Copyright?1998-2021深圳昂楷科技

ShenzhenAnkkiTechnologiesCo.,Ltd企業(yè)信息平安體系建設方案V1.0鄧生品昂楷科技高級參謀目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關鍵成功因素2025/4/3AnkkiConfidential3公司簡介創(chuàng)始人足跡2025/4/3AnkkiConfidential4積極參與和組織國際OWASP峰會首屆OWASP中國峰會發(fā)布SOne解決方案。榮獲OWASP最正確效勞獎。2025/4/3AnkkiConfidential5://OWASP〔OpenWebApplicationSecurityProject〕2025/4/3AnkkiConfidential6進行安全、存儲、統(tǒng)一通信技術層面的評估和分析整合IT環(huán)境，夯實基礎架構規(guī)劃進行管理策略、運行體系和戰(zhàn)略愿景層面的咨詢和規(guī)劃輔助客戶建立信息安全整體架構推廣執(zhí)行推廣技術和管理策略落實咨詢方案，實現業(yè)務保障和創(chuàng)新與客戶共同成長，成為戰(zhàn)略合作伙伴端到端解決方案2025/4/3AnkkiConfidential7ANKKITMSone

深度業(yè)務平安解決方案隨著平安威脅不斷升級，傳統(tǒng)網絡級的平安解決方案已不能滿足豐富多彩的業(yè)務應用平安保障需要。昂楷科技不斷研發(fā)創(chuàng)新，研發(fā)出SOne深度業(yè)務平安解決方案，滿足金融、政府、證券、互聯網、電信、電力、高校、制造業(yè)等各行各業(yè)對應用系統(tǒng)平安日趨強烈的需要——業(yè)務平安，昂楷領航！2025/4/3AnkkiConfidential8支持HTTPS獨有的透明工作模式，方便部署平安的Bypass自學習自適應功能Web應用安全靈活定義群組、用戶的細粒度權限可靠容災機制，保護文件不被破壞靈活分級控制策略，適合超大規(guī)模組織機構ALL-IN-ONE，防止多軟件客戶端帶來的種種困擾知識產權防泄密DLP多達200條的檢測基準獨特的可信管理機制業(yè)界獨有的風險級別量化機制效勞于德國電信DT、法國電信FT可配置可管理的全自動化加固機制可根據平安標準、風險級別靈活定制的策略包主機基線檢查和加固網站防篡改系統(tǒng)WDS效勞于德國電信DT、法國電信FT全面支持6大主流數據庫類型多達150多條的檢測基準數據庫基線檢查和加固獨有的雙向審計機制領先的三層審計機制數據庫審計與風險控制系統(tǒng)認證培訓ISO27001/ISO20000LA審核員認證培訓COBIT/ITIL認證培訓CCIECCNPNSACE認證〔初級/中級/高級〕－可頒發(fā)工信部證書數據庫主機平安培訓〔專項技能培訓〕Windows系統(tǒng)平安培訓〔專項技能培訓〕Linux系統(tǒng)平安培訓〔專項技能培訓〕2025/4/3AnkkiConfidential9效勞承諾2025/4/3AnkkiConfidential10我們承諾銷售的產品解決方案提供終身免費遠程支持效勞效勞的客戶2025/4/3AnkkiConfidential11大亞灣核電站第二職校易斯博舜全電子惠科電子海能達思博倫北京富蘭電子千色店目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關鍵成功因素我們公司信息平安管理體系水平，處于哪個狀態(tài)？無標準平安防御與評估體系，外表太平建立管理組織體系、采取周期評估優(yōu)化措施平安標準可控，不斷優(yōu)化破產損失沉重根本無力回天平安水平$平安形勢越來越嚴峻麻痹者跌倒后，可能將永遠倒下典型的信息平安事件ISO27001對企業(yè)的意義ISO27001對企業(yè)的意義公司大局部員工總體信息平安意識比較淡薄；各部門日常平安管理工作根本空白；公司沒有形成系統(tǒng)化的平安管理持續(xù)優(yōu)化系統(tǒng)。需求現實企業(yè)信息平安壓力與挑戰(zhàn)物理平安現狀企業(yè)信息平安現狀網絡平安現狀人員平安現狀企業(yè)信息平安現狀簡報問題重重疊加，風險時時攀升公司高密級網絡與低密級網絡無隔離；內部網絡與外部網絡無有效隔離公司內部員工之間、內部員工與外網之間的通信，缺乏內容的監(jiān)控與過濾公司數據中心缺乏容災備份機制、缺乏災難恢復方案，重大問題不知道如何恢復，缺乏持續(xù)的災難恢復演練各類密級信息無序流轉，無分層分級控制網絡平安現狀列舉TFJLLO;PO’.J.I’POFIHJKGHLKGNFGNJHGC,,MS打印機、機等敏感設備放置在非受控的平安區(qū)域，缺乏有效監(jiān)控在公司重要場地，存儲和攝像功能的設備隨意使用公司辦公場地出入無有效證件登記與監(jiān)管、公司各區(qū)域門禁系統(tǒng)管理混亂門禁權限缺乏定期審核、清理，處于實驗室、數據中心等機要場地時未嚴格落實登記問題重重疊加，風險時時攀升物理平安現狀舉例平安要求的落地情況沒有人檢查，也沒有檢查標準、獎懲標準員工內部轉崗或離職時，工作文件、權限等沒有及時交接或清理公司崗位職責缺乏平安要求定義，缺乏平安保密協議模板或者簽署的習慣敏感崗位缺乏有效的平安背景調查，既要崗位缺乏詳實的保密協議的簽署與執(zhí)行監(jiān)督沒有進行定期的全員平安意識培訓、考試，沒有將各部門的信息平安情況納入考核指標問題重重疊加，風險時時攀升人員平安現狀舉例目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關鍵成功因素什么是信息平安平安平安平安平安信息威脅弱點完整性保護信息及其處理步驟不被未授權的修改可用性確保信息能夠被授權的用戶在需要時訪問風險確保信息只被授權的人訪問保密性信息平安關注的“三性〞信息平安的4P平安策略與流程(Policy&Process)專業(yè)團隊和較高平安意識的員工People支撐產品(Product)信息平安的組成領域總攬信息平安11個控制領域

