泄密事件频发，制造企业如何应对？
近期泄密事件一览
　　1、富士康3名员工泄露iPad2设计图遭起诉。去年底苹果iPad2还没上市，抢iPad2商机的山寨版寨主却已蠢蠢欲动，不单抢先在苹果iPad2上市前推出山寨版iPad2保护套，甚至还在今年的美国CES展上贩卖，让iPad2未演先轰动。日前泄密者曝光，传系由鸿海集团富士康员工主动泄密给山寨厂商，才会发生iPad2未上市、周边商品却抢先曝光的事情。
　　2、前苹果员工承认出卖机密信息。前苹果公司员工Paul
Devine在联邦法庭承认了他以苹果公司的机密信息换取经济利益的指控。Devine承认他参与了窃取苹果公司机密信息的计划。这个欺诈计划包含了Devine向外传出苹果公司的机密信息，例如新产品的预测、计划蓝图、价格和产品特征，还有一些为苹果公司的合作伙伴、供应商和代工厂商提供的关于苹果公司的数据。作为回报，Devine得到了经济利益，而苹果公司因这些信息亏损了240.9万美元。
　　3、三星电子公司雇员涉嫌向外国公司泄漏商业机密。韩国检控官表示，这名40岁的女性被怀疑拍下机密文件的照片，然后存到自己的电脑。有关机密包括：减低家电产品噪音的关键技术、正在研发产品的细节、三星未来10年的销售计划。
　　4、索尼千万信用卡资料外泄。索尼的PlayStation游戏网络(PSN)遭黑客入侵，窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息，包括姓名、住址、生日、登录名和密码等。有消息称，受影响用户多达7700万人，其中1000万个人信用卡账号也存在遭窃可能，涉及57个国家和地区，堪称迄今规模最大个人信息遭窃事件。随后几周内，黑客又两次入侵PSN，窃取更多信息。
　　制造企业面临信息危局
　　近几年来，各类信息泄密事件层出不穷。我们听到最多、影响最大的是在政府、金融、电信、零售、酒店等行业的案例，似乎泄密事件离制造业很远，其实不然。前文所举的四个例子，全是制造业发生的。苹果、三星、索尼和国内的传统制造业有所不同，但他们正是中国制造业转型的一种方向，他们今天所面临的，明天就可能发生在我们身上。
　　目前，中国制造业正处于转型时期。无论是国策还是企业的发展思路，都在向“中国创造”方向发展，“自主研发”得到了前所未有的重视，“制造服务业”也成为制造企业发展的一个重要方向。从信息风险的特性来看，信息的价值越高，其面临的安全风险越大。因此制造企业越重视研发，研发成果越多，其安全风险就越大;另一方面许多制造企业开始向服务转型，还有许多企业涉足电子商务领域，必然会遇到如索尼一般的用户信息安全问题。当我们把目光都投向“中国创造”和“制造服务业”的时候、当我们的企业快速发展的时候、当企业信息安全风险快速升高的时候，我们是否审视过企业信息安全体系?我们的安全措施是否能跟上风险的快速升高?我们是否能避免泄密事件在自己身上重演?
　　图1 破坏性病毒不再是主流，窃取机密是黑客关注的重点
　　泄密事件的经验和教训
　　前事不忘，后事之师。当泄密事件一再上演，我们应当从中吸取到经验和教训。
　　对于制造企业而言，最为重要的是设计文档。企业投入巨额研发成本，产生了大量成果，这些成果普遍以数字资产的形式存在。由于数字资产具有易复制和易传输的特性，所以很容易造成资产的流失，并对企业的市场竞争力造成深远的消极影响。它们是核心资产中的核心资产，如果被竞争对手获得，可能直接影响到企业的生死存亡。因此，设计文档的保护是重中之重。
　　除设计文档之外，价格体系、商业计划、客户资料、财务预算、市场宣传计划、采购成本、合同定单、物流信息等也是非常重要的信息，这些信息泄露出去，可能使企业处处被动。如果说设计文档泄密是致死打击，那么商业信息的泄密就如同凌迟，一点一点的让企业处于竞争的下风，丢掉竞争优势。比如三星未来10年的销售计划被窃取、苹果公司因Paul
Devine泄露的信息亏损了240.9万美元，如果不被发现，苹果和三星都将在竞争中受制于人。目前很多制造企业在构建安全体系的时候都只考虑了设计文档的保护，却没有考虑到商务信息的保护，这是值得反思的。
　　当今世界，网络已无处不在，人们的生活也与网络紧密结合。随着电子商务的快速发展，大部分的制造企业都建立了自己的门户网站，许多制造企业已经开始采用B2B、B2C等电子商务模式。企业拥有了用户的资料，同时也背负了更大的安全责任。一旦网站被攻破，用户资料泄露，其影响甚至大过设计文档的泄露。就如索尼PSN泄密事件，在三个交易日内索尼股价跌7%，市值缩水20亿美元，之外可能面临百亿美元级的赔偿。中国的企业如果遭遇这种情况，无异于灭顶之灾。因此，电子商务的安全、用户资料的保护应当是快速发展中的中国制造业应当关注的重要问题。
　　图2 互联网为企业提供了新模式的同时，也为攻击者提供了入侵途径
　　如何避免PSN事件重演?
