文思海辉充分意识到信息安全对公司发展及顾客信心的影响,决定针对与客户要求、公司业务运作及法规密切相关的重要资产建立覆盖全公司的信息安全管理体系,向公司客户、合作伙伴及社会提供信心。
文思海辉从2002 年起就致力于满足客户日益提高的安全要求,并于2005 年通过了SAS70 Type2 审计,于2006 年获得ISO27001 认证,2009 年获得PIPA(个人信息保护评价,与P-Mark 互认),组建了专门的安全团队、建立完善的信息安全管理体系并接受了欧美、日本、亚太和国内不同行业客户的严格定期检查。
回顾整个管理体系,针对日常工作,有以下几点经验与大家共同分享:
1. 等级保护
在实际管理中发现,不同业务类型和客户对安全标准的需求有很大的不同,单一的标准无法满足所有客户的要求,因此针对业务的安全现状,结合客户的特殊需求,文思海辉对所有客户的业务进行安全等级划分,根据划分的结果为业务部门配备相应的安全措施和制定安全策略,在保证业务进行的前提下,向客户提供更安全、更高质量的服务。
2. 安全运维
公司根据业内的最佳实践和实际运用中的经验,建立了适合公司实际情况的安全管理运行和维护模型。大连安全团队根据客户和自身发展需要,制定安全相关政策、指南和标准,指导业务部门和职能部门在人员、物理、IT、信息资产等各领域妥善使用并保护各种类型信息的安全。在实际运行过程中,安全管理团队制作各种安全相关流程和手册,并规范员工的日常操作。安全团队通过定期、不定期检查,将实际运行的结果进行记录和整理,汇总后形成报告上报管理层或客户。各领域管理内容如下:
安全和符合性需求管理
为了更快的响应客户的安全需求,并根据客户的要求随时进行调整,安全团队跟踪新需求的实施情况直至完成;为了规范合同签订过程中对于安全条款评审的管理,如果合同/ 协议中包含信息安全管理条款,业务运营部在合同签署之前通知安全管理部门进行评审;为了确定公司制定的政策符合国家和当地的法律法规要求,以及已发布的相关行业标准,公司法务定期向权威机构获取新发布的信息安全相关的法律法规信息。安全团队定期向安全认证机构获取最新的信息安全管理标准等信息,分析变化并更新信息安全管理体系。
信息安全风险管理
为了将公司的安全风险控制在可接受的范围内,并识别新业务新环境的风险管控是否有效,公司建立和维护风险管理控制措施,包括识别、分析和管理安全风险。
事故管理
为了能够有效指导相关部门对信息安全事故进行及时的响应和处理,降低客户和公司的损失,公司制定了信息安全事故管理政策。
安全培训
通过定义培训程序保证所有在公司工作的人员能够充分了解公司的安全要求,以及他们在日常信息安全管理工作中的角色、职责和日常操作规范。安全培训分为新员工入职安全培训,年度全员安全意识培训,特殊岗位安全强化培训。公司使用在线系统的形式进行培训。
符合性审计
文思海辉的符合性审计主要包含日常安全检查,内部审计,对应客户/ 第三方审计。安全团队联合相关部门对审计过程中发现的问题制定改进计划并跟踪改进活动直至关闭,以防止问题的重复发生,有效地确保公司日常运营和客户的安全要求。
3.人员安全
文思海辉建立并实施规范的员工招聘、聘用、保密、离职及转岗程序,降低人为错误及人为欺诈等方面的风险,并且制定信息安全奖惩政策约束员工的行为。
4. 物理安全
文思海辉利用门禁系统、反潜设置限制与业务无关人员的物理访问;安装24*7 的无死角监控和保安全楼全天巡检,及时发现安全隐患;对高保密等级的区域实施双因素验证,以提供额外的安全保护。
5. IT安全
采用防火墙、网络控制设备等技术措施,控制信息的泄漏、公司外部的入侵和病毒感染;利用域控制、补丁服务器、病毒服务器保护终端以及服务器的系统安全;通过禁止员工使用USB、禁止非相关网络访问、仅提供最小化权限来降低信息安全事故发生的风险。
6 . 信息资产管理
为规范员工对数据的操作,文思海辉按公开、内部、机密、绝密四级制定了数据分类管理指南。文件使用人员按照要求处理创建、传输、贮存和最终销毁的文件。
7 . 业务持续管理
文思海辉充分考虑客户的要求,针对不同业务类型客户的RTO(允许业务中断最长时间)、RPO(允许数据丢失最长时间)、RCO(恢复容量),为客户量身打造业务持续计划,并与关键供应商签署合同确保关键外部服务在灾难发生时的可用性。同时,为了在发生灾难时可迅速做出正确的响应,文思海辉成立危机管理团队并结合以往的经验建立应急预案(重大疾病应急预案 、自然灾害应急预案、人为事故应急预案、基础架构应急预案等)。
为了使员工在遭遇突发事件时,能有效地自防自救保障人身安全、熟悉安全门位置及逃生路线,文思海辉定期进行全员疏散演习,并进行针对管理层的“沙盘模拟”推演。