《公司公司文檔安全風險評估及控制措施》由會員分享,可在線閱讀,更多相關《公司公司文檔安全風險評估及控制措施(41頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、公司文檔信息安全現(xiàn)狀風險評估及風險控制措施,管理工程部 2008-10-6,Page 2,目錄,公司重要信息資料主要來源,自主投資研發(fā)的各類 核心產(chǎn)品及技術機密 信息,跟隨重點招募人才的、基 于其知識及經(jīng)驗的各種專 業(yè)技術及管理文檔資料、 流失后將帶來重大商業(yè)隱 患的各種信息,同洲核心競爭力 信息資產(chǎn),重大商業(yè)信息,如: 1.產(chǎn)品及市場發(fā)展規(guī)劃; 2.重要商務合同及競價信息; 3.重要項目人員及骨干人力信息等,1,2,3,使用,文檔生命周期,產(chǎn)生,歸檔,退役,同洲文檔生命周期各環(huán)節(jié)點存放現(xiàn)狀,1,2,1,4,3,文檔信息兩大類流動方向,部門內(nèi)部員工之間 部門與部門員工之間,公司內(nèi)部流動,公司與
2、友商之間 內(nèi)部員工與外界公司之間 內(nèi)部員工與外界個人之間,公司與外界之間流動,各種渠道,公司目前可用的各種文檔信息流動渠道,Doc. number to be entered by Header and Footer,同洲機密信息,公司目前文檔信息安全控制現(xiàn)狀,安全技術控制現(xiàn)狀,安全管理控制現(xiàn)狀,同洲核心競爭力信息,只有網(wǎng)絡邊界防火墻,無其他信息內(nèi)容監(jiān)管技術支持措施,Internet上網(wǎng)權限基本全部開通,控制力度非常薄弱,公司辦公機器各類外連端口如USB口、網(wǎng)口等基本全部處于開放狀態(tài),公司物理辦公區(qū)域及辦公網(wǎng)絡沒有嚴格劃分安全等級和配套管理,對于外發(fā)文檔、郵件等行為沒有相關權限控制及審批機制,
3、公司沒有對各類文檔的機密級別定義和配套管理制度,公司沒有統(tǒng)一如PDM文檔資料安全存放及管理系統(tǒng),對于員工收集留存的文檔、各系統(tǒng)文檔保存及使用情況等沒有規(guī)范化管理和安全審計,整改前準備,高層匯報整改收益,獲取支持,目標用戶事前溝通、調(diào)查 分析統(tǒng)計回收意向選擇情況,用戶調(diào)查,高層溝通,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計劃,潛在風險及控制措施,請領導決策的決策點,整改前準備,高層匯報整改收益,獲取支持,目標用戶事前溝通、調(diào)查 分析統(tǒng)計回收意向選擇情況,用戶調(diào)查,高層溝通,采用“回購”方式,明晰“合資”便攜的所有人,整改方式,計算公式:回購款購買時對方出資總額*(5使用年限)/5 (
4、注:使用年限使用月數(shù)12,不足一月的以一月計算,指依原關于個人申領筆記本電腦管理規(guī)定,個人與公司各出資一半購買的便攜機,便攜的使用統(tǒng)一為“配置”和“借用”兩種,便攜使用策略,一級部門總經(jīng)理以上領導,因工作需要的其他人員,每次借用最長時間6個月,可續(xù)借,次數(shù)不限,發(fā)放“便攜卡”,規(guī)范便攜機安全管理,登記管理,規(guī)范軟硬件資產(chǎn)安全管理 明晰公司資產(chǎn)與責任人 物業(yè)保安加強便攜出入檢查,根據(jù)業(yè)務性質,對無須使用便攜的員工發(fā)放臺式辦公機器辦公,臺式機補充,管理工程部統(tǒng)一調(diào)撥管理,便攜發(fā)放統(tǒng)一管理責任部門,意義:由IT部門統(tǒng)一調(diào)撥管理,一方面責任明確,另一方面,利于便攜機IT參數(shù)統(tǒng)一配置、軟硬件安裝檢查、安
5、全策略實施,收益1,收益1,規(guī)范便攜配備標準,理順資產(chǎn)管理秩序,堅決以業(yè)務需求為配備導向、一級部門總經(jīng)理以上領導配置便攜、其他人員借用便攜的原則,細化便攜使用標準; 改變“只要是公司員工,既可申購便攜”的無標準狀態(tài); 結束70%公司全資便攜與30%公私合資便攜的歷史,清除公司資產(chǎn)在采購變革、資產(chǎn)管理變革上的障礙,收益2,收益2,公司資產(chǎn)所有權明晰,利于安全控制措施的實施,消除私人資產(chǎn)非授權不受監(jiān)控的法律紛爭 利于公司安全監(jiān)控、檢查等信息安全措施的實施,收益3,收益3,利于采購標準、采購流程的優(yōu)化和落實,從源頭上杜絕了個人便攜“先購買、后報銷”的狀況,利于公司采購標準、采購流程的嚴格落實,收益4