　　PSN泄密事件为快速发展中的制造企业敲响了信息安全的警钟。我们在总结经验教训的同时，也应当审视自己的安全体系和信息安全建设情况，并考虑如何避免PSN事件在自己企业重演。e-works通过对国内外知名安全厂商的采访，总结出防止PSN事件重演的七个要点：
　　1.信息面临的风险和信息的价值(包括直接价值和间接价值)成正比。企业需要正视信息的价值，对不同价值的信息采取相应级别的安全措施，并形成持续改进的机制。
　　2.对内部的信息数据进行重要性划分，并对数据产生、存储、使用、销毁的过程设立不同的安全标准。尤其注意重要信息数据的隔离和分散存储，防止“把所有鸡蛋放在一个篮子里”。
　　3.绝大部分安全事故的发生都存在管理者安全意识不高，平时的安全防护做得不够的因素。人们往往存在侥幸的心理，觉得系统的小漏洞不会造成大的影响，而黑客就是利用小漏洞发起致命的一击。所以企业安全管理人员必须要有危机感，对待安全工作要严谨，不能让系统存在安全隐患，使得黑客有机可趁。
　　4.安全体系总是会有不断的新威胁，除了外部的威胁，来自于企业内部的安全威胁也是不可忽视的。当前许多企业主要是靠严格的规章制度加上员工的自觉，但这还是不够的。企业需要结合内外安全管控技术，并辅以严格的管理制度，建立起完善的信息安全防护体系，保护核心资产的安全。
　　5.在考虑外网入侵的同时对内网数据泄露风险进行防护。绝大多数黑客入侵行为看似从外网发起，但其真正的切入点往往是在内部。在外网防护手段已相对成熟的情况下，内网数据如果得到有力的安全保障，外网入侵的风险必然能够得到极大控制。
　　6.企业需要认真分析和审视自己的业务流程，采用更加稳妥的方式保证自己的核心信息资产的安全。
　　7.安全审计，尤其是内容操作层面的审计要未雨绸缪，不能亡羊补牢。
　　除以上七个要点外，也有专家指出了企业安全体系和策略中容易存在的九个安全隐患和管理漏洞：
　　1.企业内部各个终端是否具备有效的安全保护;
　　2.企业内部重要电子资料有没有安全、可信的管理方法;
　　3.企业内网中受保护数据如何实现安全共享;
　　4.企业内部对文件有访问权限的员工，是否经常通过邮件附件形式、及时聊天工具等对内部受控文件进行传输，导致公司核心文件存在流失、被泄密风险;
　　5.所有数据离开企业内网后如何对其进行控制;
　　6.临时接入终端在浏览内网信息同时如何进行设置;
　　7.员工离职，是否存在把核心资料也“顺便”带走(USB存储设备、邮件、刻录盘等);
　　8.未经授权用户是否能通过移动存储设备、Email、手提电脑将数据带出公司，是否存在未经许可将公司电脑主机、硬盘、服务器带出公司等现象;
　　9.企业文件流转及操作情况有没有全程跟踪记录，信息泄密是否有据可查;
　　只要企业能够切实做到上述七要点所述内容，并解决好容易存在的九大安全隐患，将信息安全工作落到实处，即可最大程度的避免PSN事件的重演。
　　信息安全非一日之功，也不仅仅是依靠软件或者制度就可以解决的，要做到管理、制度和技术的相结合，将安全工作落实到企业的每一个环节，才能真正做好信息安全。目前中国制造企业正处在快速发展的阶段，许多企业已经不是单纯的“制造”企业，也面临着更多、更复杂的环境。信息安全的思想和观念不能停留在原地，必须与业务共同进步，才能为企业的快速发展保驾护航。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。浅谈如何加强企业信息安全风险管理_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
浅谈如何加强企业信息安全风险管理
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩2页未读，
