《唐凯-集团多业态安全能力建设实践(13页).pdf》由会员分享,可在线阅读,更多相关《唐凯-集团多业态安全能力建设实践(13页).pdf(13页珍藏版)》请在三个皮匠报告上搜索。
1、集团化多业态安全能力建设实践唐凯 金融街集团集团是个大家庭,各业务板块各显神通多业态顶层安全运营主要难点四多一远1 12 23 34 45 5多维度监管要求多维度监管要求多维度业务需求多维度业务需求多发展阶段多发展阶段多类型多类型ITIT架构架构远业务距离远业务距离企业信息安全与企业管理架构的关系运营型管控战略型管控财务型管控以安全建议和安全监督为主,几乎不参与日常安全运营。较少管控参与公司信息安全战略、重大型信息化项目等重要事项的信息安全决策,部分参与公司信息安全日常运营。重点管控全面参与公司涉及信息安全所有事项的日常管理。全面管控 新上线业务 传统业务 新兴业务或新兴方向 自身实力有限高粘
2、性需求高粘性需求 自身实力较强 科技驱动型业务 监管有独立性要求低粘性需求低粘性需求总部和下属机构的需求变化集团化多业态安全能力核心目标公司总部信息安全技术能力应以满足各业态对信息安全的需求为基本目标。技术能力公司总部信息安全管理能力应与公司管理模式相匹配,并为各业态提供可参考借鉴的管理模板.管理能力顶层资源是否能满足为公司各业态服务的需求.资源配给资源配给1、现代企业总部对IT的要求以提供共享服务为主要目标。2、信息安全能力应该匹配总部管理职能。3、信息安全能力具有全公司各业态输出的能力。能力战略把控能力战略把控能力 设计规化与集团业务战略、信息化战略相匹配的信息安全战略;可向所属公司输出信
3、息安全战略;把握全集团信息安全发展方向。安全监管能力安全监管能力 对下属公司重点信息安全领域全面监管;对于重要安全风险的全面管控和监督;开展信息系统内部审计;传导并落实上级监管要求。安全技术能力 搭建总部信息安全基础架构,并可将其信息安全技术手段以服务方式输出;为子公司提供可用的信息安全防护技术、信息安全技术建议、信息安全管理建议、信息系统应急服务等。协调组织能力 维护与总部各部门、各级公司相关部门沟通、合作关系.组织全集团共同开展安全应急演练、信息系统业务连续性演练;建立全集团信息安全统一协同机制。宣传能力 建立全系统信息安全宣传体系,覆盖长期要求和短期目标;能根据信息安全法律法规、监管政策
4、变化,制定不同的宣传方案。集团化多业态安全管理五大能力KeywordManagermentServiceKeyword监管是信息安全工作的底线l 信息安全监督需多部门联信息安全监管需应公司制宜l 持续关注信息安全监管意见整改监督监督将服务作为日常重要工作l 安全技能标准化l 安全技能服务化l 安全技能输出化服务服务将管理放在工作的首要位置l 建立信息安全管理标准(管理体系、制度)l 实现跨级别的信息安全管理提供信息安全培训、宣传等管理服务内容管理管理对于总部级别信息安全管理而言,核心要素是强对于总部级别信息安全管理而言,核心要素是强化总部信息安全职能中的管理、服务、监督职能。化总部信息安全职能
5、中的管理、服务、监督职能。l 建立信息安全管理框架要求建立信息安全管理框架要求l 建立统一的信息安全基础服务建立统一的信息安全基础服务l 建立定时和临时结合的信息安全监督管理建立定时和临时结合的信息安全监督管理建立顶层信息安全平台的核心要素通过采取技术手段来对IT资产进行防护是这个阶段的主要特征建立体系化的信息安全防御体系和注重信息安全管理策略和流程是这个阶段的主要特征基于业务价值和IT生命周期,全面考虑IT规划、建设、运维过程的风险管理和价值管理是这个阶段的主要特征IT风险管理同企业风险管理(ERM)的全面融合以及智能化的IT风险管理体系是这个阶段的主要特征技术导向的技术导向的风险管理风险管
6、理全面信息安全全面信息安全管理管理ITIT风险管理风险管理ITIT风险管理的风险管理的融合和智能化融合和智能化时间时间远期远期近期近期业业务务价价值值低低高高信息技术风险管理的发展和演变规律,从信息安全管理到信息技术风险管理,逐步从技术导向的风险管理到信息技术风险管理向融合化和智能化演进。重点工作信息安全规划重点工作管理架构的建设集团本部、二级公司总部能力要求战略管理分公司、子公司能力要求应急处理高高低安全管理联络协调风险管理集团本部定位集团本部定位l 信息安全战略制定中心l 信息安全管理中心l 信息安全应急协调中心l 信息安全联络中心二级公司定位二级公司定位l 信息安全策略实施中心l 信息安全应急响应中心重点工作打造标准安全服务平台(安全工具、安全技术)重点工作数据安全集团数据池公司A数据池公司B数据池公司C数据池公司D数据池审批监管审计监管数据分析数据加工数据归集数据交换数据交换处理池集团监管审批监管审计监管