1、数据安全管理署名：陈东海职称：安踏集团信息管理中心总监安踏信息安全管理体系实践 安全需求及解决方案 安全管理体系建设历程 安全管控蓝图规划 成果展示目 录content一、安全需求及解决方案小故事，大启发倒卖设计图纸100万的保险箱需要3个悍匪公司损失:100万客户信息的电脑只要1个商业间谍1个U盘，就能偷走。公司损失：所有客户！1辆车，才能偷走。安全建设势在必行构建信息安全体系，保障业务持续发展内部外部驱动安踏加大保护核心信息资产与随着安踏市场竞争力的提升，居于国内领先地位的研发产品越来越多，信息资产的价值也越来越大资产威胁漏洞云平台、电子商务、移动化等信息化技术在提升业务效率的同时，引入了

2、了更多的安全风险凯觎安踏核心信息资产的不法分子及竞争对手越来越多了安踏如何应对？安全管理模型资产分级设置信息安全组织架构公司任命，自上而下推进组织安踏安踏ISMS体系体系信息安全风险管理策略信息安全风险管理策略信息资产管理策略信息资产管理策略网络安全策略网络安全策略用户终端安全策略用户终端安全策略数据安全管理策略数据安全管理策略员工安全策略员工安全策略物理及环境安全策略物理及环境安全策略运行维护策略运行维护策略安全事件监控及处置策略安全事件监控及处置策略用户访问控制策略用户访问控制策略系统开发及维护策略系统开发及维护策略业务连续性管理策略业务连续性管理策略第三方安全管理策略第三方安全管理策略信

3、息安全变更管理策略信息安全变更管理策略信息安全方针信息安全方针互联网访问标准互联网访问标准服务器安全配置标准服务器安全配置标准网络设备安全配置标准网络设备安全配置标准应用系统使用安全标准应用系统使用安全标准桌面终端安全配置标准桌面终端安全配置标准身份、口令和权限管理标准身份、口令和权限管理标准无线网络安全标准无线网络安全标准网络访问控制标准网络访问控制标准信息安全风险评估流程信息安全风险评估流程信息安全配置变更流程信息安全配置变更流程权限申请权限申请/变更变更/撤销流程撤销流程身份账户申请身份账户申请/变更变更/撤销流程撤销流程系统上线审批流程系统上线审批流程信息资产统计表信息资产统计表弱点评

4、估申请单弱点评估申请单权限申请权限申请/变更变更/撤销表撤销表身份账户申请身份账户申请/变更变更/撤销表撤销表第三方访问申请单第三方访问申请单服务器及网络配置记录服务器及网络配置记录用户口令申请和恢复表用户口令申请和恢复表信息安全事件处理记录表信息安全事件处理记录表机房出入登记表机房出入登记表备份恢复申请表备份恢复申请表备份恢复测试申请表备份恢复测试申请表操作评审流程操作评审流程信息安全策略制定及发布流程信息安全策略制定及发布流程管理评审流程管理评审流程信息安全组织管理信息安全组织管理信息安全运作管理信息安全运作管理信息安全风险管理信息安全风险管理信息安全技术管理信息安全技术管理信息安全组织与

5、人员职责信息安全组织与人员职责信息安全体系管理信息安全体系管理信息安全标准信息安全标准策略策略方针方针流程流程标准标准表单表单图例说明：图例说明：识别核心信息资产合理的安全管控流程流程信息资产管控技术方案内、外技术防御体系技术安全建设安全运营从组织架构，流程体系和技术平台三个方面建立起安踏的信息安全体系，保护公司的信息资产，避免经济损失。二、安全体系建设历程2008200911月份安踏通过了ISO27001信息安全国际认证2月启动信息安全建设项目，开始从组织架构，流程体系和技术平台三个方面，建设安踏信息安全体系5月正式成立信息安全管理委员会，并正式启动信息安全管理体系的推广工作将信息安全管理体

6、系推广、落地到分公司、物流仓，同时通过ISO27001认证5月启动IT规划项目，对安踏信息安全现状进行评估，设计了信息安全建设的蓝图和实施计划根据公司现状，细化和优化信息安全管理体系的内容参照ISO27001 2013版内容，升级安全管理体系11-0092013安踏08年启动IT蓝图规划，从组织架构、流程体系、技术平台三个方面，逐步建立并完善了公司的信息安全能力；2009年11月份营运中心通过了ISO27001国际认证，成为鞋服行业第一家获取到该证书。2010年11月安踏体育用品有限公司全部通过认证。三、安全管控蓝图规划安全战略安全管理运维安全身份和访问管理基础设施应用和

