还剩1页未读,继续阅读
文本内容:
信息安全标杆企业调研报告月日至日,信息技术部、对深圳华为、广东核电集团、深X xx XXXXXX圳证券交易所信息安全建设情况进行调研学习,现将调研情况汇报如下
1、华为技术华为目前总员工数约万人,人员约人,信息安全人员人(其中9IT2000680总部约人),分为安全审计、安全管理、安全技术、安全开发四个部门20009年公司信息安全预算为亿左右公司从上至下都非常重视信息安全,已建立完1备的安全管理和技术体系,早在年就通过认证,年通过了2004BS77992007认证以下是华为资深信息安全专家总结的信息安全建设经验)、信IS0270011息安全必须获得公司最高领导层的切实支持,才有可能获得成功)、集团统一2安全策略,总体规划和协调,分步骤分部门落实)、全员参与,坚持“谁主管、谁负责;谁运维,谁负责”的原则3)、华为信息安全管理事件最大的成功在于“执行”4)、信息安全管理要由事件主导型逐渐向技术主导型,流程主导型转换,待技术和5流程基本完善后,最终转向风险主导性管理,风险管理是信息安全管理的根本企业应建立自己的风险评估团队和机制,将技术风险评估和业务风险评估同时纳入风险评估的范围)、信息安全不是一堆文件,而是真正可推广的方法,在技术和管理上都必须“可6达”,即制度必须要求相关的技术手段来保证其执行,华为有一大批信息安全开发人员来丰富其终端、网络安全管理系统功能)、企业内部信息安全团队经常组建“红军”和“蓝军”进行对攻,以检测信息安7全防控措施的有效性)推行严厉的信息安全违规处罚制度和领导连带责任制度8)所有终端电脑推行硬盘加密、开机加密和登录系统加密的“三密”认证机制9)、华为信息安全管理理念由以前修长城式的全面防御逐渐改为仅防御重点资产10的安全,公司领导要求信息安全部门来主导逐步建立信息安全共享模式
2、广东核电集团广东核电集团目前有终端数二万左右,人员五百多人,专职信息安全人员IT十多人,分为项目建设组和运维组,另各业务部门配有内审员,发现问题并负责落实整改公司目前已通过认证,安全管理体系比较完善,并实施了大IS027001量的安全技术手段,包括防火墙、网络准入系统、中软防水墙终端安全管理Sygate系统、前沿文档加密管理系统等以下是广东核电信息安全人员总结的信息安全建设经验)、建立了研发专网,对研发内网完全隔离;为保持研发人员与外部信息沟通,研1发人员都配有两套电脑)、所有涉密信息资产都进行了分级管理,由业务部门负责;制定了各级文档保密2管理要求,建立文档标识,绝密文档严禁电子化)、非常重视应用开发安全,通过了认证,所有源代码利用专业3CMM3Clearcase版本管理软件管理,有专门的软件质量部门进行软件安全测试)、建立外发和仅限内部转发的两套邮件系统4)、非常注重员工安全意识培训,利用体系认证项目,多次组织全员进5IS027001行安全培训推行安全纪律月、闭卷考试、建立内部保密宣贯网站、请外部安全专家进行培训等措施)会议安全注重文件分发记录和回收,会议室屏蔽等措施
63、深圳证券交易所深交所目前有终端数约人员人,专职信息安全人员人,所领导700,IT1004层对信息安全极为重视,成立了信息安全管理委员会和信息安全领导小组,各业务部门都有兼职信息安全联络员,并由专门的审计部门进行信息安全合规性审计,目前已通过体系认证以下是深交所信息安全人员总结的信息安全建设IS027001经验)、实行严格的内外网隔离策略,人手配置台以上电脑,保证涉密电脑不上网,12上网电脑不涉密重要的业务系统(如行情交易系统)坚持不与互联网连接)、2严格按照循环过程,持续与体系作差距分析并改进PDCA IS027000)、信息安全关键是人的管理,要形成一个高效的安全组织,激发全员信息安全意3识可通过监控员工的网络行为来量化其安全意识,不同部门间定期进行信息安全水平评比)、对信息安全违规情况,通报其上级领导4)、非常重视开发安全,通过了认证5CMM3)、对机密信息,关键是要从源头进行控制,防止其流出控制范围尽量将文档放6在服务器上共享)、信息安全管理不要太扰民,关键要有实效7以上三家企业在信息安全建设过程进行了长期的探索和尝试,形成了不同安全管理风格,各有值得我公司借鉴一些经验,总结如下、领导重视,建立一个高效的安全组织和确定清晰的安全职责是关键
1、“七分管理,三分技术”,管理目标的达到必须要实施有效的技术手段来支2持,否则管理就容易成为一句空话、全面防御模式应改变,首先应保护好核心和重点资产
3、内外网隔离仍不失为从根本上解决信息安全问题的一个好方法,建议公司4考虑集团范围内建立物理隔离的研发内网的可行性、应尽快组织涉密文档分级和标识
5、要重视开发安全,推行安全编码规范和软件安全测试6特此报告!。