内外兼修，打造企业信息安全“保护锁”

今天，华泰君以华夏泰和服务客户-某电子硬件拓展软件服务制造商的信息安全建设之路为例，探讨企业信息安全建设问题。

前段时间，当当网创始人李国庆带人上门“取走”当当公章一事引爆了舆论，刷爆朋友圈，也引起了大家对企业信息安全管理的讨论。

据统计，世界上每分钟就有2个企业因为信息安全问题倒闭，而在所有的信息安全事故中，只有20%-30%是因为黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄露造成的；同时78%的企业数据泄露是来自内部员工的不规范操作。因此企业信息安全建设需要内外兼修，构建企业信息安全整体解决方案。

今天，华泰君以华夏泰和服务客户-某电子硬件拓展软件服务制造商的信息安全建设之路为例，探讨企业信息安全建设问题。

华泰·案例——某企业信息安全建设之路

一、案例背景

某电子硬件拓展软件服务制造商，随着业务的发展，由硬件产品到软件服务，公司的业务也越来越依赖于信息化，由此带来的信息安全保障，尤其是商业秘密保护的重要性日益凸显，如何妥善地加强信息安全建设，在合理投入的范围内，最大限度的减少或避免因信息泄密、丢失、破坏等问题所造成的经济损失及对企业的影响。

二、客户需求

提高竞争优势持续力

识别信息安全当前及未来面临的主要威胁，针对这些威胁，提出逐步从内部管理向业务经营方向进行有效的整改及预防措施，降低信息安全事件的发生几率。

同时可不断提升员工的信息安全意识， 增强其责任感，减少人为原因造成的不必要的损失，确保核心技术的保密性，为业务拓展保驾护航。

提升企业品牌美誉度

获得信息安全资质，满足商业拓展或合作方面相关的信息安全需求。

有效规避政府监管风险

网络安全法规定了信息安全责任属于管理者责任，而开展信息安全项目， 也证明企业的管理者主体已经积极履行了职责。网络安全法还规定了通过网络提供服务的经营者，对公众个人信息保障具有的责任及义务。开展信息安全项目，将会协助企业在开展网络服务业务时有效合规。

三、解决方案

华夏泰和针对客户的现状，通过前置调研和客观分析，为客户提出定制化的信息安全解决方案：

信息安全导入阶段

本阶段是信息安全保障建设的开端，目的是促进该企业管理层对商业秘密保护的重视，开始进行信息安全保障工作的部署。

本阶段主要工作内容是前置调研，识别当前信息安全水平及不足，把握信息安全保障需求，并制定信息安全初步建设路线规划，奠定企业信息安全保障工作的基础。

重点领域突破阶段

本阶段主要立足于满足该企业的核心信息保障需求，成功实施后，将达到中等以上信息安全保障水平，可有效减少商业秘密泄露等风险。

从信息安全防护领域来看，主要工作在于管理组织及重要流程制度建立、网络防入侵、防病毒、数据归档及备份、文件防泄密等方面；

从信息安全管理范围上看，将会涉及到该企业的日常办公网络、个人 PC 终端及移动存储设备、研发文档与代码等资料的统一归档及加密保护、邮件外发管理、人员入离职的权限控制及交接等方面。并对重点部门、区域逐步加强信息安全管控，对重点区域内的计算机终端、人员、文档、操作过程进行更高强度的信息安全管理、布防监控等。

本阶段的工作分几期、分几年落实，需要根据信息安全导入阶段的方案规划进行。

总体版块布局阶段

到达本阶段时则意味着企业的信息安全水平已经到达一定层面。

该阶段的工作重点将是对信息安全重点领域的加强，以及对信息安全建设短板的弥补，从而达到更高级别的信息安全成熟度水平。

本阶段的工作分几期、分几年落实，主要是看该企业的业务发展情况，以及政府监管方面的相关要求和自身业务对信息安全保障的需要。

通过信息安全解决方案的实施，该企业不论是从内部整体信息安全管理和员工信息安全意识上面得到全面提升，不仅保护了企业核心技术，还提升了公司的整体形象，对于业务拓展和商业竞争力上面都得到上下游供应商和客户的认可，使企业整体实力再上一个台阶。