信息安全管理的新趋势及应对

　　一、新趋势

　　最近几年，随着中国企业知识产权意识的逐步提高，知识产权管理、商业秘密保护逐步成为企业管理的热点，特别是在研发型企业，以及拥有独立的研发体系的制造企业或软件企业，更是如此。随着经济发展，中国政府正在逐步引导产业升级，大力扶持具备研发能力、拥有自主知识产权的企业，类似以上特征的中小型企业越来越多，在这类企业中，商业秘密保护甚至成为企业生死存亡关键。

　　在这种企业信息安全管理呈现新的趋势：

　　信息管理部门及人员工作职责突破传统IT管理范畴，需要站在整个公司运营管理的高度上，从商业秘密保护角度出发，进行组织机构、管理制度、技术手段规划，依托信息管理系统，统筹规划公司整个信息安全管理体系；

　　信息安全从防外部入侵转向内部控制和管理，防止内部信息泄漏、证据保全成为重点；

　　除IT技术外，相关管理人员还要具备企业管理、商业秘密保护、知识产权管理以及法律事务的相关知识；

　　在这种企业中，如何构建信息安全管理体系？具体需要考虑哪些方面？如何实施？是笔者一直在探索和实践的问题，在此，想向大家简要介绍一下笔者所在企业的模式，重点介绍一下在商业秘密保护方面的措施，希望能给大家一些参考。

　　二、实例说明

　　1、公司简介

　　笔者所在公司从事机电一体化产品开发，是一个典型的研发制造型企业。公司以研发起家，产品为世界独创，拥有独立的知识产权，目前正处于市场导入期。公司高度重视知识产权保护，迄今已经申请发明专利100多项。

　　2、组织结构及制度

　　公司成立专门信息管理部，负责知识产权、机要管理、情报收集、IT管理等事务，信息安全由信息管理部负责统一规划，此外，保安人员由信息管理部统一管理。设置有专门机要秘书，负责机要文件的管理。

　　针对信息安全管理，专门制定的管理制度有：《信息保密管理制度》、《技术文档管理条例》、《保安值班管理条例》、《网络安全管理制度》。

　　3、管理措施

　　人事管理

　　研发人员招聘面试时，需签订保密约定，对面试信息进行保密，面试资料留档1年备查。

　　员工入职时需签订《保密协议》，进行专门的信息保密培训，签收相关管理制度（这一点相当重要，根据新的劳动法，制度必须确认员工已经知悉）。研发人员需签订《深度保密协议》。

　　员工离职必须经机要秘书确认收回一切借出资料，经信息管理部确认收回一切信息访问权限。
　　以上措施主要目的是教育员工，提高安全保密意识，威慑不良企图，同时为可能法律诉讼提供依据。

　　区域隔离和出入控制

　　划分保密区域及非保密区域；
　　保密区域实行严格管理，设有专门的保安值班，人员进入需存包，严禁携带移动存储设备及摄录设备进入。外携物品需检查，未经允许，严禁外携涉密资料。
　　安装门禁控制系统，保密区域进出需刷卡，保密区域内部根据部门隔离，禁止研发人员随意流动。
　　保密区域安装视频监控系统，启用24小时录像监控，录像资料留档备查；
　　保密区域网络与互联网物理隔离；
　　设有网吧区域，专供研发人员查阅资料用，网吧区域与保密区域物理隔离；
　　网络管理

　　实行网络隔离，分为三个部分，保密网络、办公网络、网吧，网络间实行物理隔离，中间可能的数据交换，通过中间服务器进行。
　　保密区域网络属保密网路，研发人员如需查阅资料在网吧进行。
　　保密区域输出有机要秘书负责，包括文件打印、复印、传真，邮件发送。
　　公司邮件并内部邮件系统及外部邮件系统。保密区域使用内部邮件系统（我们用的Winmail），内部邮件服务器自动接受外部邮件并分发到相关用户。保密区域人员外发邮件由机要秘书转发。
　　配安装互联网监控系统，监控所有外发信息，存档备查。（我这里用的是考普监控管理系统）。
　　启用桌面管理系统，严格限定各工作站USB口、光驱、并串口的使用，并详细记录日常电脑操作。工作站均贴封条，严禁私自拆开主机。（感觉国迈科技的一套东西做得不错，特别是在U盘管理方面。）
　　启用域管理，实现严密文件访问权限控制。

　　文档管理

　　正式技术资料，其电子档均进行数字签名版权登记。（各地版权管理部门提供相关服务。）

　　研发过程中关键过程文档，均输出为纸质文档，并经相关人员签字，留档备查。

　　所有文件外发均有严格的审批手续及交接手续。

　　启用了电子文件管理系统，对供应商及生产部门通过管理系统发布相关设计文件，只能在指定时间，指定电脑上查看和签批，可以禁止拷贝、存盘、截屏，能防止文件扩算。（这类系统很多，价格相差很大）。

　　打算采用透明加密系统，即局域网内文件均加密存放，在局域网内自由交换，一旦非正常脱离系统，均为密文，无法阅读。此系统一直在考察中，未有合适者。

　　工作难点

　　如何兼顾工作效率及保密需求？

　　真正实施过程中，非常考究管理者的智慧，它是一个动态平衡的过程，制度及技术手段的采用，执行的严格程度，必须根据企业的实际情况的变化，不断的调整，千万不能僵化。

　　如何实现对纸质文档的有效控制？

　　目前我们只能做到控制输出，严格登记，定期追踪回收。无法防止部分员工私自带离公司（考虑员工工作积极性，毕竟不能进行搜身），进行复印等操作。

　　三、结束语：

　　信息安全管理是一个实务性非常强的领域，各种论及宏观管理措施的文章非常多，但是实际中我们最想知道是具体的操作细节，比如说具体的制度、人员安排、工作流程设计等。特别是信息安全和商业秘密保护结合在一起，更是需要从操作层面来讨论。在这里我也仅是一个大略的说明，希望能够抛砖引玉，看到更多关于这方面实务的讨论。