1報告目錄信息安全建設需求分析信息安全建設藍圖規劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現況問題信息安全發展趨勢輸入開展信息安全建設方案輸入附件信息安全建設方案內容說明信息安全需求細部說明信息安全建設工作任務績效指標其他補充信息安全建設需求分析2信息安全建設需求分析信息安全建設藍圖規劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現況問題信息安全發展趨勢輸入開展信息安全建設方案輸入華潤集團信息安全現況調研基準：

ISO27001:2013信息安全管理國際標準3供應商關系Ch1.適用范圍(Scope)CH4.組織環境(ContextofOrganization)Ch2.規范性引用標準(Normativereferences)

Ch3.術語與定義(Termsanddefinitions)Ch5.領導力(Leadership)

Ch6.規劃(Planning)Ch7.支持(Support)Ch8.

運行(Operation)控制域與控制措施信息安全方針信息安全組織人力資源安全資產管理訪問控制加密物理與環境安全操作安全通信安全系統獲取、開發與維護A.5A.6A.7A.8A.9A.11A.12A.13A.14A.15Ch9.績效評估(Performanceevaluation)Ch10.

改進(Improvement)A.10信息安全事件管理A.16業務連續性管理A.17合規性A.18`信息安全方針信息安全組織人力資源安全資產管理訪問控制加密物理與環境安全合規性業務連續性管理的信息安全層面信息安全事件管理供應商關系系統獲取、開發及維護通信安全操作安全信息安全管理制度ISO

27001:2013是目前國際上公認的信息安全管理標準，它指引公司對于信息安全的議題，應該關注14個信息安全管理域，對于信息安全的管理才完整信息安全的范疇：

對應ISO27001:2013的14個信息安全管理域4人員/單位第三方服務廠商人員聘雇解雇績效管理人力資源調研顧客信息市場區隔營銷知識產權外包服務轉包第三方會計預算企業資源計劃財務合約

訴訟法務信息管理流程信息消費勘察客戶關系管理銷售商品研發運營戰略研發客戶信息個人身份信息客服運營流程財務系統客戶關系管理系統…電銷系統POS系統人力資源系統應用系統數據庫數據倉庫文件服務器……數據存儲網絡基礎架構網絡辦公大樓(風火水電)物理環境人員安全業務數據安全信息系統安全物理環境安全供應商關系信息安全組織人力資源安全資產管理訪問控制加密物理與環境安全操作安全信息安全方針系統獲取開發與維護合規性信息安全事件管理業務連續性管理通信安全華潤集團在ISO27001:2013的14個信息安全管理域

的管理成熟度現況5初始級可重復級已定義級已管理級

可優化級

*目前14個信息安全管理域中，共有10個域在初始級或是可重復級業務數據安全人員安全信息系統安全物理環境安全供應商關系信息安全組織人力資源安全物理與環境安全資產管理(終端)訪問控制加密操作安全通信安全(網絡)系統獲取、開發與維護信息安全事件管理信息安全方針業務連續性管理合規性項目團隊透過調研活動所反饋到的信息安全主要發現事項

-依信息安全管理域分類6業務數據安全人員安全信息系統安全物理環境安全供應商關系信息安全組織人力資源安全物理與環境安全資產管理(終端)訪問控制加密操作安全通信安全(網絡)系統獲取、開發與維護信息安全事件管理信息安全方針業務連續性管理合規性[集團]2個[SBU]3個[集團]1個[SBU]2個[集團]5個[SBU]3個[集團]5個[SBU]9個[SBU]13個[SBU]2個[SBU]3個[集團]3個[SBU]2個[集團]2個[SBU]10個[集團]6個[SBU]26個*本次調研匯整共97個主要發現事項，是指未符合ISO27001:2013的相關要求依據現況調研結果及分析，歸納出華潤集團的

七個主要信息安全管理問題

7Q7目前對于終端設備的管控薄弱，終端設備可能成為集團數據丟失的渠道或外部入侵的跳板資產管理(終端)Q6部分利潤中心在網絡層面的安全防御程度不足，在面對或外部網絡攻擊時可能影響到集團層次通信安全Q5信息系統及數據在開發與運維階段，尚有許多安全控制需要強化及落實，才能保證系統安全運作系統獲取、開發與維護Q4信息系統缺乏審計紀錄，人員不易快速排除異常，且發生重要系統中斷服務時的復原能力需強化信息安全事件管理業務連續性管理Q3系統賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統面臨不當取存的風險訪問控制Q1集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分人力資源安全信息安全組織Q2以等保為核心的合規壓力加重，加上信息安全管理標準不清，造成部分安全工作執行未到位合規性信息安全方針Q3訪問控制Q4事件應變/災備Q6網絡管控Q7終端管控Q5應用系統安全根本原因歸納：由于安全權責不清，加上信息安全標準落實不彰，進而衍生出其他執行層面的問題(Q3~Q7)8Q2標準/合規Q1組織權責德勤建議先厘清信息安全權責邊界，并且建立完整的信息安全標準內容，再透過設定實施改善計劃，逐一改善執行面的其他問題組織面管理面技術面信息安全建設藍圖規劃9信息安全建設需求分析信息安全建設藍圖規劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現況問題信息安全發展趨勢輸入開展信息安全建設方案輸入信息安全建設目標梳理10信息安全建設目標信息安全管理現況問題管理目標：規范信息安全管理，合理控制信息安全風險，支持信息化戰略目標的實現Q7.終端管控Q1.組織權責Q2.標準/合規Q3.人員管控Q5.應用系統安全Q6.網絡管控Q4.事件應變/災備信息安全建設目標：降低信息安全現況問題所帶來的安全風險及對業務運營的影響，并可持續改善及落實控制的有效性信息安全建設藍圖規劃11信息安全建設需求分析信息安全現況問題信息安全發展趨勢信息安全建設需求匯整信息安全建設藍圖規劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現況問題信息安全發展趨勢輸入開展信息安全建設方案輸入12345671234567P1.組織權責整改方案12對于信息安全需求的細部說明，請參考附件2

