企業核心數據是企業的命脈。通過建立完善的信息安全系統,保護企業核心數據尤其是企業商業機密,防止從企業內部泄密,已經成為當前眾多企業的共識。企業從信息系統的安全性、穩定性和可靠性等方面為基點,以數據安全為目標,紛紛構建企業數據泄露防護體系。要想建立完善的數據泄露防護體系,必須遵循科學嚴謹的信息安全管理體系。當前,BS7799體系(或ISO/ICE17799體系)是全球普遍采用的信息安全系統建設標準。這套體系能保證企業信息(包括: 專利 商業檔案、 文件、 標準、 專有技術 、客戶資料、 統計數據、 圖樣 、配方、 報價、 規章制度 、財務數據 、工藝 計劃 、資源配置、 管理體系等)的安全風險降低到可接受的最低水平,防止可能由于人 員的原因(疏忽、跳槽、破壞)、競爭對手原因(商業間諜、收買、盜竊、網絡攻擊)和自然災害(火災、水災、地震)等 原因,被毀滅、消失、損壞、盜竊、貶值、轉移,給企業帶來致命的打擊。
億賽通數據泄露防護(DLP)體系,是中國第一套完全基于BS7799制定的數據安全保護體系。以下將以中集集團數據泄露防護(DLP)工程為例,介紹數據安全政策的制定。
一、項目背景
中國國際海運集裝箱(集團)股份有限公司(簡稱:中集集團),是一家為全球市場提供“現代化交通運輸裝備和服務”的企業集團,主要經營集裝箱、道路運輸車輛、能源、化工及食品裝備、海洋工程、機場設備等裝備的制造和服務。目前,中集集團總資產345.58億、凈資產134.17億元,2008年銷售額473.27億元,凈利潤14.07億元。在中國以及北美、歐洲、亞洲、澳洲等國家和地區擁有100余家全資及控股子公司,員工近五萬人,初步形成跨國公司運營格局。中集集團于1980年1月創立于深圳,1994年在深圳證券交易所上市,目前主要股東為中遠集團和招商局集團。經過二十多年的發展,中集集團已經成為根植于中國本土的全球交通運輸裝備制造與服務業的領先企業。2008年,中集集團被列為“2008最具全球競爭力中國公司”第49位,“中國國有上市企業社會責任榜”第39位,中國500最具價值品牌第40位;2007年9月“CIMC中集”牌集裝箱被國家質量監督檢驗檢疫總局評選為“中國世界名牌”產品稱號,“中集”商標被國家工商總局正式認定為中國馳名商標。
中集集團的發展目標是:到2012年,銷售額達到1000億元人民幣,凈利潤50億元人民幣,成為所進入行業的世界級企業。
二、中集集團數據泄露防護(DLP)政策的制定過程
按照BS7799(或ISO/ICE17799)體系,要建立企業信息安全體系,首先要確立信息安全政策。那什么是信息安全政策呢?從本質上來說,信息安全政策是描述企業具有哪些重要信息資產,并說明這些信息資產如何被保護的一個計劃,其目的就是對企業中成員闡明如何使用信息系統資源,如何處理敏感信息,如何采用安全技術產品,用戶在使用信息時應當承擔什么樣的責任,詳細描述對員工的安全意識與技能要求,列出被組織禁止的行為。
BS7799明確提出:管理層應當提出一套清晰的政策來指導信息安全實踐,并且通過在組織內發布和維護信息安全政策來表明對信息安全的支持和承諾。億賽通根據這一原則,按照以下步驟來制定中集集團數據泄露防護體系:
1、 理解中集集團的企業文化和業務特征
中集集團在中國以及北美、歐洲、亞洲、澳洲等國家和地區擁有100余家全資及控股子公司,員工近五萬人,這是一個規模龐大的企業機構,企業內部人員不僅是管理層和普通員工,還有不同文化、民族和種族的人群。企業使用數據泄露防護體系,必須要考慮總公司與分公司,分公司與辦事處,管理層和普通員工等等復雜關系。不僅如此,總公司與分公司之間、分公司與辦事處之間,并發各種類型的業務往來,涵蓋不同類型的保密等級需求,對不同類型的文件類型進行加密等等。億賽通經過與中集集團的有效溝通,充分了解中集集團企業文化和業務特征,這是設計數據安全政策的前提。
2、得到管理層的明確支持與承諾
要制定一個好的數據信息安全政策,必須與決策層進行有效溝通,并得到企業高層領導的支持與承諾。這有三個作用,一是制定的信息安全政策與企業的業務目標一致;二是制定的安全方針政策、控制措施可以在企業的上上下下得到有效的貫徹;三是可以得到有效的資源保證。億賽通經過數月努力,與中集集團保持好良好的實時交流,得到領導層的充分信任和支持,這是中集集團數據泄露防護體系得以順利實施的保證。
3、組建一個安全政策制定小組
億賽通與中集集團通力合作,建立了以億賽通團隊和中集集團相關人士的數據安全政策制定小組。安全政策制定小組由億賽通團隊(包括技術團隊及項目咨詢成員)和中集集團團隊(包括高級管理人員、文檔保密員、IT部門負責人、律師、中集集團用戶部門的人員)組成。
4、確定信息安全整體目標經過調研,確定中集集團的數據安全整體目標是:確保電子文檔在企業內部和授權部門內部,可以安全共享;在對外合作時能確保機密文件不被二次擴散;在保證數據安全的同時,還要保證業務持續性,并最小化業務損失,為企業實現業務目標提供保障。
