一、行业背景
在信息化建设的大趋势下,地产行业作为国民经济的重要命脉之一,已将所掌握的数据信息广泛运用于房地产项目的开发、营销及创新性投资。由于目前地产行业对于数据安全的体系化建设并不完善,造成了对于数据的保护、利用和管理较为随意。地产行业产生的数据中包含着大量的设计图纸和个人信息,高效利用和保护这些数据引起国家的高度重视。
国家发布的《网络安全法》和网信办下发的《关键信息基础设施确定指南(试行)》指出,应当建立信息基础设施的有效保护措施,《中央企业商业秘密安全保护技术指引》的出台也提出企业的商业秘密需要分级分类管理,同时地产行业数据中包含着大量客户的个人信息,《个人信息安全规范》对其保护作出了明确的要求。
二、地产数据风险分析
1) 员工的办公终端存在这大量的办公资料,涉及财务资料、客户信息、发展规划、设计图纸等等,企业不能有效的对这些数据合理管控;
2) 存储在终端和应用系统中的客户信息,如CRM、ERP、OA、数据中心等未能做到有效安全保护,黑客和不法分子窃取利用,导致大量客户个人信息外泄造成不可估量的后果;
3) 地产设计图纸等重要信息没有防护手段,容易被竞争对手肆意窃取,造成经济和知识产权的严重损失;
4) 内部威胁无法及时感知预警,并达到溯源取证。
三、解决方案
安全目标:明确信息安全的愿景、使命、目标、工作遵循基本原则,指明信息安全建设方向;
组织体系:明确信息安全组织体系及其运作模式,是信息安全战略实现的基础与保障;
策略体系:提供实现信息安全战略及目标的工作的策略、方法、标准及规范;
技术体系:明确了信息安全建设过程中所需的技术手段;是信息安全工作开展的有力支撑。
四、方案收益
1.对现状进行系统评估,识别出现有信息安全管理及技术风险;
2.根据信息安全管理需求,整体建设规划,并制定实施计划;
3.明确定义资产分级标准;
4.明确定义各级商业秘密;
5.梳理重要部门商业秘密清单,明确保护对象;
6.针对现状进行功能需求梳理,挑选能体现防泄密效果的终端进行管控,选择网络准入、终端数据加密、终端DLP作为当前阶段防泄密技术手段;
7.威胁预警和用户行为分析作为可持续优化运维工具,结合实体的数据本身,通过运用建模、数据分析等手段逐步建立威胁态势感知,使组织能够更好地阻止、检测和应对不断变化的内部威胁。