资料解读:(169 页)DG 某著名企业信息安全整体规划方案
详细资料请看本解读文章的最后内容
本规划方案围绕某著名企业信息安全建设展开,全方位覆盖需求分析、蓝图规划及方案设计成果说明等核心内容,为企业信息安全体系搭建提供了系统且可行的路径。
方案以 ISO27001:2013 信息安全管理国际标准为调研基准,明确信息安全需关注 14 个管理域,涵盖信息安全方针、组织、人力资源安全等多个维度,且需覆盖企业人员、信息、应用系统、数据存储、网络基础架构及物理环境等各个层面。通过调研发现,该企业 14 个信息安全管理域中,10 个处于初始级或可重复级,共梳理出 97 个未符合标准的主要发现事项,归纳为七大核心问题:集团与利润中心安全责任边界不清、合规压力下安全管理标准不明、系统账号全生命周期管控缺失、信息系统审计与灾备能力不足、应用系统开发运维安全控制薄弱、部分利润中心网络安全防御不足、终端设备管控薄弱。
针对这些问题,方案确立了规范管理、控制风险、支持信息化战略目标实现的核心目标,提出七大整改方案。组织权责整改方案明确集团与利润中心管理层及执行层的安全责任边界,建立信息安全管理组织并配备专职人员;标准 / 合规整改方案通过建立通用安全标准与基线、实施等级保护、开展培训宣贯,应对合规压力;人员管控整改方案将账号权限审阅纳入人员调离岗流程,定期开展账号权限审计;事件应变 / 灾备整改方案实现安全日志集中留存与分析,建立资产分级管控机制及应急预案并定期演练;应用系统安全整改方案覆盖系统全生命周期,实施数据脱敏与安全检测;网络管控整改方案通过部署防火墙、防病毒软件、数据防泄漏工具等强化网络防御;终端管控整改方案收回用户本地最高权限,强制智能终端安全配置,建立终端安全基线与网络准入机制。
在实施规划上,方案遵循“低投入优先、紧迫问题优先” 原则,确定七大方案的优先序为组织权责、标准 / 合规、终端管控、事件应变 / 灾备、人员管控、网络管控、应用系统安全。演进路线分为建设规划、体系试点、体系推广三个阶段,明确 2014 年底前完成管理边界界定、标准设计等基础工作,2015-2016 年开展试点落实,2017-2020 年全面推广,目标是 2016 年底集团、2020 年底利润中心的 14 个信息安全管理域均达到已定义级以上。
方案还制定了详细的绩效指标,涵盖组织、管理、技术三大维度,明确各工作任务的考核标准,同时补充了集团信息安全内容界定、成熟度模型评价定义、调研范围及原始数据等信息,为方案落地与评估提供了全面支撑。
接下来请您阅读下面的详细资料吧
