搜索
DingjinsongISMS/ITMS/QMSLeadAuditorJune21,2011华润三九信息安全治理规划2011年6月21日上海天帷企业管理咨询公司2主题项目实施规划华润三九信息安全治理n信息安全治理基本要素n信息安全治理分析n信息安全治理规划建议11月上旬-11月22日11月下旬-12月中旬12月中旬-12月30日12月下旬-2011年1月信息安全管理制度(修改稿)IT服务规划概要风险评估资产识别与重要风险梳理企业信息安全现状评估重要资产梳理2内部信息收集风险评估阶段4后续实施规划5风险控制与安全策略体系建设项目实施计划完成情况2010年10月下旬信息安全项目启动大会1启动准备已完成已完成已完成讨论中进行中3信息安全治理规划11月上旬-11月22日信息安全管理制度(修改稿)3、风险评估阶段资产识别与重要风险梳理企业信息安全现状评估重要资产梳理2内部信息收集4体系建设目前项目实施情况2010年10月下旬信息安全项目启动大会1启动准备12月下旬-2011年1月信息安全治理建议信息安全治理5信息安全治理分析11月下旬-12月中旬行业最佳实践应用服务层建设信息安全治理规划IT基础服务建设基础运维外包理顺治理结构初步建立管理体系业务系统整合信息安全治理规划流程化、标准化建设2010-20112011年开始国际认证2010年持续改进2011年6月21日上海天帷企业管理咨询公司6主题项目实施规划华润三九信息安全治理n信息安全治理基本要素n信息安全治理分析n信息安全治理规划建议2011年6月21日上海天帷企业管理咨询公司7信息安全治理定义信息安全治理就是明确有关信息安全决策权的归属和有关信息安全责任承担的管理机制,保护依靠信息的人、系统和传输信息的通讯系统不受损害,这种损害来源于信息可用性、机密性和完整性的失效,从而实现组织的业务战略目标,促进管理创新,合理管控信息化过程的风险。2011年6月21日上海天帷企业管理咨询公司8信息安全治理与信息安全管理的关系2011年6月21日上海天帷企业管理咨询公司9华润三九信息安全管理定位公司业务战略内部管理要求信息化战略信息安全治理信息安全管理体系缺失2011年6月21日上海天帷企业管理咨询公司10可以考虑的信息安全治理决策组织2011年6月21日上海天帷企业管理咨询公司11信息安全委员会1.负责公司的整体信息安全管理工作,负责公司信息资产的安全;2.负责协调公司内部信息安全工作,分配信息安全管理目标、职责,并支持和推动信息安全工作在公司范围内的实施;3.负责对与信息安全管理有关的重大事项进行决策,包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等;4.审批和发布信息安全方针、信息安全管理制度及具体管理规定5.负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系;6.评审与监督重大信息安全事件的处理;7.对内部整改意见负最终责任。2011年6月21日上海天帷企业管理咨询公司12华润三九的信息安全方针、目标u华润三九信息安全方针:以流程制度建设带动技术管理,实施风险管理,确保信息安全,实现持续改进。u业务系统可用性(目标可向二级公司延伸)(1)主要应用系统的可用性(如:ERP、CRM)确保系统7*24小时不中断运行,不可抗因素除外。(2)非主要应用系统的可用性确保系统5*8小时不中断运行,不可抗因素除外。(3)主机系统的可用性确保系统7*24小时不中断运行,不可抗因素除外。(4)动力环境的可用性确保电源、空调等动力环境7*24不中断,不可抗因素除外。