🔥 热搜 🔥
1bxss.mesearch/etc/shells@纽约时间@诉说趣闻search/./\bxss.mehttp:bxss.me/\\bxss.me
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
1bxss.mesearch/etc/shells@纽约时间@诉说趣闻search/./\bxss.mehttp:bxss.me/\\bxss.me
分类
社会娱乐国际人权科技经济其它
查看原文
其他

研发型企业信息安全管控的4个难点|科技创新型企业专刊·安全村

李廖刘杨 SecUN安全村 2022-11-12
收录于合集 #科技专刊 8个


(一)外包人员信息安全管理



随着企业业务专业化、模块化发展以及越来越讲究企业经营成本,业务外包已经成为众多企业采取的用工模式,灵活的用工能有效解决企业自身人手不足、成本较高的难题,降低企业经营风险。因此该模式越来越受欢迎,但是如何管理外包人员信息安全行为成为越来越受关注的主题。外包模式分为驻场外包、非驻场外包等,我们本次主要是聊聊驻场外包人员的信息安全管理。

对此,笔者认为核心要求就是对外包人员的全工作周期(合作前、合作中、合作结束)信息安全进行管理。下面大概聊聊每个阶段的管控要求吧。

一、合作前
原则上非核心业务才能外包,要结合业务明确外包人员使用原则和使用范围。比如外包人员不得接触公司核心信息,禁止接触或参与核心系统、核心业务操作,如有特殊情况则由业务部门结合业务合理性与必要性给出评估意见与控制方案,经评估确认高风险可消除、缓解或规避,经审批后方可开展外包合作。

这是很关键的管控原则,需要在提出外包人力需求前进行评审和管控,如能梳理出各业务模块能外包的岗位则更好。如果前端需求未把好关,后期可能出现较多核心岗位都在采取外包的情况,导致外包“无处不在、全面渗透”的局面,管理比较混乱,不利于对核心信息资产的管控,也加大管理难度和管理成本。

另外,与外包单位签订保密协议、与其个人签订保密协议是基本的合作前提,特别是需要明确对于外包人员在服务本公司期间如出现违规的处罚要求,避免后续在处理违规的时候出现纠纷。对于部分敏感岗位经审批之后采取外包,可对候选的外包人员开展背景调查,甄选出符合要求的人员。

与此同时,也需要强调业务部门的管理责任:业务部门对外包人员在公司办公期间的信息安全管理承担管理和监督责任,需要设定内部对接人对其进行监督。公司建立信息安全培训课程,由内部对接人监督外包人员完成课程学习和考试,如业务部门未对其尽到信息安全培训义务,出现违规事件需承担连带责任。同时,整理业务中的信息安全制度、规范、操作指南等学习资料,便于外包人员快速学习。

二、合作中
在合作中重点是管控外包人员如何安全合规使用本公司信息资产、如何监督其使用行为。笔者认为有几点是需要落实的。

  1. 办公管理:外包人员使用本公司的办公计算机、应用系统或存储介质时应遵循本公司相关安全要求,办公操作行为受到监督。

  2. 权限管理:业务部门应评估业务开展中的权限需求,明确该岗位最小权限清单。对接人及时关注外包人员权限使用情况,以项目维度定期审核权限必要性,在转项、出项、离职时需及时注销或调整权限,并定期对权限进行审视及调整。另外,也可设定黄区等区域对外包人员进行专项管理。

  3. 信息资产管理:在给外包人员授予信息资产的访问权限前,充分评估扩散后带来的风险,判断其接触到的信息敏感情况,明确不同岗位外包人员可开放的IT权限、办公平台模块,避免接触核心信息或非授权外的敏感信息。

  4. 外发管理:规定关于信息传输工具、权限、使用要求等细则,比如:来往邮件必须用公司对公司邮箱发送,非授权情况下禁止出现公对私,私对公邮箱发送;从技术上设定外包人员邮箱默认限定外发,如需外发则需申请权限,并抄送公司相关人员;禁止未经授权下使用第三方IM、网盘等工具传递工作信息。

  5. 宣贯监督:业务部门须及时对外包人员传达信息安全要求,定期审计监督其信息安全行为,及时发现风险点及纠正错误行为。

  6. 安全红线:可制定《外包人员信息安全红线》,约定需遵守及禁止的信息安全红线行为,并且补充到服务协议或保密协议内,明确触碰红线之后的处罚要求,避免合作双方产生争议。

三、合作结束
伴随着业务变化(如项目结束、岗位调整或精简),外包人员离场也会面临信息安全风险。虽然外包人员在入场前已接受信息安全培训、知晓相关要求,但实际上仍有部分人员存在侥幸心理、尝试通过各种方法带走工作资料,一旦出现违规,须严格按照保密协议进行处罚。

