一、為什么建體系二、怎么建體系三、如何落體系為什么建體系?通過(guò)體系化方法，我們想解決安全管理的哪些痛點(diǎn)和老板的關(guān)系核心信息會(huì)不會(huì)丟？關(guān)鍵系統(tǒng)會(huì)不會(huì)停？出事多久能響應(yīng)？“人的一切煩惱均來(lái)自于人際關(guān)系?！薄⒌吕?和業(yè)務(wù)的關(guān)系——阿德勒安全不能全靠安全團(tuán)隊(duì)干，怎么讓業(yè)務(wù)干？怎么平衡安全和效率？安全紛繁復(fù)雜，怎么教業(yè)務(wù)干？怎么建體系?中興通訊信息安全管理體系框架目標(biāo)：防泄密、防入侵，一旦出事能快速發(fā)現(xiàn)、響應(yīng)并將損失降到最低，為業(yè)務(wù)保駕護(hù)航?？蚣埽?.總則、通則、細(xì)則分層管理2.組織、定、管、查閉環(huán)管理組組信息基礎(chǔ)設(shè)施信息流信息基礎(chǔ)設(shè)施信息流人員固定資產(chǎn)介質(zhì)密品會(huì)議展會(huì)供方附屬公司物理區(qū)域業(yè)務(wù)連續(xù)性會(huì)議展會(huì)供方附屬公司物理區(qū)域業(yè)務(wù)連續(xù)性確立總原則與方針總則統(tǒng)籌管理、業(yè)務(wù)負(fù)責(zé)；聚焦核心、分級(jí)管控總則專業(yè)安全團(tuán)隊(duì)通則專業(yè)安全團(tuán)隊(duì)通則結(jié)合公司業(yè)務(wù)特性，明確可落地原則性要求制定、發(fā)布業(yè)務(wù)細(xì)則結(jié)合公司業(yè)務(wù)特性，明確可落地原則性要求制定、發(fā)布業(yè)務(wù)細(xì)則業(yè)務(wù)部門業(yè)務(wù)細(xì)則安全要求嵌入業(yè)務(wù)流程安全規(guī)則更符合業(yè)務(wù)實(shí)際安全要求嵌入業(yè)務(wù)流程安全規(guī)則更符合業(yè)務(wù)實(shí)際先人后事有組織才能成事組織識(shí)別對(duì)象，解決管理源頭性問(wèn)題從而聚焦核心，分級(jí)管控先人后事有組織才能成事組織定查沒(méi)有完美的管理體系管定查沒(méi)有完美的管理體系管只有持續(xù)改進(jìn)的管理體系促進(jìn)閉環(huán)、負(fù)反饋、持續(xù)改進(jìn)管控信息流本身只有持續(xù)改進(jìn)的管理體系促進(jìn)閉環(huán)、負(fù)反饋、持續(xù)改進(jìn)怎么落體系?組織定管查讓站位不同的人達(dá)成共同目標(biāo)怎么讓他能夠干？架構(gòu)和職責(zé)機(jī)制和流程資源和能力架構(gòu)和職責(zé)機(jī)制和流程決策層決策層人、財(cái)、物評(píng)議會(huì)議人、財(cái)、物評(píng)議會(huì)議————信息安全部管理層管理層跟蹤執(zhí)行層跟蹤執(zhí)行層評(píng)價(jià)評(píng)價(jià)懂業(yè)務(wù)站位高懂業(yè)務(wù)站位高通報(bào)復(fù)雜管理要求—>簡(jiǎn)單數(shù)字指令通報(bào)復(fù)雜管理要求—>簡(jiǎn)單數(shù)字指令表彰組織定管查策略精準(zhǔn)定密策略精準(zhǔn)定密，聚焦核心，分級(jí)管控01統(tǒng)一標(biāo)準(zhǔn)？02業(yè)務(wù)參與？03發(fā)揮價(jià)值？