摘要:在21世紀(jì)信息就是價(jià)值�����,信息對(duì)企業(yè)的價(jià)值不用多說(shuō)�。企業(yè)不但要做好外部信息的收集�����,同時(shí)也要防護(hù)自身信息的泄露�。隨著網(wǎng)絡(luò)的發(fā)展,企業(yè)面臨的信息安全形勢(shì)也日趨復(fù)雜���,因此做好內(nèi)部的信息安全顯得尤為重要���,作為企業(yè)來(lái)說(shuō)要怎樣維護(hù)信息安全呢?如何構(gòu)建企業(yè)信息安全防護(hù)體系�����?讓信息安全維護(hù)更具科學(xué)性���?以下就和小編一起來(lái)了解一下吧�。
企業(yè)信息安全包括哪些
1、基礎(chǔ)網(wǎng)絡(luò)安全(按網(wǎng)絡(luò)區(qū)域劃分)
(1)網(wǎng)絡(luò)終端安全:防病毒(網(wǎng)絡(luò)病毒�、郵件病毒)、非法入侵�、共享資源控制;
(2)內(nèi)部局域網(wǎng)(LAN)安全:內(nèi)部訪(fǎng)問(wèn)控制(包括接入控制)�、網(wǎng)絡(luò)阻塞(網(wǎng)絡(luò)風(fēng)暴)、病毒檢測(cè)�����;
(3)外網(wǎng)(Internet)安全:非法入侵�、病毒檢測(cè)、流量控制���、外網(wǎng)訪(fǎng)問(wèn)控制���。
2、系統(tǒng)安全(系統(tǒng)層次劃分)
(1)硬件系統(tǒng)級(jí)安全:門(mén)禁控制�、機(jī)房設(shè)備監(jiān)控(視頻)、防火監(jiān)控�����、電源監(jiān)控(后備電源)���、設(shè)備運(yùn)行監(jiān)控�����;
(2)操作系統(tǒng)級(jí)安全:系統(tǒng)登錄安全�����、系統(tǒng)資源安全�、存儲(chǔ)安全���、服務(wù)安全等���;
(3)應(yīng)用系統(tǒng)級(jí)安全:登錄控制、操作權(quán)限控制���。
3�����、數(shù)據(jù)���、應(yīng)用安全(信息對(duì)象劃分)
(1)本地?cái)?shù)據(jù)安全:本地文件安全�、本地程序安全�����;
(2)服務(wù)器數(shù)據(jù)安全:數(shù)據(jù)庫(kù)安全�、服務(wù)器文件安全、服務(wù)器應(yīng)用系統(tǒng)�����、服務(wù)程序安全���。詳情
企業(yè)信息安全管理制度
第一條�����、為加強(qiáng)公司信息安全管理�����,推進(jìn)信息安全體系建設(shè)�,保障信息系統(tǒng)安全穩(wěn)定運(yùn)行,根據(jù)國(guó)家有關(guān)法律�、法規(guī)和《公司信息化工作管理規(guī)定》,制定本辦法�。
第二條、本辦法所指的信息安全管理�����,是指計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)(以下簡(jiǎn)稱(chēng)信息系統(tǒng))的硬件���、軟件、數(shù)據(jù)及環(huán)境受到有效保護(hù)�,信息系統(tǒng)的連續(xù)、穩(wěn)定���、安全運(yùn)行得到可靠保障�����。
第三條�����、公司信息安全管理堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)�、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的基本原則,各信息系統(tǒng)的主管部門(mén)�����、運(yùn)營(yíng)和使用單位各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責(zé)任���。第四條信息安全管理���,包括管理組織與職責(zé)、信息安全目標(biāo)與工作原則�����、信息安全工作基本要求�����、信息安全監(jiān)控���、信息安全風(fēng)險(xiǎn)評(píng)估���、信息安全培訓(xùn)、信息安全檢查與考核�����。
第四條、公司信息化工作領(lǐng)導(dǎo)小組是信息安全工作的最高決策機(jī)構(gòu)�����,負(fù)責(zé)信息安全政策�、制度和體系建設(shè)規(guī)劃的審批,部署并協(xié)調(diào)信息安全體系建設(shè)�����,領(lǐng)導(dǎo)信息系統(tǒng)等級(jí)保護(hù)工作���。
