公司簡介
▼
邁普通信技術股份有限公司成立于 1993 年,是國內領先的網絡產品及解決方案供應商,工信部重點支持的四大國產網絡設備廠商之一。公司于 2015 年加入中國電子信息產業集團有限公司(CEC),是 CEC 網絡安全與信息化領域的重要核心力量。
公司總部位于成都,在成都、武漢分別設立了研發機構,在北京設立了營銷中心。公司現有員工1500余人,共申請國內外專利1700多件,通過了“國家企業技術中心”認定。邁普產品及解決方案覆蓋云數據中心、廣域網、園區網、安全、網絡可視化、融合通信、SDN 及軟件產品7 大場景,廣泛應用于金融、黨政、運營商、能源、交通、教育、醫療等行業。
困擾
▼
邁普是個研產銷一體的制造型企業,崗位多業務復雜,和眾多企業一樣,信息安全管理面臨很多困擾,總結如下:
? 安全管理對象不清晰
早期企業內部數據資產概念相對來說是比較模糊,業務部門對自己業務所產生、使用哪些數據資產,這些數據資產存在哪些風險,這些風險會給公司帶來多大的影響,是沒有掌握的。企業IT部門資源有限,也沒法全面掌握這些數據資產,無法進行全面的數據資產安全管理。
? 辦公環境相對復雜
雖然辦公區域做了內外網劃分,但是實際辦公需求仍然復雜,網絡環境管理起來很繁瑣,數據安全潛在風險巨大。
? 管控手段弱
安全管理一刀切:把所有內外網的文件傳遞全部阻斷,再封閉終端USB口防數據外泄。然而,這樣管控方式即影響生產效率,也無法滿足未來發展的需要。
14年公司確立國產化自主研發的戰略目標后,對數據資產的安全管理也提出了更高的要求,建設更安全的體系迫在眉睫。
思考
▼
命題有了,那么我們該怎么做?最開始,IT部門局限于發現一個問題解決一個問題,發現并不能從整體上改變現狀。經過多方學習考察,我們意識到要全面提升安全管理,必須建立一套安全體系來管控,而ISO27001信息安全管理標準極具參考價值。
有了參考之后,我們開始準備工作。統一思想、確定主體:在公司內部明確安全職責——安全并不是IT部門的責任,而是整個公司出于自身發展的內在需求。公司成立以總經理為組長的信息安全領導小組,包括了IT、研發、檔案等相關部門,以領導小組方式來推動整個公司的信息安全治理。組織也有了,該怎么干?我們總結了三個步驟:
行動
▼
第一步:明確該管什么
各個部門逐個做信息資產的識別,梳理在業務發生的過程中會用到、產生哪些數據資產。
通過匯總整合各業務部門梳理的數據資產清單形成全公司的信息資產臺賬,臺賬中包括了對資產重要性的評級以及當前管理方式。并每年組織對資產臺賬和管理政策重新梳理和評審。
同時配套發布了商業秘密相關管理政策,對新同事在入職培訓時進行信息安全培訓,加強意識明確職責,對老員工也不定期的組織安全培訓鞏固意識。
第二步:資產分級,規劃安全區域分級管理
組織各部門梳理數據資產的重要性:一旦出現安全事故對公司的影響有多大?出現這種事故的發生幾率有多高?通過分析拉出綜合的評定和評級,把資產進行重要性排序,然后再結合資產的全生命周期中所涉及的環境進行歸類管理劃分,規劃出重要性相近、安全要求類似、業務關系密切的安全區域進行分級管理。比如:研發生產,過程中會產生設計資料、程序代碼、硬件圖紙等,將其劃分為高安全區,需要嚴格防止數據外泄。非研發業務,如商務、財務等部門,他們的特點是數據敏感度較研發低,但和公司其他區域/部門文件交互頻繁,需要進行精準的權限控制來保障安全,劃分為中安全區。而市場、銷售等部門,他們的業務與互聯網交互較多,系統和終端容易受到外部的攻擊,需要加強外部的防范。不同區域根據其環境特點制定不同的安全標準。
第三步:識別現狀逐步改進
根據不同區域的安全要求,審視現狀識別風險,評估風險造成的影響會有多大,形成風險臺賬。對風險評級較高的風險點,優先從技術上和管理上制定相應的整改方案。規劃出信息安全的技術架構,針對薄弱點制定信息安全建設規劃。
