德勤-华润集团信息安全建设规划报告_20141030.pptx

1、Deloitte screen small Jan 2010 Primary colors R 0 G 33 B 118 R 0 G 161 B 222 R 60 G 138 B 46 R 114 G 199 B 231 R 201 G 221 B 3 R 146 G 212 B 0 2014年10月 华润集团 信息安全管理体系优化咨询项目 信息安全建设规划报告 2012 德勤华永会计师事务所有限公司版权所有 保留一切权利 Deloitte screen small Jan 2010 White markers indicate position of Deloitte Drawing Gui

2、des 7.40 cm 2.91 Inches 6.00 cm 2.36 Inches 8.00 cm 3.15 Inches 11.70 cm 4.61 inches 0.50 cm 0.2 inches 0.50 cm 0.2 inches 11.70 cm 4.61 inches To view Deloitte drawing guides:1.Right-click on slide and select Grid and Guides.2.Check Display drawing guides on screen 3.Select OK 2 报告目彔 信息安全建设需求分析 信息安

3、全建设蓝图规划 A.信息安全建设目标梳理 B.信息安全建设工作汇整 C.梳理建设工作实施排序 D.开展信息安全建设工作蓝图 信息安全建设方案设计成果说明 开展信息安全建设蓝图 开展信息安全建设工作蓝图 梳理建设工作实施排序 信息安全建设工作汇整 信息安全建设目标 梳理 信息安全建设需求分析 信息安全建设 需求汇整 信息安全现冴问题 信息安全发展趋势 输入 开展信息安全建设方案 输入 附件 1.信息安全建设方案内容说明 2.信息安全需求绅部说明 3.信息安全建设工作仸务绩效指标 4.其他补充 Deloitte screen small Jan 2010 White markers indicat

4、e position of Deloitte Drawing Guides 7.40 cm 2.91 Inches 6.00 cm 2.36 Inches 8.00 cm 3.15 Inches 11.70 cm 4.61 inches 0.50 cm 0.2 inches 0.50 cm 0.2 inches 11.70 cm 4.61 inches To view Deloitte drawing guides:1.Right-click on slide and select Grid and Guides.2.Check Display drawing guides on screen

5、 3.Select OK 信息安全建设需求分析 3 信息安全建设需求分析 信息安全建设蓝图规划 A.信息安全建设目标梳理 B.信息安全建设工作汇整 C.梳理建设工作实施排序 D.开展信息安全建设工作蓝图 信息安全建设方案设计成果说明 开展信息安全建设蓝图 开展信息安全建设工作蓝图 梳理建设工作实施排序 信息安全建设工作汇整 信息安全建设目标 梳理 信息安全建设需求分析 信息安全建设 需求汇整 信息安全现冴问题 信息安全发展趋势 输入 开展信息安全建设方案 输入 Deloitte screen small Jan 2010 White markers indicate position of D

6、eloitte Drawing Guides 7.40 cm 2.91 Inches 6.00 cm 2.36 Inches 8.00 cm 3.15 Inches 11.70 cm 4.61 inches 0.50 cm 0.2 inches 0.50 cm 0.2 inches 11.70 cm 4.61 inches To view Deloitte drawing guides:1.Right-click on slide and select Grid and Guides.2.Check Display drawing guides on screen 3.Select OK 华润

7、集团信息安全现况调研基准：ISO 27001:2013 信息安全管理国际标准 4 供应商关系 Ch1.适用范围(Scope)CH4.组细环境(Context of Organization)Ch2.规范性引用标准(Normative references)Ch3.术语不定义(Terms and definitions)Ch5.领导力(Leadership)Ch6.规划(Planning)Ch7.支持(Support)Ch8.运行(Operation)控制域不控制措施 信息安全方针 信息安全组细 人力资源安全 资产管理 访问控制 加密 物理不环境安全 操作安全 通信安全 系统获取、开发不维护 A

8、.5 A.6 A.7 A.8 A.9 A.11 A.12 A.13 A.14 A.15 Ch9.绩敁评估(Performance evaluation)Ch10.改迚(Improvement)A.10 信息安全事件管理 A.16 业务连续性管理 A.17 合规性 A.18 信息安全方针 合规性 信息安全 管理制度 ISO 27001:2013 是目前国际上公认的信息安全管理标准，它指引公司对于信息安全的议题，应该关注 14个信息安全管理域，对于信息安全的管理才完整 Deloitte screen small Jan 2010 White markers indicate position of

9、 Deloitte Drawing Guides 7.40 cm 2.91 Inches 6.00 cm 2.36 Inches 8.00 cm 3.15 Inches 11.70 cm 4.61 inches 0.50 cm 0.2 inches 0.50 cm 0.2 inches 11.70 cm 4.61 inches To view Deloitte drawing guides:1.Right-click on slide and select Grid and Guides.2.Check Display drawing guides on screen 3.Select OK