第五條、公司建立和健全由總部�����、企事業(yè)單位以及信息技術(shù)支持單位三方面組成�,協(xié)調(diào)一致、密切配合的信息安全組織和責(zé)任體系�。各級(jí)信息安全組織均要明確主管領(lǐng)導(dǎo),確定相關(guān)責(zé)任�����,設(shè)置相應(yīng)崗位,配備必要人員���。
第六條�、信息管理部是公司信息安全的歸口管理部門(mén)�����,負(fù)責(zé)落實(shí)信息化工作領(lǐng)導(dǎo)小組的決策�,實(shí)施公司信息安全建設(shè)與管理,確保重要信息系統(tǒng)的有效保護(hù)和安全運(yùn)行���。具體職責(zé)包括:組織制定和實(shí)施公司信息安全政策標(biāo)準(zhǔn)�����、管理制度和體系建設(shè)規(guī)劃�����,組織實(shí)施信息安全項(xiàng)目和培訓(xùn)���,組織信息安全工作的監(jiān)督和檢查���。
第七條、公司保密部門(mén)負(fù)責(zé)信息安全工作中有關(guān)保密工作的監(jiān)督�����、檢查和指導(dǎo)�。
第八條、企事業(yè)單位信息部門(mén)負(fù)責(zé)本單位信息安全的管理�,具體職責(zé)包括:在本單位宣傳和貫徹執(zhí)行信息安全政策與標(biāo)準(zhǔn),確保本單位信息系統(tǒng)的安全運(yùn)行�,實(shí)施本單位信息安全項(xiàng)目和培訓(xùn),追蹤和查處本單位信息安全違規(guī)行為���,組織本單位信息安全工作檢查,完成公司部署的信息安全工作���。
第九條���、技術(shù)支持單位在信息管理部的領(lǐng)導(dǎo)下,承擔(dān)所負(fù)責(zé)的信息系統(tǒng)和所在區(qū)域的信息安全管理任務(wù)�,主要包括:在所維護(hù)系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息安全政策與標(biāo)準(zhǔn),確保所負(fù)責(zé)信息系統(tǒng)的安全運(yùn)行�。
第十條���、各級(jí)信息管理部門(mén)設(shè)立信息安全管理和技術(shù)崗位,包括信息安全�、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)�����、操作系統(tǒng)�����、網(wǎng)絡(luò)負(fù)責(zé)人和管理員���,重要崗位可設(shè)置兩個(gè)員工互為備份���。詳情
企業(yè)信息安全防護(hù)體系
主要威脅
1、信息泄露:信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體���;
2���、破壞信息的完整性:數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失�;
3�����、非法使用(非授權(quán)訪(fǎng)問(wèn)):某一資源被某個(gè)非授權(quán)的人���,或以非授權(quán) 的方式使用;
4�����、計(jì)算機(jī)病毒:一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序�����。
防護(hù)措施
1�����、安裝防火墻:防火墻在某種意義上可以說(shuō)是一種訪(fǎng)問(wèn)控制產(chǎn)品���。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙,阻止外界對(duì)內(nèi)部資源的非法訪(fǎng)問(wèn)�,防止內(nèi)部對(duì)外部的不安全訪(fǎng)問(wèn)。主要技術(shù)有:包過(guò)濾技術(shù)���,應(yīng)用網(wǎng)關(guān)技術(shù)�,代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊�����,并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控�、過(guò)濾、記錄和報(bào)告功能�����,較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接�����。但它其本身可能存在安全問(wèn)題�����,也可能會(huì)是一個(gè)潛在的瓶頸�。
2、網(wǎng)絡(luò)安全隔離:網(wǎng)絡(luò)隔離有兩種方式�,一種是采用隔離卡來(lái)實(shí)現(xiàn)的,一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的。隔離卡主要用于對(duì)單臺(tái)機(jī)器的隔離�,網(wǎng)閘主要用于對(duì)于整個(gè)網(wǎng)絡(luò)的隔離。這兩者的區(qū)別可參見(jiàn)參考資料���。網(wǎng)絡(luò)安全隔離與防火墻的區(qū)別可參看參考資料�����。