項次信息安全現況問題對應建設方案安全需求對應工作任務主要工作內容Q1集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分P1.組織權責整改方案梳理集團與利潤中心信息安全責任邊界O1.信息安全職責分工設計信息安全管控模式界定集團與利潤中心安全責任梳理信息系統生命周期中建設、運維、用戶及安全人員的角色責任O1.信息安全職責分工定義信息系統生命周期信息安全工作角色權責：按“集團信息安全標準”中的人員職責分工，劃清工作邊界設置信息安全組織O2.信息安全管理組織設置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員配備信息安全專職人員O3.信息安全管理員定期更新信息安全體系運維任務欄表定義信息安全管理員工作職能設置信息安全管理員梳理集團與利潤中心信息安全責任邊界O1.信息安全職責分工設計信息安全管控模式界定集團與利潤中心安全責任1234567P1.組織權責整改方案–信息安全責任邊界(管理層)13信息安全執行組信息安全決策委員會利潤中心集團信息安全管理委員會信息安全專職人員基礎設施管理員應用管理員終端管理團隊管理層執行層管理層：1、確定和細化通用性安全標準2、為管理范圍的安全建設配備資源3、對利潤中心進行信息安全績效考核（考核標準，依每年安全建設任務確定）管理層：1、確定和細化行業特定安全標準2、為管理范圍內的安全建設配備資源3、可對下屬企業進行信息安全績效考核集團規劃通用性安全標準，并考核利潤中心實施狀況利潤中心建立特定安全標準，并考核下屬企業實施狀況集團（信息部）：充當裁判員，制定集團通用性安全標準利潤中心管理層：充當裁判員，制定個性化安全標準(如銀行、電力、燃氣等)1234567P1.組織權責整改方案–信息安全責任邊界（執行層）14數據中心場地核心網操作系統中間件應用存儲數據庫利潤中心個性系統辦公場地/服務器機房接入網傳統終端終端互聯網智能終端人員供應商和外部人員服務器機房核心網操作系統中間件應用存儲數據庫集團共性與個性系統辦公場地/服務器機房接入網傳統終端終端互聯網智能終端人員供應商和外部人員利潤中心集團個性系統部分移交集團統一運維目前管理邊界個性化安全標準：各單位充當運動員：落實解決方案信息系統與基礎設施：配合網絡集中，廣域網絡統一出口，廣域網絡由集團集中管理。放入新一代數據中心的應用系統技術類建設模式，集團以工作協同的方式，依服務目錄提供服務與參考方案。各單位按性價比決定采用哪種方案利潤中心仍需負責未放入新一代數據中心的應用系統相關信息環境、局域網及終端的技術類建設工作。通用性安全標準：集團（潤聯）充當運動員：落實解決方案信息系統與基礎設施：集團作為服務方，以服務目錄的方向，向各單位提供集團的統一方案各單位需要協同集團的方案對于托管在集團的個性系統，個性化要求如在服務目錄中，可以由集團落實集團可充當教練員，以服務目錄的方式，向各單位提供集團的統一方案1234567架構師P1.組織權責整改方案–信息安全責任邊界

（執行層按項目生命周期）15項目生命周期設計階段立項階段定義階段實現階段交付階段運維階段廢棄階段項目組應用系統管理員安全專職人員主責人員應用、中間件、數據庫、操作系統、網絡的安全檢查應用安全運維應用系統廢棄數據庫安全設計中間件安全設計操作系統安全設計網絡安全設計應用系統安全需求分析應用系統安全方案設計應用系統開發測試安全/商業軟件選型應用安全部署應用系統安全方案設計1234567深化、細化現有管理規范滿足新技術發展的需求P1.組織權責整改方案–各單位建立信息安全管理組織持續推動16信息安全決策委員會信息安全執行組信息安全組織信息安全管理委員會信息安全專職人員各系統的信息安全管理員各部室信息安全聯絡員人數由各單位根據本行業的業務特點、業務規模、信息系統的數量和復雜度等因素確定。由各系統管理員兼任。由部室領導指定核心骨干人員擔任。信息安全組織：要求集團和各單位建立信息安全組織管理框架，以啟動和控制組織范圍內的信息安全實施和運行。1234567P2.標準/合規整改方案17對于信息安全需求的細部說明，請參考附件2

項次信息安全現況問題對應建設方案安全需求對應工作任務主要工作內容Q2以等保為核心的合規壓力加重，加上信息安全管理標準不清，造成部分安全工作執行未到位P2.標準/合規整改方案實施信息安全規范培訓與意識宣貫M3.培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫建立通用性的信息安全標準與基線M1.信息安全標準建立信息安全管理辦法：進行通用性的信息安全標準制定定期審閱與更新信息安全管理辦法實施信息系統等級保護M2.信息系統等級保護實施信息系統安全等級保護定級實施信息系統安全等級保護備案實施信息系統安全等級保護安全建設整改實施信息安全規范培訓與意識宣貫M3.培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫1234567P2.標準與合規整改方案-建立通用性的信息安全標準與基線18華潤（集團）有限公司信息安全管理辦法華潤（集團）有限公司信息安全標準信息系統安全管控要求信息資產管理人力資源安全供應商和外部人員管理信息安全事件管理合規性管理業務連續性管理數據存儲備份應用系統安全要求數據庫安全要求中間件安全要求操作系統安全要求網絡安全要求物理安全要求終端安全要求附錄：IT設備安全基線要求操作系統安全基線要求Web中間件安全基線要求數據庫系統安全基線要求網絡設備安全基線要求信息系統安全組織與職責信息安全組織對外合作與溝通信息安全角色與職責：信息系統：人員管理：終端1234567P2.標準與合規整改方案-實施信息系統等級保護191234567系統識別與描述等級確定定級保護對象框架建立選擇和調整安全措施安全規劃與方案設計安全措施實施等級評估符合等級保護要求？規劃與設計運行監控與改進符合等級保護要求？是否實施、等級評估與改進否是2015年底前集團總部與利潤中心完成等保定級與備案。2016年底前集團總部與利潤中心針對等保三級以上系統需完成整改與等保測評。P3.人員管控整改方案項次信息安全現況問題對應建設方案安全需求對應工作任務主要工作內容Q3系統賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統面臨不當取存的風險P3.人員管控整改方案信息系統帳號權限審閱納入人員調離崗作業M4.人員安全管理簽署人員保密協議:職前背景調查、保密協議定期實施人員信息系統帳戶與權限復核：職前、職中、職后定期實施LDAP與個性系統帳號權限審閱T4.操作系統安全實施LDAP與個性系統帳號權限針對未經授權或異常賬號進行刪除或停用20對于信息安全需求的細部說明，請參考附件2

