中兴通讯信息安全管理体系实践分享 (对外公开版)-俞婷.pdf

1、安世加安世加安世加安世加安世加安世加目 录一、为什么建体系二、怎么建体系三、如何落体系安世加安世加安世加安世加安世加安世加3Part.1为什么建体系?安世加安世加安世加安世加安世加安世加4通过体系化方法，我们想解决安全管理的哪些痛点“人的一切烦恼均来自于人际关系。”阿德勒和业务的关系安全不能全靠安全团队干，怎么让业务干？怎么平衡安全和效率？和老板的关系核心信息会不会丢？关键系统会不会停？出事多久能响应？和自己的关系安全纷繁复杂，怎么教业务干？安世加安世加安世加安世加安世加安世加5Part.2怎么建体系?安世加安世加安世加安世加安世加安世加介质人员会议展会附属公司定密内审事件密品物理区域信息流固

2、定资产供方业务连续性信息基础设施中兴通讯信息安全管理体系框架目标：框架：防泄密、防入侵，一旦出事能快速发现、响应并将损失降到最低，为业务保驾护航。1.总则、通则、细则分层管理2.组织、定、管、查闭环管理安世加安世加安世加安世加安世加安世加分层管理，自顶至下，嵌入业务总则通则业务细则确立总原则与方针统筹管理、业务负责；聚焦核心、分级管控明确通用原则结合公司业务特性，明确可落地原则性要求制定、发布业务细则嵌入业务流程，具备可操作性的安全规则三 级 文 件 架 构委员会专业安全团队业务部门业务谁主管，安全谁负责安全规则更符合业务实际安全要求嵌入业务流程安世加安世加安世加安世加安世加安世加8闭环管理，

3、共同语言，一致打法组织查定管体系目标先人后事有组织才能成事识别对象，解决管理源头性问题从而聚焦核心，分级管控管控信息流本身，还应完备管控相关人、事、物等所有相关要素没有完美的管理体系只有持续改进的管理体系促进闭环、负反馈、持续改进安世加安世加安世加安世加安世加安世加9Part.3怎么落体系?安世加安世加安世加安世加安世加安世加10组织定管查让站位不同的人达成共同目标谁来干？架构和职责怎么让他愿意干？机制和流程怎么让他能够干？资源和能力信息安全部定密专家组决策层管理层执行层要一致懂业务站位高会议共建共赢 成事为乐评议跟踪评价通报表彰业务消红点 复杂管理要求简单数字指令人、财、物政策领导关注力安世

4、加安世加安世加安世加安世加安世加组织定管查策略 精准定密，聚焦核心，分级管控 过度保密影响效率泄密隐患过度共享统一标准？01 3 大 挑战业务参与？02发挥价值？03定，解 决 管 理 源 头 性 问 题安世加安世加安世加安世加安世加安世加分级：绝密、机密、内部使用、对外公开绝密：泄露对企业长期战略目标造成了严重影响，或对组织生存造成风险，或对国家安全、公共利益造成风险能够决定我司5G产品关键性能指标处于国际领先竞争优势的关键算法方案、源代码MU-MIMO空分配对算法方案及源代码：影响峰值速率的关键指标竞争力；多天线核心技术业界第一梯队NR FMM下行*算法、NR FMM上行*算法非结构化数据

5、标密工具结构化数据标密工具右键定密，提示定密依据，建立数字身份标识有特征数据（手机号等）自动标密；无特征数据工具辅助人工标密信息安全管理委员会信息管理部信息分级标准BU信息安全管理小组（下设：定密专家组）涉密事项目录信息清单确定变更解除定密责任人（产生岗位）各部门涉密事项范围顶层统一标准业务深度参与密标数字管理定密工作标准化流程组织定管查安世加安世加安世加安世加安世加安世加组织定管查 管什么？重点管什么？谁来 管？怎么管？安世加安世加安世加安世加安世加安世加组织定管查管什么？只管住信息就够了吗？什么管，什么不管？只有明确定义，管理既不会遗漏，也不过泛滥。劳动合同协议聘用服务合同所有供方访问、处

6、理、存储、传递公司涉密信息的供方提供信息基础设施组件的供方信息流人员“更全面”“更精准”产生接收供方介质人员会议展会附属公司密品物理区域信息流固定资产供方业务连续性活动信息基础设施管理要素完整管理范围明确人事物信息安世加安世加安世加安世加安世加安世加组织定管查重点管什么？如何平衡安全和效率？分级不是各自为战，而是统一协调聚焦核心，分级管控，保障安全，兼顾效率以定密为主线绝密信息核心涉密人员绝密介质核心固定资产核心信息基础设施核心密品绝密会议核心供方核心区域重要附属公司重大BCM事件产生、强关联、管存直接含有、观测分析集中制作存储处理、专用安世加安世加安世加安世加安世加安世加组织定管查谁来管？真