確定解除變確定解除變更組織定管查頂層統(tǒng)一標(biāo)準(zhǔn)定密工作標(biāo)準(zhǔn)化流程頂層統(tǒng)一標(biāo)準(zhǔn)信息安全管理委員會(huì)信息分級(jí)標(biāo)準(zhǔn)業(yè)務(wù)深度參與信息管理部BU信息安全管理小組信息安全管理委員會(huì)信息分級(jí)標(biāo)準(zhǔn)業(yè)務(wù)深度參與信息管理部BU信息安全管理小組涉密事項(xiàng)范圍分級(jí)：絕密、機(jī)密、內(nèi)部使用、對(duì)外公開(kāi)絕密：泄露對(duì)企業(yè)長(zhǎng)期戰(zhàn)略目標(biāo)造成了嚴(yán)重影響，或?qū)M織生存造成風(fēng)險(xiǎn)，或?qū)?guó)家安全、公共利益造成風(fēng)險(xiǎn)能夠決定我司5G產(chǎn)品關(guān)鍵性能指標(biāo)處于國(guó)際領(lǐng)先競(jìng)爭(zhēng)優(yōu)勢(shì)的關(guān)鍵算法方案、源代碼涉密事項(xiàng)目錄信息清單各部門密標(biāo)數(shù)字管理MU涉密事項(xiàng)目錄信息清單各部門密標(biāo)數(shù)字管理MU-MIMO空分配對(duì)算法方案及源代碼：①影響峰值速率的關(guān)鍵指標(biāo)競(jìng)爭(zhēng)力；②多天線核心技術(shù)業(yè)界第一梯隊(duì)NRFMM下行***算法、NRFMM上行***算法組織定管查怎么管？誰(shuí)來(lái)怎么管？誰(shuí)來(lái)重點(diǎn)管什么？組織定管查組織定管查只管住信息就夠了嗎？什么管，什么不管？管理要素完整管理范圍明確管理要素完整產(chǎn)生接收信息流人員供方產(chǎn)生接收信息流人員供方信息信息流供方附屬公司人“更全面”人員供方附屬公司人“更全面”人員協(xié)議聘用服務(wù)合同+協(xié)議聘用服務(wù)合同+勞動(dòng)合同業(yè)務(wù)連續(xù)性活動(dòng)勞動(dòng)合同業(yè)務(wù)連續(xù)性活動(dòng)事會(huì)議展會(huì)事會(huì)議展會(huì)所有供方所有供方物理區(qū)域“更精準(zhǔn)”物理區(qū)域“更精準(zhǔn)”訪問(wèn)、處理、存儲(chǔ)、傳遞公司涉密信息的供方提供信息基礎(chǔ)設(shè)施組件的供方訪問(wèn)、處理、存儲(chǔ)、傳遞公司涉密信息的供方提供信息基礎(chǔ)設(shè)施組件的供方固定資產(chǎn)物固定資產(chǎn)密品介質(zhì)密品介質(zhì)只有明確定義，管理既不會(huì)遺漏，也不過(guò)泛濫。組織定管組織定管查如何平衡安全和效率？產(chǎn)生、強(qiáng)關(guān)聯(lián)、管存集中制作存儲(chǔ)處理、專用絕密信息核心涉密人員核心信息基礎(chǔ)設(shè)施絕密會(huì)議核心區(qū)域重大BCM事件以定密為主線絕密介質(zhì)核心固定資產(chǎn)核心密品核心供方重要附屬公司直接含有、觀測(cè)分析分級(jí)不是各自為戰(zhàn)，而是統(tǒng)一協(xié)調(diào)研發(fā)材部門研發(fā)材部門人員固定資產(chǎn)信息基礎(chǔ)架構(gòu)專業(yè)主建：歸口管理供應(yīng)鏈職能營(yíng)銷研發(fā)業(yè)務(wù)主戰(zhàn)：一線業(yè)務(wù)供應(yīng)鏈職能營(yíng)銷研發(fā)真正做到“業(yè)務(wù)誰(shuí)主管，安全誰(shuí)負(fù)責(zé)”組織定管查怎么管？業(yè)務(wù)、安全兩張皮，管不住，落地難。人員安全管控舉措嵌入人力資源入、在、調(diào)、離安全嵌入業(yè)務(wù)流程，體系協(xié)同，高效落地調(diào)職離職入職在職調(diào)職離職入職督察管理崗位管理激勵(lì)管理.漏洞舉報(bào)獎(jiǎng).商密泄密舉報(bào)獎(jiǎng)離職管理.離職審計(jì).適宜脫密督察管理崗位管理激勵(lì)管理.漏洞舉報(bào)獎(jiǎng).商密泄密舉報(bào)獎(jiǎng)離職管理.離職審計(jì).適宜脫密.