2011年6月21日上海天帷企业管理咨询公司13华润三九的信息安全管理机制11、信息安全、信息安全组织组织信息安全管理机制最高管理者管理者代表信息安全小组信息安全管理委员会22、人员安全、人员安全保密职责要求信息安全培训相关方人员44、应用服务支持、应用服务支持66、业务连续管理、业务连续管理55、审计、审计外部审计内部审计33、系统开发、获取、系统开发、获取77、信息安全的奖惩、信息安全的奖惩2011年6月21日上海天帷企业管理咨询公司14主题项目实施规划华润三九信息安全治理n信息安全治理基本要素n信息安全治理分析n信息安全治理规划建议2011年6月21日上海天帷企业管理咨询公司15信息安全治理框架缺失2011年6月21日上海天帷企业管理咨询公司16信息安全治理框架不足仅限华润三九ISMS项目组内部使用17•高(中)风险分布:风险评估阶段概述2011年6月21日11时13分ISMS项目组内部使用18风险评估-信息安全治理风险管理措施技术措施描述风险等级缺乏相应的管理组织框架,缺乏业务部门、普通用户、管理人员、应用软件开发设计人员、审计人员的协作机制和责任分配。致使信息安全管理变成了一个部门或者几个人的事4建立信息安全委员会缺乏明确的信息安全治理责任体系架构,导致信息安全管理体系无法有效实施4明确信息安全委员会的职责权限缺乏整体性规划。制度主要是基于某个事件发生而形成的临时性或补救性规定,导致制度之间缺乏相互的支撑和联系。4建立信息安全管理制度没有在整理公司全部业务流程的基础上,进行科学的信息化架构设计,导致许多系统功能单纯、部分系统功能重叠、系统之间缺乏协作。4建立项目建设委员会系统开发立项处于补丁式落后状态,不仅造成开发资源的浪费,也给后期的网络、硬件、系统平台、和运维增加了复杂性。41、明确项目建设委员会的人员及职责权限2、明确基础建设委员会的人员及职责权限3、基础设施整体外包规避风险2011年6月21日上海天帷企业管理咨询公司19风险评估-数据风险管理措施技术措施描述风险等级内部信息资产重要级别定义不清晰,内部人员不知道哪些资料或文档应进行何种保护41、建立密级管理规定2、公司保密程度要求较高的文件,如公司6S的财务报表,建议以公司OA系统为主要存放以及传播的途径。3、在KM系统里建立文件专区。通过笔记本COPY保密数据、重要资料和数据等4禁止外来笔记本接入邮件发送41、建立电子邮件管理规定2、培养员工对电子邮件附件加密的习惯通过Internet接入,以WebMAIL、FTP等方式传输保密文件4限制可接入Internet的员工的权限网上行为监控系统备份介质丢失3个人妥善保存U盘加密纸质文件丢失3有保密要求的文件考虑使用加密方式保存电子版不受控的分发22011年6月21日上海天帷企业管理咨询公司20风险评估-应用系统风险管理措施技术措施风险描述风险等级管理员滥用职权3访问控制管理规定:分角色权限管理目前电子邮件的收发缺乏监视措施,可能存在电子邮件当非正当利用的可能3启用电子邮件收发记录监视密码太简单或多个领域使用同一个密码3访问控制管理规定病毒侵袭4防病毒管理规定管理员权限过大3访问控制管理规定系统在开发初期缺乏安全性需求分析4信息系统获取、开发与维护程序缺乏有序的资料交接和管理方式3信息系统获取、开发与维护程序应急预案缺乏演练3业务连续管理规定2011年6月21日上海天帷企业管理咨询公司21风险评估-综合管理风险管理措施技术措施风险描述风险等级缺乏物理安全管理制度3物理安全管理规定第三方人员以及所有访问者未佩带某种形式的可视标识3物理安全管理规定物理安全区域缺乏明确划分3物理安全管理规定2011年6月21日上海天帷企业管理咨询公司22主题项目实施规划华润三九信息安全治理n信息安全治理基本要素n信息安全治理分析n信息安全治理规划建议2011年6月21日上海天帷企业管理咨询公司23信息安全治理决策方向信息安全治理决策方向业务应用需求2011年6月21日上海天帷企业管理咨询公司24信息安全治理框架关键2011年6月21日上海天帷企业管理咨询公司25业务运营模式分析协调型独特的各种业务单位,但是需要了解彼此的业务事物范例:中国工商银行、招商银行、吉林银行关键IT能力:通过标准技术接口访问共享的数据多元型独立的各种业务单位,有不同的客户和专业范例:太平洋人寿保险、关键IT能力:提供经济规模而不限制独立性统一型单一业务:整体性流程标准及数据访问范例:EMS,联邦包裹,日本航空关键IT能力:企业系统强调标准流程和提供全球数据访问能力复制型独立但是业务单位共享最佳实践范例:万科、7-11、云南白药关键IT能力:提供标准基础设施和应用软件,为企业提高效率业务流程集成化程度业务流程标准化程度高低高2011年6月21日上海天帷企业管理咨询公司26不同组织对信息安全治理的要求u从华润三九的业务性质来看,处于组织变化不快、以产品服务的差异化为竞争基础的行业。