因此在外包人员离场前及时完成资料交接、信息安全提醒、权限回收,按业务敏感度逐步安排工作脱敏处理。同时,离职审计及时发现违规行为,但是如果能从IT技术上对其下发策略,比如提前回收其敏感权限、对其电脑文件进行强制加密等,则是非常有效的策略,能有大幅度减少离职违规率,有效保护公司信息资产。另外,鉴于部分深度合作的外包人员在与合作期间获悉较多对本公司具有重大影响的核心信息,考虑在合作终止前应与其协商签订竞业禁止协议。

赘述了这么多,其实外包人员的信息安全管控,总结起来就是合作前(岗位需求评审)、合作中(强化信息资产管控)、合作结束(离场信息安全监督与审计)的管控方法。结合这三个阶段的核心管理要求开展管理工作,相信对于外包人员信息安全管控能取得一定的成果。

(二)管理供应商的信息安全



供应商的信息安全管理,是公司内部信息安全管理的延伸,从客户的角度来看,可分为5个环节,即信息安全的标准制定->标准同步->验收定级->稽核监督->评级牵引,下面逐一展开简单介绍我们的通用做法。

  1. 标准制定:需要制定供应商信息安全管理的基础制度。这个根据业务需要来定,通常包含供应商信息安全的验收、稽核、评价等环节,需通过制度的设计规范供应商的信息安全管理过程,以及供应商在信息安全管控过程中的责任和义务。制度设计的难点在于制定适配所有供应商的管控要求,我司对需要管控的供应商采取同一套管控标准,对部分特例的供应商设置特例项(即不做强制要求),以适配不同规模、类型的供应商。

  2. 标准同步:制定标准后需要通过对公平台将标准同步给供应商,并与供应商沟通,明确标准的执行细节、判定基准,双方达成一致,以避免后续在验收、审计、评价过程中产生争议。

  3. 验收定级:对需要管控的项目涉及的供应商,我司聚焦在新外观件和定制技术件涉及的供应商。项目启动后,公司内部启动信息安全风险评估,明确需要管控的物料和供应商,以及管控的边界和标准。供应商收到管控启动通知后,随即启动该项目的信息安全管控和自检自查,如果达到合格线,可通过商务向供应商信息安全管理组申请验收。验收项与管控标准保持一致,验收结果根据验收评分进行定级,与项目的保密等级结合起来,定级越高,可参与的项目的保密等级越高、范围越大。

  4. 稽核监督:供应商的信息安全管控措施同步于项目启动,但管控方案是否落实到位,有赖于供应商信息安全团队的稽核监督。我司根据每次稽核的评分结果,确定下一次的稽核间隔时间,通常

5.评价牵引:供应商信息安全团队在固定周期(以半年或一年为宜)内对参与保密项目的供应商进行信息安全的综合审计,审计的结果(以评分为准)作为供应商信息安全管控质量评价的依据,同时依据评级结果对供应商进行奖惩,以牵引供应商在下个周期内向更高标准提升,评分范围和激励措施对应如下:
供应商的信息安全管理,依托供应链系统执行,因此上述关键管控环节是否执行到位,还需引入审计监察,如公司信息安全部门进行的年审,明确信息安全在供应商端的推行要求和评价标准,通过制度设计固化到业务流程中,形成制度可牵引、执行可落地、审计可监察的“三可”信息安全管理体系,确保系统信息安全管理目标的稳定达成。

(三)研发样机保密措施知多少



样机如何保密?是手机行业比较棘手而且是老大难的问题。要弄明白,那我们首先明确什么是信息资产,并且认识到信息资产也是有“生命”的,既信息资产全生命周期,包含资产生产、存储、流转、使用、归档等全部过程。保密措施需植入整个过程各环节,才能尽可能预防样机泄密和泄密后有效追溯。

一、组织、流程制度及规范是土壤,保证样机保密工作能落地生根的保健因子

1、保密样机管理措施是否落地,需建立组织、流程、制度、规范,从信息资产全生命周期明确要求,谁来管?怎么管?如安全行管部门负责建立公司级样机管理组织、流程拉通和制度制定;项目经理和业务部门长为样机管理第一责任人;项目/部门信息安全接口人负责样机保密措施抽查;样机管理员负责账实登记和盘点等。

2、监督执行,保证样机在整个研发过程中措施落地、有人稽核、结果展示、处罚透明。如整机必须在保密车间生产和保密办公室研发,存储必须使用保密柜,流转必须使用保密袋和密码箱,使用过程中不允许破坏任何保密措施(撕毁易碎贴、无授权拆保密壳等)以及人员离开座位必须放置在抽屉等等。