3�����、安全路由器:由于WAN連接需要專(zhuān)用的路由器設(shè)備�,因而可通過(guò)路由器來(lái)控制網(wǎng)絡(luò)傳輸���。通常采用訪(fǎng)問(wèn)控制列表技術(shù)來(lái)控制網(wǎng)絡(luò)信息流���。
4、虛擬專(zhuān)用網(wǎng)(VPN):虛擬專(zhuān)用網(wǎng)(VPN)是在公共數(shù)據(jù)網(wǎng)絡(luò)上�,通過(guò)采用數(shù)據(jù)加密技術(shù)和訪(fǎng)問(wèn)控制技術(shù),實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互聯(lián)�。VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻�����,以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。詳情
企業(yè)如何維護(hù)網(wǎng)絡(luò)安全
1�����、確保系統(tǒng)�����、應(yīng)用和用戶(hù)都打上補(bǔ)丁
應(yīng)用最新安全補(bǔ)丁的重要性�,maigoo網(wǎng)編認(rèn)為再怎么強(qiáng)調(diào)都不為過(guò)。攻擊者總在嘗試通過(guò)最方便的路線(xiàn)闖進(jìn)公司���,這條康莊大道往往就是未打補(bǔ)丁的系統(tǒng)���。至于雇員,確保部署持續(xù)的用戶(hù)培訓(xùn)項(xiàng)目���,保證強(qiáng)口令策略得到實(shí)現(xiàn)�����,并要求多因子身份驗(yàn)證�����。
2�、預(yù)防措施共享
防止網(wǎng)絡(luò)攻擊并擊退攻擊者的最佳機(jī)會(huì),存在于有效安全控制措施在網(wǎng)絡(luò)�����、終端和云上能協(xié)同執(zhí)行�,就像同一平臺(tái)的不同部分一樣。這意味著安全團(tuán)隊(duì)不用管理和編配單獨(dú)的策略�����、實(shí)現(xiàn)���、可見(jiàn)性及威脅情報(bào)�����。每個(gè)元素都能利用其它元素的成果���,比如說(shuō),終端上發(fā)現(xiàn)的威脅�,網(wǎng)絡(luò)上和云端都能自動(dòng)阻止���,不用人工干預(yù)�����。
3�����、實(shí)現(xiàn)一致的安全模型���,不論用戶(hù)位置或設(shè)備類(lèi)型
如果所有位置上都有一致的預(yù)防措施�����,攻擊者就無(wú)法在防護(hù)較弱的地方獲得初始立足點(diǎn)���,無(wú)法據(jù)此邁向公司中其他地方。無(wú)論是遠(yuǎn)程用戶(hù)或系統(tǒng)�,核心數(shù)據(jù)中心或邊界,云服務(wù)或基于SaaS的應(yīng)用�,你都必須確保環(huán)境中沒(méi)有安全空白??梢钥紤]將邊界延伸至遠(yuǎn)程用戶(hù)及網(wǎng)絡(luò)�����,就好像他們是在你的核心網(wǎng)絡(luò)上一樣���。
4、實(shí)踐最小權(quán)限原則
分隔是必須���,微分隔正在快速到來(lái)�。沒(méi)誰(shuí)���,或者沒(méi)有什么東西�����,需要跟全部人/物溝通�����。無(wú)論是什么���,無(wú)論在哪里,都不能對(duì)任何實(shí)體有默認(rèn)信任���。通過(guò)建立區(qū)隔網(wǎng)絡(luò)不同部分的“零信任”界限���,公司企業(yè)可以保護(hù)數(shù)據(jù)不受未授權(quán)App或用戶(hù)訪(fǎng)問(wèn)�,減少脆弱系統(tǒng)的暴露面�,防止惡意軟件在整個(gè)網(wǎng)絡(luò)上巡游�����。詳情
企業(yè)商業(yè)秘密包括哪些
技術(shù)信息
主要包括:技術(shù)設(shè)計(jì)���、技術(shù)樣品�����、質(zhì)量控制���、應(yīng)用試驗(yàn)、工藝流程�、工業(yè)配方、化學(xué)配方�、制作工藝、制作方法�、計(jì)算機(jī)程序等���。作為技術(shù)信息的商業(yè)秘密,也被稱(chēng)作技術(shù)秘密���、專(zhuān)有技術(shù)���、非專(zhuān)利技術(shù)等,在國(guó)際貿(mào)易中往往被稱(chēng)為Know-How�����。
