企業(yè)核心數(shù)據(jù)是企業(yè)的命脈。通過建立完善的信息安全系統(tǒng),保護企業(yè)核心數(shù)據(jù)尤其是企業(yè)商業(yè)機密,防止從企業(yè)內(nèi)部泄密,已經(jīng)成為當前眾多企業(yè)的共識。企業(yè)從信息系統(tǒng)的安全性、穩(wěn)定性和可靠性等方面為基點,以數(shù)據(jù)安全為目標,紛紛構(gòu)建企業(yè)數(shù)據(jù)泄露防護體系。要想建立完善的數(shù)據(jù)泄露防護體系,必須遵循科學嚴謹?shù)男畔踩芾眢w系。當前,BS7799體系(或ISO/ICE17799體系)是全球普遍采用的信息安全系統(tǒng)建設標準。這套體系能保證企業(yè)信息(包括: 專利 商業(yè)檔案、 文件、 標準、 專有技術 、客戶資料、 統(tǒng)計數(shù)據(jù)、 圖樣 、配方、 報價、 規(guī)章制度 、財務數(shù)據(jù) 、工藝 計劃 、資源配置、 管理體系等)的安全風險降低到可接受的最低水平,防止可能由于人 員的原因(疏忽、跳槽、破壞)、競爭對手原因(商業(yè)間諜、收買、盜竊、網(wǎng)絡攻擊)和自然災害(火災、水災、地震)等 原因,被毀滅、消失、損壞、盜竊、貶值、轉(zhuǎn)移,給企業(yè)帶來致命的打擊。
億賽通數(shù)據(jù)泄露防護(DLP)體系,是中國第一套完全基于BS7799制定的數(shù)據(jù)安全保護體系。以下將以中集集團數(shù)據(jù)泄露防護(DLP)工程為例,介紹數(shù)據(jù)安全政策的制定。
一、項目背景
中國國際海運集裝箱(集團)股份有限公司(簡稱:中集集團),是一家為全球市場提供“現(xiàn)代化交通運輸裝備和服務”的企業(yè)集團,主要經(jīng)營集裝箱、道路運輸車輛、能源、化工及食品裝備、海洋工程、機場設備等裝備的制造和服務。目前,中集集團總資產(chǎn)345.58億、凈資產(chǎn)134.17億元,2008年銷售額473.27億元,凈利潤14.07億元。在中國以及北美、歐洲、亞洲、澳洲等國家和地區(qū)擁有100余家全資及控股子公司,員工近五萬人,初步形成跨國公司運營格局。中集集團于1980年1月創(chuàng)立于深圳,1994年在深圳證券交易所上市,目前主要股東為中遠集團和招商局集團。經(jīng)過二十多年的發(fā)展,中集集團已經(jīng)成為根植于中國本土的全球交通運輸裝備制造與服務業(yè)的領先企業(yè)。2008年,中集集團被列為“2008最具全球競爭力中國公司”第49位,“中國國有上市企業(yè)社會責任榜”第39位,中國500最具價值品牌第40位;2007年9月“CIMC中集”牌集裝箱被國家質(zhì)量監(jiān)督檢驗檢疫總局評選為“中國世界名牌”產(chǎn)品稱號,“中集”商標被國家工商總局正式認定為中國馳名商標。
中集集團的發(fā)展目標是:到2012年,銷售額達到1000億元人民幣,凈利潤50億元人民幣,成為所進入行業(yè)的世界級企業(yè)。
二、中集集團數(shù)據(jù)泄露防護(DLP)政策的制定過程
按照BS7799(或ISO/ICE17799)體系,要建立企業(yè)信息安全體系,首先要確立信息安全政策。那什么是信息安全政策呢?從本質(zhì)上來說,信息安全政策是描述企業(yè)具有哪些重要信息資產(chǎn),并說明這些信息資產(chǎn)如何被保護的一個計劃,其目的就是對企業(yè)中成員闡明如何使用信息系統(tǒng)資源,如何處理敏感信息,如何采用安全技術產(chǎn)品,用戶在使用信息時應當承擔什么樣的責任,詳細描述對員工的安全意識與技能要求,列出被組織禁止的行為。
BS7799明確提出:管理層應當提出一套清晰的政策來指導信息安全實踐,并且通過在組織內(nèi)發(fā)布和維護信息安全政策來表明對信息安全的支持和承諾。億賽通根據(jù)這一原則,按照以下步驟來制定中集集團數(shù)據(jù)泄露防護體系:
1、 理解中集集團的企業(yè)文化和業(yè)務特征
