危险往往在风平浪静的水面下悄悄酝酿。有的公司在高速发展,一路高歌向前,却忽略掉身后悄然萌芽的危机。有的公司遇到困境,刨地三尺深挖根源,却意识不到是信息安全存在问题。
本文给出一个非常简单的办法,帮助老板对自己公司做一次体检。
有没有需要?
作为老板,一定最懂自己的业务,对自己的逻辑和判断力有信心。
下面列出的,来自实际经验的总结。每个公司都有自己不同的安全故事,但表现出来的症状是相通的。将公司的情况与下列各项进行对照,如果两项或两项以上符合,就可以判定公司一定存在信息安全方面的需求。
- 公司有技术秘密。比如具有竞争力的技术秘诀,生产工艺或流 程,配方,程序、软件或算法等。常见是科技创新型企业,制造业,化工,设计占重要地位的服装、箱包等消费品牌,等等。
- 公司有构成竞争优势的资料库。资料库的类型多样,但公司的生产、设计、经营、销售、策划等活动对资料库具有一定依赖性。
- 公司某些业务对某人、或某几个人或某个团队比较依赖。如果他们离开,导致公司竞争力削弱。甚至他们会成为潜在对手。
- 某种秘密具有时效性,比如产品外观设计、策划案、销售或市场方案等,在某个时间内保守秘密,就能保证公司一定的竞争优势。虽然这个秘密最后一定会公开,但时间很重要。这种类型的秘密反复出现,又反复公开,对公司是一个常态。
- 在与合作伙伴签合同时,签署了保密协议附件。比如与供应商签订保密协议,要求对方保证我们提供资料的不被泄密。
- 与自己的客户或甲方签订了保密协议。或者甲方对自己提出明确要求。
- 与甲方合作中,虽然没有签订保密协议,但如果签订协议会明显提高客户的满意度。
- 曾经对员工将资料随意外发表示过不满,或曾经有过这方面的担心。比如财务大姐把公司记账的U盘丢了,或人事不小心把薪资表格在公司内部公开。
- 曾经试图对公司办公环境,或文档资料做出过“内、外”的划分,但最后因为做不到而放弃。
- 看到员工将外部人员带入公司,并且随意让他使用电脑,有些不高兴,甚至担心。
判定需求,有点儿像看病,但又不完全一样。有症状就是生病了,生病了就该吃药。这个道理容易明白。但信息安全,很多问题是潜伏的,平时看不出明显的症状,但一旦发病,伤害却可能是极其严重的。一些公司总安慰自己,觉得一切顺利,没有问题,等到事态严重时又追悔莫及。虽说亡羊补牢,时尤未晚,但能未雨绸缪,消解安全问题与无形,岂不更爽?
所以说,如果一个公司在竞争、合作、管理层面存在出现安全问题的内因,不管有没有具体症状,都应该要有安全管理的意识,强健体魄,预防生病。
去医院看病时,一个常见的误区是:先入为主,开口就问医生要某种自以为是的药,却忘了描述症状,分析病因。
下一篇讲一般小公司都存在哪些安全问题需要解决,并且提供一个安全需求分析的简单易操作的框架。帮助老板们看清问题,做好决策。