1234567P3.人員管控整改方案–信息系統帳號權限審閱211234567用人部門確定任用人員到崗確認帳號權限人員調崗人員離崗人力資源部門發布到崗通知發布調崗通知發布離崗通知信息管理部門接收到崗通知確認帳號權限移除帳號權限HR系統LDAP開立帳號設置帳號/權限調整人員屬性停用帳號/權限與HR系統同步與HR系統同步與HR系統同步與LDAP介接之個性系統與LDAP同步與LDAP同步與LDAP同步未與LDAP介接之個性系統開立帳號設置帳號/權限停用帳號/權限發布調崗通知確認帳號權限是否調整帳號權限審核調整帳號權限與LDAP同步調整帳號/權限帳號權限審核P4.事件應變/災備整改方案–總覽項次信息安全現況問題對應建設方案安全需求對應工作任務主要工作內容Q4信息系統缺乏審計紀錄，人員不易快速排除異常，且發生重要系統中斷服務時的復原能力需強化P4.事件應變/災備整改方案實施信息系統安全日志集中留存M6.信息安全事件管理信息系統及基礎設施安全日志異地留存至數據中心SIEM平臺實施信息系統安全日志事件分析M6.信息安全事件管理定期檢視SIEM平臺安全事件建立SIEM平臺安全監控策略建立緊急聯系清單及通報程序:包含信息安全事件報告、應急處理和原因調查建立信息資產分級與管控機制M5.信息資產管理定期實施信息資產分級管理：信息資產登記定期實施信息系統安全風險評估：進行定期信息安全檢查和加固方案制定或更新信息系統應急預案M7.業務連續性與災備定期審閱與更新信息系統災備方案定期審閱與更新信息系統應急預案建立業務連續性計畫(BCP)：包含同城災備中心建設規劃/異地災備中心建設規劃實施信息系統應急預案演練M7.業務連續性與災備定期實施信息系統應急預案22對于信息安全需求的細部說明，請參考附件2

1234567P4.事件應變/災備整改方案–信息系統安全日志集中留存與分析23遠程管理即時監控告警進階事件分析事件管理介面信息安全知識庫SIEM控制臺信息系統漏洞通報信息安全事件通報外部資源事件關聯平臺收集器事件管理系統信息資產管理系統報表系統信息安全事件響應平臺電子郵件短信告警系統SIEM管理後臺SIEM平臺數據庫信息安全設備服務器網絡設備信息系統信息安全管理員安全組HTTPS/HTTPSMSSMTP集團總部利潤中心配合新一代數據中心建成，信息系統集中於新一代數據中心代管，信息系統安全日志留存由集團統一規劃、統一建設，信息系統安全日志事件分析由集團集中處理與告警，利潤中心負責事件響應、處理與通報123456724P4.事件應變/災備整改方案–制定或更新信息系統應急預案1234567業務復原優先級業務所需資源演練情境執行回復之程序業務沖擊分析RTO復原時間目標風險評估威脅種類備份策略RPO數據回復目標業務所需最小資源資產造成損害之機率信息系統應急預案系統復原優先級系統所需之軟硬件資源系統回復之程序系統備份策略信息系統災備需考慮軟硬件可能之建置時間依應急預案回復程序執行演練P5.應用系統安全整改方案項次信息安全現況問題對應建設方案安全需求對應工作任務主要工作內容Q5信息系統及數據在開發與運維階段，尚有許多安全控制需要強化及落實，才能保證系統安全運作P5.應用系統安全整改方案建立覆蓋信息系統生命周期的信息安全標準與基線M1.信息安全標準建立共通性的信息安全標準與基線：銀行、資產、電力、醫藥等單位進行個性化信息安全標準制定定期審閱與更新信息安全管理辦法建立信息資產分級與管控機制M5.信息資產管理定期實施信息資產分級管理：信息資產登記定期檢視與調整信息資產分級定期實施系統帳號審閱T4.操作系統安全實施個性系統帳號審閱針對未經授權或異常賬號進行刪除或停用實施數據脫敏機制T3.數據庫/中間件安全評估數據脫敏實施需求強化測試環境安全管控建立測試模擬數據或數據脫敏工具定期實施信息信息系統安全檢測T2.應用系統安全定期實施信息系統安全檢測定期實施信息系統整改方案25對于信息安全需求的細部說明，請參考附件2

1234567P5.應用系統安全整改方案–信息系統生命周期的安全管理工作26信息系統生命周期設計階段實現階段定義階段立項階段廢棄階段運維階段項目組/應用管理員基礎設施管理團隊數據庫安全設計安全需求調研和定義開發測試安全商業軟件安全選型應用安全部署安全方案設計應用安全運維應用安全廢棄數據存儲備份數據庫管理員數據庫安全部署數據庫安全運維數據庫安全回收存儲備份管理員中間件管理員操作系統管理員網絡管理員場地管理員中間件安全設計中間件安全部署中間件安全運維中間件安全回收操作系統安全設計操作系統安全部署操作系統安全運維操作系統安全廢棄網絡安全設計網絡安全建設網絡安全運維網絡設備安全廢棄場地安全設計場地安全建設場地安全運維信息安全專職人員安全方案協同設計或評審上線前安全檢查定期安全檢查介質消磁安全事件發現與處理存儲備份系統配置數據存儲備份方案設計數據安全廢棄場地安全廢棄1234567P6.網絡管控整改方案項次信息安全現況問題對應建設方案安全需求對應工作任務主要工作內容Q6部分利潤中心在網絡層面的安全防御程度不足，在面對或外部網絡攻擊時可能影響到集團層次

P6.網絡管控整改方案建置外網新一代防火墻或入侵防御系統T5.網絡安全建設外網新一代防火墻或入侵防御系統布署終端防病毒軟件T6.終端安全實現終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新布署終端數據防泄漏T6.終端安全實施終端安全整改，實現終端數據防泄漏安裝全覆蓋，至少包含外設管控、硬盤加密等定期實施終端系統漏洞檢測T6.終端安全定期實施終端系統漏洞檢測定期實施終端系統補丁更新建置內網新一代防火墻T5.網絡安全評估內網網絡傳輸管道安全風險實現內網與下屬公司各網絡端口新一代防火墻全覆蓋實施生產網絡與辦公網絡區隔T5.網絡安全評估生產網絡與辦公網絡傳輸管道安全風險實現生產網絡與辦公網絡端口網關全覆蓋27對于信息安全需求的細部說明，請參考附件2

1234567P6.網絡管控整改方案–利潤中心內網新一代防火墻28利潤中心下屬公司互聯網出口集團互聯網集中出口數據中心局域網利潤中心局域網利潤中心下屬公司局域網利潤中心下屬公司仍保有獨立對外互聯網者，利潤中心需評估利潤中心與下屬公司間的網絡傳輸需求。如利潤中心與下屬公司仍需通過網絡傳輸數據或使用利潤中心系統，利潤中心需建設內網新一代防火墻。集團互聯網集中出口數據中心局域網利潤中心局域網利潤中心下屬公司互聯網出口利潤中心下屬公司局域網現況問題整改方案病毒惡意軟件APT病毒惡意軟件APT1234567P6.網絡管控整改方案–生產網絡與辦公網絡區隔29集團互聯網集中出口數據中心局域網利潤中心局域網如利潤中心自行運維的個性系統為面向客戶提供服務、行業監管要求需區隔生產網絡與辦公網絡及與生產制造相關系統者，利潤中心需評估辦公網絡與生產網絡間的網絡傳輸需求，并實施生產網絡與辦公網絡區隔。生產網絡與辦公網絡區隔需采用防火墻劃分，生產網絡與辦公網絡間的訪問控制需依梳理結果設置於防火墻。集團互聯網集中出口數據中心局域網利潤中心局域網辦公網絡現況問題整改方案病毒惡意軟件APT辦公設備生產系統擴散生產網絡病毒惡意軟件APT1234567集團互聯網集中出口數據中心局域網利潤中心局域網利潤中心下屬公司互聯網出口利潤中心下屬公司局域網P6.網絡管控整改方案–終端防病毒軟件30現況問題整改方案病毒惡意軟件APT集團互聯網集中出口數據中心局域網利潤中心局域網利潤中心下屬公司互聯網出口利潤中心下屬公司局域網病毒惡意軟件APT