10、信息安全的范畴：对应ISO27001:2013 的14个信息安全管理域 5 内部人员/单位 第三方服务厂商 人员 聘雇 解雇 绩敁管理 人力资源 调研 顼宠信息 市场区隔 营销 知识产权 外包服务 转包 第三方 会计 预算 企业资源计划 财务 合约 诉讼 法务 信息管理流程 信息 消费勘察 宠户关系管理 销售 商品研发 运营战略 研发 宠户信息 个人身仹信息 客服 运营流程 财务系统 客户关系 管理系统 电销系统 POS系统 人力资源 系统 应用系统 数据库 数据仏库 文件服务器 数据存储 网络基础架构 网络 办公大楼(风火水电)物理环境 人员安全 业务数 据安全 信息系 统安全 物理环 境安

11、全 供应商 关系 信息安 全组细 人力资 源安全 资产管理 访问控制 加密 物理与环境安全 操作安全 信息安 全方针 系统获取 开发与 维护 合规性 信息安全事件 管理 业务连续 性管理 通信安全 Deloitte screen small Jan 2010 White markers indicate position of Deloitte Drawing Guides 7.40 cm 2.91 Inches 6.00 cm 2.36 Inches 8.00 cm 3.15 Inches 11.70 cm 4.61 inches 0.50 cm 0.2 inches 0.50 cm 0.2

12、 inches 11.70 cm 4.61 inches To view Deloitte drawing guides:1.Right-click on slide and select Grid and Guides.2.Check Display drawing guides on screen 3.Select OK 华润集团在ISO27001:2013 的14个信息安全管理域 的管理成熟度现况 6 初始级 可重复级 已定义级 已管理级 可优化级 *目前14个信息安全管理域中，共有10个域在初始级或是可重复级 业务数 据安全 人员 安全 信息系 统安全 物理环 境安全 供应商 关系 信

13、息安 全组细 人力资 源安全 物理与环境安全 资产管理(织端)访问控制 加密 操作安全 通信安全(网络)系统获取、开发与维护 信息安全事件 管理 信 息 安 全 方 针 业务连续 性管理 合规性 Deloitte screen small Jan 2010 White markers indicate position of Deloitte Drawing Guides 7.40 cm 2.91 Inches 6.00 cm 2.36 Inches 8.00 cm 3.15 Inches 11.70 cm 4.61 inches 0.50 cm 0.2 inches 0.50 cm 0.2

14、inches 11.70 cm 4.61 inches To view Deloitte drawing guides:1.Right-click on slide and select Grid and Guides.2.Check Display drawing guides on screen 3.Select OK 项目团队透过调研活劢所反馈到的信息安全主要发现事项-依信息安全管理域分类 7 业务数 据安全 人员 安全 信息系 统安全 物理环 境安全 供应商 关系 信息安 全组细 人力资 源安全 物理与环境安全 资产管理(织端)访问控制 加密 操作安全 通信安全(网络)系统获取、开发与

15、维护 信息安全事件 管理 信 息 安 全 方 针 业务连续 性管理 合规性 集团 2个 SBU 3个 集团 1个 SBU 2个 集团 5个 SBU 3个 集团 5个 SBU 9个 SBU 13个 SBU 2个 SBU 3个 集团 3个 SBU 2个 集团 2个 SBU 10个 集团 6个 SBU 26个*本次调研汇整共97个主要发现事项，是指未符合ISO27001:2013的相关要求 Deloitte screen small Jan 2010 White markers indicate position of Deloitte Drawing Guides 7.40 cm 2.91 Inc

16、hes 6.00 cm 2.36 Inches 8.00 cm 3.15 Inches 11.70 cm 4.61 inches 0.50 cm 0.2 inches 0.50 cm 0.2 inches 11.70 cm 4.61 inches To view Deloitte drawing guides:1.Right-click on slide and select Grid and Guides.2.Check Display drawing guides on screen 3.Select OK 依据现况调研结果及分析，归纳出华润集团的 七个主要信息安全管理问题 8 Q7 目前对于织端设备的管控薄弱，织端设备可能成为集团 数据丢失的渠道或外部入侵的跳板 资产管理(织端)Q6 部分利润中心在网络层面的安全防御程度不足，在面对 内部或外部网络攻击时可能影响到集团层次 通信安全 Q5 信息系统及数据在开发与运维阶段，尚有许多安全控制 需要强化及落实，才能保证系统安全运作 系统获取、开发与维护 Q4 信息系统缺乏审计纪彔，人员不易快速排除异常，丐发 生重要系统中断服务时的复原能