带你了解对日项目中的信息安全事件
- 但愿人长久 千里共婵娟 -
众所周知,日本是一个对信息安全给予了高度重视的国家,在我们的对日项目作业过程中,一旦发生信息安全事件,轻则导致项目停滞整改、项目进度延迟,重则导致项目或客户丢失以及经济损失,因此,在对日项目中,信息安全便成为了我们需要给予高度关注的方面。
下面通过几个事件的案例,介绍一些我们可以从中汲取经验教训、同时需要在项目中严格注意的信息安全事项,警钟长鸣,避免类似事件的发生。
案例一
案例概要:
A公司外派到客户现场作业的一名员工,将客户环境中保密级别为秘密的项目文件通过绕过客户管控措施的方式,私自上传至个人云空间欲作为日后参考资料,被客户用技术手段监查发现后,作为严重信息安全事件处理。此事件致使A公司蒙受经济损失。
事件处理:
因其行为严重侵害了A公司的利益,对A公司信誉造成了影响,同时给A公司造成了经济损失,最终,A公司通过法律手段追究了当事人员相应法律责任
案例对我们警示&启示:
未经授权将客户保密信息扩散至授权范围以外导致信息泄露,是对日项目当中最为严重的信息安全事件。为避免此类事件:
作为项目管理者:项目开始时以及外派作业人员到客户现场时,要对其进行基本信息安全意识的宣贯,避免因项目成员没有信息安全意识而导致信息安全事件的发生;
作为项目成员:要有客户环境下任何行为都是被留痕的意识,即便客户现场的网络环境是可以访问互联网的,但对于文件的互联网上传、外发等,客户方可能都在使用技术手段进行监控;另外,有些日方客户还会定期通过专业人员使用项目关键字段进行互联网爬虫扫描,确定其保密资料是否被泄露以及追查被谁泄露。因此,无论在客户现场作业还是在公司内作业,都不要做任何授权以外的违规行为,以身试法。
案例二:
案例概要:
日方客户发现B公司已在日本客户现场ONSITE作业的员工作业账号在中国侧远程作业环境登陆,由此发现B公司存在使用他人账号登陆客户作业环境的信息安全违规行为,客户将此事件作为信息安全违规事件,要求B公司限期整改,整改期间业务停止。
案例对我们警示&启示:
看似不起眼的账号使用问题,却导致了项目团队业务停滞,以及后续繁琐的整改过程。为避免此类事件:
作为项目管理者:要建立作业账号专人专用的安全意识和管理策略,并对项目成员进行意识教育。账号共用、串用的行为在事故、事件发生后将无法追本溯源,这也是日方客户重视账号管理的重要原因之一,规范的账号使用同样有利于我们自己还原事件、追查原因,确定责任者等;
作为项目成员:项目中的作业账号应专人专用,避免随意使用他人账号,或将自己的账号借给他人使用。
案例三:
案例概要:
C公司某项目使用VPN连接客户环境作业,某日客户通过远程监查发现,项目成员某台作业设备存在客户禁止的P2P下载违规行为,客户将此事件作为信息安全违规事件要求调查原因、限期整改。C公司在调查中发现,该项目成员并不了解客户禁止使用P2P下载的信息安全要求,从而导致事件的发生。
案例对我们警示&启示:
明确要求、理解要求才能有效地执行要求。根据上述事件,信息安全要求并没有被明确以及传达给项目成员,因此导致了信息安全事件的发生。
※P2P下载的风险:P2P下载,一方面,更容易导致恶意软件和病毒的感染,另外最重要的风险是由于P2P网络的特性,用户的通信内容和行为可能被监控,导致信息泄露,这也是为什么客户禁止P2P下载的原因。
为避免此类事件:
1) 作为项目管理者:
项目开始初期,需要与客户明确出包括软件使用限制在内的各种客户信息安全要求,避免因不了解要求而发生违规行为;
根据客户的信息安全要求制定项目管理要求,并将管理要求对项目成员宣贯;
必要时通过其他手段控制违规行为的发生,根据项目具体情况包括但不限于:收回项目成员设备的管理员权限(无法自行安装软件或改变既定安全设置等);封闭USB端口(防范敏感信息流出)等等;
定期针对客户信息安全要求的执行情况进行内部自检,发现问题及时改正;
高度重视客户可以随时监控到的要求、事项的执行情况。
2) 作为项目成员:
了解包括软件安装在内的项目信息安全要求,并严格执行。
结语:
信息安全事件的发生,无疑会使客户对公司的信息安全管理产生不信任,严重信息安全事件更会导致公司信誉受损、丢失客户,对公司的业务发展产生影响。因此,我们要吸取前车之鉴,常怀敬畏之心,将信息安全意识嵌于心、践于行,避免信息安全事件的发生。
台风“贝碧嘉”来袭,请各位关好门窗,减少外出。注意安全!
作者:张 蕾
审核:梁 超
编辑:朱思聪
