信息安全成为关注焦点2016年7月,欧盟通过首部安全法规《网络与信息系统安全指令》,要求成员国从国家层面制定战略,加强国际合作,强化网络与信息系统安全;2018年5月,欧盟《一般数据保护条例》落地,针对个人数据保护制定保护规则;2019年6月,《关于欧洲网络与信息安全局信息和通讯技术的网络安全》(欧洲议会和欧盟理事会第2019/881号条例)正式实施,从法律的层面将欧盟网络和信息安全署(ENISA)确定为负责欧盟网络安全的永久性机制,进一步优化提升各成员国间网络和信息通讯安全体系,将欧盟网络安全治理推向新的高度。2021年1月,新美国安全中心(CNAS)发布《掌舵:应对中国挑战的国家技术战略》报告,指出中国在5G领域的竞争优势给美国决策者敲响了警钟,未来中美的技术竞争将更为激烈。4月20日,CNAS发布《信任流程:国家技术战略的制定、实施、监测和评估》,提出有效执行美国国家技术战略的基本原则,明确了国家技术战略的实施阶段、核心目标及方法建议。7月29日,CNAS发布《从计划到行动——实施美国国家技术战略》,从实操层面将国家技术战略具体化。报告进一步指明了互联网使得海量信息数字化并广泛传播,加大了美国国家安全的风险与挑战。报告建议将商务部纳入国家情报体系,通过加强国家安全信息收集与分析,强化商务部主责项目的决策。
一、管理不完善、灵敏度不高
1978年,改革开放的春风催生中国企业“走出去”的坚定步伐。中国的企业在“自力更生基础上,积极发展同世界各国平等互利的经济合作”方针指引下,逐步开始探索国门外的世界。由于起步晚、家底薄,直到2000年初,中国才首次把“走出去”上升到国家战略层面。时值今日,也才走过了22个春秋。在中国企业大踏步“走出去”的这20余年里,海外承包工程行业蓬勃发展。海外市场大、机遇多,为了抢占市场先机,快速做大市场份额,中国工程承包企业多数采用粗放型管理模式,甚至有些企业采用包工头式的做法,拿到项目就干、干完项目就算,对于企业自身的管理缺乏系统性思考和提升。企业对信息安全管理的认识不足,缺乏底线思维和风险意识。部分企业信息技术专业部门的设立相对较晚,专业团队人员不足,采用简单外包形式以解燃眉之急的做法也屡见不鲜,缺乏对信息安全事件及时有效的专业应对措施,信息安全管理体系化建设还很不完善。
二、软硬件配套设施不到位承包工程企业在海外执行项目
受限于人员、成本、距离、所在国信息技术条件等多重因素,不管是在项目还是驻外机构,信息化工具普遍采用电脑、个人手机,内部沟通借助开放型通讯软件,信息安全保护主要依靠杀毒软件,在信息安全方面的软硬件配套设施还很不完善。疫情出现后,对远程办公、在线会晤交流等的需求量激增,体量较大的承包工程企业软硬件条件的配置不足、改造升级滞后等问题愈发凸显。
三、员工信息安全保护意识和技能不足
如某项目工作人员将邮箱、QQ、微信、公司网站登录账号设置统一的登录密码,长期未曾修改,且一直使用微信作为工作主要沟通工具,因QQ账号被病毒软件盗取,导致微信一并被盗取,公司邮箱、网站遭到攻击,大量工作信息和资料外泄。再如某海外工程承包公司员工,在海外常驻期间与身份未经充分核实的潜在合作方频繁交往,对方在取得该名员工信任后,以未来项目合作为旗号,搜集该公司内部信息资料。后经有关部门调查发现该合作方人员行径可疑,及时有效地阻止了相关人员与该合作方的进一步接触。还有某海外项目个别工作人员信息保护意识淡薄,使用手机应用软件或微信小程序拍照扫描重要工作文件,导致相关信息传输到应用软件后台服务器后造成信息泄露。