随着国家《网络安全法》和国内一系列法律法规的发布,金融、电力、能源等重要行业监管的加强,以及机构业务拓展越来越依托于信息系统,机构迫切需要进行能够满足业界最佳实践和符合法规要求的信息安全建设,提升机构信息安全应对和处置能力,建立完善的信息安全保障机制。但是目前国内机构普遍不了解自身面临的信息安全风险全貌,管理层不清楚信息安全建设效果,不确定投入资源和建设路径。因此,需要对信息安全管理和技术建设提出总体框架和设计规划,为科学决策提供建设性意见和依据。
第一阶段:信息安全现状与需求调研,通过访谈和技术性检查,执行严格实践标准,对信息安全现状进行差距分析,梳理信息安全管理和技术管控薄弱环节。实施风险评估,评价信息安全风险,制定风险评估整改方案。对信息安全业务需求进行调研,识别期望达到的信息安全目标。
第二阶段:制定信息安全战略与总体架构,设计与IT规划相一致的信息安全蓝图架构。信息安全战略将定义未来三至五年可执行的愿景以及原则和方向,信息安全架构制定机构管控领域和内容框架,该架构将被用于制定信息安全建设规划,从人、流程、工具等层面设计相关信息安全任务。
第三阶段:制定信息安全规划具体措施,提出未来三至五年的运行支撑建设总体规划,定义保障改进项目群,进行项目投入产出分析,定义保障能力演进路线,制定项目建设时间计划。
• 《信息安全差距分析报告》PPT
• 《信息安全风险评估报告》WORD
• 《信息安全蓝图与架构设计》PPT
• 《信息安全战略规划方案》PPT
• 结合IT发展战略,采用业界先进的信息安全规划方法论;
• 从信息系统、信息资源、基础设施、组织架构、运行维护、新技术方向等方面进行通盘的考虑和全面规划;
• 与业务和IT规划形成互为驱动的良性循环。
• 建立和完善信息安全战略和架构,构建指导未来信息安全建设蓝图。
• 提升信息安全保障水平和管控能力,符合国际国内信息安全标准和规范要求,支撑和保障信息系统和业务安全稳定运行。