安踏安全建設探索之路（23頁）.pdf

1、數據安全管理署名：陳東海職稱：安踏集團信息管理中心總監安踏信息安全管理體系實踐 安全需求及解決方案 安全管理體系建設歷程 安全管控藍圖規劃 成果展示目 錄content一、安全需求及解決方案小故事，大啟發倒賣設計圖紙100萬的保險箱需要3個悍匪公司損失:100萬客戶信息的電腦只要1個商業間諜1個U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。安全建設勢在必行構建信息安全體系，保障業務持續發展內部外部驅動安踏加大保護核心信息資產與隨著安踏市場競爭力的提升，居于國內領先地位的研發產品越來越多，信息資產的價值也越來越大資產威脅漏洞云平臺、電子商務、移動化等信息化技術在提升業務效率的同時，引入了

2、了更多的安全風險凱覦安踏核心信息資產的不法分子及競爭對手越來越多了安踏如何應對？安全管理模型資產分級設置信息安全組織架構公司任命，自上而下推進組織安踏安踏ISMS體系體系信息安全風險管理策略信息安全風險管理策略信息資產管理策略信息資產管理策略網絡安全策略網絡安全策略用戶終端安全策略用戶終端安全策略數據安全管理策略數據安全管理策略員工安全策略員工安全策略物理及環境安全策略物理及環境安全策略運行維護策略運行維護策略安全事件監控及處置策略安全事件監控及處置策略用戶訪問控制策略用戶訪問控制策略系統開發及維護策略系統開發及維護策略業務連續性管理策略業務連續性管理策略第三方安全管理策略第三方安全管理策略信

3、息安全變更管理策略信息安全變更管理策略信息安全方針信息安全方針互聯網訪問標準互聯網訪問標準服務器安全配置標準服務器安全配置標準網絡設備安全配置標準網絡設備安全配置標準應用系統使用安全標準應用系統使用安全標準桌面終端安全配置標準桌面終端安全配置標準身份、口令和權限管理標準身份、口令和權限管理標準無線網絡安全標準無線網絡安全標準網絡訪問控制標準網絡訪問控制標準信息安全風險評估流程信息安全風險評估流程信息安全配置變更流程信息安全配置變更流程權限申請權限申請/變更變更/撤銷流程撤銷流程身份賬戶申請身份賬戶申請/變更變更/撤銷流程撤銷流程系統上線審批流程系統上線審批流程信息資產統計表信息資產統計表弱點評

4、估申請單弱點評估申請單權限申請權限申請/變更變更/撤銷表撤銷表身份賬戶申請身份賬戶申請/變更變更/撤銷表撤銷表第三方訪問申請單第三方訪問申請單服務器及網絡配置記錄服務器及網絡配置記錄用戶口令申請和恢復表用戶口令申請和恢復表信息安全事件處理記錄表信息安全事件處理記錄表機房出入登記表機房出入登記表備份恢復申請表備份恢復申請表備份恢復測試申請表備份恢復測試申請表操作評審流程操作評審流程信息安全策略制定及發布流程信息安全策略制定及發布流程管理評審流程管理評審流程信息安全組織管理信息安全組織管理信息安全運作管理信息安全運作管理信息安全風險管理信息安全風險管理信息安全技術管理信息安全技術管理信息安全組織與

5、人員職責信息安全組織與人員職責信息安全體系管理信息安全體系管理信息安全標準信息安全標準策略策略方針方針流程流程標準標準表單表單圖例說明：圖例說明：識別核心信息資產合理的安全管控流程流程信息資產管控技術方案內、外技術防御體系技術安全建設安全運營從組織架構，流程體系和技術平臺三個方面建立起安踏的信息安全體系，保護公司的信息資產，避免經濟損失。二、安全體系建設歷程2008200911月份安踏通過了ISO27001信息安全國際認證2月啟動信息安全建設項目，開始從組織架構，流程體系和技術平臺三個方面，建設安踏信息安全體系5月正式成立信息安全管理委員會，并正式啟動信息安全管理體系的推廣工作將信息安全管理體

6、系推廣、落地到分公司、物流倉，同時通過ISO27001認證5月啟動IT規劃項目，對安踏信息安全現狀進行評估，設計了信息安全建設的藍圖和實施計劃根據公司現狀，細化和優化信息安全管理體系的內容參照ISO27001 2013版內容，升級安全管理體系11-122009201020092013安踏08年啟動IT藍圖規劃，從組織架構、流程體系、技術平臺三個方面，逐步建立并完善了公司的信息安全能力；2009年11月份營運中心通過了ISO27001國際認證，成為鞋服行業第一家獲取到該證書。2010年11月安踏體育用品有限公司全部通過認證。三、安全管控藍圖規劃安全戰略安全管理運維安全身份和訪問管理基礎設施應用和

