導(dǎo)讀

本文以能源行業(yè)為例，探討數(shù)字化轉(zhuǎn)型信息化安全保障體系和能力提升建議。目前企業(yè)大力發(fā)展以數(shù)據(jù)技術(shù)為核心的數(shù)據(jù)資產(chǎn)管理規(guī)劃，在進(jìn)行的同時(shí)企業(yè)應(yīng)設(shè)置信息安全決策組織、信息安全管理組織、信息安全執(zhí)行組織以及信息安全監(jiān)管組織，并明確各組織職能。依據(jù)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”原則，制定集團(tuán)信息安全策略。

[[431361]]

01企業(yè)安全組織體系

主要包括：信息安全決策組織、信息安全管理組織、信息安全執(zhí)行組織以及信息安全監(jiān)管組織

信息安全決策組織

成立信息安全決策小組，設(shè)置信息安全辦公室，是信息化工作的最高決策者，負(fù)責(zé)對(duì)信息安全方面的工作進(jìn)行指導(dǎo)和控制

信息安全管理組織

設(shè)置信息安全管理小組，隸屬信息安全辦公室，是信息安全工作規(guī)則的制定者和決策推行的管理者，負(fù)責(zé)信息安全日常管理和監(jiān)控。

信息安全執(zhí)行組織

集團(tuán)總部及下屬單位的各業(yè)務(wù)部門和信息化管理部門，主要負(fù)責(zé)具體信息安全控制措施的執(zhí)行和開展。

02企業(yè)信息化安全策略體系

集團(tuán)6大安全策略：

安全分區(qū)策略 有效隔離策略 云計(jì)算安全策略 等級(jí)保護(hù)策略 縱深防護(hù)策略 統(tǒng)一接入策略

終端設(shè)備接入安全

提供一套終端和設(shè)備管理和安全解決方案。根據(jù)管理員定義要求，為設(shè)備分配不同的內(nèi)網(wǎng)訪問權(quán)限，同時(shí)對(duì)設(shè)備下發(fā)安全配置，最后，對(duì)用戶接入內(nèi)網(wǎng)訪問資源、失聯(lián)、管理員操作等事件進(jìn)行日志記錄

數(shù)據(jù)接入安全

實(shí)現(xiàn)多個(gè)平臺(tái)間同步共享文檔;而且，用戶在使用內(nèi)網(wǎng)敏感文檔時(shí)，數(shù)據(jù)不會(huì)在非受控區(qū)保留痕跡。

03企業(yè)信息化安全技術(shù)體系

安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ)，包括了信息安全技術(shù)服務(wù)、管理工具及技術(shù)產(chǎn)品三類。

04企業(yè)信息化保障體系

05企業(yè)信息化能力提升建議

集團(tuán)在未來信息化建設(shè)中需從業(yè)務(wù)能力和IT能力兩個(gè)維度重點(diǎn)建立標(biāo)準(zhǔn)化能力、基礎(chǔ)服務(wù)能力、數(shù)據(jù)運(yùn)營(yíng)能力、優(yōu)質(zhì)服務(wù)能力和智能服務(wù)能力等5個(gè)方面的能力。