區域功能需求集中管控功能單機版本免費軟件利潤中心總部VXX利潤中心下屬公司VXX利潤中心下屬公司外點(門店或營銷網點)視需選用VX1234567P6.網絡管控整改方案–數據防泄漏31集團互聯網集中出口數據中心局域網利潤中心局域網利潤中心下屬公司辦公環境現況問題設備丟失U磐云盤共享集團互聯網集中出口數據中心局域網利潤中心局域網利潤中心下屬公司辦公環境整改方案硬盤加密外設管控上網管理文檔審計文檔加密1234567P7.終端管控整改方案項次信息安全現況問題對應建設方案安全需求對應工作任務主要工作內容Q7目前對于終端設備的管控薄弱，終端設備可能成為集團數據丟失的渠道或外部入侵的跳板P7.終端管控整改方案移除用戶本地權限T6.終端安全評估終端用戶使用行為要求終端用戶需加入域管控收回用戶本地最高權限強制啟用智能終端安全配置T6.終端安全實施智能終端安全解決方案設計智能終端管理準則加入用戶智能終端與生效設計終端數據備份方案T1.數據安全評估終端數據備份解決方案終端數據解決方案建置實施實施內網網絡準入T5.網絡安全建立內網網絡準入解決方案盤點內網網絡使用資源內網網絡準入管控生效建立用戶終端安全配置基線T6.終端安全定期實施終端安全檢測定期實施終端安全整改:實現終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新終端用戶權限調整（由本地管理員權限調為普通用戶權限）硬盤加密，防止終端丟失時產生數據泄露對智能終端存儲的業務數據加密存儲，在終端丟失時，可以遠程安全擦除業務數據(MDM)32對于信息安全需求的細部說明，請參考附件2

1234567P7.終端管控整改方案–移除用戶本地權限33通過用戶本地最大權限現況問題整改方案域管理配置防病毒軟件預設安全配置未授權軟件變更系統配置防止用戶端強制加入域并移除用戶本地最大權限域管理配置防病毒軟件預設安全配置未授權軟件變更系統配置用戶本地環境數據中心局域網用戶本地環境數據中心局域網禁止禁止移除安裝病毒惡意軟件APT破壞病毒惡意軟件APT

1234567P7.終端管控整改方案–智能終端強制啟用安全配置34現況問題集團互聯網出口數據中心局域網服務器智能手機平板電腦推信丟失惡意軟件窺探配合網絡集中，廣域網絡統一出口，由集團總部集中管理。配合新一代數據中心建成，信息系統集中於新一代數據中心代管，智能終端存取配置由集團總部統一規劃、統一建設。丟失惡意軟件窺探

集團互聯網出口數據中心局域網服務器智能手機平板電腦推信整改方案強制設置開碼啟用遠程數據清除不符合的設備禁止取存服務推信1234567P7.終端管控整改方案–實施內網網絡準入35現況問題整改方案集團互聯網出口數據中心局域網辦公環境網絡辦公環境未安裝防病毒軟件未加入域未安裝補丁未安裝防病毒軟件未加入域未安裝補丁集團互聯網出口數據中心局域網辦公環境網絡辦公環境

配合網絡集中，廣域網絡統一出口，由集團總部集中管理。配合新一代數據中心建成，信息系統集中於新一代數據中心代管，內網網絡準入方案由集團總部統一規劃、統一建設。在新一代數據中心建成前的過渡期間，利潤中心仍需評估更新或新增內網網絡準入方案。實施網絡準入，禁止不符合規定的設備使用集團網絡1234567P7.終端管控整改方案–終端數據備份方案36現況問題整改方案集團互聯網出口數據中心局域網辦公環境網絡辦公環境部門自行架設網盤U盤集團互聯網出口數據中心局域網辦公環境網絡辦公環境丟失毀損部門自行架設網盤U盤