3、样机保密要求、典型案例宣贯是不断提升员工意识,提高警惕的不二法宝,如把样机保密做成手册、员工行为准则嵌入到新员工入职培训中;制作样机违规样例,以及对应违规等级和处罚;样机泄密和违规处罚做成案例集在公司级平台宣传等


二、软件参数脱敏让产品的基因发生突变,甚至让你摸不清是白猫还是黑猫?
要保证样机不被“坏人”盯上。自身也要懂得伪装,软件去标识化,核心参数使用“替身”等十八般武艺都可以用上。

三、保密壳为产品保驾护航,使信息更加隐蔽

1、外观大件尽可能使用不带丝印“仿冒品”,防止“太过招摇”引来杀身之祸。

2、为样机安装保密壳,让“身体“穿上“防身服”,预防有意和无意拍照导致提前泄密。


四、屏幕水印和电子围栏等安全类工具,让样机泄密有迹可循

1、为防止样机被偷拍、或截屏后在互联网上泄密,有行业大厂甚至不惜更高成本使用屏幕水印技术,做到泄密图片、视频精准溯源。

2、RFID、电子围栏等技术也有厂商在实际的保密样机、样品中投入使用,做好保密件的定位管理。能明确知道样机现在身处何处?是否在规定的安全区域?当出现异常情况时,通过后台管理保证样机能回归到正常圈定或指定的范围,从而保证系在样机上的这条“安全绳”不易断裂。

3、随着技术的发展的,未来会有更多的技术手段可能会用在保密品的管理上,但这种巨大的成本不是任何一家公司都可以承担的。最重要的是要在安全投入、实施难度与保密价值要对进行综合评估,以最佳成本实现管控目的。



(四)以项目的思维管控研发项目的安全



众所周知,新产品研发的信息安全管理是复杂且多变的,不但涉及的人员众多,开发的环境多场景化,且与外部第三方进行多方位协作,只有所有业务层面都管控到位,才能确保信息的安全。那如何才能做好产品研发的信息安全呢?根据本人近几年在通信终端项目中担任信息安全BP的角色,从实战中摸索出“以项目的思维管控项目安全”的模式,来跟大家进行分享和交流。总的本说,我们采取的管控策略就是:分类分级管理、项目基础保障、项目式运作

1、项目分类分级管理
对产品开发项目进行分级分类管理,首先区分不同的产品类别,不同产品类别的安全管控措施是不同的;其次根据项目安全等级定义,区分项目的安全等级,目前分为高安全项目、中安全项目和低安全项目,不同安全等级的项目管控重点不同。对高安全项目进行严格管控,实现安全资源的优化配置,使信息安全工作更聚焦、更高效。

2、项目基础保障
项目基础保障包括五个方面:一是安全区域的的安全防护;二是IT环境的安全管控;三是权限的管控;四是管理规范或制度的支撑;五是项目的信息安全监督与审计。

一、安全区域的安全防护
1.根据项目的安全等级,安排项目入驻到相应的安全区域,可以有效地保护产品开发过程中敏感资产在生成、访问及使用等场景下安全受控的;
2.门禁权限管控,非项目组成员禁止进入安全区域;
3.进入安全区域的拍照电子设备管控。

二、IT环境的安全管控
1.绝密交付文档下发落地加密策略,并在传递时授权加密,保证无权限的人看不到;
2.绝密交付文档下发屏幕水印策略,发生信息泄密可追溯到源头;
3.根据项目要求,回收高危权限(资料发外,网盘等);
4.外部网络隔离,只允许在内网环境下办公。

三、权限的管控
1.人员权限。明确什么角色有什么权限;
2.系统或文档等访问权限。明确系统或文档交付谁有权限,有什么权限。

四、管理规范或制度的支撑
1.制定和发布《产品开发项目安全管理规范》和《样机安全管理规范》等重要制度。

五、项目的信息安全监督与审计
1.项目组定期开展信息安全自检自查工作;
2.信息安全管理部门按季度进行产品开发项目审计工作。

3.项目式的运作思维
一个项目涵盖多个业务系统,要管控好项目的安全工作,单靠某个系统单方面的管控,是不够的,必须充分调动各业务系统的信息安全BP参与进来,进行全方位的管控,因此,按项目的方式来开展项目的信息安全管理工作,个人认为是最佳的运作模式。

这里介绍下信息安全BP这个岗位。信息安全BP是设置在业务部门的信息安全专职或兼职人员,一方面可以帮助在业务部门把安全要求和安全问题进行上传下达,一方面因为又懂业务、又懂安全,可以很好地在业务部门实现安全工作的落地。信息安全BP的主要考核权在总部安全团队。

一、组建项目的信息安全管理团队

1.由各业务系统信息安全BP组成,项目经理出任组长,成立项目安全管理小组;
2.小组负责项目的信息安全工作计划及风险评估、问题应对及执行落地工作;
例会机制,定期召开信息安全工作会议。

