华为信息安全运营总监孙颖：华为数据安全管理实践

2020-02-27 1733浏览

1.
2.华为数据安全管理实践孙颖华为信息安全运营总监
3.目录 1 需求及解决方案 2 机要信息资产识别与管控 3 安全运营保障方案 4 成果展示
4.内外部环境变化驱动华为加大力度保护核心信息资产信息随着华为竞争力的提升，居于业界领先地位的自主研资产发的智力资产越来越多，信息资产价值越来越大漏洞云计算、移动化等IT技术在提升业务效率同时，引入了更多的安全风险威胁觊觎华为核心竞争力的竞争对手越来越多安全建设势在必行构建与华为业务发展和竞争态势相匹配的信息安全体系
5.找到华为核心信息资产，从流程、组织、技术三个方面构建数据安全整体解决方案
6.目录 1 需求及解决方案 2 机要信息资产识别与管控 3 安全运营保障方案 4 成果展示
7.信息：识别核心信息资产在流程中在系统中的位置
8.人：识别使用待保护资产的人在流程中在系统中的位置
9.管控模式：什么人在什么时间什么地点如何使用哪些资产 (4W1H)
10.目录 1 需求及解决方案 2 机要信息资产识别与管控 3 安全运营保障方案 4 成果展示
11.安全控制要素融入业务流程安全要求：关键项目的源代码集成测试通过后要上载到PDM系统只允许最小授权范围可读，并删除本地源码。产品研发流程关键信息资产清单立项报告 IT环境代码 BOM 员工PC PDM 安全要求化整为零，融入业务流程，完成对业务流程的安全改造，实现“润物细无声”的安全管理目标安全控制要素 • 增加项目属性“是否关键项目” • 增加评审Checklist关于“是否关键项目”的判断要求 • 增加指南“关键项目”的判断原则 PDM系统需对关键项目源代码的访问范围设置进行校验，研发信息安全专员如不得设置为全员可读 • 检查源代码是否上载PDM • 检查PDM授权是否符合要求 • 检查员工PC上的源代码是否删除
12.安全组织要上有支持下有支撑，持续运营推动改进决策层各部门一把手是本部门信息安全的第一责任人研发体系销服体系 CISO有向老板直接汇报的通道和权力公司信息安全监管委员会首席信息安全官CISO 信息安全部战略市场体系流程&IT 管理层研发体系信管办操作层运营商BG信管专员终端BG信管专员企业网BG信管专员技术实现层销服体系信管办战略市场体系信管办亚太信管专员南太信管专员安全运营推动整个体系持续改进西欧信管专员 …… 行政管理业务管理流程&IT 信管办强大的技术支撑实现能力，形成安全威慑网络安全部
13.安全管控、安全服务、安全监控三位一体打造管理落地的技术基石
14.包含运营解决方案的安全管控方案  导出：只有关键角色才能拥有包含关键信息资产关键属性界面的导出权限，且只能在公司内网指定地点使用客户端进行导出操作。控制点二：如何控制新增关键界面？控制点一：如何保证机要岗位人员在指定地点访问？控制点三：如何控制新增机要角色和新增机要岗位人员？  打印：只提供对单张报表进行打印的功能，无法对批量数据进行打印
15.安全运营管控举例：新增关键界面的管控方案新增删除信息安全科和项目组业务成员逐一检查和审视所有界面 CRM关键界面清单上线后，发动全体业务人员发现关键界面，通过奖励举报的方式，消除死角新增CRM关键界面的管控方案解决存量风险 CRM上线新配置界面会产生配置传输日志，定期对配置传输日志进行审计，通过审计配置传输日志能够发现新建界面是否调用关键属性解决新增风险
16.安全服务提升运营体验从而促成管控目标的达成在服务中管控：需要通过良好的服务来降低安全对业务效率的影响。
17.安全服务举例：关键岗位人员一键式获得关键权限 • 一键式：业务人员只要提交一次申请即可获得所有相关的资源 • 安全职责告知：在申请流程中备注具体的安全管理要求和应尽职责义务，无须业务人员自行查找相关规定 • 直接主管负责制：直接主管对授权负责，无须多层审批
18.安全监控是建立安全威慑的重要保障关键岗位张三用账号zhangsan登陆CRM，进入客户管理界面，搜索“客户 360信息”，之后批量导出到excel文档，然后发送给主管李四。
19.目录 1 需求及解决方案 2 机要信息资产识别与管控 3 安全运营保障方案 4 成果展示
20.安全运营蓝图：一个团队、一份报告安全运营机制安全运营团队评估、指导、监控业务人员在业务流程中对关键信息资产的使用，每月向公司管理层汇报关键信息资产安全状况。安全运营报告运营报告内容：包括关键信息资产清单、关键岗位人员清单以及分布情况、安全合规状况等。保障安全管控持续有效
21.企业安全整体态势业界安全态势整体安全态势
22.孙颖华为信息安全运营总监