終端數據備份方案丟失毀損1234567信息安全現況問題、建設方案與工作任務對應37Q1Q2Q3Q4Q5Q6Q7P7.終端管控整改方案P1.標準/合規整改方案P2.組織權責整改方案P3.人員管控整改方案P5.應用系統安全整改方案P6.網絡管控整改方案P4.事件應變/災備整改方案T6.終端安全T1.數據安全T5.網絡安全M1.信息安全標準M2.信息系統等級保護M3.培訓與宣貫O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員M4.人員安全管理T4.操作系統安全M5.信息資產管理T3.數據庫/中間件安全M6.信息安全事件管理M7.業務連續性與災備T2.應用系統安全組織管理技術問題建設方案建設方案工作任務信息安全建設方案總覽(續)38M7、業務連續性與災備管理O2、信息安全管理組織組織技術M2、信息系統等級保護M6、信息安全事件管理M3、培訓與宣貫M1、信息安全標準M5、信息資產管理O3、信息安全管理員O1、信息安全職責分工T3、數據庫/中間件安全T5、終端安全T2、應用系統安全T4、操作系統安全T1、數據安全T6、網絡安全M4、人員安全管理P7.終端管控整改方案P1.標準/合規整改方案P2.組織權責整改方案P3.人員管控整改方案P5.應用系統安全整改方案P6.網絡管控整改方案P4.事件應變/災備整改方案信息安全建設目標：降低信息安全現況問題所帶來的安全風險及對業務運營的影響，并可持續改善及落實控制的有效性信息安全建設藍圖規劃39信息安全建設需求分析信息安全現況問題信息安全發展趨勢信息安全建設需求匯整信息安全建設藍圖規劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現況問題信息安全發展趨勢輸入開展信息安全建設方案輸入梳理信息安全建設路徑規劃原則40不需要額外投入、投入較少的安全要求先實施；人員安全管理：保密協議、培訓、安全知識宣貫；終端用戶權限改為普通用戶權限，減少病毒危害（通過AD策略實現）終端補丁管理：架設補丁服務器，或通過互聯網直接升級；優先實施最基礎的、緊迫度高的安全要求先實施：發生過安全事件的：終端防病毒U盤等外設控制網絡準入網絡攻擊檢測有利于發現和避免重大安全事件的：開啟系統審計日志（個別系統日志審計未開啟或日志保存時間過短）安全檢查和整改評估計算原則：類別人力需求預算需求復雜度迫切性比重10%30%20%40%說明人力投入需求分為三級。<1分最高>預算投入需求分為三級。<1分最高>方案執行復雜度分為三級。<1分最高>方案實施迫切性分為三級。<3分最高>梳理信息安全建設路徑規劃原則(續)41數據應用系統數據庫/中間件操作系統接入網絡場地基礎設施終端互聯網個性系統辦公環境核心網絡數據應用系統數據庫/中間件操作系統接入網絡場地基礎設施終端核心網絡互聯網個性協同辦公環境數據應用系統數據庫/中間件操作系統接入網絡場地基礎設施終端核心網絡互聯網共性系統辦公環境場地基礎設施場地基礎設施場地基礎設施利潤中心機房數據中心機房數據中心機房信息系統類型終端地點應用系統與基礎設施信息系統地點終端互聯網應用系統數據庫/中間件操作系統核心網絡場地基礎設施互聯網大運維服務機房信息安全建設方案優先序分析人力需求10%<1分最高>預算需求30%<1分最高>復雜度20%<1分最高>迫切性40%<3分最高>總分優先序P1.組織權責整改方案33132.61P2.標準/合規整改方案23132.52P3.人員管控整改方案13222.25P4.事件應變/災備整改方案32322.34P5.應用系統整改方案21221.77P6.網絡管控整改方案32222.16P7.終端管控整改方案32232.5342確立信息安全演進路線43第三方單位人員實施層面：繼續推廣，擴大推廣范圍，各單位將種子單位的經驗在本單位內推廣，推廣的下屬企業數量達80%以上效果要求：推廣單位的信息安全成熟度達到3級水平建設規劃階段（14年底）體系試點階段（2015-2016）體系推廣階段（2017-2020）管理邊界：確定集團與利潤中心信息安全管理邊界標準與規劃：設計通用性信息安全標準,制定信息安全建設規劃,并完成對各單位信息管理部門的宣貫組織建設：各單位建議安全組織、配備信息安全專職人員標準：個別單位依監管要求，制定個性化安全標準實施層面：落實“基礎級”的安全要求，解決最緊迫度高的安全問題，特別是發生過安全事件的如終端防病毒、U盤控制、網絡攻擊檢測，及不需要額外投入的安全要求，如保密協議，安全培訓、開啟系統審計日志、安全檢查和加固落實策略：各單位在本單位選擇1-2種子單位進行試點落實實施層面：繼續推廣落實信息安全標準與基線的安全要求；落實策略：各單位將種子單位的經驗在本單位內推廣，推廣的下屬企業數量達40%-50%；效果要求：推廣單位的信息安全成熟度達到3級水平2016年底2018年底2014年底2020年底信息安全建設藍圖規劃44信息安全建設需求分析信息安全現況問題信息安全發展趨勢信息安全建設需求匯整信息安全建設藍圖規劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現況問題信息安全發展趨勢輸入開展信息安全建設方案輸入開展信息安全建設工作藍圖年度試點階段推廣階段201520162017201820192020建設方案Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4P1.組織權責整改方案P2.標準/合規整改方案P3.人員管控整改方案P4.事件應變/災備整改方案P5.應用系統整改方案P6.網絡管控整改方案P7.終端管控整改方案建立組織各單位持續落實建立標準持續落實集團試點與布建集團試點實施與推廣集團實施各單位持續落實集團推廣與方案優化各單位按需實施制定標準細化安全標準與落實45目前針對P1與P2建設方案，己經由德勤與華潤集團項目成員共同完成設計工作，將于后面章節細部說明開展信息安全建設工作藍圖–

設計信息安全建設實施路線(集團總部)46建設方案工作任務201520162017201820192020P1.組織權責整改方案O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員P2.標準/合規整改方案M3.培訓與宣貫

M1.信息安全標準M2.信息系統等級保護P3.人員管控整改方案M4.人員安全管理

T4.操作系統安全

P4.事件應變與災備整改方案M6.信息安全事件管理M5.信息資產管理M7.業務連續性與災備P5.應用系統安全整改方案M1.信息安全標準

M5.信息資產管理T4.操作系統安全T3.數據庫/中間件安全

T2.應用系統安全

P6.網絡管控整改方案T6.網絡安全T5.終端安全

P7.終端安全整改方案T5.終端安全

T1.數據安全

T6.網絡安全

開展信息安全建設工作藍圖–

設計信息安全建設實施路線(利潤中心)47建設方案工作任務201520162017201820192020P1.組織權責整改方案O1.信息安全職責分工O2.信息安全管理組織O3.信息安全管理員P2.標準/合規整改方案M3.培訓與宣貫

