化安全战略安全管理安全技术防火墙和边界隔离安全区域定义和划分安全组织和责任划分企业安全策略定义信息资产分类和分级紧急响应机制业务持续计划核心安全标准/流程安全变更管理安全补丁管理安全备份管理其它安全标准/流程安全培训与教育第三方安全控制要求安全策略和标准修订系统安全强化网络入侵检测体系高危数据传输加密关键系统日志记录病毒防范机制身份认证体系访问控制体系可用性与冗余性远程访问安全机制时间同步机制集中安全审计体系安全事件管理平台企业身份认证平台其它内容安全机制其它数据传输加密主机入侵检测体系数据存储安全体系安全体系全面整合和控管国际或国内安全认证同洲信息安全管理现状信息安全管理标杆同洲信息安全与标杆的差距目录同洲信息安全体系变革规划需要领导提供的支持信息安全介绍本期目标:搭建我司安全防御大厦框架怎么做?How谁做?Who什么时候做?When做什么?WhatWhatistheBaseWhatWhatWha