信息安全管理體系建設實踐——王俊豪（21頁）.pdf

《信息安全管理體系建設實踐——王俊豪（21頁）.pdf》由會員分享，可在線閱讀，更多相關《信息安全管理體系建設實踐——王俊豪（21頁）.pdf（21頁珍藏版）》請在三個皮匠報告上搜索。

1、信息安全管理體系建設實踐信息安全管理體系建設實踐中中通通快遞快遞安全安全合規負責人合規負責人-王俊豪王俊豪目目 錄錄 /CONTENTS/CONTENTSPARTPART 01PARTPART 02PARTPART 03中通快遞簡介中通快遞簡介體系建設歷程體系建設歷程管理體系架構管理體系架構中通快遞股份有限公司創建于2002年5月8號，是一家以快遞為主，以國際、快運、云倉、商業、冷鏈、金融、智能、星聯、傳媒為輔的綜合物流服務品牌。2020年9月29日，中通快遞正式在港交所掛牌發行，成功二次上市，首日市值超2000億港元。2020年，中通完成業務量170億件，增量超2016年全年業務量，市場份額

2、達到20.4%，服務質量表現優異。中通科技是中通快遞旗下的互聯網物流科技平臺，擁有一支千余人規模的研發團隊，秉承“互聯網+物流”的理念，與公司戰略、業務緊密銜接，為中通生態圈業務打造全場景、全鏈路的數字化工具，為用戶提供卓越的科技產品和優質的服務體驗。中通人50萬+網絡合作伙伴5600+服務網點30300城市和區縣覆蓋率99%鄉鎮覆蓋率93%中通集團簡介中通集團簡介3600+3600+干線線路干線線路9696分撥中心分撥中心1050010500干線車輛干線車輛99%+99%+城市和區縣覆蓋率城市和區縣覆蓋率核心網絡核心網絡核心網絡及研發能力核心網絡及研發能力870+870+軟著軟著&專利專利1

3、000+1000+研發團隊研發團隊+研發投入研發投入研發能力研發能力監管背景監管背景n中華人民共和國網絡安全法中華人民共和國網絡安全法n中華人民共和國數據安全法中華人民共和國數據安全法n中華人民共和國個人信息保護法中華人民共和國個人信息保護法n塞班斯塞班斯-奧克里斯法案奧克里斯法案n香港企業管制常規守則香港企業管制常規守則n關鍵信息基礎設施安全保護條例關鍵信息基礎設施安全保護條例安全挑戰安全挑戰業務變更頻繁01頻繁變動的人員、設備和組織敏感數據量大03安全意識薄弱04組織分布廣泛02數億用戶個人敏感信息 服務網點全球分布 3W+員工成分復雜、來自五湖四海 目目 錄錄 /CONTENTS/CON

4、TENTSPARTPART 01PARTPART 02PARTPART 03中通快遞簡介中通快遞簡介體系建設歷程體系建設歷程管理體系架構管理體系架構建設依據建設依據GB/T 22080:2016GB/T 22080:2016（等同于（等同于ISO27001ISO27001：20132013）ISO/IEC 27701:2019ISO/IEC 27701:2019網絡安全法網絡安全法GB/T 22239-2019GB/T 22239-2019標準融合標準融合ISO27001ISO27001&等級保護等級保護標準融合工作內容標準融合工作內容n組織職能融合組織職能融合組織架構、角色職責組織架構、角色

5、職責n建設過程融合建設過程融合風險評估、安全需求分析風險評估、安全需求分析n人員培訓融合人員培訓融合培訓內容、效果評估培訓內容、效果評估n標準內容融合標準內容融合控制點對照、差異分析控制點對照、差異分析n文件編寫融合文件編寫融合文件體系框架、編寫要求文件體系框架、編寫要求n檢查整改融合檢查整改融合安全審計、管理評審安全審計、管理評審隱私擴展隱私擴展ISO27001：2013信息安全管理體系要求ISO27002：2013信息安全控制措施 實用規則加入隱私拓展要求加入隱私拓展要求ISO27701:2019隱私信息管理要求隱私管理制度修訂隱私管理制度修訂n修訂（含新增）修訂（含新增）1515份制度文

