公司簡(jiǎn)介
▼
邁普通信技術(shù)股份有限公司成立于 1993 年����,是國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)產(chǎn)品及解決方案供應(yīng)商�,工信部重點(diǎn)支持的四大國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備廠商之一��。公司于 2015 年加入中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司(CEC)���,是 CEC 網(wǎng)絡(luò)安全與信息化領(lǐng)域的重要核心力量���。
公司總部位于成都��,在成都��、武漢分別設(shè)立了研發(fā)機(jī)構(gòu)�,在北京設(shè)立了營(yíng)銷中心���。公司現(xiàn)有員工1500余人,共申請(qǐng)國(guó)內(nèi)外專利1700多件���,通過(guò)了“國(guó)家企業(yè)技術(shù)中心”認(rèn)定。邁普產(chǎn)品及解決方案覆蓋云數(shù)據(jù)中心、廣域網(wǎng)���、園區(qū)網(wǎng)、安全��、網(wǎng)絡(luò)可視化、融合通信�����、SDN 及軟件產(chǎn)品7 大場(chǎng)景�����,廣泛應(yīng)用于金融、黨政、運(yùn)營(yíng)商����、能源�、交通、教育���、醫(yī)療等行業(yè)�����。
困擾
▼
邁普是個(gè)研產(chǎn)銷一體的制造型企業(yè)�,崗位多業(yè)務(wù)復(fù)雜,和眾多企業(yè)一樣�����,信息安全管理面臨很多困擾�,總結(jié)如下:
? 安全管理對(duì)象不清晰
早期企業(yè)內(nèi)部數(shù)據(jù)資產(chǎn)概念相對(duì)來(lái)說(shuō)是比較模糊��,業(yè)務(wù)部門對(duì)自己業(yè)務(wù)所產(chǎn)生、使用哪些數(shù)據(jù)資產(chǎn)����,這些數(shù)據(jù)資產(chǎn)存在哪些風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)會(huì)給公司帶來(lái)多大的影響�����,是沒有掌握的。企業(yè)IT部門資源有限�����,也沒法全面掌握這些數(shù)據(jù)資產(chǎn)����,無(wú)法進(jìn)行全面的數(shù)據(jù)資產(chǎn)安全管理�。
? 辦公環(huán)境相對(duì)復(fù)雜
雖然辦公區(qū)域做了內(nèi)外網(wǎng)劃分�,但是實(shí)際辦公需求仍然復(fù)雜,網(wǎng)絡(luò)環(huán)境管理起來(lái)很繁瑣���,數(shù)據(jù)安全潛在風(fēng)險(xiǎn)巨大�。
? 管控手段弱
安全管理一刀切:把所有內(nèi)外網(wǎng)的文件傳遞全部阻斷���,再封閉終端USB口防數(shù)據(jù)外泄���。然而���,這樣管控方式即影響生產(chǎn)效率����,也無(wú)法滿足未來(lái)發(fā)展的需要����。
14年公司確立國(guó)產(chǎn)化自主研發(fā)的戰(zhàn)略目標(biāo)后�,對(duì)數(shù)據(jù)資產(chǎn)的安全管理也提出了更高的要求���,建設(shè)更安全的體系迫在眉睫����。
思考
▼
命題有了����,那么我們?cè)撛趺醋?���?最開始���,IT部門局限于發(fā)現(xiàn)一個(gè)問(wèn)題解決一個(gè)問(wèn)題,發(fā)現(xiàn)并不能從整體上改變現(xiàn)狀�����。經(jīng)過(guò)多方學(xué)習(xí)考察�,我們意識(shí)到要全面提升安全管理,必須建立一套安全體系來(lái)管控���,而ISO27001信息安全管理標(biāo)準(zhǔn)極具參考價(jià)值�����。
有了參考之后���,我們開始準(zhǔn)備工作����。統(tǒng)一思想、確定主體:在公司內(nèi)部明確安全職責(zé)——安全并不是IT部門的責(zé)任�����,而是整個(gè)公司出于自身發(fā)展的內(nèi)在需求��。公司成立以總經(jīng)理為組長(zhǎng)的信息安全領(lǐng)導(dǎo)小組,包括了IT、研發(fā)、檔案等相關(guān)部門��,以領(lǐng)導(dǎo)小組方式來(lái)推動(dòng)整個(gè)公司的信息安全治理���。組織也有了,該怎么干����?我們總結(jié)了三個(gè)步驟:
