张先生是某知名MC公司总经理,近期受客户的委托,做行业市场调研和HR管理咨询服务。做MC项目咨询师必须要详细了解客户背景,所以公司委派的咨询师身上存有客户大量重要资料以作参考。由于涉及很多机密信息,客户在合同签订之初,便与张总公司拟定了保密协议。可项目刚开展不久,客户部分机密信息就遭泄密,由于两家公司彼此都没做好信息安全审核机制,所以根本搞不清到底哪方是泄密源。本着对客户负责的态度及建立自我保护机制的根本。张总成立专案组,详细分析了项目过程中可能出现的信息安全漏洞。
管理咨询公司项目流程图
从流程图中张总发现,在项目进行中一共会产生两种涉密信息:一是客户提交的“机密资料”,二是本公司分析得出的“策略文案”。
流程图中的“红色框”表示“客户机密资料”尚在客户手中,未曾进入本公司管控体系内;红色箭头表示“客户机密资料”将要流通到本公司的过程。所以,作为涉密文件内外交流的关键,“红色箭头”是整个安全布防的重点。
“黄色框”表示本公司内部的信息交流环节,需要员工协同工作,将会产生提交给客户的“策略文案”,属公司内部涉密信息。针对此环节,需要架构一套可实现高效办公的可信安全环境。其余的蓝色框则表示,客户涉密资料在工作端的存储和调用行为,需保证相关咨询师的电脑具备安全存储和唯一身份识别登陆功能。
通过项目流程的分析,张总对本公司信息安全架构做了如下总结:
根据以上架构,同方电脑提供的“MC服务商安全应用管理”解决方案成为张总的最终选择。该方案是由同方超锐S10商务笔记本、同方移动数据保密机,这两大部分组成。
从项目源头将风险降至最低
以前,客户会将自身企业的所有背景资料通过IM软件或E-mail发给相关咨询师。现在,张总对客户信息做了安全级别分类,凡是涉及到客户财务信息、客户企业架构、行业供求数据等高机密资料,要求本公司相关咨询师,携带同方移动数据保密机,亲自到客户公司上门索取。保证从客户涉密信息不经任何中转,直接进入张总公司信息安全架构体制内。这样完全避免了因客户自身原因,导致信息泄密责任不明的情况发生。
同方“移动数据安全机”内置软件操作系统和MCU芯片,具备自主访问控制体系。当需要写入或导出数据的时候,需要用户的指纹验证才行,并且所有操作行为都可以追溯,是一套极为严谨的移动存储悬挂系统平台。咨询师将客户资料拷贝到同方移动数据保密机后,除非本人授权,否则任何非法用户都无法读取内部信息,所以,完全不必担心因“摆渡木马”或设备丢失产生信息外漏的可能。客户提供的背景资料,是管理咨询服务的起始端,而同方移动数据保密机,则可保障张总公司从项目源头处就将安全风险降至最低!
建立一套公司内部可信安全环境
当咨询师得到客户资料后,张总的下一步要求就是将所有涉密信息拷贝到同方超锐S10笔记本的“个人密盘”中。所谓“个人密盘”,就是用户在硬盘中出创建一个逻辑加密分区,未经登陆密盘无法显示,咨询师可在密盘内对所有客户机密信息进行调用或操作,若资料未经许可脱离密盘,就会变成乱码文件。
“个人密盘”是架构在同方超锐S10内置的TST2.0安全平台中,专门用来解决信息存储的安全功能。除此之外,同方TST2.0安全平台还能提供 “授权密网”、“即时备份”、“指纹关联”、“审计日志”等综合防护功能。
张总公司信息安全总架构
个体办公可以利用“个人密盘”,对于协同办公或内部数据传输,张总则要求所有人尽量在“授权密网”下进行。“授权密网”可保证未经授权不被截屏、复制粘贴等可疑行为,所以作为内部数据交流用,可以起到很好的安全防护功能。比如,咨询师A要向咨询师B发送一个文件,则A可以在公司局域网内创建一个“密网”,将B作为组员加进来。B则可以通过此“密网”找到A共享目录下的文件,存在本机硬盘。这种机制在共同讨论课题时也尤为高效,解决了公司内部协同办公和数据内部传输之间的矛盾。
同方超锐S10自带的生物指纹锁,结合TST2.0安全平台的“指纹识别”功能,则可保证咨询师电脑专人专用,而TST2.0的“审计日志”,能对员工做行为的监管记录。万一泄密源发生在公司内部,张总能靠这两个功能责任到人,为信息管理制度的顺利执行,提供硬性助推作用。
同方电脑 “MC服务商安全应用管理”解决方案正式实施后,张总公司业绩逐线上升。其实类似咨询管理公司这样的服务性提供商,做好公司内部的信息安全建设,不仅可以有效规避自己企业安全风险,还能保障客户涉密数据不受侵害,充分赢得客户信任,这在某种程度上可间接促进营业额提升。
网友评论