企业核心数据是企业的命脉。通过建立完善的信息安全系统,保护企业核心数据尤其是企业商业机密,防止从企业内部泄密,已经成为当前众多企业的共识。企业从信息系统的安全性、稳定性和可靠性等方面为基点,以数据安全为目标,纷纷构建企业数据泄露防护体系。要想建立完善的数据泄露防护体系,必须遵循科学严谨的信息安全管理体系。当前,BS7799体系(或ISO/ICE17799体系)是全球普遍采用的信息安全系统建设标准。这套体系能保证企业信息(包括: 专利 商业档案、 文件、 标准、 专有技术 、客户资料、 统计数据、 图样 、配方、 报价、 规章制度 、财务数据 、工艺 计划 、资源配置、 管理体系等)的安全风险降低到可接受的最低水平,防止可能由于人 员的原因(疏忽、跳槽、破坏)、竞争对手原因(商业间谍、收买、盗窃、网络攻击)和自然灾害(火灾、水灾、地震)等 原因,被毁灭、消失、损坏、盗窃、贬值、转移,给企业带来致命的打击。
亿赛通数据泄露防护(DLP)体系,是中国第一套完全基于BS7799制定的数据安全保护体系。以下将以中集集团数据泄露防护(DLP)工程为例,介绍数据安全政策的制定。
一、项目背景
中国国际海运集装箱(集团)股份有限公司(简称:中集集团),是一家为全球市场提供“现代化交通运输装备和服务”的企业集团,主要经营集装箱、道路运输车辆、能源、化工及食品装备、海洋工程、机场设备等装备的制造和服务。目前,中集集团总资产345.58亿、净资产134.17亿元,2008年销售额473.27亿元,净利润14.07亿元。在中国以及北美、欧洲、亚洲、澳洲等国家和地区拥有100余家全资及控股子公司,员工近五万人,初步形成跨国公司运营格局。中集集团于1980年1月创立于深圳,1994年在深圳证券交易所上市,目前主要股东为中远集团和招商局集团。经过二十多年的发展,中集集团已经成为根植于中国本土的全球交通运输装备制造与服务业的领先企业。2008年,中集集团被列为“2008最具全球竞争力中国公司”第49位,“中国国有上市企业社会责任榜”第39位,中国500最具价值品牌第40位;2007年9月“CIMC中集”牌集装箱被国家质量监督检验检疫总局评选为“中国世界名牌”产品称号,“中集”商标被国家工商总局正式认定为中国驰名商标。
中集集团的发展目标是:到2012年,销售额达到1000亿元人民币,净利润50亿元人民币,成为所进入行业的世界级企业。
二、中集集团数据泄露防护(DLP)政策的制定过程
按照BS7799(或ISO/ICE17799)体系,要建立企业信息安全体系,首先要确立信息安全政策。那什么是信息安全政策呢?从本质上来说,信息安全政策是描述企业具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对企业中成员阐明如何使用信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担什么样的责任,详细描述对员工的安全意识与技能要求,列出被组织禁止的行为。
BS7799明确提出:管理层应当提出一套清晰的政策来指导信息安全实践,并且通过在组织内发布和维护信息安全政策来表明对信息安全的支持和承诺。亿赛通根据这一原则,按照以下步骤来制定中集集团数据泄露防护体系:
1、 理解中集集团的企业文化和业务特征
中集集团在中国以及北美、欧洲、亚洲、澳洲等国家和地区拥有100余家全资及控股子公司,员工近五万人,这是一个规模庞大的企业机构,企业内部人员不仅是管理层和普通员工,还有不同文化、民族和种族的人群。企业使用数据泄露防护体系,必须要考虑总公司与分公司,分公司与办事处,管理层和普通员工等等复杂关系。不仅如此,总公司与分公司之间、分公司与办事处之间,并发各种类型的业务往来,涵盖不同类型的保密等级需求,对不同类型的文件类型进行加密等等。亿赛通经过与中集集团的有效沟通,充分了解中集集团企业文化和业务特征,这是设计数据安全政策的前提。
2、得到管理层的明确支持与承诺
要制定一个好的数据信息安全政策,必须与决策层进行有效沟通,并得到企业高层领导的支持与承诺。这有三个作用,一是制定的信息安全政策与企业的业务目标一致;二是制定的安全方针政策、控制措施可以在企业的上上下下得到有效的贯彻;三是可以得到有效的资源保证。亿赛通经过数月努力,与中集集团保持好良好的实时交流,得到领导层的充分信任和支持,这是中集集团数据泄露防护体系得以顺利实施的保证。
3、组建一个安全政策制定小组
亿赛通与中集集团通力合作,建立了以亿赛通团队和中集集团相关人士的数据安全政策制定小组。安全政策制定小组由亿赛通团队(包括技术团队及项目咨询成员)和中集集团团队(包括高级管理人员、文档保密员、IT部门负责人、律师、中集集团用户部门的人员)组成。