二、制定项目信息安全的WBS计划

1.根据项目信息安全管理的内容,制定本项目信息安全的WBS计划;
2.结合项目的特点,确定本项目的信息安全管控重点。

三、信息安全融入产品开发流程,实行安全打点机制(不同保密等级的产品有不同的措施)

1.信息安全宣导与安全协议签署,保证所有参与人员对项目安全的遵循和承诺;

2.项目信息安全风险识别与评审。这是项目信息安全最重要的管控环节,各项目核心成员参与,有效地识别项目可能存在的风险和问题,并明确应对管控措施,跟踪至闭环;

3.评估合作的供应商是否符合项目的信息安全要求,并在合作过程中进行安全管控执行的稽核;

4.样机外观防护,根据产品的特点,设计或采取合适的外观防护措施;

5.委外认证测试。委外实验室测试环境是否符合信息安全的要求;

6.样机的第三方适配。样机与第三方应用进行适配、兼容时,确认产品信息不被泄密;

7.样机内外部试用安全。制定项目安全样机的内外部试用方案,确定试用人员、信息安全管控措施、应急响应机制等内容;

8.信息安全阶段复盘。根据项目信息安全WBS计划及风险评审跟踪事项,复盘阶段性的执行落实情况。

9.针对产品研发流程中的的信息安全管控点,要IT化落地,避免靠人为的提醒和操作


四、重点敏感资产管控

1.样机。样机承载着产品的技术机密和商业机密,一旦泄露出去,将会把我们的研发成果毫无保留地展现给他人,将会给公司的战略和利益造成巨大的影响和损失,按照《样机安全管理规范》进行全面的管控。

2.设计图纸。产品长成啥样,可以一览无遗地呈现出来。重点管控图纸的访问和运转,以及外部合作方的安全使用。

3.物料BOM清单。是产品组成的所有部件信息,他人获取可以清晰地知道项目的信息。重点管控访问权限。

4.参数配置信息。产品性能好不好,一看就知道。重点管控访问权限和传递过程的安全。


产品研发信息安全管理,是公司信息安全总体策略统筹下,侧重于具体业务场景下采取的安全管理方案。产品开发是多业务场景的,不同的业务场景的信息安全管控重点和方法不同,因此,从保密信息流转的全生命周期进行端到端风险梳理及管控,即兼顾各领域的独特性,又要相互协作,以项目管理的模式开展工作无疑是一种可以推荐的方式。

【编者按】这篇文章是该公司4位作者合力完成,每人负责一个篇章。最神奇的地方在于,4位作者都是从业务岗位转信息安全岗位的,这样懂一线业务的人才在岗位上才能真正把业务和安全完美融合。他们的团队负责人是这么说的:“我们比较接地气,老板重实效,不喜欢花活”。真喜欢这样的老板!

作者介绍

外包管理:李世凌,某研发技术性企业高级信息安全工程师。在甲方从事流程管理、战略管理、供应链管理等领域工作十余年,转型进入信息安全行业之后发挥其优势,在安全管理体系、安全培训、业务安全推行等方面积累了丰富的实战经验。
样机管理:廖明坤,某研发技术性企业高级信息安全工程师。先后在甲方供应链、软件测试、研发质量管理等多个领域工作,特别是在研发测试领域深耕多年,在转型进入信息安全行业之后发挥其优势,结合研发业务特点因地制宜制订解决方案,在安全合规评审、安全产品导入、安全运营等方面有着丰富的实战经验。
供应商安全:刘洪敏,某研发技术性企业高级信息安全工程师,从事供应链Sourcing多年,对供应商管理有丰富的实战经验,在转型进入信息安全行业之后,结合供应链业务特点继续发挥优势,在供应链全价值链的安全合规,特别是原材料供应商的信息安全管理,包括制度设计、推行落地、绩效评估上积累了大量实战经验。
研发项目:杨诤,某研发技术性企业高级信息安全工程师。多年产品研发PMO和PQA任职经验,专注于研发项目管理、质量管理、流程管理等领域。转型信息安全行业后,依托丰富的业务实战经验推动产品和技术研发的信息安全工作落地,注重方法的探索创新与经验的累积传承。





RECOMMEND


往期回顾


威胁情报应用真的很简单吗?|安全村

浅谈甲方单位的漏洞管理|证券行业专刊·安全村

敏感数据保护的困境与展望|科技创新型企业专刊·安全村



关于 安全村文集·科技创新型企业专刊


科技强大的根本在于企业创新,创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案,希望搭建一个创新型企业信息安全交流的平台,推动行业的信息安全工作交流、共享、提升。


关于 安全村


安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

投稿邮箱:info@sec-un.org


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存