M1.信息安全標準M2.信息系統等級保護P3.人員管控整改方案M4.人員安全管理

T4.操作系統安全

P4.事件應變與災備整改方案M6.信息安全事件管理M5.信息資產管理M7.業務連續性與災備P5.應用系統安全整改方案M1.信息安全標準

M5.信息資產管理T4.操作系統安全T3.數據庫/中間件安全

T2.應用系統安全

P6.網絡管控整改方案T6.網絡安全T5.終端安全

P7.終端安全整改方案T5.終端安全

T1.數據安全

T6.網絡安全

信息安全建設方案說明48信息安全建設需求分析信息安全現況問題信息安全發展趨勢信息安全建設需求匯整信息安全建設藍圖規劃信息安全建設目標梳理信息安全建設工作匯整梳理建設工作實施排序開展信息安全建設工作藍圖信息安全建設方案設計成果說明開展信息安全建設藍圖開展信息安全建設工作藍圖梳理建設工作實施排序信息安全建設工作匯整信息安全建設目標梳理信息安全建設需求分析信息安全建設需求匯整信息安全現況問題信息安全發展趨勢輸入開展信息安全建設方案輸入P1.組織權責整改方案-信息安全管理什么？49著重于業務層面的數據保密與數據質量如：數據保密數據質量….保密管理部門業務部門著重于人員職前職中職后的要求如：聘雇前背景調查保密協議離職前回收…人力資源管理部門著重于信息系統生命周期安全管控如：場地基礎設施安全IT基礎設施安全應用系統安全…信息管理部門著重于物理環境安全之管控如：物理門禁管控外部人員訪問…..物理環境管理部門管理范疇負責單位集團信息安全內容業務數據安全人力資源安全信息系統安全物理環境安全透過四個領域：業務數據安全、人力資源安全、信息系統安全、物理環境安全的強化，確保信息安全管理目標實現，并降低潛在風險立項定義設計實現運維廢棄用戶供應商建設方運維方P1.組織權責整改方案–信息系統安全的管理對象50數據應用系統數據庫/中間件操作系統網絡場地基礎設施智能終端筆記本臺式機P1.組織權責整改方案-信息安全體系框架51ISO27001:2013信息安全管理國際標準最佳實務華潤集團信息治理框架人員安全管理數據安全管理應用系統安全管理數據庫/中間件安全管理操作系統安全管理終端安全管理場地基礎設施安全管理網絡安全管理行業監管信息安全合規遵循信息安全績效評價與評審信息安全組織/管控模式信息安全事件管理信息系統的業務連續性管理供應商安全管理信息安全管理標準/基線信息安全管理框架人員安全管理數據安全管理應用系統安全管理數據庫/中間件安全管理操作系統安全管理終端安全管理場地基礎設施安全管理網絡安全管理行業監管信息安全合規遵循信息安全績效評價與評審信息安全組織/管控模式信息安全事件管理信息系統的業務連續性管理供應商安全管理信息安全管理標準/基線P1.組織權責整改方案-管理層工作邊界52信息安全執行組信息安全決策委員會利潤中心集團信息安全管理委員會信息安全專職人員基礎設施管理員應用管理員終端管理團隊管理層執行層管理層：1、確定和細化通用性安全標準2、為管理范圍的安全建設配備資源3、對利潤中心進行信息安全績效考核（考核標準，依每年安全建設任務確定）管理層：1、確定和細化行業特定安全標準2、為管理范圍內的安全建設配備資源3、可對下屬企業進行信息安全績效考核集團規劃通用性安全標準，并考核利潤中心實施狀況利潤中心建立特定安全標準，并考核下屬企業實施狀況集團（信息部）：充當裁判員，制定集團通用性安全要求利潤中心管理層：充當裁判員，制定個性化標準(如銀行、電力、燃氣等)P1.組織權責整改方案

-執行層工作邊界（集團執行層）53數據中心場地核心網操作系統中間件應用存儲數據庫L3、L4類系統辦公場地/服務器機房接入網傳統終端終端互聯網智能終端人員供應商和外部人員服務器機房核心網操作系統中間件應用存儲數據庫L1、L2類系統辦公場地/服務器機房接入網傳統終端終端互聯網智能終端人員供應商和外部人員利潤中心集團L3、L4類系統部分移交集團統一運維目前管理邊界未來管理邊界集團以工作協同的方式，提供參考方案各單位按性價比決定采用哪種方案集團充當教練員，以服務目錄的方式，向各單位提供集團的統一方案通用性安全標準：集團（潤聯）充當運動員：落實解決方案集團作為服務方，以服務目錄的方式，向各單位提供集團的統一方案各單位需要協同集團的方案P1.組織權責整改方案

-執行層工作邊界（利潤中心執行層）54數據中心場地核心網操作系統中間件應用存儲數據庫L3、L4類系統辦公場地/服務器機房接入網傳統終端終端互聯網智能終端人員供應商和外部人員服務器機房核心網操作系統中間件應用存儲數據庫L1、L2類系統辦公場地/服務器機房接入網傳統終端終端互聯網智能終端人員供應商和外部人員利潤中心集團L3、L4類系統部分移交集團統一運維目前管理邊界未來管理邊界對于托管在集團的系統，個性化要求如在服務目錄中，可以由集團落實個性化安全標準：各單位自己充當運動員落實P2.標準與合規整改方案-信息安全標準設計思路55ISO27001:2013信息安全管理國際標準最佳實務行業監管部門要求信息系統等級保護信息安全標準信息安全工作領域P2.標準與合規整改方案-信息安全標準框架56華潤（集團）有限公司信息安全管理辦法信息系統安全管控要求信息資產管理人力資源安全供應商和外部人員管理信息安全事件管理合規性管理業務連續性管理華潤（集團）有限公司信息安全標準數據存儲備份應用系統安全要求數據庫安全要求中間件安全要求操作系統安全要求網絡安全要求物理安全要求終端安全要求附錄：IT設備安全基線要求操作系統安全基線要求Web中間件安全基線要求數據庫系統安全基線要求網絡設備安全基線要求信息系統安全組織與職責信息安全組織對外合作與溝通信息安全角色與職責：信息系統：人員管理：終端P2.標準與合規整改方案

–信息安全標準覆蓋項目全生命周期、各對象層面57項目生命周期設計階段實現階段定義階段立項階段廢棄階段運維階段項目組/應用管理員基礎設施管理團隊數據庫安全設計安全需求調研和定義開發測試安全商業軟件安全選型應用安全部署安全方案設計應用安全運維應用安全廢棄數據存儲備份數據庫管理員數據庫安全部署數據庫安全運維數據庫安全回收存儲備份管理員中間件管理員操作系統管理員網絡管理員場地管理員中間件安全設計中間件安全部署中間件安全運維中間件安全回收操作系統安全設計操作系統安全部署操作系統安全運維操作系統安全廢棄網絡安全設計網絡安全建設網絡安全運維網絡設備安全廢棄場地安全設計場地安全建設場地安全運維信息安全專職人員安全方案協同設計或評審上線前安全檢查定期安全檢查介質消磁安全事件發現與處理存儲備份系統配置數據存儲備份方案設計數據安全廢棄場地安全廢棄P2.標準與合規整改方案

–信息安全標準要求控制措施（示例）控制措施：也稱控制活動，包括管理控制活動和技術控制活動；實施時間點：控制活動實施的最佳時期；啟動條件：觸發控制措施實施的前提條件；技術方法：在控制措施實施過程中所使用的各種技術性方法，如漏洞掃描、QoS等；執行人：執行控制措施的主責部門或人員；工作步驟：工作步驟是指某項控制措施從啟動到完成，所必須經過的技術環節或過程，不包括管理環節（如審批）；完成標準：控制措施完成的標志；輸入：控制措施執行時需要遵循的信息安全要求；輸出：控制措施執行的成果5859謝謝！

60附件1

-信息安全需求細部說明信息安全需求細部說明編號信息安全現況問題安全需求細部說明后續強劃建議備注Q1以等保為核心的合規壓力加重，加上信息安全管理標準不清，造成部分安全工作執行未到位實施信息安全規范培訓與意識宣貫執行信息安全培訓，強化人員對于安全的認知定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫建立通用性的信息安全標準與基線建立通用性信息安全標準供集團使用建立信息安全管理辦法：進行通用性的信息安全標準制定定期審閱與更新信息安全管理辦法

