| EN
| EN

柯萊特全面完善IT服務信息安全管理體系

2019-04-26

      作為國內專業的企業數字化重塑和智能化轉型的IT服務企業,柯萊特在信息安全管理方面一直保持高度的重視。
      柯萊特集團管理層及信息安全管理小組,把標準建設、規范實施、保持和監督,以及持續改進信息安全管理體系作為核心工作,并通過建立科學的組織架構、規章制度和管控措施,不斷提高信息安全管理工作效率,把具有信息安全保障功能的軟硬件設施、管理措施以及從事信息使用的人整合在一起,以此確保組織、項目、個人達到信息安全預期效果。

 一、信息安全管理體系的持續建設

      2018年1月,柯萊特獲得了一個新周期的IS0-27001信息安全管理認證,這離不開集團圍繞該標準持續進行信息安全管理體系建設:
      1.  集團致力于為客戶提供高品質的IT服務,很早就制定了明確的信息安全管理的目標和方針,將服務響應及時率,系統故障修復率,系統安全正常運營率,運維服務滿意度等作為相關服務的重要指標。
      2.  集團成立信息安全管理委員會,對信息安全及IT服務管理體系中出現的重大問題,及時做出分析、決策和調整,對項目和交付中出現的狀況和問題做出評審。
      3.  集團的項目風險評估小組定期審視各交付項目,向項目團隊提供風險報告書。
      4.  集團中由專業人員形成的信息安全實施小組,不斷完善包括《信息安全及IT管理服務手冊》、《信息安全適用性說明》等在內的24份程序文件,并持續對服務和交付團隊及個人進行培訓,提出信息安全管理要求并監督執行狀況,及時發現和處理信息安全風險和問題。
      5.  集團組織定期的項目內審工作,評審項目的運行情況及測試后的交付情況等。 
      6.  持續完善《項目信息安全管理辦法》。《辦法》設置了四層文檔體系,包含了信息安全的方針;信息安全相關策略和指導;依據企業運營情況和特點制定的規章制度和規范;體系運行時的記錄文檔和表單等。




二、柯萊特在信息安全管理上的實踐

      柯萊特杭州交付中心根據客戶企業特點,在集團信息安全管理體系的基礎上,進一步結合客戶信息安全標準建立了針對性的、系統化的信息安全管理體系、制度及措施,以客戶的信息安全要求為參照,緊抓駐場、近岸交付服務人員的安全行為,規范服務場地建設標準,通過一系列線上線下培訓開展信息安全知識的普及活動,定期進行信息安全檢查及信息安全考試等保障管理措施落地。
       1. 杭州交付中心針對中心的特點,建立了針對性的安全培訓管理辦法、安全巡查制度、符合近岸和離岸交付要求的服務場地管理規范、物理環境管理辦法、應急預案管理辦法;針對性修訂了客戶現場的駐場人員在安全管理制度、安全行為規范及保密協議等一系列規范制度;交付中心信息安全管理小組還密切跟進客戶企業的需求和標準,及時更新和調整相關的規范、制度和策略,使之適應不斷變化的信息安全需求,滿足信息安全的發展趨勢。
      2. 針對交付中心的服務特點,安排各類型信息安全培訓活動,關鍵崗位的新員工經過統一培訓,在符合客戶對駐場人員的要求并簽署保密協議后,才可駐場;其他輔助崗位,也有配套的入職信息安全培訓。并且,還通過案例教學和定期的鞏固培訓,不斷加強全體人員的信息安全意識。中心在半年時間就開展了24場線下培訓, 3場集中遠程線上培訓,培訓范圍超過五百人次。
      3. 為了規范項目駐場人員的安全行為,普及安全知識,感知安全態勢,預警高危漏洞,項目組建立了信息安全群。在群中,發布并更新信息安全知識;組織系列信息安全培訓;對制度條款的設定背景進行深入的技術分析;解析信息安全案例;解答出現的信息安全問題等等。2019年3月,根據服務人員的集中反饋,項目組收集、整理了“駐場人員如何規范安裝和使用軟件?”等問題,與客戶協同制定標準并針對性解答和宣傳。
      4. 交付中心組織了豐富多彩的信息安全知識普及活動,制作了信息安全漫畫并布置在辦公區的顯眼區域;印制了信息安全知識漫畫鼠標墊,駐場人員人手一份。宣傳資料內容通俗易懂,重在營造一種良好的信息安全氛圍,讓駐場人員在信息安全方面時刻保持高度的警惕性。
      5. 交付中心會定期對駐場人員展開安全巡查,及時糾正在巡查現場發現的問題。安全巡查制度規定全員巡查的頻度要達到半年一次,同時配合不定期抽查。為消除巡查存在的安全盲點,信息安全管理小組會定期組織由全體駐場人員參加的問卷調查,查漏補缺,全面確保信息安全管理落地。
      6. 交付中心在開展信息安全管理系列工作時,積極與客戶進行工作交流和匯報,在對客戶企業信息安全風險深入分析和理解的基礎之上,實施了服務于業務整體安全的防御措施。 

交付中心的工作人員學習信息安全知識

      據了解,4月初杭州交付中心組織了服務人員信息安全考試。同時,2019年還將開展一系列信息安全意識普及活動(如信息安全競賽等)來增強員工信息安全意識。客戶對于柯萊特在信息安全建設中開展的活動和舉措表示贊揚。
      柯萊特集團具有高度的社會責任感和強烈的法律意識,深刻認識到在業務運營中承擔的信息安全方面的責任和義務。信息安全防治是一項長期任務,柯萊特將以創新的手段和方案,通過持續全面宣傳,不斷完善和健全信息安全管理體系,強化信息安全管理,與客戶共同構筑信息安全的全方位管理體系。
一波中特公式計算法