6、,收益4,便于公司資產(chǎn)與外來資產(chǎn)的區(qū)分,為提升對外合作交流效率和安全管理水平,對公司全部便攜采用“便攜卡”統(tǒng)一身份管理,以區(qū)分其他外來便攜等。利于保護公司資產(chǎn),同時提升了公司規(guī)范化水平和品牌形象,收益5,收益5,避免公司安全監(jiān)管、資產(chǎn)清理方面的法律糾紛,降低了便攜上信息資產(chǎn)流失監(jiān)管處罰的法律紛爭風險; 便攜資產(chǎn)處置可以嚴格按照標準進行,避免資產(chǎn)處置的額外爭議,收益N,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計劃,潛在風險及控制措施,請領導決策的決策點,Page 22,保持“合資”臺數(shù)走勢,07年較06年同比增長約60%; 08年較07年同比增長約150%; 保守估計,09年較08年將
7、同比增長約215%;10年09年將同比增長約230,06年下半年37,110元; 07支出105,910元,同比增長42.7; 08估計支出240,000元(上半年111,119元) ,同比增長127; 保守估計,09年支出將達750,000元,同比增長212; 2010年估計支出2430,000元,同比增長224,保持“合資”公司花費走勢,資金花費分析,合資并未降低成本,全資,管理和預算雙贏,據(jù)統(tǒng)計,合資便攜每臺1萬左右,補貼平均每臺4000左右。這個花費,在框架采購下,基本可以購買一臺全資DELL便攜機,全資便攜,統(tǒng)一調(diào)撥管理,增加共享,提升資源利用率; 實現(xiàn)統(tǒng)一采購,利于降低成本,降低維
8、護難度和維護成本,便攜數(shù)量分布總攬,305臺,便攜總數(shù),公司全資,218臺,公私合資,87臺,用戶回購意向調(diào)查結果,65臺公司回購,支出203767元; 7配置回購,公司支出27589元; 8臺個人回購,公司收入21235元; 總計:公司共計需支出:210121元,投資分析,普通員工 發(fā)放臺式機,回購,回購方式: 員工補償公司出資部分,完全私有化便攜 公司補償員工出資部分,收回便攜,返回原員工辦公臺式機,未額外增加預算,總體投資主要體現(xiàn)在回購上。需雙向選擇回購的便攜為80臺,支付詳情: 1.員工全部回購,公司回款¥205,383 2.公司全部回購,公司支付¥272,955,總體投資,回購款計算
9、公式 購買時對方出資總額*(5使用年限)/5 (注:使用年限使用月數(shù)12,不足一月的以一月計算,整改后預期狀況,69人,218臺,配備數(shù)量,可供借用數(shù)量,一級部門總經(jīng)理以上領導中,有62人已經(jīng)使用公司全資便攜機,有7人使用“合資”便攜機,公司使用電腦辦公人數(shù)為2015人,218臺便攜達到了10%的比例,遠超過了5%的比例需求,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計劃,潛在風險及控制措施,請領導決策的決策點,整改進行5步曲,1. 事前目標用戶溝通與調(diào)查,2. 部門資產(chǎn)管理員、財務部門、IT資產(chǎn)管理部門協(xié)同工作的分工與交流,3. 目標用戶整改實施、整改過程配套服務、問題咨詢與解決、新
10、配套制度的宣傳,4. 整改后,配套電子流的優(yōu)化上線,5. 整改工作總結、持續(xù)優(yōu)化、例行配套服務,1,2,3,4,5,WBS進度計劃,Project Schedule-甘特圖,Project Schedule-網(wǎng)絡圖,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計劃,潛在風險及控制措施,請領導決策的決策點,Page 35,潛在風險,整改收益說明不清,失去支持; 高層溝通不足,決策緩慢,潛在風險及控制措施,深入分析現(xiàn)存問題,構思選擇出最優(yōu)的解決措施,形成詳盡PPT,向高層溝通匯報; 在決策會議前,與高層干系人全面溝通新措施,Page 36,潛在風險,用戶調(diào)查、溝通不足,整改在局部受阻,或者整
11、改周期長,潛在風險及控制措施,設計調(diào)查表,通過NOTES群發(fā)郵件調(diào)查用戶反饋意見; 針對于個別用戶,通過電話、面談等方式溝通,說明整改方案,Page 37,潛在風險,關聯(lián)部門分工配合出現(xiàn)混亂,潛在風險及控制措施,分析規(guī)劃好部門資產(chǎn)管理員、IT、財務等部門的工作內(nèi)容、配合方法、協(xié)作步驟,深入交流確認 平時分散辦公、定期集中交流,及時發(fā)現(xiàn)解決問題,Page 38,潛在風險,配套服務(比如申請電子流、制度宣傳、日常管理)跟不上,導致滿意度降低,潛在風險及控制措施,并行進行電子流的優(yōu)化工作; 制定PPT文件,并行開展新制度的宣傳工作; 與行政中心充分溝通協(xié)商好,便攜出門檢查執(zhí)行方式,目錄,便攜管理現(xiàn)狀,整改方案與收益,投資核算,整改計劃,潛在風險及控制措施,請領導決策的決策點,需要領導的支持,高層達成共識,項目正式立項,參加kick off項目開工會議,高層領導的支持,提供基礎保障,持續(xù)優(yōu)化運作的資產(chǎn)管理體系,Thank You