經(jīng)營(yíng)信息
主要包括:發(fā)展規(guī)劃���、競(jìng)爭(zhēng)方案�、管理訣竅�、客戶(hù)名單、貨源�����、產(chǎn)銷(xiāo)策略�、財(cái)務(wù)狀況、投融資計(jì)劃、標(biāo)書(shū)標(biāo)底�����、談判方案等�����。
商業(yè)秘密包括生產(chǎn)領(lǐng)域的秘密和商業(yè)領(lǐng)域的秘密�。從商業(yè)企業(yè)角度來(lái)看,商業(yè)秘密范圍的理解似乎更廣一些�,同時(shí)也更為具體明確些�,主要涵括如下諸方面的內(nèi)容:
產(chǎn)品
它是指由公司自己開(kāi)發(fā)的,并具有商業(yè)價(jià)值的產(chǎn)品�����,在未獲得專(zhuān)利之前�����,便可以稱(chēng)得上是一項(xiàng)商業(yè)秘密���。即便產(chǎn)品本身不是商業(yè)秘密�����,組成產(chǎn)品的成分及組成的方式等也可能成為商業(yè)秘密�����。
配方
工業(yè)配方是商業(yè)秘密中的一種常見(jiàn)形式���。很多食品的配方及其化學(xué)合成���,化妝品的確切成分及各種含量度的比例都是很有價(jià)值的商業(yè)秘密。如“可口可樂(lè)”飲料配方作為一項(xiàng)商業(yè)秘密聞名于世���。詳情
企業(yè)如何保護(hù)商業(yè)秘密
風(fēng)險(xiǎn)來(lái)源
1�、企業(yè)對(duì)商業(yè)秘密的認(rèn)識(shí)不到位
部分企業(yè)對(duì)商業(yè)秘密的范圍���、構(gòu)成要件認(rèn)知不夠�����。關(guān)于商業(yè)秘密的范圍及構(gòu)成要件在前幾期文章中有專(zhuān)門(mén)說(shuō)明�����,這里就不再贅述了�。
2、缺少對(duì)員工關(guān)于商業(yè)秘密的系統(tǒng)培訓(xùn)
當(dāng)前�����,大多數(shù)企業(yè)保護(hù)商業(yè)秘密的主要措施是在規(guī)章制度中要求員工應(yīng)當(dāng)保護(hù)公司商業(yè)秘密禁止外泄�。但在爭(zhēng)議發(fā)生后,企業(yè)難以舉證說(shuō)明員工已經(jīng)知悉企業(yè)的規(guī)章制度�,導(dǎo)致權(quán)益難以得到救濟(jì)。另外���,部分員工對(duì)商業(yè)秘密意識(shí)淡薄�����,對(duì)本企業(yè)的商業(yè)秘密及保護(hù)措施了解甚少、關(guān)注不夠�����,常常出現(xiàn)泄漏秘密而不知的情況���。
3�、跳槽人員帶走商業(yè)秘密
MAIGOO小編告訴你,企業(yè)員工跳槽是企業(yè)商業(yè)秘密被侵犯最常見(jiàn)的誘因之一���。更有甚者在跳槽之后�����,利用原單位的商業(yè)秘密為聘用單位提供服務(wù)���,與原單位成為競(jìng)爭(zhēng)對(duì)手,造成原單位的經(jīng)濟(jì)損失���。
4���、事后救濟(jì)難以實(shí)現(xiàn)
企業(yè)在經(jīng)營(yíng)管理中想要杜絕商業(yè)秘密泄露的難度很大,一旦商業(yè)秘密被侵害���,主要依靠?jī)煞N救濟(jì)方式:行政救濟(jì)和司法救濟(jì)�,但是總的來(lái)看企業(yè)想要得到救濟(jì)必須要投入大量的財(cái)力�����、人力�����,同時(shí)還要考慮追究侵權(quán)人的法律責(zé)任以及賠償能力,因此很難真正得到圓滿(mǎn)的救濟(jì)�����。上述種種情況給企業(yè)管理者以警示:商業(yè)秘密保護(hù)的重要性���,不但要求我們需要提高商業(yè)秘密的保護(hù)意識(shí)�,而且要將商業(yè)秘密作為重要的知識(shí)產(chǎn)權(quán)���、無(wú)形資產(chǎn)來(lái)保護(hù)���。
防范對(duì)策
1、加強(qiáng)企業(yè)對(duì)商業(yè)秘密的保護(hù)意識(shí)
企業(yè)高層領(lǐng)導(dǎo)及HR首先要意識(shí)到保護(hù)商業(yè)秘密的必要性���,視其為企業(yè)的“殺手锏”�����,認(rèn)真剖析國(guó)內(nèi)外企業(yè)管理商業(yè)秘密的成功經(jīng)驗(yàn)和被竊取秘密造成巨大經(jīng)濟(jì)損失的案例,總結(jié)經(jīng)驗(yàn)教訓(xùn)���,形成符合自身特點(diǎn)的保護(hù)管理模式�;其次重視對(duì)員工的保密教育,組織保守企業(yè)商業(yè)秘密的專(zhuān)項(xiàng)學(xué)習(xí)培訓(xùn)���,反復(fù)強(qiáng)調(diào)���、宣傳保密的重要性,同時(shí)向員工發(fā)放適宜公開(kāi)的《保密手冊(cè)》�,減少人員流動(dòng)所帶來(lái)的泄密風(fēng)險(xiǎn)。