5、確定信息管理體系的范圍
中集集團公司所有部門都參與此次數據安全項目,根據中集集團各個分部職能、工作內容、文件類型、文件保密等級要求的不同,將億賽通文檔安全管理動態加解密和權限管理兩個模塊靈活搭配使用,即保障了核心電子信息的安全也實現了文檔的安全流轉。
6、風險評估與選擇數據安全控制
數據安全政策制定小組經過對中集集團的數據信息安全管理現狀調查,并采用風險評估工作是建立具體的信息安全策略的基礎與關鍵,在安全體系建立的整個過程中,風險評估工作占了很大的比例,風險評估的工作質量直接影響安全控制的合理選擇和安全策略的完備制定。
7、起草擬訂數據安全政策
按照BS7799體系,億賽通按照PDCA的持續改進的管理模式,通過風險評估來了解安全需求,然后根據需求設計解決方案;在實施(Do)階段將解決方案付諸實現;解決方案是否有效?是否有新的變化?應該在檢查(Check)階段予以監視和審查;一旦發現問題,需要在措施(Act)階段予以解決,以便改進ISMS。
圖2 BS7799的PDCA模型
8、評估數據安全政策
中集集團數據泄露防護體系被制訂出來后,雙方聯合召開了專家評審會,對該體系進行評估,并進行了測試,以評審體系的完備性、易用性,最終確定,改體系安全政策能完全達到企業所需的安全目標。
9、數據安全政策的實施
在數據安全政策通過測試評估后,中集集團管理層正式批準實施,編制了成中集集團數據信息安全政策手冊,發布到企業中的每個員工與相關利益方,明確安全責任與義務。
10、政策的持續改進
在中集集團數據泄露防護(DLP)實施后,億賽通與中集集團公司建立了“售后保障服務體系”,其中包含了對數據安全政策的定期評審,并進行持續改進。
三、中集集團數據泄露防護(DLP)政策的內容
中集集團數據安全政策通過基本的規則、指南、定義,以及億賽通完善的數據泄露防護(DLP)解決方案,建立了一套數據資源保護標準,防止員工的不安全行為引入風險。信息安全政策是進一步制定控制規則、安全程序的必要基礎。建立了數據安全政策,就設置了企業的數據安全基礎,可以使員工了解與自己相關的數據安全保護責任,強調數據系統安全對企業業務目標的實現、業務活動持續運營的重要性。
數據安全策略的主要功能就是要建立一套安全需求、控制措施及執行程序,定義安全角色賦予管理職責,陳述組織的安全目標,為安全措施在組織的強制執行建立相關輿論與規則的基礎。中集集團數據泄露防護策略的內容包括:
1、目標:中集集團數據泄露防護體系要對所有員工強調“信息安全,人人有責”的原則,使員工了解自己的安全責任與義務。從技術實現的角度,要對數據進行實時加密、權限控制、身份認證、日志審計、筆記本磁盤全盤加密、文件外發管理、系統容災等全方位進行保護。
2、范圍:中集集團數據泄露防護體系包含足夠的范圍廣度。數據類型包括員工持股會文件、董事長來往文件、法務文件、公司體系文件、銷售合同評審文件、綜合合同評審文件、檔案文件電子版、行政文件等所有電子類文件;
3、策略內容:根據BSS7799中定義,對數據安全策略的描述應該集中在三個方面:機密性、完整性和可用性。這三種特性是組織建立信息安全策略的出發點。機密性是指信息只能由授權用戶訪問,其他非授權用戶、或非授權方式不能訪問。完整性就是保證信息必須是完整無缺的,信息不能被丟失、損壞,只能在授權方式下修改。可用性是指授權用戶在任何時候都可以訪問其需要的信息,信息系統在各種意外事故、有意破壞的安全事件中能保持正常運行。億賽通數據泄露防護(DLP)解決方案完全滿足以上三個方面特性。
在中集集團內部,,給員工明確描述與這些特性相關的信息安全要求,信息安全策略以員工熟悉的活動、信息、術語等方式來反映安全目標。例如,在研發部門,采用動態加解密系統,對所有文件進行實時加密,包括了文檔的制作、保存、流轉、存儲全過程。另外,還采用權限控制等手段,對文檔的只讀、打印等進行權限控制。而在研發部門之外,主要采用權限管理系統、文件外發管理系統等,對財務、法務、管理文件等進行授權、再授權的控制。
4、角色責任:數據安全策略除了要建立安全程序及程序管理職責外,還需要在組織中定義各種角色并分配責任,明確要求。億賽通數據泄露解決方案明確規定文檔管理權、系統管理權、日志審計權“三權分立”。在這種分權管理制度中, 能有效確保文檔、系統和日志的分別管理和控制,完全滿足對不同角色的責任分配和制衡。
5、執行紀律:億賽通數據泄露解決方案并不直接制定違反數據安全法規,而是通過日志審計手段,對所有文件的訪問控制全程記錄,為追查文件流轉路徑提供有效保證,從而使泄密無所遁形。
6、專業術語: 億賽通數據泄露防護(DLP)體系,采用標準文檔管理方式,對所有涉及到數據泄露防護的專業術語進行嚴謹解釋,避免產生歧義。
7、版本歷史:對策略版本在各個階段的修訂情況作出說明
四、總結
采用科學的信息安全管理體系,是建立數據泄露防護體系的理論依據和制度保障。億賽通自