组织商业特性组织对IT的要求A类组织处于变化不快的行业,以运营效率为竞争基础组织发展的关键在于严格控制成本,因此这类企业希望利用IT来保持低成本,通过如外包这类节省成本的方法来提供成熟的能力。B类组织处于变化不快的行业,以产品服务的差异化为竞争基础组织的管理者期望利用信息来提高决策能力,发展产品和服务,IT能力为本企业业务发展需求服务。C类组织处于变化快的行业,以运营效率为竞争基础组织按优先制定IT投资计划以及长期能力的路线图,它们在对成本进行有效管理的同时,根据路线图,运用IT来实现计划中的新能力,以满足市场不断变化的需求。D类组织处于变化快的行业,以产品服务的差异化为竞争基础组织期望IT具有高度的灵活性,以满足迅速变化的商业策略和要求。这类企业倾向于提供创新的IT解决方案,以获得先发优势,因此它们的IT投资重点在于创造新的能力。2011年6月21日上海天帷企业管理咨询公司27信息安全治理应该进行的工作1.确定信息安全治理决策模式2.组建信息安全治理决策机构3.确定IT原则(信息安全治理原则)4.建立IT投资管理流程5.确定有效应用系统整合架构6.确定IT基础设施架构7.建立业务应用决策管理机制8.建立信息安全管理体系2011年6月21日上海天帷企业管理咨询公司28信息安全治理的几种决策模式决策类型描述企业君主制企业的高级管理者(如CEO,CFO,COO)在业务君主制中拥有决策权。以常务委员会或者类似制度的形式行使这些权力。这种结构模式的企业只有企业战略,没有IT战略或者信息安全战略,CIO只作为部分高级管理者的职责存在,不单独设置CIO职位。企业相关的领导掌控所有IT投资和IT架构战略。IT部门君主制这种治理模式的决策主体是一个或一群IT主管,单个CIO或多个IT主管在IT君主制中拥有决策权。以IT指导委员会或IT组织的形式行使这些权力。因此,在这类企业中所有IT主管拥有IT原则和IT架构的决策权。双寡头制IT部门和其他业务部门(包括高级管理层和执行管理层)共同拥有决策权,是一种两方参与的治理安排,这种模式产生的决策表现为由IT部门和其他业务部门之间达成的一种双边协议。按照IT部门分别与高级管理层和业务单位主管共同决策。联邦制由公司的高级管理者和业务部门领导(或业务流程的负责人)联合决策,有或者没有IT部门的参与,相当于中央政府和州政府的协同工作方式。业务单位或公司的IT领导也可以作为额外的参与者加人到联邦制的治理中。因此,在联邦制中决策权为高级管理者、业务部门领导、业务流程负责人和IT部门领导所共同拥有。行使决策权的制度包括企业范围业务流程团队的构建、服务水平协议、IT投资批准流程以及IT治理委员会。封建制各项业务的领导者,关键流程负贵人或其代表在封建制中拥有决策权。但这些治理权力的行使只局限于业务部门领导的权力范围以及相应部门IT预算的权力范围。封建制通常适用于那些有业务自主权的组织,每个业务主管可以根据业务需要合理制定相关的IT决策,这样可以使局部需求达到最优。无政府状态由使用者(孤立的个体或者小团体)做出决策,企业没有行使决策权的正式制度,在无政府状态下,每个个体或者小型团队仅仅基于自己的需求制定决策。2011年6月21日上海天帷企业管理咨询公司29(1)建议的信息安全治理决策机制决策范围决策机制组织保障信息安全方针(信息化战略)企业君主制IT治理委员会(信息安全委员会)业务应用需求联邦制\双寡头制项目建设委员会IT投资企业君主