论文部分内容阅读
企业在信息安全管理中面临着许多挑战和问题,萨班斯法案302、404条款要求加强内部控制、揭露弱点和欺诈,并对内部控制有效性进行评价。中兴通讯又如何应对萨班斯法案?
总体解决方案
目前,中兴通讯已建立起一套完整的信息安全管理与执行的解决方案——安全总控中心(SOC),完善海外上市公司内控机制的有力工具。
1.对企业信息安全进行集中管理
SOC将国内外先进的安全技术和产品结合到安全总控中心产品中。并将这些安全产品和SOC进行有机的系统结合,一方面作为安全数据的采集器,另一方面进行主动管理。中兴通讯SOC同系列国内外先进的产品的集成经过了数万用户的检验,是成熟可靠的。同时中兴通讯的SOC可以和企业现有的安全产品进行集成,既利旧,又可将此企业现有的安全产品集成在一个企业统一的安全管理平台下。
2.针对企业、部门及员工信息安全状况或要求,定制安全产品和安全策略
根据企业不同部门或群组人员的性质,制定不同的安全策略,并可对同一组人在不同场合设定不同安全策略,如员工在办公室工作和在外地出差,安全总控中心可以判断员工所在场所,并设定办公室和出差的不同的安全策略。
3.揭露企业信息安全弱点和威胁并评价管控的有效性
建立对核心信息资产的分级管理、利用SOC中完善的威胁库、弱点库和风险管理模板(定性或定量)對核心业务及资产进行风险评估,关注企业面临较大的安全风险,并以此制定相应的管控措施降低风险到可接受的程度,同时对残余风险进行评价。采用完整的PDCA持续改进模型对信息安全风险进行改进和控制。提供评估任务、评估模板、风险评估等,同时提供风险评估分析和风险价值分析等模块。
4.实施安全监控、安全审计、安全考核
安全监控包括系统运行监控、PC安全监控等;根据不同安全策略进行安全审计,安全审计提供病毒审计、邮件审计、应用系统登陆审计等等。对各级组织提供各方面的安全考核,包括部门考核、员工考核、KPI建立及维护等等,以促使信息安全工作的可落实,保证企业信息资产的保密性、完整性、可用性和不可抵赖性。
产品特点及优势
中兴通讯的SOC产品具有以下特点:
1.基于国际信息安全体系(ISO27001)的安全管理和管控措施,并部分结合了ITIL、COBIT等内容,是信息安全技术体系和信息安全管理体系互动的桥梁和纽带。
2.注重长期效果,使安全达到可管理、可操作的目标
总控中心将所有安全产品、安全措施的管理和审计数据提取过来。即可作为日常管理的数据,便于管理者清晰了解安全状况,采取安全措施,又便于审计,纠正威胁公司安全的行为。
3.为企业信息安全管理提供了统一的平台
安全总控中心以行政部门自主管理为核心,发挥各级管理干部的主动性和积极性,系统将所有安全状态、安全事件、信息资产与员工本人及员工所在的部门、科室相关联。
4.具有良好的可拆分性、可扩展性、高容错性、高可用性、模块化
能够集中进行安全管理,进行安全全局分析和动态监控,降低管理复杂度和管理成本,同时又可以细到员工的每台电脑、每个文档、每个资产等。
5.是SOX法案符合性的重要支持工具之一
通过授权和防止未经授权和不正当的访问,对日志的分析和报告,对内控和效果评价,对弱点和威胁分析和管控等手段重点对SOX302、404条款相符合。
实施服务及技术支持的优势
中兴通讯的安全团队,有着丰富的安全部署及实施方面的经验,这些经验不仅体现在技术方面,还体现在部署思路及策略方面。在部署过程中技术方面的考虑也很重要,如:软件兼容性,安全软件对终端性能的影响等。
中兴通讯的IT热线、安全项目组工程师对我们的所有安全软件以及操作系统方面的安装、维护有着丰富的经验,可以及时解决终端的故障。同时,拥有近10000条各种问题的报障及解决方案的知识库,这对快速定位问题,解决故障非常有帮助。
应用案例
在某国内大型运营商终端安全项目中,中兴通讯提供了一个先进可靠的终端安全解决方案,以安全总控中心(SOC)为核心,有机集成终端安全产品(防病毒、网络接入控制、安全策略管理与分发、安全策略执行、个人防火墙、资产管理与软件分发),为客户提供了一个统一的安全管理平台,实现了安全的全局可控,有效提高了信息安全水平,降低了信息安全风险。