行動(dòng)
▼
第一步:明確該管什么
各個(gè)部門逐個(gè)做信息資產(chǎn)的識(shí)別�,梳理在業(yè)務(wù)發(fā)生的過(guò)程中會(huì)用到、產(chǎn)生哪些數(shù)據(jù)資產(chǎn)��。
通過(guò)匯總整合各業(yè)務(wù)部門梳理的數(shù)據(jù)資產(chǎn)清單形成全公司的信息資產(chǎn)臺(tái)賬��,臺(tái)賬中包括了對(duì)資產(chǎn)重要性的評(píng)級(jí)以及當(dāng)前管理方式�。并每年組織對(duì)資產(chǎn)臺(tái)賬和管理政策重新梳理和評(píng)審��。
同時(shí)配套發(fā)布了商業(yè)秘密相關(guān)管理政策,對(duì)新同事在入職培訓(xùn)時(shí)進(jìn)行信息安全培訓(xùn),加強(qiáng)意識(shí)明確職責(zé),對(duì)老員工也不定期的組織安全培訓(xùn)鞏固意識(shí)�����。
第二步:資產(chǎn)分級(jí)����,規(guī)劃安全區(qū)域分級(jí)管理
組織各部門梳理數(shù)據(jù)資產(chǎn)的重要性:一旦出現(xiàn)安全事故對(duì)公司的影響有多大���?出現(xiàn)這種事故的發(fā)生幾率有多高?通過(guò)分析拉出綜合的評(píng)定和評(píng)級(jí),把資產(chǎn)進(jìn)行重要性排序,然后再結(jié)合資產(chǎn)的全生命周期中所涉及的環(huán)境進(jìn)行歸類管理劃分����,規(guī)劃出重要性相近���、安全要求類似����、業(yè)務(wù)關(guān)系密切的安全區(qū)域進(jìn)行分級(jí)管理。比如:研發(fā)生產(chǎn)�����,過(guò)程中會(huì)產(chǎn)生設(shè)計(jì)資料、程序代碼���、硬件圖紙等����,將其劃分為高安全區(qū)���,需要嚴(yán)格防止數(shù)據(jù)外泄��。非研發(fā)業(yè)務(wù)����,如商務(wù)、財(cái)務(wù)等部門���,他們的特點(diǎn)是數(shù)據(jù)敏感度較研發(fā)低�,但和公司其他區(qū)域/部門文件交互頻繁�����,需要進(jìn)行精準(zhǔn)的權(quán)限控制來(lái)保障安全�����,劃分為中安全區(qū)�。而市場(chǎng)、銷售等部門��,他們的業(yè)務(wù)與互聯(lián)網(wǎng)交互較多,系統(tǒng)和終端容易受到外部的攻擊�����,需要加強(qiáng)外部的防范�。不同區(qū)域根據(jù)其環(huán)境特點(diǎn)制定不同的安全標(biāo)準(zhǔn)���。
第三步:識(shí)別現(xiàn)狀逐步改進(jìn)
根據(jù)不同區(qū)域的安全要求,審視現(xiàn)狀識(shí)別風(fēng)險(xiǎn)�,評(píng)估風(fēng)險(xiǎn)造成的影響會(huì)有多大��,形成風(fēng)險(xiǎn)臺(tái)賬。對(duì)風(fēng)險(xiǎn)評(píng)級(jí)較高的風(fēng)險(xiǎn)點(diǎn)����,優(yōu)先從技術(shù)上和管理上制定相應(yīng)的整改方案����。規(guī)劃出信息安全的技術(shù)架構(gòu)����,針對(duì)薄弱點(diǎn)制定信息安全建設(shè)規(guī)劃。
鴻翼助力
▼
一、文檔體系與資產(chǎn)臺(tái)賬
非結(jié)構(gòu)化數(shù)據(jù)是企業(yè)數(shù)據(jù)資產(chǎn)的重要組成部分�����,據(jù)統(tǒng)計(jì)可達(dá)到企業(yè)數(shù)據(jù)總量的80%,幾乎所有部門都涉及����,企業(yè)數(shù)字化基礎(chǔ)除了結(jié)構(gòu)化數(shù)據(jù)和流程的打通�����,也需要打通非結(jié)構(gòu)化數(shù)據(jù)。鴻翼以非結(jié)構(gòu)化數(shù)據(jù)管理能力為核心�����,建立統(tǒng)一管理、統(tǒng)一搜索��、統(tǒng)一協(xié)作、統(tǒng)一利用的文檔管理平臺(tái)�,保障企業(yè)數(shù)據(jù)安全合規(guī),為企業(yè)提供了一套全面建立非結(jié)構(gòu)化數(shù)據(jù)管理體系的方案。