中集集團在中國以及北美、歐洲、亞洲、澳洲等國家和地區(qū)擁有100余家全資及控股子公司,員工近五萬人,這是一個規(guī)模龐大的企業(yè)機構(gòu),企業(yè)內(nèi)部人員不僅是管理層和普通員工,還有不同文化、民族和種族的人群。企業(yè)使用數(shù)據(jù)泄露防護體系,必須要考慮總公司與分公司,分公司與辦事處,管理層和普通員工等等復雜關系。不僅如此,總公司與分公司之間、分公司與辦事處之間,并發(fā)各種類型的業(yè)務往來,涵蓋不同類型的保密等級需求,對不同類型的文件類型進行加密等等。億賽通經(jīng)過與中集集團的有效溝通,充分了解中集集團企業(yè)文化和業(yè)務特征,這是設計數(shù)據(jù)安全政策的前提。
2、得到管理層的明確支持與承諾
要制定一個好的數(shù)據(jù)信息安全政策,必須與決策層進行有效溝通,并得到企業(yè)高層領導的支持與承諾。這有三個作用,一是制定的信息安全政策與企業(yè)的業(yè)務目標一致;二是制定的安全方針政策、控制措施可以在企業(yè)的上上下下得到有效的貫徹;三是可以得到有效的資源保證。億賽通經(jīng)過數(shù)月努力,與中集集團保持好良好的實時交流,得到領導層的充分信任和支持,這是中集集團數(shù)據(jù)泄露防護體系得以順利實施的保證。
3、組建一個安全政策制定小組
億賽通與中集集團通力合作,建立了以億賽通團隊和中集集團相關人士的數(shù)據(jù)安全政策制定小組。安全政策制定小組由億賽通團隊(包括技術團隊及項目咨詢成員)和中集集團團隊(包括高級管理人員、文檔保密員、IT部門負責人、律師、中集集團用戶部門的人員)組成。
4、確定信息安全整體目標經(jīng)過調(diào)研,確定中集集團的數(shù)據(jù)安全整體目標是:確保電子文檔在企業(yè)內(nèi)部和授權(quán)部門內(nèi)部,可以安全共享;在對外合作時能確保機密文件不被二次擴散;在保證數(shù)據(jù)安全的同時,還要保證業(yè)務持續(xù)性,并最小化業(yè)務損失,為企業(yè)實現(xiàn)業(yè)務目標提供保障。
5、確定信息管理體系的范圍
中集集團公司所有部門都參與此次數(shù)據(jù)安全項目,根據(jù)中集集團各個分部職能、工作內(nèi)容、文件類型、文件保密等級要求的不同,將億賽通文檔安全管理動態(tài)加解密和權(quán)限管理兩個模塊靈活搭配使用,即保障了核心電子信息的安全也實現(xiàn)了文檔的安全流轉(zhuǎn)。
6、風險評估與選擇數(shù)據(jù)安全控制
數(shù)據(jù)安全政策制定小組經(jīng)過對中集集團的數(shù)據(jù)信息安全管理現(xiàn)狀調(diào)查,并采用風險評估工作是建立具體的信息安全策略的基礎與關鍵,在安全體系建立的整個過程中,風險評估工作占了很大的比例,風險評估的工作質(zhì)量直接影響安全控制的合理選擇和安全策略的完備制定。
7、起草擬訂數(shù)據(jù)安全政策
按照BS7799體系,億賽通按照PDCA的持續(xù)改進的管理模式,通過風險評估來了解安全需求,然后根據(jù)需求設計解決方案;在實施(Do)階段將解決方案付諸實現(xiàn);解決方案是否有效?是否有新的變化?應該在檢查(Check)階段予以監(jiān)視和審查;一旦發(fā)現(xiàn)問題,需要在措施(Act)階段予以解決,以便改進ISMS。
圖2 BS7799的PDCA模型
8、評估數(shù)據(jù)安全政策
中集集團數(shù)據(jù)泄露防護體系被制訂出來后,雙方聯(lián)合召開了專家評審會,對該體系進行評估,并進行了測試,以評審體系的完備性、易用性,最終確定,改體系安全政策能完全達到企業(yè)所需的安全目標。
9、數(shù)據(jù)安全政策的實施
在數(shù)據(jù)安全政策通過測試評估后,中集集團管理層正式批準實施,編制了成中集集團數(shù)據(jù)信息安全政策手冊,發(fā)布到企業(yè)中的每個員工與相關利益方,明確安全責任與義務。
10、政策的持續(xù)改進
在中集集團數(shù)據(jù)泄露防護(DLP)實施后,億賽通與中集集團公司建立了“售后保障服務體系”,其中包含了對數(shù)據(jù)安全政策的定期評審,并進行持續(xù)改進。
三、中集集團數(shù)據(jù)泄露防護(DLP)政策的內(nèi)容
