邁普通信技術(shù)股份有限公司成立于 1993 年,是國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)產(chǎn)品及解決方案供應(yīng)商,工信部重點(diǎn)支持的四大國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備廠商之一。
公司困擾
邁普是個(gè)研、產(chǎn)、銷(xiāo)一體的制造型企業(yè),崗位多業(yè)務(wù)復(fù)雜,給信息安全管理造成了很大的困擾,總結(jié)如下:
- 數(shù)據(jù)資產(chǎn)沒(méi)有統(tǒng)一的管理。
- 辦公環(huán)境相對(duì)來(lái)說(shuō)比較復(fù)雜。
- 管控手段弱
14年公司確立國(guó)產(chǎn)化自主研發(fā)的戰(zhàn)略目標(biāo)后,對(duì)數(shù)據(jù)資產(chǎn)的安全管理也提出了更高的要求,建設(shè)更安全的體系迫在眉睫。
我們思考
命題有了,那么我們?cè)撛趺醋觯拷?jīng)過(guò)多方學(xué)習(xí)考察,我們意識(shí)到要全面提升安全管理,必須建立一套安全體系來(lái)管控。
統(tǒng)一思想、確定主體:在公司內(nèi)部明確安全職責(zé)是整個(gè)公司出于自身發(fā)展的內(nèi)在需求。公司成立信息安全領(lǐng)導(dǎo)小組,包括了IT、研發(fā)、檔案等相關(guān)部門(mén),來(lái)推動(dòng)整個(gè)公司的信息安全治理。三個(gè)步驟:
行動(dòng)步驟
各個(gè)部門(mén)逐個(gè)做信息資產(chǎn)的識(shí)別,梳理在業(yè)務(wù)發(fā)生的過(guò)程中會(huì)用到、產(chǎn)生哪些數(shù)據(jù)資產(chǎn)。
通過(guò)匯總整合各業(yè)務(wù)部門(mén)梳理的數(shù)據(jù)資產(chǎn)清單形成全公司的信息資產(chǎn)臺(tái)賬,臺(tái)賬中包括了對(duì)資產(chǎn)重要性的評(píng)級(jí)以及當(dāng)前管理方式。并每年組織對(duì)資產(chǎn)臺(tái)賬和管理政策重新梳理和評(píng)審。
同時(shí)配套發(fā)布了商業(yè)秘密相關(guān)管理政策,對(duì)新同事在入職培訓(xùn)時(shí)進(jìn)行信息安全培訓(xùn),加強(qiáng)意識(shí)明確職責(zé),對(duì)老員工也不定期地組織安全培訓(xùn)鞏固意識(shí)。
第二步:資產(chǎn)分級(jí),規(guī)劃安全區(qū)域分級(jí)管理
組織各部門(mén)梳理數(shù)據(jù)資產(chǎn)的重要性:通過(guò)分析拉出綜合的評(píng)定和評(píng)級(jí),把資產(chǎn)進(jìn)行重要性排序,然后再結(jié)合資產(chǎn)的全生命周期中所涉及的環(huán)境進(jìn)行歸類(lèi)管理劃分,規(guī)劃出重要性相近、安全要求類(lèi)似、業(yè)務(wù)關(guān)系密切的安全區(qū)域進(jìn)行分級(jí)管理。不同區(qū)域根據(jù)其環(huán)境特點(diǎn)制定不同的安全標(biāo)準(zhǔn)。
第三步:識(shí)別現(xiàn)狀逐步改進(jìn)
根據(jù)不同區(qū)域的安全要求,審視現(xiàn)狀識(shí)別風(fēng)險(xiǎn),評(píng)估風(fēng)險(xiǎn)造成的影響會(huì)有多大,形成風(fēng)險(xiǎn)臺(tái)賬。對(duì)風(fēng)險(xiǎn)評(píng)級(jí)較高的風(fēng)險(xiǎn)點(diǎn),優(yōu)先從技術(shù)上和管理上制定相應(yīng)的整改方案。規(guī)劃出信息安全的技術(shù)架構(gòu),針對(duì)薄弱點(diǎn)制定信息安全建設(shè)規(guī)劃。
鴻翼助力
»文檔體系與資產(chǎn)臺(tái)賬
