應(yīng)對(duì)互聯(lián)網(wǎng)信息泄露挑戰(zhàn)企業(yè)必須先修內(nèi)功

伴隨互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計(jì)算和存儲(chǔ)在企業(yè)的大量運(yùn)用，企業(yè)和客戶的信息安全更是面臨前所未有的巨大挑戰(zhàn)。

近年來(lái)，泄密事件一再發(fā)生并越演越烈。2013年度斯諾登引爆的“棱鏡門”，支付寶轉(zhuǎn)賬信息泄露，中國(guó)人壽80萬(wàn)份保單信息泄露，安卓手機(jī)軟件盜取用戶信息等。2014年以來(lái)，隨著互聯(lián)網(wǎng)金融趨勢(shì)的發(fā)展，互聯(lián)網(wǎng)交易金額、數(shù)量及規(guī)?？焖贁U(kuò)張，但其安全性和風(fēng)險(xiǎn)管控也引起公眾更多的關(guān)注。2014年1月，韓國(guó)發(fā)生金融行業(yè)大規(guī)模信用卡個(gè)人信息泄密事件，涉及約2000萬(wàn)用戶，共1億多條客戶信息被泄露，多名高管因此事引咎辭職；3月，攜程被爆泄露大量用戶銀行卡信息；7月，歐洲中央銀行遭到匿名黑客，竊取了該行網(wǎng)站上1.5億注冊(cè)者的電子郵件和聯(lián)絡(luò)人的細(xì)節(jié)信息；9月，美國(guó)家得寶公司支付系統(tǒng)遭到網(wǎng)絡(luò)攻擊， 將近有5600萬(wàn)張銀行卡的信息被盜；10月，摩根大通銀行承認(rèn)7600萬(wàn)家庭和700萬(wàn)小企業(yè)的相關(guān)信息被泄露等等。

為了更好地保護(hù)企業(yè)的信息安全，中國(guó)網(wǎng)絡(luò)巨頭阿里巴巴早已低調(diào)成立了安全部，其神秘的安全部被內(nèi)部人譽(yù)為“神盾局”。“神盾局”源于2014年的美劇《神盾局特工》，其本質(zhì)就是一個(gè)吸納了各種神秘特工的無(wú)國(guó)界正義組織。除了追查世界各地的恐怖組織外，還兼管全球的 “大小閑事”，通過(guò)全球先進(jìn)的技術(shù)手段解決各類犯罪問(wèn)題。而阿里巴巴的“神盾局”的統(tǒng)籌管理范圍更是涵蓋了知識(shí)產(chǎn)權(quán)、賬戶安全、交易安全、保護(hù)隱私防止信息泄露、信息安全各個(gè)方面。據(jù)聞在“神盾局” "的技術(shù)人員中還有一支著名的反黑客團(tuán)隊(duì)，當(dāng)中有許多知名的黑客，并組成了專案團(tuán)隊(duì)、情報(bào)團(tuán)隊(duì)、認(rèn)證團(tuán)隊(duì)、大數(shù)據(jù)建模團(tuán)隊(duì)等，360度全方位進(jìn)行信息安全保護(hù)?，F(xiàn)在很多企業(yè)都說(shuō)要擁抱互聯(lián)網(wǎng)，要學(xué)習(xí)互聯(lián)網(wǎng)金融，并不斷通過(guò)創(chuàng)新迎接互聯(lián)網(wǎng)帶來(lái)的更大商機(jī)，但是企業(yè)真的做好準(zhǔn)備了嗎？攘外必先安內(nèi)，要應(yīng)對(duì)互聯(lián)網(wǎng)的信息泄露挑戰(zhàn)，企業(yè)必須先修內(nèi)功。

說(shuō)了這么多，那么現(xiàn)在問(wèn)題來(lái)了?，F(xiàn)在有多少企業(yè)內(nèi)部有設(shè)置安全部，或信息安全保護(hù)團(tuán)隊(duì)呢?企業(yè)的員工對(duì)于企業(yè)的信息資產(chǎn)是否有安全保護(hù)意識(shí)？甚至員工知道什么是企業(yè)的哪些資料需按密級(jí)分為絕密、機(jī)密、秘密等不同等級(jí)嗎？公司對(duì)于信息資產(chǎn)的保護(hù)是否有相應(yīng)的管理制度和規(guī)范?員工是否知道如何保護(hù)公司的信息資產(chǎn)嗎？

有些員工會(huì)說(shuō)：“我的工作只是普通的文員工作，不涉及公司機(jī)密”；“我就是個(gè)話務(wù)員，主要幫客戶核對(duì)一下個(gè)人信息。這個(gè)沒(méi)有風(fēng)險(xiǎn)吧？”其實(shí)，文員工作接觸的都是公司的內(nèi)部資料，從一個(gè)合同內(nèi)容到公司的政策、規(guī)章制度，這里面都涵蓋著公司的重要信息。而對(duì)于話務(wù)員，你在操作系統(tǒng)里面所看的客戶信息：個(gè)人資料、會(huì)員卡號(hào)、聯(lián)系電話等等，更是重要的公司機(jī)密信息。如果這些資料泄露出去，那就會(huì)發(fā)生如文章開(kāi)頭所說(shuō)的各類泄露事件，引起重大的企業(yè)危機(jī)。那如何做好企業(yè)的信息安全防護(hù)工作？筆者認(rèn)為企業(yè)應(yīng)該從兩個(gè)基礎(chǔ)層面入手：

一、企業(yè)層面

在企業(yè)層面，企業(yè)高層領(lǐng)導(dǎo)要信息安全管理的觀念，并至上而下建立企業(yè)的信息管理策略、管理制度、規(guī)范要求，評(píng)價(jià)機(jī)制等。并有專門的部門統(tǒng)籌這部分工作，同時(shí)定期進(jìn)行自檢和抽檢。

二、員工層面

1、首先對(duì)于新入職的員工一定要進(jìn)行信息安全和保密制度的宣導(dǎo)和相關(guān)培訓(xùn)，讓其對(duì)信息安全有一個(gè)比較明確的認(rèn)知。如果員工連什么是企業(yè)的秘密，什么是信息資產(chǎn)都不知道，你如何要求員工做好保密工作？

2、從員工入職的保密協(xié)議簽訂開(kāi)始，至業(yè)務(wù)信息保密要求、檔案管理保密要求、計(jì)算機(jī)使用管理、網(wǎng)絡(luò)安全管理、生產(chǎn)環(huán)境安全建設(shè)等各方面制定相應(yīng)的管理制度，并健全事前預(yù)防、事中控制、事后評(píng)價(jià)的評(píng)估的安全機(jī)制，不斷優(yōu)化企業(yè)的信息安全管理制度。