競(jìng)業(yè)限制勞動(dòng)合同.保密協(xié)議.承諾書(shū)招聘管理人力調(diào)配干部選拔.干部背景調(diào)查信息流人員人員.調(diào)動(dòng)審計(jì).處罰通報(bào).司法追究.背景調(diào)查.新員工安全培訓(xùn)考試..調(diào)動(dòng)審計(jì).處罰通報(bào).司法追究.背景調(diào)查.新員工安全培訓(xùn)考試.在職培訓(xùn)考試.核心崗位培訓(xùn)考試物理區(qū)域出信息流與業(yè)務(wù)流“強(qiáng)關(guān)聯(lián)”安全要求必須與業(yè)務(wù)流程物理區(qū)域出 會(huì)議會(huì)議HPPD業(yè)務(wù)流程...?...?...誰(shuí)看了咋流轉(zhuǎn)組織定管查內(nèi)審檢查：獨(dú)立稽核，評(píng)估體系符合性，負(fù)反饋，促改善怎么查？怎么用？2023年Q1信息安全內(nèi)審評(píng)級(jí)為C 2023年Q1信息安全內(nèi)審評(píng)級(jí)為C 組織定管查發(fā)布全員信息安全發(fā)布全員信息安全三條紅線對(duì)員工：晉升、考核、獎(jiǎng)勵(lì)對(duì)干部：任職、后備選拔對(duì)海外員工：海外補(bǔ)貼、家屬陪同待遇事件處理明確規(guī)則信息安全事件處理信息安全事件處理東省侵犯知識(shí)產(chǎn)權(quán)典型案例。信息36%違規(guī)分析以加強(qiáng)精準(zhǔn)宣貫信息36%組織定管查獎(jiǎng)勵(lì)獎(jiǎng)勵(lì)年度評(píng)選十佳漏洞舉報(bào)獎(jiǎng)，個(gè)人主頁(yè)掛牌年度評(píng)選十佳漏洞舉報(bào)獎(jiǎng)，個(gè)人主頁(yè)掛牌，全員可視風(fēng)險(xiǎn)管控，人人有責(zé)最高100萬(wàn)元人民幣最高1萬(wàn)元人民幣組織決策層信息安全部BU業(yè)務(wù)安全經(jīng)理信息安全部BU業(yè)務(wù)安全經(jīng)理管理層執(zhí)行層定密專家組A項(xiàng)目項(xiàng)目經(jīng)理是信息安全第一責(zé)任人A項(xiàng)目PMM是項(xiàng)目信息安全接口人BU信息安全總監(jiān)、主管管理層執(zhí)行層定密專家組A項(xiàng)目項(xiàng)目經(jīng)理是信息安全第一責(zé)任人A項(xiàng)目PMM是項(xiàng)目信息安全接口人定提供工具提供工具，右鍵定密，提示定密依據(jù)，建立數(shù)字身份標(biāo)識(shí)。絕密事項(xiàng)范圍絕密事項(xiàng)范圍絕密事項(xiàng)目錄絕密事項(xiàng)目錄33管“組裝式樂(lè)高架構(gòu)”研發(fā)階段試生產(chǎn)階段外場(chǎng)測(cè)試階段單位管理管理要素分級(jí)標(biāo)準(zhǔn)流程流程控制查公司體系認(rèn)證公司體系認(rèn)證信息安全部信息安全部定密專家組定密專家組A項(xiàng)目自檢自查A項(xiàng)目自檢自查業(yè)務(wù)無(wú)檢查機(jī)制，認(rèn)證直接不通過(guò)事件事件泄密：以“人“為中心A項(xiàng)目A項(xiàng)目核心人員風(fēng)險(xiǎn)人員A項(xiàng)目核心設(shè)備入侵：以“失陷設(shè)備“為中心A項(xiàng)目核心設(shè)備和老板的關(guān)系以定密為主線精準(zhǔn)識(shí)別核心信息會(huì)不會(huì)丟？關(guān)鍵系統(tǒng)會(huì)不會(huì)停？出事多久能響應(yīng)？聚焦管理對(duì)象立體化管理和業(yè)務(wù)的關(guān)系專業(yè)主建，業(yè)務(wù)主戰(zhàn)，嵌入