根据客户业务的发展,协助调整、确定信息安全体系中各领域工作重点,组织合理的组织结构分工为企业安全管理打下坚实的基础;并针对国际标准中信息安全管理控制领域,分析、评估客户的现状、风险和安全需求,提出控制措施的建议,并通过相关管理制度的更新和完善将控制措施规范化。
中国海油是一家全球性的石油公司,组织机构比较复杂,经常有新的公司成立、兼并、重组,业务发展非常迅速。随着信息海油的逐步实现,中国海油的信息系统规模日益庞大,给信息安全管理工作带来巨大压力。如何为中国海油在信息化快速发展的现状下提供合理、合规、适用的服务成为项目组成员面临的挑战。
协助制定发布中海油信息安全内控管理管理制度; 针对中海油重新梳ISO27001信息安全管理体系; 评估现有的安全组织、角色定位、职责以及相互关系是否能有效支持信息安全工作的开展,并提出的改进建议; 分析信息系统正常运行、信息及服务的机密性、完整性、可用性部分或完全丧失的事件的相关机制的有效性,根据提出的改进建议,完善中国海油安全事件响应相关管理制度; 组织了集团层面的信息安全意识培训,进行以“提升学员的安全意识,掌握基本的安全防护手段,熟悉常见安全的配置方法,了解信息安全管理体系,熟悉信息安全应急响应流程”为根本目标的信息安全意识培训。 开展集团所属的对外网站进行安全评测和加固工作和重要网段服务器、终端的评估加固工作,及时发现信息系统存在弱点漏洞,并进行修复。