1、顺丰服务项目总体情况
顺丰信息安全咨询顾问项目涉及顺丰公司信息安全管理与信息安全技术方案咨询相关的七大方面内容,具体包括:1、信息安全政策标准咨询,2、信息安全管理体系审查,3、信息安全规范制度审核,4、信息安全技术方案措施咨询,5、新产品新技术新手段应用咨询,6、信息安全事件调查协助,7、信息安全培训等。相关工作基本完成,有些方面的工作已经超额完成。总体完成情况如下表所示:
顺丰信息安全咨询顾问项目服务及研究内容
序号 |
项目 |
主要工作内容 |
完成情况 |
1 |
信息安全政策标准咨询 |
对ISO27001,GB/T22239,GB/T22240等标准政策文件进行了解读和答疑。提供了标准文本和检查评估作业指导书。 |
完成 |
2 |
信息安全管理体系审查 |
对信息安全管理体系文件清单进行了审查。在风险评估项目总进行了管理体系差距分析,查找遗漏项并提出改进建议。 |
完成 |
3 |
信息安全规范制度审核 |
对基线要求等企业规范制度流程进行评审,给出评审和优化意见。 |
完成 |
4 |
信息安全技术方案措施咨询 |
参照“风险评估项目”结果,协助确立科学、先进的信息安全技术规划方案。协助进行信息安全工程产品选型测试,进行上线系统渗透测试。 |
完成 |
5 |
新产品新技术新手段应用咨询 |
顺应信息安全新技术新产品新手段的发展趋势,提出如SDL等的新应用方向咨询。 |
完成 |
6 |
信息安全事件调查协助 |
进行信息安全事件协助调查,指导分析根源和取证,帮助提出安全事件的有效防范措施,避免类似事件再次发生。 |
完成 |
7 |
信息安全培训 |
进行总监级的信息安全意识,进行安全技术培训。 |
完成 |
2、顺丰服务项目主要工作
工作1:给信息安全风险评估提出工作思路,为顺丰公司信息安全建设整改5大重点项目来源提供了重要依据。
通过前期开始的信息安全风险评估,历时近3个月,是基于资产的一次信息安全风险大摸底。在这个风险评估工作过程中,我方首先是作为技术顾问,重点参与了渗透测试工作。从外围进行渗透,成功渗透攻破顺丰积分网站,并下载数据库,获得后台管理员账号密码。其次,在风险评估报告编制阶段提出了TOP10风险、风险分类和发展趋势分析思路,为报告的编制奠定基本思路。
工作2:进行了信息安全技术体系规划,为以后的信息安全技术工作提供了方向指引。
信息安全技术体系是《基线要求》的继承者、完善者和落地者。因此技术体系既体现了我们信息安全技术思路的一贯性,也体现了信息安全技术最后一公里的重要性和可执行性。信息安全技术体系从我们的网络基础设施空间展布和应用系统业务逻辑分布两个维度,从双生命周期管理的角度,全方位、全过程全面覆盖信息安全技术应用发展脉络,形成30多项具体安全工程,取得了信息安全技术规划较为满意的成果。
工作3:进行了高层信息安全培训。
资科总监级以上的高层对信息安全工作的认识和支持是我们信息安全工作成败的一个非常关键因素。本次培训,既是安永外审提出的整改建议需要,也是我们内部工作的必然要求。通过本次培训,可以达到统一对信息安全工作的认识,扫除安全认知盲区,为落实执行资科信息安全统一行动纲领进行了前期铺垫,取得了较好效果。