总体解决方案
目前,中兴通讯已建立起一套完整的信息安全管理与执行的解决方案——安全总控中心(SOC),完善海外上市公司内控机制的有力工具。
1.对企业信息安全进行集中管理
SOC将国内外先进的安全技术和产品结合到安全总控中心产品中。并将这些安全产品和SOC进行有机的系统结合,一方面作为安全数据的采集器,另一方面进行主动管理。中兴通讯SOC同系列国内外先进的产品的集成经过了数万用户的检验,是成熟可靠的。同时中兴通讯的SOC可以和企业现有的安全产品进行集成,既利旧,又可将此企业现有的安全产品集成在一个企业统一的安全管理平台下。
2.针对企业、部门及员工信息安全状况或要求,定制安全产品和安全策略
根据企业不同部门或群组人员的性质,制定不同的安全策略,并可对同一组人在不同场合设定不同安全策略,如员工在办公室工作和在外地出差,安全总控中心可以判断员工所在场所,并设定办公室和出差的不同的安全策略。
3.揭露企业信息安全弱点和威胁并评价管控的有效性
建立对核心信息资产的分级管理、利用SOC中完善的威胁库、弱点库和风险管理模板(定性或定量)對核心业务及资产进行风险评估,关注企业面临较大的安全风险,并以此制定相应的管控措施降低风险到可接受的程度,同时对残余风险进行评价。采用完整的PDCA持续改进模型对信息安全风险进行改进和控制。提供评估任务、评估模板、风险评估等,同时提供风险评估分析和风险价值分析等模块。
4.实施安全监控、安全审计、安全考核
安全监控包括系统运行监控、PC安全监控等;根据不同安全策略进行安全审计,安全审计提供病毒审计、邮件审计、应用系统登陆审计等等。对各级组织提供各方面的安全考核,包括部门考核、员工考核、KPI建立及维护等等,以促使信息安全工作的可落实,保证企业信息资产的保密性、完整性、可用性和不可抵赖性。
产品特点及优势
中兴通讯的SOC产品具有以下特点:
1.基于国际信息安全体系(ISO27001)的安全管理和管控措施,并部分结合了ITIL、COBIT等内容,是信息安全技术体系和信息安全管理体系互动的桥梁和纽带。
2.注重长期效果,使安全达到可管理、可操作的目标
总控中心将所有安全产品、安全措施的管理和审计数据提取过来。即可作为日常管理的数据,便于管理者清晰了解安全状况,采取安全措施,又便于审计,纠正威胁公司安全的行为。
3.为企业信息安全管理提供了统一的平台
安全总控中心以行政部门自主管理为核心,发挥各级管理干部的主动性和积极性,系统将所有安全状态、安全事件、信息资产与员工本人及员工所在的部门、科室相关联。
4.具有良好的可拆分性、可扩展性、高容错性、高可用性、模块化
能够集中进行安全管理,进行安全全局分析和动态监控,降低管理复杂度和管理成本,同时又可以细到员工的每台电脑、每个文档、每个资产等。
5.是SOX法案符合性的重要支持工具之一
通过授权和防止未经授权和不正当的访问,对日志的分析和报告,对内控和效果评价,对弱点和威胁分析和管控等手段重点对SOX302、404条款相符合。
实施服务及技术支持的优势
中兴通讯的安全团队,有着丰富的安全部署及实施方面的经验,这些经验不仅体现在技术方面,还体现在部署思路及策略方面。在部署过程中技术方面的考虑也很重要,如:软件兼容性,安全软件对终端性能的影响等。
中兴通讯的IT热线、安全项目组工程师对我们的所有安全软件以及操作系统方面的安装、维护有着丰富的经验,可以及时解决终端的故障。同时,拥有近10000条各种问题的报障及解决方案的知识库,这对快速定位问题,解决故障非常有帮助。
应用案例
在某国内大型运营商终端安全项目中,中兴通讯提供了一个先进可靠的终端安全解决方案,以安全总控中心(SOC)为核心,有机集成终端安全产品(防病毒、网络接入控制、安全策略管理与分发、安全策略执行、个人防火墙、资产管理与软件分发),为客户提供了一个统一的安全管理平台,实现了安全的全局可控,有效提高了信息安全水平,降低了信息安全风险。