迈普通信技术股份有限公司成立于 1993 年,是国内领先的网络产品及解决方案供应商,工信部重点支持的四大国产网络设备厂商之一。
公司困扰
迈普是个研、产、销一体的制造型企业,岗位多业务复杂,给信息安全管理造成了很大的困扰,总结如下:
- 数据资产没有统一的管理。
- 办公环境相对来说比较复杂。
- 管控手段弱
14年公司确立国产化自主研发的战略目标后,对数据资产的安全管理也提出了更高的要求,建设更安全的体系迫在眉睫。
我们思考
命题有了,那么我们该怎么做?经过多方学习考察,我们意识到要全面提升安全管理,必须建立一套安全体系来管控。
统一思想、确定主体:在公司内部明确安全职责是整个公司出于自身发展的内在需求。公司成立信息安全领导小组,包括了IT、研发、档案等相关部门,来推动整个公司的信息安全治理。三个步骤:
行动步骤
各个部门逐个做信息资产的识别,梳理在业务发生的过程中会用到、产生哪些数据资产。
通过汇总整合各业务部门梳理的数据资产清单形成全公司的信息资产台账,台账中包括了对资产重要性的评级以及当前管理方式。并每年组织对资产台账和管理政策重新梳理和评审。
同时配套发布了商业秘密相关管理政策,对新同事在入职培训时进行信息安全培训,加强意识明确职责,对老员工也不定期地组织安全培训巩固意识。
组织各部门梳理数据资产的重要性:通过分析拉出综合的评定和评级,把资产进行重要性排序,然后再结合资产的全生命周期中所涉及的环境进行归类管理划分,规划出重要性相近、安全要求类似、业务关系密切的安全区域进行分级管理。不同区域根据其环境特点制定不同的安全标准。
根据不同区域的安全要求,审视现状识别风险,评估风险造成的影响会有多大,形成风险台账。对风险评级较高的风险点,优先从技术上和管理上制定相应的整改方案。规划出信息安全的技术架构,针对薄弱点制定信息安全建设规划。
鸿翼助力
»文档体系与资产台账
非结构化数据是企业数据资产的重要组成部分,据统计可达到企业数据总量的80%,几乎所有部门都涉及,企业数字化基础除了结构化数据和流程的打通,也需要打通非结构化数据。鸿翼以非结构化数据管理能力为核心,建立统一管理、统一搜索、统一协作、统一利用的文档管理平台,保障企业数据安全合规,为企业提供了一套全面建立非结构化数据管理体系的方案。我们借助鸿翼的实施方法论在前期组织各部门完成了资产识别分级工作,并建立整个公司统一的文档架构和分级管理体系(公司级、领域级、部门级),解决了不知道要管什么的问题。引入企业内容管理系统(ECM)产品建立文档系统将各部门文档集中管理,利用系统进行文档协同办公,解决原有工作方式改变带来的效率影响,通过系统对文档权限的精细化管理解决一直困扰我们的文档安全问题。
在实施过程中,最大的难题是不同安全控制区域和统一文档架构怎样兼顾:从效率角度出发需要实现系统在各区均可使用且文件搜索结果保持一致。从安全管控角度出发又要求在低安全区域不能打开高安全区域文件仅能从搜索结果知道该文件存在,此原则还必须高于系统角色身份授权。经双方团队反复论证,最终通过文档数据库与文档实体库分离,文档实体库分区域部署的技术架构完美解决了这一难题。
文档系统在我司不仅是一个文档工具,还是整个企业的非结构化数据库。要求该系统以文档服务形式集成到我司企业服务总线中,提供给业务端系统集成调用。鸿翼产品经集成后在流程中的文档协同、文档自动归档、文档安全控制方面都为我们提供了技术实现。
其中一个典型案例就是规章制度系统。规章制度库是一个公司管理和知识的结晶,需要集中管理以便员工快速地获取,同时也需要安全控制防范外泄。我们制作的规则制度系统以文档产品为制度正文及附件存放数据库,以BMP产品串联各环节审批,并通过文档产品的版本控制制度发布。通过文档产品对权限的精细化控制,实现员工可在线查阅制度内容但不能下载打印,而所需要的附件文件又允许下载。即实现了制度的统一发布宣惯,也保证了数据资产的安全。
价值分析
回顾信息安全建设过程,作为IT部门该怎么展现价值?是简单上点安全工具把安全管控实现就大功告成吗?不是!
公司领导提出来的安全基线,合规遵从等等要求,其实都有一个隐含的前提:企业利益的最大化保障,安全和利益都要保障,要双赢!这对IT部门是挑战,也是体现价值的机会。
怎么做到双赢?我们需要深入剖析公司安全管理要求,理解要求背后的需求出发点。真正走进业务,站在他们的角度去识别问题、分析问题。不强制执行,也不一味妥协,以安全要求为底线,为业务效率提升追求最大化效益。就能够得出即满足公司安全要求也能得到业务部门支持的落地方案。
最终实现IT的价值——为企业数字化转型保驾护航!