4、确定信息安全整体目标经过调研,确定中集集团的数据安全整体目标是:确保电子文档在企业内部和授权部门内部,可以安全共享;在对外合作时能确保机密文件不被二次扩散;在保证数据安全的同时,还要保证业务持续性,并最小化业务损失,为企业实现业务目标提供保障。
5、确定信息管理体系的范围
中集集团公司所有部门都参与此次数据安全项目,根据中集集团各个分部职能、工作内容、文件类型、文件保密等级要求的不同,将亿赛通文档安全管理动态加解密和权限管理两个模块灵活搭配使用,即保障了核心电子信息的安全也实现了文档的安全流转。
6、风险评估与选择数据安全控制
数据安全政策制定小组经过对中集集团的数据信息安全管理现状调查,并采用风险评估工作是建立具体的信息安全策略的基础与关键,在安全体系建立的整个过程中,风险评估工作占了很大的比例,风险评估的工作质量直接影响安全控制的合理选择和安全策略的完备制定。
7、起草拟订数据安全政策
按照BS7799体系,亿赛通按照PDCA的持续改进的管理模式,通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。
图2 BS7799的PDCA模型
8、评估数据安全政策
中集集团数据泄露防护体系被制订出来后,双方联合召开了专家评审会,对该体系进行评估,并进行了测试,以评审体系的完备性、易用性,最终确定,改体系安全政策能完全达到企业所需的安全目标。
9、数据安全政策的实施
在数据安全政策通过测试评估后,中集集团管理层正式批准实施,编制了成中集集团数据信息安全政策手册,发布到企业中的每个员工与相关利益方,明确安全责任与义务。
10、政策的持续改进
在中集集团数据泄露防护(DLP)实施后,亿赛通与中集集团公司建立了“售后保障服务体系”,其中包含了对数据安全政策的定期评审,并进行持续改进。
三、中集集团数据泄露防护(DLP)政策的内容
中集集团数据安全政策通过基本的规则、指南、定义,以及亿赛通完善的数据泄露防护(DLP)解决方案,建立了一套数据资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。建立了数据安全政策,就设置了企业的数据安全基础,可以使员工了解与自己相关的数据安全保护责任,强调数据系统安全对企业业务目标的实现、业务活动持续运营的重要性。
数据安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础。中集集团数据泄露防护策略的内容包括:
1、目标:中集集团数据泄露防护体系要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。从技术实现的角度,要对数据进行实时加密、权限控制、身份认证、日志审计、笔记本磁盘全盘加密、文件外发管理、系统容灾等全方位进行保护。
2、范围:中集集团数据泄露防护体系包含足够的范围广度。数据类型包括员工持股会文件、董事长来往文件、法务文件、公司体系文件、销售合同评审文件、综合合同评审文件、档案文件电子版、行政文件等所有电子类文件;
3、策略内容:根据BSS7799中定义,对数据安全策略的描述应该集中在三个方面:机密性、完整性和可用性。这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问,其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的,信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。亿赛通数据泄露防护(DLP)解决方案完全满足以上三个方面特性。
在中集集团内部,,给员工明确描述与这些特性相关的信息安全要求,信息安全策略以员工熟悉的活动、信息、术语等方式来反映安全目标。例如,在研发部门,采用动态加解密系统,对所有文件进行实时加密,包括了文档的制作、保存、流转、存储全过程。另外,还采用权限控制等手段,对文档的只读、打印等进行权限控制。而在研发部门之外,主要采用权限管理系统、文件外发管理系统等,对财务、法务、管理文件等进行授权、再授权的控制。
4、角色责任:数据安全策略除了要建立安全程序及程序管理职责外,还需要在组织中定义各种角色并分配责任,明确要求。亿赛通数据泄露解决方案明确规定文档管理权、系统管理权、日志审计权“三权分立”。在这种分权管理制度中, 能有效确保文档、系统和日志的分别管理和控制,完全满足对不同角色的责任分配和制衡。
5、执行纪律:亿赛通数据泄露解决方案并不直接制定违反数据安全法规,而是通过日志审计手段,对所有文件的访问控制全程记录,为追查文件流转路径提供有效保证,从而使泄密无所遁形。
6、专业术语: 亿赛通数据泄露防护(DLP)体系,采用标准文档管理方式,对所有涉及到数据泄露防护的专业术语进行严谨解释,避免产生歧义。
7、版本历史:对策略版本在各个阶段的修订情况作出说明
四、总结
采用科学的信息安全管理体系,是建立数据泄露防护体系的理论依据和制度保障。亿赛通自
