170页ppt解读如何进行大型集团信息安全管理体系优化咨询

文档为甲方集团信息安全管理体系优化咨询项目的信息安全建设规划报告，重点围绕信息安全建设的规划与设计展开。报告首先进行了信息安全建设需求分析，明确了当前信息安全现况存在的问题、信息安全发展趋势及具体需求汇整，为后续建设提供了坚实基础。

报告核心部分包括信息安全建设蓝图规划，详细阐述了信息安全建设目标、工作任务绩效指标，并通过细部说明进一步明确了建设工作的具体内容。其中，对信息安全建设工作的梳理、实施排序及蓝图规划进行了系统性规划，确保建设过程有序高效。

此外，报告还附带了信息安全建设方案的内容说明，详细解释了建设方案的设计思路、成果及预期效果，为实施阶段提供了明确指导。

总体而言，该报告全面而深入地分析了甲方集团的信息安全需求，并制定了科学、合理的建设规划蓝图，旨在通过系统性、前瞻性的信息安全建设，提升集团整体的信息安全防护能力，确保业务安全稳定运行。

该文档上半部分主要围绕甲方集团信息安全管理体系优化咨询项目展开，详细分析了信息安全建设需求，依据ISO 27001:2013标准全面梳理了集团信息安全管理现状，精准定位存在的问题，并深入剖析根本原因，为后续制定针对性的建设方案奠定了坚实基础。

文档解析上

信息安全建设需求分析

1. 评估依据与管理域范畴

- 以ISO 27001:2013信息安全管理国际标准为基准，对甲方集团信息安全管理进行全面评估，涵盖14个信息安全管理域，包括信息安全方针、组织、人力资源安全、资产管理、访问控制、加密、物理与环境安全、操作安全、通信安全、系统获取/开发与维护、信息安全事件管理、业务连续性管理、合规性等，确保评估全面且系统。

- 明确各管理域的具体要求和范围，如信息安全方针明确组织的信息安全策略和方向；人力资源安全涉及人员招聘、培训、离职等环节的安全管理；资产管理关注信息资产的分类、保护和处置等，为深入分析集团信息安全管理现状提供了清晰的框架。

2. 甲方集团信息安全管理现状与成熟度评估

- 现状调研深入集团及23个SBU/BU，通过29场集团访谈和125场SBU/BU访谈，广泛收集信息安全管理相关信息，涉及信息资产管理、物理环境安全、加密与通信安全、信息安全事件管理等多个领域，全面了解集团信息安全管理的实际情况。

- 管理成熟度评估显示，14个信息安全管理域中多数处于初始级或可重复级，如部分管理域存在职责不清、制度不完善、技术措施落实不到位等问题，反映出集团信息安全管理基础薄弱，亟待加强和完善。

3. 主要信息安全管理问题剖析及根本原因分析

- 问题涵盖多个方面，如组织权责不清，集团与利润中心信息安全责任边界模糊，部分利润中心未按要求设置信息安全组织或配备专职人员；标准/合规方面，集团虽有管理办法，但执行不到位，利润中心缺乏体系化安全管理；人员管控存在漏洞，账号管理未覆盖全生命周期，存在安全风险。

- 根本原因包括集团对部分工作规范缺失、监督不力，利润中心对信息安全重视不足、资源投入不够，以及双方在技术层面的管控规范不健全等，明确了问题根源，为制定有效解决方案提供了依据。

信息安全建设蓝图规划

1. 建设目标梳理

- 旨在规范信息安全管理，合理控制信息安全风险，支持信息化战略目标实现，确保信息安全管理与集团整体战略紧密结合，为集团业务发展提供有力保障。

- 降低信息安全现况问题带来的风险及对业务运营的影响，通过一系列建设方案和措施，持续改善并落实控制有效性，提高集团信息安全整体水平，增强应对信息安全威胁的能力。

2. 建设工作汇整

- 针对信息安全管理存在的问题，提出相应建设方案，如组织权责整改方案、标准/合规整改方案、人员管控整改方案、事件应变/灾备整改方案、应用系统安全整改方案、网络管控整改方案、终端管控整改方案等，每个方案明确了具体的安全需求、对应工作任务和主要工作内容。