定制HR最喜欢的简历
你可能喜欢Related posts:
本文出自 信息防泄露大讲堂，转载时请注明出处及相应链接。本文永久链接: http://www.ip-guard.net/blog/?p=1891
泄密警世钟 下的最新文章
Ɣ回顶部热点搜索：
如何应对互联网“幽灵”的威胁
网络安全事故的频发提醒着企业的董事与管理层，加强网络安全—从数据保护、控制到危 机响应—刻不容缓。
　　在日，时任热门鞋类电商捷步(Zappos.com)执行总裁的谢家华(TonyHsieh)给员工发了一封电子邮件。信中说，公司遭遇了黑客的网络攻击，黑客通过公司位于肯塔基州的服务器访问了公司的内部网络和系统，这封电子邮件稍后被发布到网上。在向员工披露这个坏消息后还不到一小时，谢家华向受到黑客入侵事件影响的2,400万顾客发送了另一封电子邮件，告知他们其个人数据已经泄露，包括姓名、账户号、已加密的密码、电子邮件地址、账单和发货地址、电话号码和信 用卡的最末四位数字。
　　尽管捷步披露了这起事故并与执法部门合作，但其母公司亚马逊很快就遭到起诉。次日，肯塔基州西区地方法院受理了起诉亚马逊的集体诉讼案。根据起诉文件，原告要求由陪审团审判，并以集体诉讼的成员会面临更大的身份窃案的风险为由要求赔偿，每人索赔金额从100美元到1,000美元不等，同时要求对方承担律师费和诉讼费用。
互动话题：
　　亚马逊曾经面对的这个情境如今已成为越来越多上市公司和组织都知道的数据安全案件中的一例。捷步的案件凸显出了一点&网络安全事故也能给原本健康的公司造成重大威胁。每天出炉的有关数据泄露案的新报道都提醒着世界各地各企业的董事们和管理层所面临的潜在危险，强调了加强网络安全&从数据保护、控制到危机响应&的需求。
　　这方面会让企业付出高昂的代价。首先是成本问题。根据总部设在密歇根州的咨询公司PonemonInstitute在2011年对50个组织进行的调研，网络犯罪年平均成本的中位数为每年590万美元。该公司会进行与隐私、数据保护和信息安全方面的调研。在受访企业中，这方面支出的成本最低为150万美元，最高为3,650万美元。
　　了解泄密事件的深远影响
　　然而，除了短期的财务损失之外，组织在商业秘密和品牌损害方面的损失要大得多。&如果他们没有意识到，也没有做准备，即使是声誉良好且品牌拥有巨大价值的公司也可能因此在一夜之间名声扫地，&美国纽约南区地区检察官普里特&巴拉拉(PreetBharara)说。
　　德汇律师事务所(Dorsey&Whitney)纽约办公室的一位律师兼Marsh&McLennanCos.合规委员会主席扎卡里&卡特(ZacharyCarter)说，数据损失会对客户产生深远的影响。网络安全事件的发生会导致更严重的长期后果，他警告说，&这可是损害业务关系的事件。&
　　极端一点说，即使是不作为也能让公司被淘汰。&无法应变的公司是生存不下去的，&位于弗吉尼亚州麦克林市的普华永道司法鉴定服务业务的合伙人大卫&伯格(DavidBurg)说。
　　根据最近的一份调研，尽管有这么多警告信号，在治理隐私和数字资产安全的时候，企业的高管人员还是没有使用最佳实践。根据卡内基梅隆大学专门研究网络安全的CyLab(网络实验室，全美著名的资讯安全教育中心&编者注)在2012年进行的企业治理调研，《福布斯》全球2,000强公司中，只有23%的企业董事会会定期审查和批准与隐私及信息技术风险相关的最高级别的政策。28%的受访企业偶尔会审核这方面的政策，但也有42%很少或根本不在这方面努力。
微信公众号
微博订阅号
从知识到智慧，从领悟到洞察
碎片时间，成长不设限
企业广告资讯
世界经理人5/6月杂志文章推荐
世界经理人网站App下载
热门排行榜