7、架構基于安踏安全規劃目標及原則，結合安全能力現狀，從安全架構的六個方面詳細定義了各領域的功能組件，制定了以下完整的信息安全藍圖框架：安全戰略 應用及架構安全 基礎設施安全 身份與訪問管理、運維安全及安全管理安全管控的藍圖規劃11 信息安全藍圖框架詳細功能組件安全管控的藍圖規劃四、安全成果展示本方針是安全管理體系的總則，其目的是建立戰略性的安全指導方針，為公司的信息安全提供管理方向與支持信息安全規定涉及到個人計算機，風險評估，第三方外包，網絡訪問，業務連續性，介質處理，防病毒，信息安全評審，工作環境，安全事件，系統用戶管理等領域。針對具體規定有相應的操作流程和表單，為了實現具體的安全標準，還有相

8、應的標準文檔為了保障以上的規定的順利執行，制定了相應的支持和保障性的規定，例如安全評審信息安全方針信息安全規定體系運行保障規定流程和表單、相關標準健全的安全管理體系信息安全意識的提高是企業信息安全建設成功的關鍵。每年線上信息安全意識培訓試題人員的安全意識提升風險評估流程信息安全管理層信息安全執行層信息安全決策層信息安全監督層30 編制風險評估方案方案是否通過審批開始10 編制年度評估計劃50 風險評估啟動大會120 審批風險評估結果60 評估準備是否110 制定風險處置計劃70 管理評估40 審批風險評估方案80 技術評估90 數據評估100 風險分析殘余風險是否接受140 實施跟蹤風險處置措

9、施否是130 風險評估總結大會結束150 定期回顧實施效果并監控殘余風險20 事件觸發評估籌備評估實施評估審批報告發布 評估籌備：編制年度評估計劃、事件觸發、編制風險評估方案、審批風險評估方案、風險評估啟動大會、評估準備 評估實施：管理評估、技術評估、數據評估、風險分析、制定風險處置計劃 評估審批：審批風險評估結果 報告發布：風險評估總結大會、實施跟蹤風險處置措施、定期回顧實施效果并監控殘余風險建立體系流程風險評估流程全面了解信息資產面臨的風險，并采取恰當措施予以處理，從而降低風險對公司造成的損失。評審跟蹤改進報告評審跟蹤改進報告改進計劃改進計劃信息安全評審檢查表信息安全評審檢查表不符合項報告

10、不符合項報告建立有效的信息安全評審機制，以公司安全管理體系的規定為準則，開展對信息安全工作的監督與評審，定期對信息安全管理體系健全性和符合性進行評審改進。建立體系流程安全評審流程業務影響分析結果業務影響分析結果RTO&RPO應急預案應急預案演練報告演練報告備份策略清單備份策略清單建立業務連續性的管理，減小重大故障和災難對公司關鍵業務的影響，特規定業務連續性管理的要求，包括風險評估、業務影響分析、制定計劃、測試計劃、更新計劃等內容。建立體系流程業務連續性導出并整理現有系統的用戶及權限業務部門培訓，原始資料的提供和收集，需由業務部門負責人審核確認崗位職責調研系統權限導出核對兩者差異，將差異部分整理

11、成表，并與業務部門接口人溝通討論確認比對差異根據最終確認結果調整系統權限，并跟進后續問題調整系統權限推廣至其他業務部門，并保持定期核查權限機制推廣及維護根據CIA，評估出系統優先順序持續改進建立體系流程權限管理信息安全防護我們通過與戰略合作伙伴深信服合作，構建于應用系統之下的基礎設施層面的安全防護，包括物理安全、網絡安全及主機層面的安全防護，例如深信服NGAF實現ACL,IPS,WAF等功能，AC實現上網行為的控制及監督，WOC/SSLVPN實現全國組網等等。主機安全應用（數據）網絡安全物理安全逐層遞進，縱深防御對于應用系統本身的防護和對于應用間數據接口，遠程終端數據訪問的安全防護。應用安全防

12、護采用邊界防護手段，實現網絡中的連接設備及安全防護引入的設備、網絡基礎設施的安全防護。網絡安全防護在主機層面采用信息保障技術，確保業務數據在服務器與桌面主機時保持可用性、完整性和保密性。主機安全防護指信息資產所處的物理環境的安全，物理安全保證計算機、網絡設備、UPS等硬件自身的安全性。物理安全防護建立體系流程技術平臺1、可視是安全的基礎，通過深信服NGAF進行持續監測，了解整個網絡當前的風險狀況，以及風險狀態走勢2、快速響應，找出風險狀況較嚴重的業務系統，以及危害較大的攻擊和漏洞3、簡單易用，可以幫忙用戶快速定位，清晰了解攻擊來源、危害等信息，提供相對應的解決方案建立體系流程技術平臺案例分享進不來拿不走改不了跑不了看不懂安全工作的目的