公司簡介
▼
邁普通信技術股份有限公司成立于 1993 年�����,是國內(nèi)領先的網(wǎng)絡產(chǎn)品及解決方案供應商�����,工信部重點支持的四大國產(chǎn)網(wǎng)絡設備廠商之一。公司于 2015 年加入中國電子信息產(chǎn)業(yè)集團有限公司(CEC)���,是 CEC 網(wǎng)絡安全與信息化領域的重要核心力量。
公司總部位于成都�����,在成都���、武漢分別設立了研發(fā)機構�����,在北京設立了營銷中心��。公司現(xiàn)有員工1500余人�����,共申請國內(nèi)外專利1700多件�,通過了“國家企業(yè)技術中心”認定���。邁普產(chǎn)品及解決方案覆蓋云數(shù)據(jù)中心、廣域網(wǎng)����、園區(qū)網(wǎng)����、安全、網(wǎng)絡可視化��、融合通信、SDN 及軟件產(chǎn)品7 大場景,廣泛應用于金融、黨政����、運營商��、能源�����、交通�、教育�����、醫(yī)療等行業(yè)��。
困擾
▼
邁普是個研產(chǎn)銷一體的制造型企業(yè)����,崗位多業(yè)務復雜,和眾多企業(yè)一樣,信息安全管理面臨很多困擾���,總結如下:
? 安全管理對象不清晰
早期企業(yè)內(nèi)部數(shù)據(jù)資產(chǎn)概念相對來說是比較模糊��,業(yè)務部門對自己業(yè)務所產(chǎn)生�、使用哪些數(shù)據(jù)資產(chǎn)�,這些數(shù)據(jù)資產(chǎn)存在哪些風險���,這些風險會給公司帶來多大的影響��,是沒有掌握的�����。企業(yè)IT部門資源有限��,也沒法全面掌握這些數(shù)據(jù)資產(chǎn)����,無法進行全面的數(shù)據(jù)資產(chǎn)安全管理。
? 辦公環(huán)境相對復雜
雖然辦公區(qū)域做了內(nèi)外網(wǎng)劃分��,但是實際辦公需求仍然復雜,網(wǎng)絡環(huán)境管理起來很繁瑣���,數(shù)據(jù)安全潛在風險巨大。
? 管控手段弱
安全管理一刀切:把所有內(nèi)外網(wǎng)的文件傳遞全部阻斷�����,再封閉終端USB口防數(shù)據(jù)外泄���。然而�����,這樣管控方式即影響生產(chǎn)效率�����,也無法滿足未來發(fā)展的需要����。
14年公司確立國產(chǎn)化自主研發(fā)的戰(zhàn)略目標后����,對數(shù)據(jù)資產(chǎn)的安全管理也提出了更高的要求�����,建設更安全的體系迫在眉睫��。
思考
▼
命題有了,那么我們該怎么做��?最開始�,IT部門局限于發(fā)現(xiàn)一個問題解決一個問題��,發(fā)現(xiàn)并不能從整體上改變現(xiàn)狀����。經(jīng)過多方學習考察��,我們意識到要全面提升安全管理,必須建立一套安全體系來管控���,而ISO27001信息安全管理標準極具參考價值��。
有了參考之后���,我們開始準備工作�����。統(tǒng)一思想、確定主體:在公司內(nèi)部明確安全職責——安全并不是IT部門的責任�,而是整個公司出于自身發(fā)展的內(nèi)在需求����。公司成立以總經(jīng)理為組長的信息安全領導小組���,包括了IT����、研發(fā)、檔案等相關部門,以領導小組方式來推動整個公司的信息安全治理��。組織也有了,該怎么干?我們總結了三個步驟:
行動
▼
第一步:明確該管什么
各個部門逐個做信息資產(chǎn)的識別����,梳理在業(yè)務發(fā)生的過程中會用到����、產(chǎn)生哪些數(shù)據(jù)資產(chǎn)。
通過匯總整合各業(yè)務部門梳理的數(shù)據(jù)資產(chǎn)清單形成全公司的信息資產(chǎn)臺賬�,臺賬中包括了對資產(chǎn)重要性的評級以及當前管理方式����。并每年組織對資產(chǎn)臺賬和管理政策重新梳理和評審��。
同時配套發(fā)布了商業(yè)秘密相關管理政策��,對新同事在入職培訓時進行信息安全培訓�����,加強意識明確職責�,對老員工也不定期的組織安全培訓鞏固意識。
第二步:資產(chǎn)分級,規(guī)劃安全區(qū)域分級管理
組織各部門梳理數(shù)據(jù)資產(chǎn)的重要性:一旦出現(xiàn)安全事故對公司的影響有多大���?出現(xiàn)這種事故的發(fā)生幾率有多高?通過分析拉出綜合的評定和評級���,把資產(chǎn)進行重要性排序�����,然后再結合資產(chǎn)的全生命周期中所涉及的環(huán)境進行歸類管理劃分,規(guī)劃出重要性相近�����、安全要求類似、業(yè)務關系密切的安全區(qū)域進行分級管理�����。比如:研發(fā)生產(chǎn),過程中會產(chǎn)生設計資料�����、程序代碼、硬件圖紙等�,將其劃分為高安全區(qū),需要嚴格防止數(shù)據(jù)外泄。非研發(fā)業(yè)務��,如商務���、財務等部門,他們的特點是數(shù)據(jù)敏感度較研發(fā)低�����,但和公司其他區(qū)域/部門文件交互頻繁,需要進行精準的權限控制來保障安全��,劃分為中安全區(qū)�����。而市場�、銷售等部門,他們的業(yè)務與互聯(lián)網(wǎng)交互較多���,系統(tǒng)和終端容易受到外部的攻擊,需要加強外部的防范���。不同區(qū)域根據(jù)其環(huán)境特點制定不同的安全標準�。
