導讀
本文以能源行業為例,探讨數字化轉型資訊化安全保障體系和能力提升建議。目前企業大力發展以資料技術為核心的資料資産管理規劃,在進行的同時企業應設定資訊安全決策組織、資訊安全管理組織、資訊安全執行組織以及資訊安全監管組織,并明确各組織職能。依據“安全分區、網絡專用、橫向隔離、縱向認證”原則,制定集團資訊安全政策。
01、企業安全組織體系
主要包括:資訊安全決策組織、資訊安全管理組織、資訊安全執行組織以及資訊安全監管組織
資訊安全決策組織
成立資訊安全決策小組,設定資訊安全辦公室,是資訊化工作的最高決策者,負責對資訊安全方面的工作進行指導和控制
資訊安全管理組織
設定資訊安全管理小組,隸屬資訊安全辦公室,是資訊安全工作規則的制定者和決策推行的管理者,負責資訊安全日常管理和監控。
資訊安全執行組織
集團總部及下屬機關的各業務部門和資訊化管理部門,主要負責具體資訊安全控制措施的執行和開展。
02、企業資訊化安全政策體系
集團6大安全政策:
安全分區政策 有效隔離政策 雲計算安全政策 等級保護政策 縱深防護政策 統一接入政策
終端裝置接入安全
提供一套終端和裝置管理和安全解決方案。根據管理者定義要求,為裝置配置設定不同的内網通路權限,同時對裝置下發安全配置,最後,對使用者接入内網通路資源、失聯、管理者操作等事件進行日志記錄
資料接入安全
實作多個平台間同步共享文檔;而且,使用者在使用内網敏感文檔時,資料不會在非受控區保留痕迹。
03、企業資訊化安全技術體系
安全技術體系是整個資訊安全體系架構的基礎,包括了資訊安全技術服務、管理工具及技術産品三類。
04、企業資訊化保障體系
05、企業資訊化能力提升建議
集團在未來資訊化建設中需從業務能力和IT能力兩個次元重點建立标準化能力、基礎服務能力、資料營運能力、優質服務能力和智能服務能力等5個方面的能力。
END