- 各项建设方案覆盖了信息安全管理的各个环节，从组织架构优化、制度标准完善到技术措施实施，形成全面系统的信息安全建设工作体系，确保信息安全管理工作无死角。

3. 实施排序与工作蓝图开展

- 根据问题的严重程度、紧迫性以及解决方案的难易程度等因素，梳理建设工作实施排序，如组织权责整改方案和标准/合规整改方案优先实施，以奠定信息安全管理的基础；终端管控整改方案等后续实施，逐步完善信息安全防护体系。

- 详细规划集团和利润中心在不同阶段（试点阶段、推广阶段）的建设工作任务，制定具体的实施计划和时间表，明确各阶段工作重点和目标，确保信息安全建设工作有序推进，可有效指导集团信息安全建设工作的实际开展，实现信息安全管理的持续优化。

文档解析下

该文档下半部分聚焦于甲方集团信息安全建设方案的具体设计与实施规划，针对前期梳理出的问题制定了详细整改方案，明确各方案的工作任务、职责分工、实施步骤及预期成果，同时规划了建设路径和绩效指标，为提升集团信息安全水平提供了全面、系统且具操作性的指导。

信息安全建设方案设计成果说明

1. 组织权责整改方案（P1）

- 管理范畴与目标：着重于信息系统生命周期安全管控、业务数据安全、人力资源安全及物理环境安全，通过明确集团与利润中心信息安全责任边界、梳理信息系统生命周期中各角色责任、设置信息安全组织及配备专职人员，实现信息安全管理的规范化与高效化，确保信息安全工作有序开展，降低因权责不清导致的安全风险。

- 实施步骤与分工：集团层面，制定通用性安全标准，规划安全建设资源，考核利润中心；利润中心层面，建立特定安全标准，落实集团要求，考核下属企业。工作任务包括信息安全职责分工、管理组织构建、管理员配置等，各任务明确起止时间及责任人，如信息安全职责分工于2015年Q1启动，2015年Q4完成，集团负责建立规范、落实与检核，利润中心负责落实规定。

2. 标准与合规整改方案（P2）

- 标准制定与实施：建立通用性信息安全标准与基线，涵盖信息资产管理、网络安全、终端安全等多方面要求，如发布及实施可移动介质管理办法、网络安全管理办法等。同时，实施信息系统等级保护，包括定级、备案、整改与测评，确保集团信息系统符合国家相关安全标准，增强系统安全性与合规性。

- 培训与宣贯计划：开展信息安全规范培训与意识宣贯，制定信息安全培训管理办法，定期对信息安全专责人员、在岗人员及新进人员进行培训与宣贯，提升员工信息安全意识与技能，营造良好的信息安全文化氛围，促进安全标准与规范的有效执行。

3. 人员管控整改方案（P3）

- 账号权限管理强化：将信息系统帐号权限审阅纳入人员调离岗作业，确保人员在岗位变动时账号权限及时更新，防止因账号权限管理不善导致的信息安全风险。同时，定期实施LDAP与个性系统帐号权限审阅，及时发现并处理异常账号，保障信息系统的正常运行与数据安全。

- 职责分工与执行：集团与利润中心协同工作，集团负责建立规范并指导监督，利润中心负责落实管控。工作任务涉及人员安全管理的各个环节，如签署保密协议、进行人员信息系统帐户与权限复核等，各任务按计划有序推进，如人员信息系统帐户与权限复核每年至少进行一次，确保人员账号管理全生命周期的安全性。

4. 事件应变/灾备整改方案（P4）

- 安全日志管理与分析：实施信息系统安全日志集中留存，异地存储应用系统、数据库、操作系统等日志，确保日志完整性与可追溯性；建立信息资产分级与管控机制，定期进行风险评估与加固，明确信息资产重要性，合理分配资源进行保护。

- 应急预案制定与演练：制定或更新信息系统应急预案，明确应急处理流程与各部门职责；定期实施应急预案演练，提高应对突发事件的能力，确保在系统中断等紧急情况下能够快速恢复服务，降低业务损失，增强集团信息系统的稳定性与可靠性。