麦欣茵

IT从业者们以及广大互联网用户，应该难以忘记2011年年底爆发的中国互联网史上最大规模泄密事件。当时，CSDN 程序员社区、天涯社区上千万用户数据被泄露；人人、当当、凡客、卓越、开心、多玩等多家网站，相继被曝出密码遭网上公开泄露。

在此之前，2011年4月份日本索尼公司约有超过1亿个客户资料和1200万个没有加密的信用卡号码被泄露，索尼公司的道歉及优惠服务并没有阻止其客户大规模流失。

无需赘述更多的IT安全事件，总结而言，企业在IT安全管控及数据保护上的掉以轻心，为IT安全事件及数据泄露丑闻的爆发留下了巨大安全隐患。这类危机事件一旦发生，不仅使公众的利益遭受损害，更会给企业带来惨痛的经济损失，甚至就是企业的一场灭顶之灾。

然而，正如与业内人士探讨时所感叹，IT安全及数据保护在企业中通常是“说起来重要，做起来次要，忙起来不要”。基于多年来的IT咨询服务经验，我们逐渐意识到，无论企业的高管如何津津乐道IT安全及数据保护的重要性，事实上，在许多企业内部，IT安全及数据保护意识并未真正深入人心。

风起于青萍之末，结合这些司空见惯的IT安全缺陷，我们不难发现前述IT安全事件的爆发并非无迹可寻。

正是由于部分企业仍采用毫无安全性可言的明文密码存储方式，才导致了2011年年底的密码泄漏事件的爆发，并使得泄露数量如此之巨，波及范围如此之广。

正是由于企业未对关键敏感数据进行识别，并对数据生命周期的各环节加以控制，才导致索尼公司因大量客户数据失窃而造成难以挽回的损失。

IT安全事件或数据泄露丑闻一旦爆发，可能导致一个蒸蒸日上的公司在瞬间一败涂地。对各行业的企业来说，要在激烈的市场竞争中求得生存及发展，企业的声誉和消费者的信任是至关重要因素，尤其在危机事件之后，良好声誉及消费者信任是企业撬动资本和市场的关键竞争力资源。因此，对于一定规模以上的企业，尤其是上市企业，IT安全建设及数据保护是绝不可忽视的重要工作之一。

有鉴于此，企业管理者需尽早知晓什么是IT安全？为何要进行数据保护？我们认为，IT安全体系由四大部分构成：1）信息安全制度体系、2）信息安全组织体系、3）信息安全管理流程、4）信息安全技术实施。IT安全亦不仅限于企业的通信、系统安全，企业数据及用户数据保护亦是企业安全防护中的一个重要部分。

1）信息安全制度体系 企业的信息安全制度体系包括信息安全方针、系统运维、网络运维、安全事件处理办法、数据备份与恢复策略、敏感数据管理等。通常，信息安全制度体系可自上而下分为三个层次。上层是信息安全方针，提供整体的信息安全策略和要求。中层是在方针基础上建立的信息安全相关标准与指引。底层是具体的操作流程、配置基准以及相关的文档和表单等。信息安全制度体系的建设对企业而言至关重要，信息安全制度体系是企业信息安全管理活动的基础，为各项信息安全管理活动提供制度指引，使信息安全管理工作有章可循、有规可依。企业应对自身的信息安全制度体系进行完整性、设计有效性及执行有效性的评估，定期更新与维护信息安全制度，并在企业内部定期开展信息安全培训与教育。

2）信息安全组织体系 企业的信息安全管理离不开人的因素，因此是否存在适当的信息安全管理组织，对企业的信息安全管理工作极为重要。企业是否对信息安全实施独立评审，关键IT岗位人员是否实现适当的职责分工，是否签订并遵守信息保密协议，都极大影响信息安全管理工作的开展效果。为确保企业信息安全组织体系的有效性，企业应定期对自身的信息安全组织体系进行评估，包括内部职责分配，与监管机构、特殊利益团体的联系，及对信息安全的独立评审等，持续改进信息安全组织体系建设中存在的缺陷及不足。

3）信息安全管理流程 企业的信息安全管理流程包括IT人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统获取、开发及维护、业务连续性管理及符合性等关键信息安全流程。企业核心系统的稳定与安全是业务正常开展的基础条件，而影响其稳定与安全的因素可能来源于支撑核心系统运行的IT基础架构，如操作系统、数据存储系统、网络设备、人员配置等环节，也可能来自于系统本身的影响，因此企业必须制定、执行及持续优化IT安全管理流程，包括有效地管理IT资产与IT风险，确保实现管理层目标。

4）信息安全技术实施 当前的商业环境中，对IT环境的威胁日益增多，这些威胁的目标是企业重要的信息、人员、流程和技术。企业应实施必要的技术安全手段，以确保信息系统和网络的安全。这些技术手段包括且不限于部署防火墙、路由器、入侵检测及防御软件、防病毒软件并进行恰当配置，企业还应定期对信息系统及网络进行漏洞检测、模拟攻击测试、黑盒/白盒测试、脆弱点评估、内外部网络渗透测试、恶意代码和移动代码防范、隐私和可接受使用测评等，以有效识别潜在的安全技术弱点和漏洞。

随着信息时代的迅速发展，越来越多企业的日常业务已经无法脱离数据和信息技术的支持，数据保护的重要性在今天已达到前所未有的高度。企业的CIO及IT安全管理者们必须意识到，数据的安全与隐私的保护不再仅仅是单纯技术问题，而是企业面临的商业发展与业务经营的关键问题。

我们将数据保护的实践经验与国内外先进理论结合起来，形成了独有的数据安全与隐私保护方法论。该方法论包括五个关键阶段：1）准备工作阶段；2）梳理敏感数据清单阶段；3）识别敏感数据流，评估现状，设计改进方案阶段；4）实施数据隐私保护方案阶段；5）持续监控和改进阶段。企业应定义自身关注的敏感数据范畴，梳理敏感数据清单，在理解业务和数据流的基础上进行数据敏感性分级，评估敏感数据保护现状并设计敏感数据保护方案。企业制定数据隐私保护程序后，还应组织员工开展敏感数据保护意识培训，从而保障数据隐私保护程序和控制措施的实施。

IT安全是保障企业正常业务运营的基础，而数据泄露往往造成对公司业务运营的极大危害和影响。IT安全及数据保护是整个企业的职责，企业各个层面的决策者、管理者、执行者均应具备强烈的IT安全和数据保护意识。安全无小事，我们期待着IT安全和数据保护意识能够真正地深入人心，并贯彻落实到企业的日常运营之中。