第三步:識別現(xiàn)狀逐步改進
根據(jù)不同區(qū)域的安全要求�����,審視現(xiàn)狀識別風險,評估風險造成的影響會有多大���,形成風險臺賬。對風險評級較高的風險點�,優(yōu)先從技術上和管理上制定相應的整改方案��。規(guī)劃出信息安全的技術架構,針對薄弱點制定信息安全建設規(guī)劃���。
鴻翼助力
▼
一���、文檔體系與資產(chǎn)臺賬
非結構化數(shù)據(jù)是企業(yè)數(shù)據(jù)資產(chǎn)的重要組成部分,據(jù)統(tǒng)計可達到企業(yè)數(shù)據(jù)總量的80%���,幾乎所有部門都涉及�����,企業(yè)數(shù)字化基礎除了結構化數(shù)據(jù)和流程的打通���,也需要打通非結構化數(shù)據(jù)。鴻翼以非結構化數(shù)據(jù)管理能力為核心�,建立統(tǒng)一管理、統(tǒng)一搜索�、統(tǒng)一協(xié)作���、統(tǒng)一利用的文檔管理平臺�����,保障企業(yè)數(shù)據(jù)安全合規(guī),為企業(yè)提供了一套全面建立非結構化數(shù)據(jù)管理體系的方案�。我們借助鴻翼的實施方法論在前期組織各部門完成了資產(chǎn)識別分級工作,并建立整個公司統(tǒng)一的文檔架構和分級管理體系(公司級�、領域級�����、部門級)�,解決了不知道要管什么的問題。引入企業(yè)內(nèi)容管理系統(tǒng)(ECM)產(chǎn)品建立文檔系統(tǒng)將各部門文檔集中管理���,利用系統(tǒng)進行文檔協(xié)同辦公,解決原有工作方式改變帶來的效率影響����,通過系統(tǒng)對文檔權限的精細化管理解決一直困擾我們的文檔安全問題����。
在實施過程中�,最大的難題是不同安全控制區(qū)域和統(tǒng)一文檔架構怎樣兼顧:從效率角度出發(fā)需要實現(xiàn)系統(tǒng)在各區(qū)均可使用且文件搜索結果保持一致。從安全管控角度出發(fā)又要求在低安全區(qū)域不能打開高安全區(qū)域文件僅能從搜索結果知道該文件存在���,此原則還必須高于系統(tǒng)角色身份授權。經(jīng)雙方團隊反復論證,最終通過文檔數(shù)據(jù)庫與文檔實體庫分離�,文檔實體庫分區(qū)域部署的技術架構完美解決了這一難題。
二、業(yè)務流程中的文檔管理
文檔系統(tǒng)在我司不僅是一個文檔工具,還是整個企業(yè)的非結構化數(shù)據(jù)庫。要求該系統(tǒng)以文檔服務形式集成到我司企業(yè)服務總線中���,提供給業(yè)務端系統(tǒng)集成調用��。鴻翼產(chǎn)品經(jīng)集成后在流程中的文檔協(xié)同、文檔自動歸檔�、文檔安全控制方面都為我們提供了技術實現(xiàn)。
其中一個典型案例就是規(guī)章制度系統(tǒng)�����。規(guī)章制度庫是一個公司管理和知識的結晶,需要集中管理以便員工快速地獲取�,同時也需要安全控制防范外泄����。我們制作的規(guī)則制度系統(tǒng)以文檔產(chǎn)品為制度正文及附件存放數(shù)據(jù)庫,以BMP產(chǎn)品串聯(lián)各環(huán)節(jié)審批�����,并通過文檔產(chǎn)品的版本控制制度發(fā)布���。通過文檔產(chǎn)品對權限的精細化控制,實現(xiàn)員工可在線查閱制度內(nèi)容但不能下載打印�����,而所需要的附件文件又允許下載�。即實現(xiàn)了制度的統(tǒng)一發(fā)布宣慣,也保證了數(shù)據(jù)資產(chǎn)的安全��。
IT價值分析
▼
回顧信息安全建設過程���,作為IT部門該怎么展現(xiàn)價值?是簡單上點安全工具把安全管控實現(xiàn)就大功告成嗎�?不是�!
公司制定的安全基線����,合規(guī)遵從等要求�,背后都隱含著一個前提:企業(yè)利益的最大化保障��,安全和利益都要保障�����,要雙贏����!這對IT部門是挑戰(zhàn)�����,也是體現(xiàn)價值的機會��。
怎么做到雙贏�?我們需要深入剖析公司安全管理要求,理解要求背后的需求出發(fā)點��。真正走進業(yè)務,站在真實場景中去識別問題��、分析問題�����。不強制執(zhí)行����,也不一味妥協(xié),以安全要求為底線�����,為業(yè)務效率提升追求最大化效益�����。就能夠得出即滿足公司安全要求也能得到業(yè)務部門支持的落地方案。
最終實現(xiàn)IT的價值——為企業(yè)數(shù)字化轉型保駕護航���!
服務熱線:010-51961666