39個控制目標

133個控制項平安制度及流程管理措施11通信與操作管理10業(yè)務連續(xù)性管理2組織安全3資產分類與控制

5物理及環(huán)境安全8符合性4系統(tǒng)與維護9信息安全事件管理6訪問控制7人員安全1安全策略平安風險控制方案設計過程23451如何保證企業(yè)平安控制水平持續(xù)優(yōu)化？做什么怎么做把方案方案轉化成現實實際的情況是否與方案一樣得到控制下一步如何優(yōu)化建立與公司策略與目標相適宜的安全策略、對象、目標、流程活動等，聚焦于風險管理和提升信息的安全狀態(tài)。1.發(fā)起建設ISMS實施與運作各類安全策略、控制，以及安全流程與活動。2.實施與運作ISMS基于安全策略，評估、度量各安全控制過程的實際效用；形成評估結果報告提交管理層審視。3.監(jiān)控與審視ISMS基于管理層對風險評估結果(步驟3的輸出)的審視意見，采取正確有效的ISMS持續(xù)改進措施。4.維護與改進ISMSCDPA實際的情況是否與計劃一樣得到控制把計劃方案轉化成現實下一步如何優(yōu)化輸入輸出做什么怎么做平安工作模塊細分，全貌是什么？平安風險評估平安根底平安功能平安優(yōu)化平安戰(zhàn)略平安管理平安區(qū)域定義和劃分平安組織和責任劃分企業(yè)平安策略定義信息資產分類和分級緊急響應機制業(yè)務持續(xù)方案核心平安標準/流程平安變更管理平安補丁管理平安備份管理其它平安標準/流程平安培訓與教育第三方平安控制要求平安策略和標準修訂系統(tǒng)平安強化網絡入侵檢測體系高危數據傳輸加密關鍵系統(tǒng)日志記錄病毒防范機制身份認證體系訪問控制體系可用性與冗余性遠程訪問平安機制時間同步機制集中平安審計體系平安事件管理平臺企業(yè)身份認證平臺其它內容平安機制其它數據傳輸加密主機入侵檢測體系數據存儲平安體系平安體系全面整合和控管國際或國內平安認證這三項，是業(yè)界標桿用重金構建起來、用成功實踐證明了的平安大廈的“脊梁〞信息安全體系WhatWhatWhat建立信息平安文件體系框架建立公司信息平安組織如何搭建企業(yè)信息平安防御大廈？公司信息平安文件體系如何建設與運維？確定公司信息安全類文件體系架構確定各層文件內容框架及編撰的責任部門12確立公司信息安全綱領性文件3建立公司安全策略被執(zhí)行的確保機制和各類流程模板平安文件體系架構平安綱領性文件平安基準獎懲制度構建反響靈敏、運作高效的平安管理組織公司信息安全監(jiān)管委員會全球信息安全管理辦公室網絡安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團隊國內各地物業(yè)安全處海外各地物業(yè)安全處…………分管高管1.網關平安防御系統(tǒng)〔入侵檢測、入侵防御系統(tǒng)〕。2.終端計算機上網行為監(jiān)管系統(tǒng)。3.核心文檔、代碼等電子信息加密工具。4.計算機端口、打印機監(jiān)控工具。5.終端計算機監(jiān)控檢查與平安接入控制工具。6.移動計算機設備、移動存儲介質平安認證工具。信息安全評估和差距分析建立信息安全組織和政策體系