鴻翼助力
▼
一、文檔體系與資產臺賬
非結構化數據是企業數據資產的重要組成部分,據統計可達到企業數據總量的80%,幾乎所有部門都涉及,企業數字化基礎除了結構化數據和流程的打通,也需要打通非結構化數據。鴻翼以非結構化數據管理能力為核心,建立統一管理、統一搜索、統一協作、統一利用的文檔管理平臺,保障企業數據安全合規,為企業提供了一套全面建立非結構化數據管理體系的方案。我們借助鴻翼的實施方法論在前期組織各部門完成了資產識別分級工作,并建立整個公司統一的文檔架構和分級管理體系(公司級、領域級、部門級),解決了不知道要管什么的問題。引入企業內容管理系統(ECM)產品建立文檔系統將各部門文檔集中管理,利用系統進行文檔協同辦公,解決原有工作方式改變帶來的效率影響,通過系統對文檔權限的精細化管理解決一直困擾我們的文檔安全問題。
在實施過程中,最大的難題是不同安全控制區域和統一文檔架構怎樣兼顧:從效率角度出發需要實現系統在各區均可使用且文件搜索結果保持一致。從安全管控角度出發又要求在低安全區域不能打開高安全區域文件僅能從搜索結果知道該文件存在,此原則還必須高于系統角色身份授權。經雙方團隊反復論證,最終通過文檔數據庫與文檔實體庫分離,文檔實體庫分區域部署的技術架構完美解決了這一難題。
二、業務流程中的文檔管理
文檔系統在我司不僅是一個文檔工具,還是整個企業的非結構化數據庫。要求該系統以文檔服務形式集成到我司企業服務總線中,提供給業務端系統集成調用。鴻翼產品經集成后在流程中的文檔協同、文檔自動歸檔、文檔安全控制方面都為我們提供了技術實現。
其中一個典型案例就是規章制度系統。規章制度庫是一個公司管理和知識的結晶,需要集中管理以便員工快速地獲取,同時也需要安全控制防范外泄。我們制作的規則制度系統以文檔產品為制度正文及附件存放數據庫,以BMP產品串聯各環節審批,并通過文檔產品的版本控制制度發布。通過文檔產品對權限的精細化控制,實現員工可在線查閱制度內容但不能下載打印,而所需要的附件文件又允許下載。即實現了制度的統一發布宣慣,也保證了數據資產的安全。
IT價值分析
▼
回顧信息安全建設過程,作為IT部門該怎么展現價值?是簡單上點安全工具把安全管控實現就大功告成嗎?不是!
公司制定的安全基線,合規遵從等要求,背后都隱含著一個前提:企業利益的最大化保障,安全和利益都要保障,要雙贏!這對IT部門是挑戰,也是體現價值的機會。
怎么做到雙贏?我們需要深入剖析公司安全管理要求,理解要求背后的需求出發點。真正走進業務,站在真實場景中去識別問題、分析問題。不強制執行,也不一味妥協,以安全要求為底線,為業務效率提升追求最大化效益。就能夠得出即滿足公司安全要求也能得到業務部門支持的落地方案。
最終實現IT的價值——為企業數字化轉型保駕護航!
“未來,數據必將成為一種新型的生產要素。公司的信息化建設需要一步一個腳印,踏實向···
非結構化數據管理必須以業務驅動為核心,融入業務管理體系并且成為整個業務操作流程的···
“信息化、數字化是當前藥企必須去擁抱的趨勢。宏博藥業數字化轉型是從業務中來,到業···
基準方中是致力于城鄉發展建設的全面綜合設計服務企業,先后榮獲“全國勘察設計行業優···
衛龍研發中心積極擁抱數字化變革,攜手鴻翼打造知識管理平臺,不斷提升知識管理水平,···
“未來,數據必將成為一種新型的生產要素。公司的信息化建設需要一步一個腳印,踏實向···
非結構化數據管理必須以業務驅動為核心,融入業務管理體系并且成為整個業務操作流程的···
馴鹿生物是一家致力于細胞創新藥物研發、生產和銷售的生物制藥公司。公司以開發血液腫···
“信息化、數字化是當前藥企必須去擁抱的趨勢。宏博藥業數字化轉型是從業務中來,到業···
基準方中是致力于城鄉發展建設的全面綜合設計服務企業,先后榮獲“全國勘察設計行業優···