非結(jié)構(gòu)化數(shù)據(jù)是企業(yè)數(shù)據(jù)資產(chǎn)的重要組成部分,據(jù)統(tǒng)計(jì)可達(dá)到企業(yè)數(shù)據(jù)總量的80%,幾乎所有部門(mén)都涉及,企業(yè)數(shù)字化基礎(chǔ)除了結(jié)構(gòu)化數(shù)據(jù)和流程的打通,也需要打通非結(jié)構(gòu)化數(shù)據(jù)。鴻翼以非結(jié)構(gòu)化數(shù)據(jù)管理能力為核心,建立統(tǒng)一管理、統(tǒng)一搜索、統(tǒng)一協(xié)作、統(tǒng)一利用的文檔管理平臺(tái),保障企業(yè)數(shù)據(jù)安全合規(guī),為企業(yè)提供了一套全面建立非結(jié)構(gòu)化數(shù)據(jù)管理體系的方案。我們借助鴻翼的實(shí)施方法論在前期組織各部門(mén)完成了資產(chǎn)識(shí)別分級(jí)工作,并建立整個(gè)公司統(tǒng)一的文檔架構(gòu)和分級(jí)管理體系(公司級(jí)、領(lǐng)域級(jí)、部門(mén)級(jí)),解決了不知道要管什么的問(wèn)題。引入企業(yè)內(nèi)容管理系統(tǒng)(ECM)產(chǎn)品建立文檔系統(tǒng)將各部門(mén)文檔集中管理,利用系統(tǒng)進(jìn)行文檔協(xié)同辦公,解決原有工作方式改變帶來(lái)的效率影響,通過(guò)系統(tǒng)對(duì)文檔權(quán)限的精細(xì)化管理解決一直困擾我們的文檔安全問(wèn)題。
在實(shí)施過(guò)程中,最大的難題是不同安全控制區(qū)域和統(tǒng)一文檔架構(gòu)怎樣兼顧:從效率角度出發(fā)需要實(shí)現(xiàn)系統(tǒng)在各區(qū)均可使用且文件搜索結(jié)果保持一致。從安全管控角度出發(fā)又要求在低安全區(qū)域不能打開(kāi)高安全區(qū)域文件僅能從搜索結(jié)果知道該文件存在,此原則還必須高于系統(tǒng)角色身份授權(quán)。經(jīng)雙方團(tuán)隊(duì)反復(fù)論證,最終通過(guò)文檔數(shù)據(jù)庫(kù)與文檔實(shí)體庫(kù)分離,文檔實(shí)體庫(kù)分區(qū)域部署的技術(shù)架構(gòu)完美解決了這一難題。
文檔系統(tǒng)在我司不僅是一個(gè)文檔工具,還是整個(gè)企業(yè)的非結(jié)構(gòu)化數(shù)據(jù)庫(kù)。要求該系統(tǒng)以文檔服務(wù)形式集成到我司企業(yè)服務(wù)總線中,提供給業(yè)務(wù)端系統(tǒng)集成調(diào)用。鴻翼產(chǎn)品經(jīng)集成后在流程中的文檔協(xié)同、文檔自動(dòng)歸檔、文檔安全控制方面都為我們提供了技術(shù)實(shí)現(xiàn)。
其中一個(gè)典型案例就是規(guī)章制度系統(tǒng)。規(guī)章制度庫(kù)是一個(gè)公司管理和知識(shí)的結(jié)晶,需要集中管理以便員工快速地獲取,同時(shí)也需要安全控制防范外泄。我們制作的規(guī)則制度系統(tǒng)以文檔產(chǎn)品為制度正文及附件存放數(shù)據(jù)庫(kù),以BMP產(chǎn)品串聯(lián)各環(huán)節(jié)審批,并通過(guò)文檔產(chǎn)品的版本控制制度發(fā)布。通過(guò)文檔產(chǎn)品對(duì)權(quán)限的精細(xì)化控制,實(shí)現(xiàn)員工可在線查閱制度內(nèi)容但不能下載打印,而所需要的附件文件又允許下載。即實(shí)現(xiàn)了制度的統(tǒng)一發(fā)布宣慣,也保證了數(shù)據(jù)資產(chǎn)的安全。
價(jià)值分析
回顧信息安全建設(shè)過(guò)程,作為IT部門(mén)該怎么展現(xiàn)價(jià)值?是簡(jiǎn)單上點(diǎn)安全工具把安全管控實(shí)現(xiàn)就大功告成嗎?不是!
公司領(lǐng)導(dǎo)提出來(lái)的安全基線,合規(guī)遵從等等要求,其實(shí)都有一個(gè)隱含的前提:企業(yè)利益的最大化保障,安全和利益都要保障,要雙贏!這對(duì)IT部門(mén)是挑戰(zhàn),也是體現(xiàn)價(jià)值的機(jī)會(huì)。
怎么做到雙贏?我們需要深入剖析公司安全管理要求,理解要求背后的需求出發(fā)點(diǎn)。真正走進(jìn)業(yè)務(wù),站在他們的角度去識(shí)別問(wèn)題、分析問(wèn)題。不強(qiáng)制執(zhí)行,也不一味妥協(xié),以安全要求為底線,為業(yè)務(wù)效率提升追求最大化效益。就能夠得出即滿足公司安全要求也能得到業(yè)務(wù)部門(mén)支持的落地方案。
最終實(shí)現(xiàn)IT的價(jià)值——為企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航!