初步推行和落實信息安全管理體系啟動信息安全基礎設置建設實現監(jiān)控的制度化，流程化和經常化建立安全配置管理，實現安全風險的量化管理機制

建立安全管理持續(xù)優(yōu)化機制全面審視，優(yōu)化和深化信息安全管理體系建立整體的信息安全防護體系建立集中監(jiān)控平臺建立數據中心和應急機制基礎保證策略固化集中建設20xx.xx20xx.xx20xx.xx20xx.xx企業(yè)信息平安管理體系建設如何有效規(guī)劃？信息平安體系建設總流程發(fā)動部署階段體系維持體系設計體系診斷導入準備培訓體系建立體系實施評價改進認證評審文件化階段總結經驗穩(wěn)固成果階段進度控制、各子工程關系協調等如何開展？公司安全組織建設20xx.xx……15301515151515151530303030303030日常安全狀態(tài)檢查與維護文檔分層分級管理與加密網絡分區(qū)與安全隔離辦公場地安全梳理與優(yōu)化12345項目成功完成辦公網絡安全分區(qū)、數據中心服務與應用安全分區(qū)4

安全組織建設與培育項目成功完成1例行維護與優(yōu)化……項目成功完成日常安全狀態(tài)檢查與維護建設2例行維護與優(yōu)化……物理環(huán)境安全梳理與優(yōu)化項目項目成功完成5例行維護與優(yōu)化……文檔分層分級管理，對應各層文檔加密控制項目成功完成3例行維護與優(yōu)化……20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx20xx.xx總體質量與進度如何控制？詳細信息雙擊此文件展開WBS分解計劃甘特圖阻礙企業(yè)平安體系建設成功的主要風險是什么，怎樣控制？40%思想觀念現存體制缺乏使命感缺乏領導不現實的預期缺乏團隊組織人員素質技術支持項目授權20%60%80%風險識別控制措施安全人力薄弱，項目實施進度延遲，影響業(yè)務部門對安全項目建設的信心成立跨部門項目組，關聯部門領導給予有力的人力的支持；信息安全部確定安全兼職人員，補充安全力量。安全組織結構調整后，相關部門并不配合安全專業(yè)機構的工作，或者推諉，造成安全項目質量受到嚴重影響完善績效考評機制。確認對部門及安全工作人員的績效，公司信息安全監(jiān)管委員會或信息安全部有建議權。安全專業(yè)人員目前無“備份”力量，公司安全大廈搭建起來以后，影響安全整體的運作質量關注培養(yǎng)公司內部信息安全人員，加大引入有經驗的專業(yè)安全人員力度目錄昂楷公司簡介企業(yè)平安壓力與挑戰(zhàn)建設有效的企業(yè)信息平安體系信息平安標桿關鍵成功因素標桿公司信息平安管理體系簡介反響高效、上下一體的公司信息平安“神經系統(tǒng)〞公司信息安全監(jiān)管委員會信息安全部（全球信息安全管理辦公室）網絡安全部物業(yè)行政管理部各大部門信管辦各子公司信管辦各部門信息安全專員團隊國內各地物業(yè)安全處海外各地物業(yè)安全處…………公司高管

業(yè)界最佳實踐標桿安全組織架構管理手段技術手段內部網研發(fā)網非研發(fā)網Internet平安VPN數據中心交換機ERP文件共享E-mail分支機構控制臺IDS流量鏡像監(jiān)控引擎入侵檢測WEB監(jiān)控郵件監(jiān)控MSN監(jiān)控文件傳輸監(jiān)控會話監(jiān)控服務器監(jiān)控平安VPN外部網DMZ區(qū)遠端用戶管理有序、布局標準而平安的公司網絡系統(tǒng)OA及其他系統(tǒng)內、外入侵行為監(jiān)管隔離梳理研發(fā)與非研發(fā)網絡安全梳理服務器區(qū)域清晰明了、有效搭配的信息平安金字塔文件體系各分支領域安全管理規(guī)定安全手冊操作指導、模板等各類記錄表、檢查表信息平安金字塔文件體系關鍵文件展示目錄昂楷公司簡介企