6、件，份制度文件，1 1份份公司隱私政策，及制度文件中對應所公司隱私政策，及制度文件中對應所產生的四級文件、記錄模板產生的四級文件、記錄模板制定安全制定安全策略策略n在在ISO27001ISO27001體系上進行優化和新增，體系上進行優化和新增，使符合使符合ISO27701ISO27701第五章、第六章、附第五章、第六章、附錄錄A A、附錄、附錄B B的要求的要求風險處置計劃風險處置計劃n完成文件評審，職責明確，使制度要完成文件評審，職責明確，使制度要求能夠落地執行求能夠落地執行安全培訓體系框架安全培訓體系框架安全培訓形式合集安全培訓形式合集目目 錄錄 /CONTENTS/CONTENTSPAR

7、TPART 01PARTPART 02PARTPART 03中通快遞簡介中通快遞簡介體系建設歷程體系建設歷程管理體系架構管理體系架構體系架構體系架構信息安全管信息安全管理體系理體系組織結構組織結構隱私安全委員會、隱私安全委員會、信息安全領導小信息安全領導小組、執行小組等組、執行小組等持續改進持續改進體系文件體系文件技術保障技術保障安全培訓，安全安全培訓，安全審計、管理評審、審計、管理評審、持續改進等持續改進等管理手冊、標準管理手冊、標準制度、流程規范、制度、流程規范、表單模板等表單模板等安全代理安全代理ZFEZFE、安、安全文件存儲、安全文件存儲、安全掃描系統等全掃描系統等組織結構組織結構決策

8、層管理層執行層隱私安全委員會（隱私管理）信息安全領導小組（信息安全管理）信息安全管理小組全體員工各直營網點負責人信息安全內審小組持續改進持續改進策劃階段實現階段n確認確認SOASOA范圍范圍n制定安全策略制定安全策略n實施風險評估實施風險評估n風險處置計劃風險處置計劃檢查階段改進階段n安全意識培訓安全意識培訓n安全技術培訓安全技術培訓n安全技術整改安全技術整改n實施控制措施實施控制措施n內部管理評審內部管理評審n內部審計檢查內部審計檢查n識別可改進點識別可改進點n執行改進措施執行改進措施n實施預防糾正措施實施預防糾正措施n體系運行持續改進體系運行持續改進等級保護ISO27701ISO27001

9、SOX404其他監管要求體系文件體系文件手冊手冊制度、程序制度、程序流程規范、操作指南流程規范、操作指南表單記錄、工作日志、文檔模板表單記錄、工作日志、文檔模板ISMSISMS手冊手冊、隱私管理體系運行管理手冊隱私管理體系運行管理手冊數據安全管理制度數據安全管理制度、隱私影響評估控制程序隱私影響評估控制程序備份與恢復規范備份與恢復規范、安全補丁管理指南安全補丁管理指南變更申請單變更申請單、隱私風險評估表隱私風險評估表技術保障技術保障安全基礎架構安全基礎架構n安全代理安全代理ZFEZFE流量調度、域名隱身、WAFn統一身份認證統一身份認證IAMIAM提效、集成、審計、共享n安全文件存儲安全文件存儲文件加密、水印、訪問控制n安全協作平臺安全協作平臺業務、協作、框架、安全安全運營平臺安全運營平臺n安全漏洞管理平臺安全漏洞管理平臺安全漏洞全生命周期管理n安全掃描系統安全掃描系統支持多場景多語言、橫向擴展n越權漏洞自動化檢測越權漏洞自動化檢測提效、半自動化的越權檢測n分布式被動安全掃描分布式被動安全掃描常見WEB漏洞覆蓋率100%安全數據治理安全數據治理n數據安全分發平臺數據安全分發平臺多維度風險管控n數據加解密數據加解密數據傳輸和存儲加密支持國密算法THANKS