我們借助鴻翼的實(shí)施方法論在前期組織各部門完成了資產(chǎn)識(shí)別分級(jí)工作����,并建立整個(gè)公司統(tǒng)一的文檔架構(gòu)和分級(jí)管理體系(公司級(jí)�、領(lǐng)域級(jí)�、部門級(jí))��,解決了不知道要管什么的問(wèn)題��。引入企業(yè)內(nèi)容管理系統(tǒng)(ECM)產(chǎn)品建立文檔系統(tǒng)將各部門文檔集中管理��,利用系統(tǒng)進(jìn)行文檔協(xié)同辦公����,解決原有工作方式改變帶來(lái)的效率影響,通過(guò)系統(tǒng)對(duì)文檔權(quán)限的精細(xì)化管理解決一直困擾我們的文檔安全問(wèn)題�。
在實(shí)施過(guò)程中�����,最大的難題是不同安全控制區(qū)域和統(tǒng)一文檔架構(gòu)怎樣兼顧:從效率角度出發(fā)需要實(shí)現(xiàn)系統(tǒng)在各區(qū)均可使用且文件搜索結(jié)果保持一致。從安全管控角度出發(fā)又要求在低安全區(qū)域不能打開高安全區(qū)域文件僅能從搜索結(jié)果知道該文件存在��,此原則還必須高于系統(tǒng)角色身份授權(quán)。經(jīng)雙方團(tuán)隊(duì)反復(fù)論證���,最終通過(guò)文檔數(shù)據(jù)庫(kù)與文檔實(shí)體庫(kù)分離���,文檔實(shí)體庫(kù)分區(qū)域部署的技術(shù)架構(gòu)完美解決了這一難題。
二�、業(yè)務(wù)流程中的文檔管理
文檔系統(tǒng)在我司不僅是一個(gè)文檔工具�����,還是整個(gè)企業(yè)的非結(jié)構(gòu)化數(shù)據(jù)庫(kù)。要求該系統(tǒng)以文檔服務(wù)形式集成到我司企業(yè)服務(wù)總線中�,提供給業(yè)務(wù)端系統(tǒng)集成調(diào)用。鴻翼產(chǎn)品經(jīng)集成后在流程中的文檔協(xié)同�����、文檔自動(dòng)歸檔����、文檔安全控制方面都為我們提供了技術(shù)實(shí)現(xiàn)���。
其中一個(gè)典型案例就是規(guī)章制度系統(tǒng)。規(guī)章制度庫(kù)是一個(gè)公司管理和知識(shí)的結(jié)晶��,需要集中管理以便員工快速地獲取,同時(shí)也需要安全控制防范外泄��。我們制作的規(guī)則制度系統(tǒng)以文檔產(chǎn)品為制度正文及附件存放數(shù)據(jù)庫(kù),以BMP產(chǎn)品串聯(lián)各環(huán)節(jié)審批���,并通過(guò)文檔產(chǎn)品的版本控制制度發(fā)布。通過(guò)文檔產(chǎn)品對(duì)權(quán)限的精細(xì)化控制�����,實(shí)現(xiàn)員工可在線查閱制度內(nèi)容但不能下載打印�,而所需要的附件文件又允許下載����。即實(shí)現(xiàn)了制度的統(tǒng)一發(fā)布宣慣���,也保證了數(shù)據(jù)資產(chǎn)的安全��。
IT價(jià)值分析
▼
回顧信息安全建設(shè)過(guò)程�,作為IT部門該怎么展現(xiàn)價(jià)值���?是簡(jiǎn)單上點(diǎn)安全工具把安全管控實(shí)現(xiàn)就大功告成嗎?不是�����!
公司制定的安全基線,合規(guī)遵從等要求��,背后都隱含著一個(gè)前提:企業(yè)利益的最大化保障�����,安全和利益都要保障����,要雙贏����!這對(duì)IT部門是挑戰(zhàn)����,也是體現(xiàn)價(jià)值的機(jī)會(huì)�。
怎么做到雙贏�����?我們需要深入剖析公司安全管理要求,理解要求背后的需求出發(fā)點(diǎn)�。真正走進(jìn)業(yè)務(wù),站在真實(shí)場(chǎng)景中去識(shí)別問(wèn)題���、分析問(wèn)題��。不強(qiáng)制執(zhí)行����,也不一味妥協(xié)��,以安全要求為底線,為業(yè)務(wù)效率提升追求最大化效益。就能夠得出即滿足公司安全要求也能得到業(yè)務(wù)部門支持的落地方案����。
最終實(shí)現(xiàn)IT的價(jià)值——為企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航!
服務(wù)熱線:010-51961666