• 物联网应用范围逐步扩大，越来越多的智 能传感器可以通过标准协议进行监控
• IT业内对于下一代架构的认识是
– 本地负责采集和展示数据 – 云端负责处理和存储数据 – 访问环节部署安全管控 – 统一界面实施运维
体制
• 引入协作单位进行互补，解决人力资源的质量、数量和成本问题 • 由协作单位提供staff人才服务，双方共同培养、壮大跨界型人才队伍 • 通过staff模式，深入分解和完善相关业务流程，做到细化、量化和标准化 • 在此基础上，开发支撑工具，规范流程实施，提高工作效率，强化信息安全性
支撑工具
• 在SOC与风险评估系统中间增加合规与遵从平台，对披露信息进行过滤和脱敏 • 在合规与遵从平台中提供BI，整合各有关系统信息，提供直观的多维度的展示 • 在该平台中集成知识库，积累各次内外部测试相关信息，并提供检索 • 在该平台中集成教育培训系统，基于知识库提供培训、实训和远程检测
• 随着等保工作的开展，华能在安全管理方面积累了很多业务经验 • 双网模式的成功实施，为华能进一步实施自我测评计划奠定了物质基
础 • 各种系统特别是SOC的试点，为自动化采集全网各种安全信息打下良
好开端 • 相关பைடு நூலகம்T技术的成熟
风险管理|自主评测|安全运维的关系
1、风险管理是合规工作的外部标准，具 有强制性、稳定性和原则性。自主评测是 华能集团内部对于风险管理工作的细化、 深化，形成有具有华能特色的安全检查标 准体系 2、风险管理是阶段性工作，而自主评测 是长期性工作。风险管理为自主评测提供 理论基础和方法指引，自主评测为风险管 理提供组织、流程、方法和验证材料
支撑工具
• 面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露 • 多而散的子系统需要统一的安全管理界面 • 未经整理、归纳的专业信息安全情报细节不易理解和把握整体规律性 • 安全信息与本单位专业和运营历史紧密相关，需要不断积累与沉淀
机遇 蓝图 问题 对策
机遇
• 在十二五期间国家对于信息安全的重视程度进一步提高，压力与投资 双增长
确定项目预算和 实施计划，落实 试点单位
设计开发基础平 台，建立数据库
安全报表
制定规范性文件和 表格，并行模拟操 作
（手工）
出具详细调研报 告，评估项目预算 和实施计划
安全规则
派遣咨询人员， 调研业务细节， 制定服务框架和 目录
未来的发展趋势
• 随着硬件、网络成本的下降及软件架构的 成熟，数据大集中乃至云计算成为大势
系统定级
安全规划设计
安全设计
系统识别描述
安全需求分析
安全方案详细设计
信息系统划分
安全总体设计
等级保护管理实施
安全等级确定
安全建设规划
等级保护技术实施
等级保护安全测评
自主测评 工作范围
主导工作 相关工作
安全运维
运行管理和控制 变更管理和控制 安全状态监控 安全应急预案 安全事件处置 自主检查和改善
安全培训 外部安全测评
信息安全测评服务解决方案建议书
机遇 蓝图 问题 对策
管理
• 来自外部机构的抽样检查和咨询覆盖范围有限，在时间上和范围上存在盲区 • 现有模式难以为提供及时、全面、准确、直观的信息安全基础情报 • 有待进一步构筑、实施和完善全面、常态、持续的安全绩效评价体系
体制
• 内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才 • 很多下属单位还没有设立专职岗位或者没有明确职责，不利于工作职责分担 • 信息安全管理内生人才的培养，相对目前安全投资的发展速度有所滞后
风险 管理
风险管理是安全运维的指导方针。风险 管理基于成本-效益原则，对客户资产进 行分级，评估安全风险的可能性与严重 性，从而可以有区别地进行安全防范和 安全投入，提高整体安全水平
合规与 遵从
安全运维
1、自主评测是检验安全运维水平的标准，是连接安全运维与风险管理的纽带 2、安全运维工作的结果通过自主评测过滤、汇总到风险管理层面，并为进一步的安全工作提供分析和改善的基础 3、安全运维数据量大，同时有保密要求，不宜直接暴露到外部，通过自主评测的中间层更好 。 4、安全运维体系是整个安全体系的技术基础。在实现上必须以风险管理为导向，以技术为手段，构筑多层次大纵深的防御体系。同时，对 于安全全局信息的把握，会进一步发现薄弱环节，提高安全水平
系统终止
信息转移、暂存或清除 设备迁移或报废 存储介质处置
合作路线图
可持续改善的安 全管理PDCA
在基础平台上落实 内部人员培训和评 价体制
向基础平台导入历史 数据，分批次扩大使 用范围
评价基础平台的使用 效果并提出改善意见
系统运维和改善
分阶段固化 到基础平台
安全报表 （自动）
评价试点实施结 果并协作改善
大家有疑问的，可以询问和交流
可以互相讨论下，但要小声点
机遇 蓝图 问题 对策
引入协作单位，建立
自主测评体系
e-Business Transformation
协作单位
信息安全咨询 体系化服务
专业人员 教育服务
包含知识库和BI 的合规与遵从系统
Staff服务
管理
• 在信息中心领导下，协作单位咨询顾问协助设计安全绩效评价体系 • 各有关单位和协作单位的实施、运维人员一起全面配合体系落地 • 根据国际国内标准和监查要求，建立常态化、标准化的信息安全PDCA过程
密码B强公度司司, ,B5公 司, 4
司, 2
1
0
F公密司码密司强码,度4司频, F,度公3,
F公 密码频度,
E公
密码密强码度频, C度公, C公 司, 2司, 3C公司
司, 1密码频 强度, D公
司, 2
密码强度, E公 E公司 司, 4
D公司
密码频度 密码强度
机遇 蓝图 问题 对策
自主测评工作 在系统安全生命周期中的位置
自主测评工作的整体解决方案
教育培训
智能报表
安全审计
知识库管理
应急管理
配置信息
评估信息
风险信息
安全事件
工作流引擎
事件管理器
数据收集器
访问控制器
数据过滤器
安全运行管理
资产管理
数据总线 风险管理
桌面安全管理 统一用户管理
密A公码司频度, A公 5 司, 5
4
密码频度, B公
G公司密码密强司码度,频3, 度G公,密23G码公强司度, 2, A公