中化国际(控股)股份有限公司

更新时间:2018-09-29 11:09    |    浏览量:119

        中化国际(控股)股份有限公司(简称:中化国际)是在精细化工、天然橡胶等领域从事实业投资、物流、贸易分销等国际化经营的大型国有控股上市公司(股票代码:600500),客户遍及全球100多个国家和地区。2014年,营业收入达到386.05亿元人民币,总资产301.11亿元人民币。 中化国际坚持“扎根本土的国际化”战略目标,持续围绕核心业务进行上下游和国内外市场延伸,强化在核心业务领域对资源和市场的组织能力和服务能力,最终成为“引领中国化工产业精细化进程”的优秀公司。按照集团公司信息化建设战略规划要求,2013年集团信息技术部按照公安部颁布的信息系统安全等级保护技术要求及ISO 27001国际信息安全管理标准,对包括中化国际在内的12家主要经营单位进行了信息安全评估,并根据评估结果制定了集团信息安全建设三年规划,落实了部分信息安全风险整改计划,而中化国际在网络边界安全、入侵防御和系统日志管理上存在一定风险,需要在信息安全体层的设备防护基础方面进行加强;从中化国际业务发展层面,随着公司实业战略转型和国际化的不断深入,新材料、橡胶、农化等业务在国际商业合作中对知识产权和配方保密等方面提出更高的的要求;同时,中化国际作为上市公司,其信息披露和保密工作也随着外部监管的要求也在日益提高;因此,中化国际信息安全系统的建设与加固也势在必行。

 项目范围:中化国际涉密单位、信息技术部、信息技术相关的IT服务团队。

 实施周期:2014年04月至2014年12月

 项目内容

信息安全风险评估阶段

        1、以ISO/IEC27003:2005标准要求,ISO/IEC31000:2009标准要求为框架,建立有关IT资产、IT服务、IT流程的风险评估程序,规范IT资产、IT服务、IT流程的风险评估过程及方法,识别资产、服务、流程各方面面临的风险,并对现有的信息安全管理措施有效性进行评估,建立信息安全风险识别表;
        2、完善各部门信息安全职责定位,检查信息安全规章制度落实情况,建立信息安全评估KPI考核体系;
        3、完成一次管理层信息安全风险培训,并与管理层就信息安全风险承受内力进行沟通,明确公司管理层对信息安全的管理要求;
        4、在满足管理层对公司信息安全要求的基础上,对现有的与信息安全相关的规章制度进行梳理和修订;
        5、根据信息安全风险评估的结果,制定详细的风险处置计划。

ISO27001体系认证阶段

        1、参考ISO/IEC 27001:2013标准以及适用的行规、法规要求,以国际化标准的要求完善和补充公司信息安全管理体系;
        2、落实第一阶段风险处置中的管理和技术解决方案;
        3、完成一次员工信息安全风险培训,就信息安全考核体系及管理层就信息安全的相关要求进行宣贯;
        4、参考ISO 22301标准,建立完善三个核心应用系统的IT业务连续性计划,协助开展三个核心应用系统的应急预案演练;
        5、确保在2014年底前通过IS027001:2013,并获得由权威机构颁发的认证证书。