7、架构基于安踏安全规划目标及原则，结合安全能力现状，从安全架构的六个方面详细定义了各领域的功能组件，制定了以下完整的信息安全蓝图框架：安全战略 应用及架构安全 基础设施安全 身份与访问管理、运维安全及安全管理安全管控的蓝图规划11 信息安全蓝图框架详细功能组件安全管控的蓝图规划四、安全成果展示本方针是安全管理体系的总则，其目的是建立战略性的安全指导方针，为公司的信息安全提供管理方向与支持信息安全规定涉及到个人计算机，风险评估，第三方外包，网络访问，业务连续性，介质处理，防病毒，信息安全评审，工作环境，安全事件，系统用户管理等领域。针对具体规定有相应的操作流程和表单，为了实现具体的安全标准，还有相

8、应的标准文档为了保障以上的规定的顺利执行，制定了相应的支持和保障性的规定，例如安全评审信息安全方针信息安全规定体系运行保障规定流程和表单、相关标准健全的安全管理体系信息安全意识的提高是企业信息安全建设成功的关键。每年线上信息安全意识培训试题人员的安全意识提升风险评估流程信息安全管理层信息安全执行层信息安全决策层信息安全监督层30 编制风险评估方案方案是否通过审批开始10 编制年度评估计划50 风险评估启动大会120 审批风险评估结果60 评估准备是否110 制定风险处置计划70 管理评估40 审批风险评估方案80 技术评估90 数据评估100 风险分析残余风险是否接受140 实施跟踪风险处置措

9、施否是130 风险评估总结大会结束150 定期回顾实施效果并监控残余风险20 事件触发评估筹备评估实施评估审批报告发布 评估筹备：编制年度评估计划、事件触发、编制风险评估方案、审批风险评估方案、风险评估启动大会、评估准备 评估实施：管理评估、技术评估、数据评估、风险分析、制定风险处置计划 评估审批：审批风险评估结果 报告发布：风险评估总结大会、实施跟踪风险处置措施、定期回顾实施效果并监控残余风险建立体系流程风险评估流程全面了解信息资产面临的风险，并采取恰当措施予以处理，从而降低风险对公司造成的损失。评审跟踪改进报告评审跟踪改进报告改进计划改进计划信息安全评审检查表信息安全评审检查表不符合项报告

10、不符合项报告建立有效的信息安全评审机制，以公司安全管理体系的规定为准则，开展对信息安全工作的监督与评审，定期对信息安全管理体系健全性和符合性进行评审改进。建立体系流程安全评审流程业务影响分析结果业务影响分析结果RTO&RPO应急预案应急预案演练报告演练报告备份策略清单备份策略清单建立业务连续性的管理，减小重大故障和灾难对公司关键业务的影响，特规定业务连续性管理的要求，包括风险评估、业务影响分析、制定计划、测试计划、更新计划等内容。建立体系流程业务连续性导出并整理现有系统的用户及权限业务部门培训，原始资料的提供和收集，需由业务部门负责人审核确认岗位职责调研系统权限导出核对两者差异，将差异部分整理

11、成表，并与业务部门接口人沟通讨论确认比对差异根据最终确认结果调整系统权限，并跟进后续问题调整系统权限推广至其他业务部门，并保持定期核查权限机制推广及维护根据CIA，评估出系统优先顺序持续改进建立体系流程权限管理信息安全防护我们通过与战略合作伙伴深信服合作，构建于应用系统之下的基础设施层面的安全防护，包括物理安全、网络安全及主机层面的安全防护，例如深信服NGAF实现ACL,IPS,WAF等功能，AC实现上网行为的控制及监督，WOC/SSLVPN实现全国组网等等。主机安全应用（数据）网络安全物理安全逐层递进，纵深防御对于应用系统本身的防护和对于应用间数据接口，远程终端数据访问的安全防护。应用安全防

12、护采用边界防护手段，实现网络中的连接设备及安全防护引入的设备、网络基础设施的安全防护。网络安全防护在主机层面采用信息保障技术，确保业务数据在服务器与桌面主机时保持可用性、完整性和保密性。主机安全防护指信息资产所处的物理环境的安全，物理安全保证计算机、网络设备、UPS等硬件自身的安全性。物理安全防护建立体系流程技术平台1、可视是安全的基础，通过深信服NGAF进行持续监测，了解整个网络当前的风险状况，以及风险状态走势2、快速响应，找出风险状况较严重的业务系统，以及危害较大的攻击和漏洞3、简单易用，可以帮忙用户快速定位，清晰了解攻击来源、危害等信息，提供相对应的解决方案建立体系流程技术平台案例分享进不来拿不走改不了跑不了看不懂安全工作的目的