邁普通信技術股份有限公司成立于 1993 年,是國內領先的網絡產品及解決方案供應商,工信部重點支持的四大國產網絡設備廠商之一。
公司困擾
邁普是個研、產、銷一體的制造型企業,崗位多業務復雜,給信息安全管理造成了很大的困擾,總結如下:
- 數據資產沒有統一的管理。
- 辦公環境相對來說比較復雜。
- 管控手段弱
14年公司確立國產化自主研發的戰略目標后,對數據資產的安全管理也提出了更高的要求,建設更安全的體系迫在眉睫。
我們思考
命題有了,那么我們該怎么做?經過多方學習考察,我們意識到要全面提升安全管理,必須建立一套安全體系來管控。
統一思想、確定主體:在公司內部明確安全職責是整個公司出于自身發展的內在需求。公司成立信息安全領導小組,包括了IT、研發、檔案等相關部門,來推動整個公司的信息安全治理。三個步驟:
行動步驟
各個部門逐個做信息資產的識別,梳理在業務發生的過程中會用到、產生哪些數據資產。
通過匯總整合各業務部門梳理的數據資產清單形成全公司的信息資產臺賬,臺賬中包括了對資產重要性的評級以及當前管理方式。并每年組織對資產臺賬和管理政策重新梳理和評審。
同時配套發布了商業秘密相關管理政策,對新同事在入職培訓時進行信息安全培訓,加強意識明確職責,對老員工也不定期地組織安全培訓鞏固意識。
組織各部門梳理數據資產的重要性:通過分析拉出綜合的評定和評級,把資產進行重要性排序,然后再結合資產的全生命周期中所涉及的環境進行歸類管理劃分,規劃出重要性相近、安全要求類似、業務關系密切的安全區域進行分級管理。不同區域根據其環境特點制定不同的安全標準。
根據不同區域的安全要求,審視現狀識別風險,評估風險造成的影響會有多大,形成風險臺賬。對風險評級較高的風險點,優先從技術上和管理上制定相應的整改方案。規劃出信息安全的技術架構,針對薄弱點制定信息安全建設規劃。
鴻翼助力
»文檔體系與資產臺賬
非結構化數據是企業數據資產的重要組成部分,據統計可達到企業數據總量的80%,幾乎所有部門都涉及,企業數字化基礎除了結構化數據和流程的打通,也需要打通非結構化數據。鴻翼以非結構化數據管理能力為核心,建立統一管理、統一搜索、統一協作、統一利用的文檔管理平臺,保障企業數據安全合規,為企業提供了一套全面建立非結構化數據管理體系的方案。我們借助鴻翼的實施方法論在前期組織各部門完成了資產識別分級工作,并建立整個公司統一的文檔架構和分級管理體系(公司級、領域級、部門級),解決了不知道要管什么的問題。引入企業內容管理系統(ECM)產品建立文檔系統將各部門文檔集中管理,利用系統進行文檔協同辦公,解決原有工作方式改變帶來的效率影響,通過系統對文檔權限的精細化管理解決一直困擾我們的文檔安全問題。
在實施過程中,最大的難題是不同安全控制區域和統一文檔架構怎樣兼顧:從效率角度出發需要實現系統在各區均可使用且文件搜索結果保持一致。從安全管控角度出發又要求在低安全區域不能打開高安全區域文件僅能從搜索結果知道該文件存在,此原則還必須高于系統角色身份授權。經雙方團隊反復論證,最終通過文檔數據庫與文檔實體庫分離,文檔實體庫分區域部署的技術架構完美解決了這一難題。
文檔系統在我司不僅是一個文檔工具,還是整個企業的非結構化數據庫。要求該系統以文檔服務形式集成到我司企業服務總線中,提供給業務端系統集成調用。鴻翼產品經集成后在流程中的文檔協同、文檔自動歸檔、文檔安全控制方面都為我們提供了技術實現。
其中一個典型案例就是規章制度系統。規章制度庫是一個公司管理和知識的結晶,需要集中管理以便員工快速地獲取,同時也需要安全控制防范外泄。我們制作的規則制度系統以文檔產品為制度正文及附件存放數據庫,以BMP產品串聯各環節審批,并通過文檔產品的版本控制制度發布。通過文檔產品對權限的精細化控制,實現員工可在線查閱制度內容但不能下載打印,而所需要的附件文件又允許下載。即實現了制度的統一發布宣慣,也保證了數據資產的安全。
價值分析
回顧信息安全建設過程,作為IT部門該怎么展現價值?是簡單上點安全工具把安全管控實現就大功告成嗎?不是!
公司領導提出來的安全基線,合規遵從等等要求,其實都有一個隱含的前提:企業利益的最大化保障,安全和利益都要保障,要雙贏!這對IT部門是挑戰,也是體現價值的機會。
怎么做到雙贏?我們需要深入剖析公司安全管理要求,理解要求背后的需求出發點。真正走進業務,站在他們的角度去識別問題、分析問題。不強制執行,也不一味妥協,以安全要求為底線,為業務效率提升追求最大化效益。就能夠得出即滿足公司安全要求也能得到業務部門支持的落地方案。
最終實現IT的價值——為企業數字化轉型保駕護航!