2���、建立企業(yè)商業(yè)秘密保護(hù)機(jī)構(gòu)
企業(yè)商業(yè)秘密的認(rèn)定與保護(hù)工作本身有著較高的法律性和技術(shù)性的特點(diǎn)���,需要有專(zhuān)門(mén)的機(jī)構(gòu)和人員開(kāi)展這項(xiàng)工作,故���,有條件的企業(yè)可以設(shè)立商業(yè)秘密保護(hù)機(jī)構(gòu)���,配備專(zhuān)業(yè)的保密人員。
3�����、建立嚴(yán)格的保密規(guī)章和管理制度
企業(yè)應(yīng)根據(jù)自身的實(shí)際情況建立嚴(yán)格的保密規(guī)章制度,并且做好公示���,確保員工能明確知曉保密信息的存在�,以及違反保密制度的所承擔(dān)的法律責(zé)任�����。同時(shí)�,盡量縮小人員的涉密范圍,引入相互牽制制度���,對(duì)部分重大核心秘密進(jìn)行分解�����,使每一涉密員工只能接觸到秘密的一部分�。不但如此�����,還可以做一些物理性防范措施���,例如將載有商業(yè)秘密的文件和檔案加蓋保密章���,施行專(zhuān)人、專(zhuān)庫(kù)���、專(zhuān)柜制度�,規(guī)范涉密文件的借閱手續(xù)�。對(duì)涉密的生產(chǎn)設(shè)備和生產(chǎn)過(guò)程安排在特定區(qū)域內(nèi)進(jìn)行,對(duì)設(shè)備的保密部分用箱體封閉���,同時(shí)標(biāo)注“保密”標(biāo)識(shí)�。詳情
企業(yè)如何防止員工泄密
1�����、讓所有員工了解企業(yè)的重要數(shù)據(jù)
你是否知道你掌握的重要數(shù)據(jù)呢�?經(jīng)過(guò)調(diào)查得知,70%的新老員工都不知道自己企業(yè)存有哪些數(shù)據(jù)�,或是自己平時(shí)工作流轉(zhuǎn)操作了哪些企業(yè)的數(shù)據(jù)。告訴員工企業(yè)最為重要的業(yè)務(wù)和事項(xiàng)都有哪些���,數(shù)據(jù)很重要�,仔細(xì)排查數(shù)據(jù)機(jī)密等級(jí)更重要�����,進(jìn)而可對(duì)數(shù)據(jù)進(jìn)行等級(jí)標(biāo)注然后再實(shí)施防護(hù)措施。
2�����、加強(qiáng)對(duì)企業(yè)所有員工的道德教育
應(yīng)當(dāng)怎樣對(duì)待信息資產(chǎn)呢�����?企業(yè)需要讓員工與管理層的觀(guān)念保持一致�����,因?yàn)榇蠖鄶?shù)員工與他們的企業(yè)在觀(guān)點(diǎn)上會(huì)存在差異�。例如一項(xiàng)在倫敦進(jìn)行的研究,其中44%的受訪(fǎng)者會(huì)有隨身攜帶客戶(hù)或知識(shí)產(chǎn)權(quán)數(shù)據(jù)的習(xí)慣�����,即使他們不在工作當(dāng)中�����。企業(yè)應(yīng)當(dāng)提醒員工,若發(fā)現(xiàn)企業(yè)的敏感數(shù)據(jù)出現(xiàn)在你工作的新公司�,你們將被就追究法律責(zé)任。
3�����、讓員工在知情的情況下被監(jiān)視
企業(yè)對(duì)員工進(jìn)行上網(wǎng)行為監(jiān)控是一項(xiàng)有效的防范舉措�,但是在上網(wǎng)辦公監(jiān)管產(chǎn)品應(yīng)用于企業(yè)之前總會(huì)收到員工的排斥���。事實(shí)上�����,企業(yè)要適時(shí)引導(dǎo)�,提醒員工如何做是最妥善的辦法���,加強(qiáng)安全意識(shí)�,對(duì)于因某些活動(dòng)而被記錄的員工�����,要頻繁且委婉地進(jìn)行警醒���,這也是一個(gè)防止事故發(fā)生的很好的方式�。要讓員工意識(shí)到上網(wǎng)辦公監(jiān)管不是針對(duì)某個(gè)人的舉措,是基于大多數(shù)人利益的考慮�,覆巢無(wú)完卵的道理大家都懂的!詳情
★★
攜程
中國(guó)人壽
太平洋保險(xiǎn)
同程
去哪兒
中華保險(xiǎn)
中國(guó)人保
泰康
春秋旅游
飛豬
