唐凱-集團多業態安全能力建設實踐（13頁）.pdf

1、集團化多業態安全能力建設實踐唐凱 金融街集團集團是個大家庭，各業務板塊各顯神通多業態頂層安全運營主要難點四多一遠1 12 23 34 45 5多維度監管要求多維度監管要求多維度業務需求多維度業務需求多發展階段多發展階段多類型多類型ITIT架構架構遠業務距離遠業務距離企業信息安全與企業管理架構的關系運營型管控戰略型管控財務型管控以安全建議和安全監督為主，幾乎不參與日常安全運營。較少管控參與公司信息安全戰略、重大型信息化項目等重要事項的信息安全決策，部分參與公司信息安全日常運營。重點管控全面參與公司涉及信息安全所有事項的日常管理。全面管控 新上線業務 傳統業務 新興業務或新興方向 自身實力有限高粘

2、性需求高粘性需求 自身實力較強 科技驅動型業務 監管有獨立性要求低粘性需求低粘性需求總部和下屬機構的需求變化集團化多業態安全能力核心目標公司總部信息安全技術能力應以滿足各業態對信息安全的需求為基本目標。技術能力公司總部信息安全管理能力應與公司管理模式相匹配，并為各業態提供可參考借鑒的管理模板.管理能力頂層資源是否能滿足為公司各業態服務的需求.資源配給資源配給1、現代企業總部對IT的要求以提供共享服務為主要目標。2、信息安全能力應該匹配總部管理職能。3、信息安全能力具有全公司各業態輸出的能力。能力戰略把控能力戰略把控能力 設計規化與集團業務戰略、信息化戰略相匹配的信息安全戰略；可向所屬公司輸出信

3、息安全戰略；把握全集團信息安全發展方向。安全監管能力安全監管能力 對下屬公司重點信息安全領域全面監管；對于重要安全風險的全面管控和監督；開展信息系統內部審計；傳導并落實上級監管要求。安全技術能力 搭建總部信息安全基礎架構，并可將其信息安全技術手段以服務方式輸出；為子公司提供可用的信息安全防護技術、信息安全技術建議、信息安全管理建議、信息系統應急服務等。協調組織能力 維護與總部各部門、各級公司相關部門溝通、合作關系.組織全集團共同開展安全應急演練、信息系統業務連續性演練；建立全集團信息安全統一協同機制。宣傳能力 建立全系統信息安全宣傳體系，覆蓋長期要求和短期目標；能根據信息安全法律法規、監管政策

4、變化，制定不同的宣傳方案。集團化多業態安全管理五大能力KeywordManagermentServiceKeyword監管是信息安全工作的底線l 信息安全監督需多部門聯信息安全監管需應公司制宜l 持續關注信息安全監管意見整改監督監督將服務作為日常重要工作l 安全技能標準化l 安全技能服務化l 安全技能輸出化服務服務將管理放在工作的首要位置l 建立信息安全管理標準（管理體系、制度）l 實現跨級別的信息安全管理提供信息安全培訓、宣傳等管理服務內容管理管理對于總部級別信息安全管理而言，核心要素是強對于總部級別信息安全管理而言，核心要素是強化總部信息安全職能中的管理、服務、監督職能?；偛啃畔踩毮?/p>

5、中的管理、服務、監督職能。l 建立信息安全管理框架要求建立信息安全管理框架要求l 建立統一的信息安全基礎服務建立統一的信息安全基礎服務l 建立定時和臨時結合的信息安全監督管理建立定時和臨時結合的信息安全監督管理建立頂層信息安全平臺的核心要素通過采取技術手段來對IT資產進行防護是這個階段的主要特征建立體系化的信息安全防御體系和注重信息安全管理策略和流程是這個階段的主要特征基于業務價值和IT生命周期，全面考慮IT規劃、建設、運維過程的風險管理和價值管理是這個階段的主要特征IT風險管理同企業風險管理（ERM）的全面融合以及智能化的IT風險管理體系是這個階段的主要特征技術導向的技術導向的風險管理風險管

6、理全面信息安全全面信息安全管理管理ITIT風險管理風險管理ITIT風險管理的風險管理的融合和智能化融合和智能化時間時間遠期遠期近期近期業業務務價價值值低低高高信息技術風險管理的發展和演變規律，從信息安全管理到信息技術風險管理，逐步從技術導向的風險管理到信息技術風險管理向融合化和智能化演進。重點工作信息安全規劃重點工作管理架構的建設集團本部、二級公司總部能力要求戰略管理分公司、子公司能力要求應急處理高高低安全管理聯絡協調風險管理集團本部定位集團本部定位l 信息安全戰略制定中心l 信息安全管理中心l 信息安全應急協調中心l 信息安全聯絡中心二級公司定位二級公司定位l 信息安全策略實施中心l 信息安全應急響應中心重點工作打造標準安全服務平臺（安全工具、安全技術）重點工作數據安全集團數據池公司A數據池公司B數據池公司C數據池公司D數據池審批監管審計監管數據分析數據加工數據歸集數據交換數據交換處理池集團監管審批監管審計監管