實施信息系統等級保護落實等保規定實施信息系統安全等級保護定級實施信息系統安全等級保護備案實施系統安全等級保護安全建設整改61信息安全需求細部說明(續)編號信息安全現況問題安全需求細部說明后續強劃建議備注Q2集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分梳理集團與利潤中心信息安全責任邊界厘清集團與利潤中心在信息安全的管理邊界設計信息安全管控模式界定集團與利潤中心安全責任梳理信息系統生命周期中建設、運維、用戶及安全人員角色責任配合信息系統生命周期明訂安全人員權責定義信息系統生命周期信息安全工作角色權責：按“集團信息安全標準”中的人員職責分工，劃清工作邊界設置信息安全組織建立信息安全組織、選派人員與運作設置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員配備信息安全專職人員配置專職人員執行信息安全工作定期更新信息安全體系運維任務欄表定義信息安全管理員工作職能設置信息安全管理員62信息安全需求細部說明(續)編號信息安全現況問題安全需求細部說明后續強劃建議備注Q3系統賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統面臨不當取存的風險信息系統帳號權限審閱納入人員調離崗作業強化人員調離崗與賬號的同步連動簽署人員保密協議:職前背景調查、保密協議定期實施人員信息系統帳戶與權限復核：職前、職中、職后定期實施LDAP與個性系統帳號權限審閱建立賬號定期審閱，減少異常賬號被利用的機率實施LDAP與個性系統帳號權限針對未經授權或異常賬號進行刪除或停用63信息安全需求細部說明(續)編號信息安全現況問題安全需求細部說明后續強劃建議備注Q4信息系統缺乏審計紀錄，人員不易快速排除異常，且發生重要系統中斷服務時的復原能力需強化實施信息系統安全日志集中留存。保護系統安全日志的完整性及不可否認性信息系統及基礎設施安全日志異地留存至數據中心SIEM平臺實施信息系統安全日志事件分析。針對系統安全日志進行分析，以便于極早發現異常定期檢視SIEM平臺安全事件建立SIEM平臺安全監控策略建立緊急聯系清單及通報程序:包含信息安全事件報告、應急處理和原因調查建立信息資產分級與管控機制。建立信息資產分級與定期檢查機制定期實施信息資產分級管理：信息資產登記定期實施信息系統安全風險評估：進行定期信息安全檢查和加固方案制定或更新信息系統應急預案。強化信息系統對于重大災害發生時的復員能力定期審閱與更新信息系統災備方案定期審閱與更新信息系統應急預案建立業務連續性計畫(BCP)：包含同城災備中心建設規劃/異地災備中心建設規劃實施信息系統應急預案演練。強化同仁對于應急預案的熟悉程度定期實施信息系統應急預案64信息安全需求細部說明(續)編號信息安全現況問題安全需求細部說明后續強劃建議備注Q5信息系統及數據在開發與運維階段，尚有許多安全控制需要強化及落實，才能保證系統安全運作建立覆蓋信息系統生命周期的信息安全標準與基線建立通用性信息安全標準供集團使用建立共通性的信息安全標準與基線定期審閱與更新信息安全管理辦法建立信息資產分級與管控機制。建立信息資產分級與定期檢查機制定期實施信息資產分級管理：信息資產登記定期實施信息系統安全風險評估：進行定期信息安全檢查和加固方案定期實施系統帳號權限審閱。建立賬號定期審閱，減少異常賬號被利用的機率實施個性系統帳號權限審閱針對未經授權或異常賬號進行刪除或停用實施數據脫敏機制。對于測試環境內不應存在正式機敏數據評估數據脫敏實施需求建立測試模擬數據或數據脫敏工具定期實施信息系統安全檢測。定期對于信息系統進行檢測確認安全防御程度定期實施信息系統安全檢測定期實施信息系統整改方案65信息安全需求細部說明(續)編號信息安全現況問題安全需求細部說明后續強劃建議備注Q6部分利潤中心在網絡層面的安全防御程度不足，在面對或外部網絡攻擊時可能影響到集團層次

建置外網新一代防火墻或入侵防御系統。強化對于外部網絡攻擊的防御程度建設外網新一代防火墻或入侵防御系統。布署終端防病毒軟件。強化終端設備對于病毒或惡意軟件的防御程度實現終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新布署終端數據防泄漏。強化終端設備防御程度實施終端安全整改，實現終端數據防泄漏安裝全覆蓋，至少包含外設管控、硬盤加密等定期實施終端系統漏洞檢測。確認終端系統防御強度定期實施終端系統漏洞檢測定期實施終端系統補丁更新建置內網新一代防火墻。強化對于網絡攻擊的防御程度評估內網網絡傳輸管道安全風險實現內網與下屬公司各網絡端口新一代防火墻全覆蓋實施生產網絡與辦公網絡區隔。透過網絡區隔，避免網絡損害迅速擴大，能夠先將損失控制在某一個區域評估生產網絡與辦公網絡傳輸管道安全風險實現生產網絡與辦公網絡端口網關全覆蓋66信息安全需求細部說明(續)編號信息安全現況問題安全需求細部說明后續強劃建議備注Q7目前對于終端設備的管控薄弱，終端設備可能成為集團數據丟失的渠道或外部入侵的跳板移除用戶本地權限移除收回用戶本地最高權限，降為用戶權力，如有特殊需要另外開放與管理評估終端用戶使用行為要求終端用戶需加入域管控收回用戶本地最高權限強制啟用智能終端安全配置透過解決方案有效管理智能終端設定及使用行為，同時保護放在智能終端中的業務數據實施智能終端安全解決方案對智能終端存儲的業務數據加密存儲，在終端丟失時，可以遠程安全擦除業務數據(MDM)設計終端數據方案建立完整的數據備份及使用機制，同時禁止同仁使用其他有風險的數據傳輸管道(如U盤、云端網碟)評估終端數據備份解決方案終端數據解決方案建置實施實施內網網絡準入確保僅有通過申請的設備才能夠連入網絡，管控內網安全建立內網網絡準入解決方案盤點內網網絡使用資源內網網絡準入管控生效建立用戶終端安全配置基線強化終端設備的自身防御能力，包含防毒偵測、筆記本硬盤加密定期實施終端安全檢測定期實施終端安全整改:實現終端防病毒軟件安裝全覆蓋，并及時更新病毒庫到最新硬盤加密，防止終端丟失時產生數據泄露6768附件2