中集集團數(shù)據(jù)安全政策通過基本的規(guī)則、指南、定義,以及億賽通完善的數(shù)據(jù)泄露防護(DLP)解決方案,建立了一套數(shù)據(jù)資源保護標準,防止員工的不安全行為引入風險。信息安全政策是進一步制定控制規(guī)則、安全程序的必要基礎。建立了數(shù)據(jù)安全政策,就設置了企業(yè)的數(shù)據(jù)安全基礎,可以使員工了解與自己相關的數(shù)據(jù)安全保護責任,強調(diào)數(shù)據(jù)系統(tǒng)安全對企業(yè)業(yè)務目標的實現(xiàn)、業(yè)務活動持續(xù)運營的重要性。
數(shù)據(jù)安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序,定義安全角色賦予管理職責,陳述組織的安全目標,為安全措施在組織的強制執(zhí)行建立相關輿論與規(guī)則的基礎。中集集團數(shù)據(jù)泄露防護策略的內(nèi)容包括:
1、目標:中集集團數(shù)據(jù)泄露防護體系要對所有員工強調(diào)“信息安全,人人有責”的原則,使員工了解自己的安全責任與義務。從技術實現(xiàn)的角度,要對數(shù)據(jù)進行實時加密、權(quán)限控制、身份認證、日志審計、筆記本磁盤全盤加密、文件外發(fā)管理、系統(tǒng)容災等全方位進行保護。
2、范圍:中集集團數(shù)據(jù)泄露防護體系包含足夠的范圍廣度。數(shù)據(jù)類型包括員工持股會文件、董事長來往文件、法務文件、公司體系文件、銷售合同評審文件、綜合合同評審文件、檔案文件電子版、行政文件等所有電子類文件;
3、策略內(nèi)容:根據(jù)BSS7799中定義,對數(shù)據(jù)安全策略的描述應該集中在三個方面:機密性、完整性和可用性。這三種特性是組織建立信息安全策略的出發(fā)點。機密性是指信息只能由授權(quán)用戶訪問,其他非授權(quán)用戶、或非授權(quán)方式不能訪問。完整性就是保證信息必須是完整無缺的,信息不能被丟失、損壞,只能在授權(quán)方式下修改。可用性是指授權(quán)用戶在任何時候都可以訪問其需要的信息,信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運行。億賽通數(shù)據(jù)泄露防護(DLP)解決方案完全滿足以上三個方面特性。
在中集集團內(nèi)部,,給員工明確描述與這些特性相關的信息安全要求,信息安全策略以員工熟悉的活動、信息、術語等方式來反映安全目標。例如,在研發(fā)部門,采用動態(tài)加解密系統(tǒng),對所有文件進行實時加密,包括了文檔的制作、保存、流轉(zhuǎn)、存儲全過程。另外,還采用權(quán)限控制等手段,對文檔的只讀、打印等進行權(quán)限控制。而在研發(fā)部門之外,主要采用權(quán)限管理系統(tǒng)、文件外發(fā)管理系統(tǒng)等,對財務、法務、管理文件等進行授權(quán)、再授權(quán)的控制。
4、角色責任:數(shù)據(jù)安全策略除了要建立安全程序及程序管理職責外,還需要在組織中定義各種角色并分配責任,明確要求。億賽通數(shù)據(jù)泄露解決方案明確規(guī)定文檔管理權(quán)、系統(tǒng)管理權(quán)、日志審計權(quán)“三權(quán)分立”。在這種分權(quán)管理制度中, 能有效確保文檔、系統(tǒng)和日志的分別管理和控制,完全滿足對不同角色的責任分配和制衡。
5、執(zhí)行紀律:億賽通數(shù)據(jù)泄露解決方案并不直接制定違反數(shù)據(jù)安全法規(guī),而是通過日志審計手段,對所有文件的訪問控制全程記錄,為追查文件流轉(zhuǎn)路徑提供有效保證,從而使泄密無所遁形。
6、專業(yè)術語: 億賽通數(shù)據(jù)泄露防護(DLP)體系,采用標準文檔管理方式,對所有涉及到數(shù)據(jù)泄露防護的專業(yè)術語進行嚴謹解釋,避免產(chǎn)生歧義。
7、版本歷史:對策略版本在各個階段的修訂情況作出說明
四、總結(jié)
采用科學的信息安全管理體系,是建立數(shù)據(jù)泄露防護體系的理論依據(jù)和制度保障。億賽通自
