导读
本文以能源行业为例,探讨数字化转型信息化安全保障体系和能力提升建议。目前企业大力发展以数据技术为核心的数据资产管理规划,在进行的同时企业应设置信息安全决策组织、信息安全管理组织、信息安全执行组织以及信息安全监管组织,并明确各组织职能。依据“安全分区、网络专用、横向隔离、纵向认证”原则,制定集团信息安全策略。
01企业安全组织体系
主要包括:信息安全决策组织、信息安全管理组织、信息安全执行组织以及信息安全监管组织
信息安全决策组织
成立信息安全决策小组,设置信息安全办公室,是信息化工作的最高决策者,负责对信息安全方面的工作进行指导和控制
信息安全管理组织
设置信息安全管理小组,隶属信息安全办公室,是信息安全工作规则的制定者和决策推行的管理者,负责信息安全日常管理和监控。
信息安全执行组织
集团总部及下属单位的各业务部门和信息化管理部门,主要负责具体信息安全控制措施的执行和开展。
02企业信息化安全策略体系
集团6大安全策略:
安全分区策略 有效隔离策略 云计算安全策略 等级保护策略 纵深防护策略 统一接入策略
终端设备接入安全
提供一套终端和设备管理和安全解决方案。根据管理员定义要求,为设备分配不同的内网访问权限,同时对设备下发安全配置,最后,对用户接入内网访问资源、失联、管理员操作等事件进行日志记录
数据接入安全
实现多个平台间同步共享文档;而且,用户在使用内网敏感文档时,数据不会在非受控区保留痕迹。
03企业信息化安全技术体系
安全技术体系是整个信息安全体系框架的基础,包括了信息安全技术服务、管理工具及技术产品三类。
04企业信息化保障体系
05企业信息化能力提升建议
集团在未来信息化建设中需从业务能力和IT能力两个维度重点建立标准化能力、基础服务能力、数据运营能力、优质服务能力和智能服务能力等5个方面的能力。