風起于青萍之末

麥欣茵

IT從業者們以及廣大互聯網用戶，應該難以忘記2011年年底爆發的中國互聯網史上最大規模泄密事件。當時，CSDN 程序員社區、天涯社區上千萬用戶數據被泄露；人人、當當、凡客、卓越、開心、多玩等多家網站，相繼被曝出密碼遭網上公開泄露。

在此之前，2011年4月份日本索尼公司約有超過1億個客戶資料和1200萬個沒有加密的信用卡號碼被泄露，索尼公司的道歉及優惠服務并沒有阻止其客戶大規模流失。

無需贅述更多的IT安全事件，總結而言，企業在IT安全管控及數據保護上的掉以輕心，為IT安全事件及數據泄露丑聞的爆發留下了巨大安全隱患。這類危機事件一旦發生，不僅使公眾的利益遭受損害，更會給企業帶來慘痛的經濟損失，甚至就是企業的一場滅頂之災。

然而，正如與業內人士探討時所感嘆，IT安全及數據保護在企業中通常是“說起來重要，做起來次要，忙起來不要”?；诙嗄陙淼腎T咨詢服務經驗，我們逐漸意識到，無論企業的高管如何津津樂道IT安全及數據保護的重要性，事實上，在許多企業內部，IT安全及數據保護意識并未真正深入人心。

風起于青萍之末，結合這些司空見慣的IT安全缺陷，我們不難發現前述IT安全事件的爆發并非無跡可尋。

正是由于部分企業仍采用毫無安全性可言的明文密碼存儲方式，才導致了2011年年底的密碼泄漏事件的爆發，并使得泄露數量如此之巨，波及范圍如此之廣。

正是由于企業未對關鍵敏感數據進行識別，并對數據生命周期的各環節加以控制，才導致索尼公司因大量客戶數據失竊而造成難以挽回的損失。

IT安全事件或數據泄露丑聞一旦爆發，可能導致一個蒸蒸日上的公司在瞬間一敗涂地。對各行業的企業來說，要在激烈的市場競爭中求得生存及發展，企業的聲譽和消費者的信任是至關重要因素，尤其在危機事件之后，良好聲譽及消費者信任是企業撬動資本和市場的關鍵競爭力資源。因此，對于一定規模以上的企業，尤其是上市企業，IT安全建設及數據保護是絕不可忽視的重要工作之一。

有鑒于此，企業管理者需盡早知曉什么是IT安全？為何要進行數據保護？我們認為，IT安全體系由四大部分構成：1）信息安全制度體系、2）信息安全組織體系、3）信息安全管理流程、4）信息安全技術實施。IT安全亦不僅限于企業的通信、系統安全，企業數據及用戶數據保護亦是企業安全防護中的一個重要部分。

1）信息安全制度體系 企業的信息安全制度體系包括信息安全方針、系統運維、網絡運維、安全事件處理辦法、數據備份與恢復策略、敏感數據管理等。通常，信息安全制度體系可自上而下分為三個層次。上層是信息安全方針，提供整體的信息安全策略和要求。中層是在方針基礎上建立的信息安全相關標準與指引。底層是具體的操作流程、配置基準以及相關的文檔和表單等。信息安全制度體系的建設對企業而言至關重要，信息安全制度體系是企業信息安全管理活動的基礎，為各項信息安全管理活動提供制度指引，使信息安全管理工作有章可循、有規可依。企業應對自身的信息安全制度體系進行完整性、設計有效性及執行有效性的評估，定期更新與維護信息安全制度，并在企業內部定期開展信息安全培訓與教育。

2）信息安全組織體系 企業的信息安全管理離不開人的因素，因此是否存在適當的信息安全管理組織，對企業的信息安全管理工作極為重要。企業是否對信息安全實施獨立評審，關鍵IT崗位人員是否實現適當的職責分工，是否簽訂并遵守信息保密協議，都極大影響信息安全管理工作的開展效果。為確保企業信息安全組織體系的有效性，企業應定期對自身的信息安全組織體系進行評估，包括內部職責分配，與監管機構、特殊利益團體的聯系，及對信息安全的獨立評審等，持續改進信息安全組織體系建設中存在的缺陷及不足。

3）信息安全管理流程 企業的信息安全管理流程包括IT人力資源安全、物理與環境安全、通訊與操作管理、訪問控制、信息系統獲取、開發及維護、業務連續性管理及符合性等關鍵信息安全流程。企業核心系統的穩定與安全是業務正常開展的基礎條件，而影響其穩定與安全的因素可能來源于支撐核心系統運行的IT基礎架構，如操作系統、數據存儲系統、網絡設備、人員配置等環節，也可能來自于系統本身的影響，因此企業必須制定、執行及持續優化IT安全管理流程，包括有效地管理IT資產與IT風險，確保實現管理層目標。

4）信息安全技術實施 當前的商業環境中，對IT環境的威脅日益增多，這些威脅的目標是企業重要的信息、人員、流程和技術。企業應實施必要的技術安全手段，以確保信息系統和網絡的安全。這些技術手段包括且不限于部署防火墻、路由器、入侵檢測及防御軟件、防病毒軟件并進行恰當配置，企業還應定期對信息系統及網絡進行漏洞檢測、模擬攻擊測試、黑盒/白盒測試、脆弱點評估、內外部網絡滲透測試、惡意代碼和移動代碼防范、隱私和可接受使用測評等，以有效識別潛在的安全技術弱點和漏洞。

隨著信息時代的迅速發展，越來越多企業的日常業務已經無法脫離數據和信息技術的支持，數據保護的重要性在今天已達到前所未有的高度。企業的CIO及IT安全管理者們必須意識到，數據的安全與隱私的保護不再僅僅是單純技術問題，而是企業面臨的商業發展與業務經營的關鍵問題。

我們將數據保護的實踐經驗與國內外先進理論結合起來，形成了獨有的數據安全與隱私保護方法論。該方法論包括五個關鍵階段：1）準備工作階段；2）梳理敏感數據清單階段；3）識別敏感數據流，評估現狀，設計改進方案階段；4）實施數據隱私保護方案階段；5）持續監控和改進階段。企業應定義自身關注的敏感數據范疇，梳理敏感數據清單，在理解業務和數據流的基礎上進行數據敏感性分級，評估敏感數據保護現狀并設計敏感數據保護方案。企業制定數據隱私保護程序后，還應組織員工開展敏感數據保護意識培訓，從而保障數據隱私保護程序和控制措施的實施。

IT安全是保障企業正常業務運營的基礎，而數據泄露往往造成對公司業務運營的極大危害和影響。IT安全及數據保護是整個企業的職責，企業各個層面的決策者、管理者、執行者均應具備強烈的IT安全和數據保護意識。安全無小事，我們期待著IT安全和數據保護意識能夠真正地深入人心，并貫徹落實到企業的日常運營之中。