-信息安全建設方案內容說明P1.組織權責整改方案編號工作任務主要工作任務內容活動類別規劃開始日期規劃結束日期集團責任利潤中心責任備注O1信息安全職責分工設計信息安全管控模式界定集團與利潤中心安全責任項目性工作2015/Q12015/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)O1信息安全職責分工定義信息系統生命周期信息安全工作角色權責：按“集團信息安全標準”中的人員職責分工，劃清工作邊界日常性工作2015/Q12015/Q4定義權責(P)落實規定(D)進行檢核(C)落實規定(D)進行改善(A)集團與利潤中心需要共同執行O2信息安全管理組織設置信息安全管理組織：各單位按“辦法”要求，成立信息安全組織，并配備信息安全專職人員；指定各部室的信息安全接口人員日常性工作2015/Q12015/Q4建立規范(P)進行檢核(C)建立組織(D)進行改善(A)集團已完成規范建立O3信息安全管理員定期更新信息安全體系運維任務欄表定義信息安全管理員工作職能設置信息安全管理員項目性工作2015/Q12015/Q4定義職能(P)設置人員(D)設置人員(D)整體方案規劃時程預估投入成本對業務單位潛在風險預防程度約12個月低度投入，僅需人力成本低度，但屬于基本的安全管控問題1:集團與利潤中心的信息安全責任邊界不清楚，部分安全工作與責任切分也未清楚劃分*細部執行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內容69P1P1P2P3P4P5P6P7完成P2.標準與合規整改方案編號工作任務主要工作任務內容活動類別規劃開始日期規劃結束日期集團責任利潤中心責任備注M3培訓與宣貫定期辦理信息安全管理員職能培訓定期辦理在崗人員信息安全知識宣貫定期辦理新進人員信息安全意識宣貫日常性工作2015/Q12015/Q4建立規范(P)辦理培訓(D)進行檢核(C)辦理培訓(D)M1信息安全標準建立信息安全管理辦法：進行通用性的信息安全標準制定定期審閱與更新信息安全管理辦法日常性工作2015/Q12016/Q4建立辦法(P)落實規定(D)定期審閱(C)更新規定(A)細化辦法(P)落實規定(D)定期審閱(C)更新規定(A)集團已完成規范建立M2信息系統等級保護實施信息系統安全等級保護定級實施信息系統安全等級保護備案實施信息系統安全等級保護安全建設整改日常性工作2015/Q12015/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)整體方案規劃時程預估投入成本對業務單位潛在風險預防程度約24個月低度投入，僅需人力成本低度，但屬于基本的安全管控問題2:以等保為核心的合規壓力加重，加上信息安全管理標準不清，造成部分安全工作執行未到位*細部執行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內容70P1P1P2P2P3P4P5P6P7完成P3.人員管控整改方案71編號工作任務主要工作任務內容活動類別規劃開始日期規劃結束日期集團責任利潤中心責任備注M4人員安全管理簽署人員保密協議:職前背景調查、保密協議定期實施人員信息系統帳戶與權限復核：職前、職中、職后日常性工作2015/Q12015/Q4建立規范(P)落實管控(D)進行檢核(C)落實管控(D)T4操作系統安全實施LDAP與個性系統帳號權限針對未經授權或異常賬號進行刪除或停用日常性工作2015/Q12015/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)整體方案規劃時程預估投入成本對業務單位潛在風險預防程度約12個月低度投入，僅需人力成本高度，能降低業務單位遭受攻擊之機率問題3:系統賬號管理未覆蓋全賬號生命周期，許多安全控制仍未被制定與落實，信息系統面臨不當取存的風險P1P1P2P2P3P3P4P4P5P6P7*細部執行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內容P4.事件應變/災備整改方案編號工作任務主要工作任務內容活動類別規劃開始日期規劃結束日期集團責任利潤中心責任備注M6信息安全事件管理信息系統及基礎設施安全日志異地留存至數據中心SIEM平臺項目性工作2015/Q12016/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)M6信息安全事件管理定期檢視SIEM平臺安全事件建立SIEM平臺安全監控策略建立緊急聯系清單及通報程序:包含信息安全事件報告、應急處理和原因調查日常性工作2015/Q32016/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)按利潤中心需求實施M5信息資產管理定期實施信息資產分級管理：信息資產登記定期實施信息系統安全風險評估：進行定期信息安全檢查和加固方案日常性工作2015/Q12016/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)利潤中心可采購集團的服務，或采購第三方的服務整體方案規劃時程預估投入成本對業務單位潛在風險預防程度約24個月中度投入，可能添購解決方案中度，能夠降低重大事件所帶來之沖擊*細部執行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內容問題4:信息系統缺乏審計紀錄，人員不易快速排除異常，且發生重要系統中斷服務時的復原能力需強化72P1P1P2P2P3P3P4P4P5P6P7P4.事件應變/災備整改方案(續)編號工作任務主要工作任務內容活動類別規劃開始日期規劃結束日期集團責任利潤中心責任備注M7業務連續性與災備定期審閱與更新信息系統災備方案定期審閱與更新信息系統應急預案建立業務連續性計畫(BCP)：包含同城災備中心建設規劃/異地災備中心建設規劃日常性工作2015/Q12016/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)M7業務連續性與災備定期實施信息系統應急預案日常性工作2015/Q12016/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)整體方案規劃時程預估投入成本對業務單位潛在風險預防程度約24個月中度投入，可能添購解決方案中度，能夠降低重大事件所帶來之沖擊*細部執行方式請參照<<華潤（集團）公司信息安全管理辦法>>、<<華潤（集團）公司信息安全標準>>具體內容問題4:信息系統缺乏審計紀錄，人員不易快速排除異常，且發生重要系統中斷服務時的復原能力需強化73P1P1P2P2P3P3P4P4P5P6P7P5.應用系統安全整改方案編號工作任務主要工作任務內容活動類別規劃開始日期規劃結束日期集團責任利潤中心責任備注M1信息安全標準建立共通性的信息安全標準與基線：銀行、資產、電力、醫藥等單位進行個性化信息安全標準制定定期審閱與更新信息安全管理辦法日常性工作2015/Q12016/Q4建立辦法(P)落實規定(D)定期審閱(C)更新規定(A)細化辦法(P)落實規定(D)定期審閱(C)更新規定(A)集團已完成規范建立M5信息資產管理定期實施信息資產分級管理：信息資產登記定期實施信息系統安全風險評估：進行定期信息安全檢查和加固方案日常性工作2015/Q12016/Q4建立規范(P)落實管控(D)進行檢核(C)落實管控(D)利潤中心可采購集團或采購第三方的服務T4操作系統安全實施個性系統帳號權限審閱針對未經授權或異常賬號進行刪除或停用日常性工作2015/Q12015/Q4建立規范(P)落實規范(D)進行檢核(C)落實規范(D)整體方案規劃時程預估投入成本對業務單位潛在風險預防程度約48個月高度投入，需購置配套解決方案高度，能降低業務單位遭受外來攻擊之機率問題5:信息系統及數據在開發與運維階段，尚有許多安全控制需要強化及落實，才能保證系統安全運作P1P1P2P2P3P3P4