上述事件的发生,充分反映出相关人员信息安全保护意识不强,缺乏对人、事的辨别,信息保护技能十分有限。信息安全管理提升建议一、加强机制设计,建立信息安全管理体系海外承包工程企业既肩负着中国企业“走出去”重任,又承载着促进当地社会经济发展的希望。近年来,国际舞台风云变幻,不确定因素不断增多,面对纷繁复杂又瞬息万变的全球市场,海外承包工程企业要建立加强机制设计,信息安全管理体系建设势在必行。一是要建立健全企业信息安全管理制度。企业要以国家总体安全观为纲,以《个人信息保护法》等信息保护法律法规为要,坚持底线思维,建立并完善企业信息管理制度。二是建立信息安全管理机构。信息安全是一把手工程。海外工程承包单位要根据自身企业经营特点,搭建覆盖公司总部,到驻外机构、项目一线的各层级信息安全管理架构,各层级主要负责人对信息安全管理负总责。三是配强信息安全管理专业人员。当前,不少海外承包工程企业的信息技术服务多使用外协公司、外聘技术人员,多数外协公司又同时为多家企业提供服务。外协公司的技术水平、服务能力、外聘技术人员的工作持久性、对所服务公司要求和业务的熟悉程度等等,也是所服务企业的信息安全风险隐患。企业要加大人才引进力度,配置专业信息安全管理人员,以企业自有信息安全管理部门为主,附以部分优质外协技术支持,做好企业信息安全防护工作。二、加强技术提升,优化信息安全硬件设施企业日常信息沟通交流离不开信息工具。企业要在信息安全方面加大投入和支持力度。一是加强提升现有技术和管理,对企业核心信息、人员信息、重要商业数据等要加大保护力度,细化技防措施,强化数据调取、使用的身份认证和全流程管理。二是对于业务体量大、境内外信息交流频繁的国际承包工程企业,要与技术过硬、排名靠前的国内主流信息技术公司建立良好的合作关系,适时开发本单位的内部沟通软硬件设施,如企业OA、手机应用软件、企业微信、专属视频会议系统等等,并定期做好信息系统优化升级和风险漏洞及病毒查杀。三是构建企业内网,办公配置工作电脑且使用内网工作交流。对于出境频繁且转机或因公需在敏感国家地区停留的人员,要增配办公手机。
四、加强监管惩戒,做好事前事中事后处置
一是要做好信息安全设施设备的监督管理,组织开展常态化信息安全风险排查,定期分析评估数据汇聚可能带来的信息安全风险,重点加强对于工作文件、数据信息、视频电话会议等关键环节的监督检查,及时消除隐患。二是严格信息安全审查机制。要做好对外协单位、合作伙伴的尽调,对于背景存疑的组织机构要果断停止合作。三是要制定并完善信息安全保护工作应急预案和惩戒措施。一方面要加强应急演练,提升员工对信息安全风险的应急处突能力;另一方面要加大惩戒力度,一旦发生发信息泄漏事件,严肃追究相关单位、人员的责任。四是加强与公安、网信等部门的沟通对接,及时发现并有效处置信息安全事件。
五、加强严格培训,提升信息安全保护意识
一是要严格工作纪律,做好日常监督提醒。在会议室、文印室等信息交流频繁的企业内部公共场所设置显著标识,提醒员工不安装来路不明的软件,不打开信息存疑的邮件,提升员工信息安全风险识别能力。二是常态化开展全员培训和警示教育,特别是对即将出国人员,要在行前培训中心明确信息安全要求,指导掌握境外信息保护措施方法,不断提升员工的信息安全保护意识和能力。三是加强信息保护模拟演练和技术引导,总结推广技术防护信息安全的良好经验做法,教授信息安全风险应对措施,提升员工的信息保护实战技能。
作者:李斐 陈博楠