精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:CIO人物訪談 → 正文

“美的”如何防泄漏保合規(guī)?CISO劉向陽(yáng)詳解信息安全“五板斧”

責(zé)任編輯:shjiaz 作者:查士加 |來(lái)源:企業(yè)網(wǎng)D1Net  2024-08-02 09:09:50 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

在數(shù)字化浪潮和AI大模型技術(shù)的雙重推動(dòng)下,企業(yè)信息安全領(lǐng)域正面臨前所未有的復(fù)雜挑戰(zhàn),這對(duì)CIO、CISO等IT領(lǐng)航者的專業(yè)素養(yǎng)和洞察力提出了更高要求。外部環(huán)境方面,智能化攻擊工具的普及,使攻擊成本驟降,復(fù)雜隱蔽的威脅正如影隨形;同時(shí),全球網(wǎng)絡(luò)犯罪的組織化和SaaS化趨勢(shì),加劇了企業(yè)成為針對(duì)性網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露目標(biāo)的風(fēng)險(xiǎn);此外,全球地區(qū)性沖突頻發(fā),使得某些國(guó)家黑客組織利用AI技術(shù)發(fā)起網(wǎng)絡(luò)戰(zhàn),全球化企業(yè)在這種網(wǎng)絡(luò)戰(zhàn)威脅下更易受到波及,成為黑客攻擊的重點(diǎn)目標(biāo)。

在企業(yè)內(nèi)部,數(shù)字化轉(zhuǎn)型的高速推進(jìn)導(dǎo)致數(shù)據(jù)量呈井噴式增長(zhǎng),傳統(tǒng)的安全解決方案在海量日志面前顯得力不從心;錯(cuò)綜復(fù)雜的數(shù)字化基礎(chǔ)設(shè)施和龐大的業(yè)務(wù)系統(tǒng),包括IT、工控、海外、公有云、APP、IDC等眾多業(yè)務(wù)場(chǎng)景,進(jìn)一步增加了縱深安全防御體系的建設(shè)難度;此外,隨著信息安全防護(hù)系統(tǒng)的持續(xù)完善,如何優(yōu)化縱深安全防御體系的運(yùn)營(yíng)效率,同時(shí)巧妙融合AI技術(shù),確保數(shù)據(jù)合規(guī)、防范數(shù)據(jù)泄露風(fēng)險(xiǎn),已成為大型跨國(guó)制造企業(yè)亟待攻克的關(guān)鍵問題。

面對(duì)這些挑戰(zhàn),美的集團(tuán)以其創(chuàng)新的信息安全“五板斧”策略,為行業(yè)提供了信息安全體系建設(shè)的新思路。近日,企業(yè)網(wǎng)D1net有幸專訪到美的集團(tuán)首席信息安全官(CISO)兼軟件工程院院長(zhǎng)、歐洲科學(xué)院院士、IEEE Fellow、IET Fellow、ACM杰出科學(xué)家劉向陽(yáng)先生,他詳細(xì)分享了美的在信息安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn),以及應(yīng)對(duì)新挑戰(zhàn)的策略與規(guī)劃。

美的集團(tuán)首席信息安全官(CISO)兼軟件工程院院長(zhǎng) 劉向陽(yáng)

美的集團(tuán),作為大型跨國(guó)制造業(yè)中的“燈塔”,其網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)場(chǎng)景的復(fù)雜性不言而喻。美的獨(dú)創(chuàng)的“五板斧”信息安全策略,更具全面性與多元性。從構(gòu)建堅(jiān)實(shí)的縱深安全防御體系,實(shí)施全方位、全覆蓋的防護(hù)措施,到建立高效可靠且能持續(xù)自我完善的運(yùn)營(yíng)模式,實(shí)施合適的安全控制策略,再到隱私合規(guī)管理的精耕細(xì)作,每一個(gè)環(huán)節(jié)都凝聚了美的在信息安全領(lǐng)域的深厚積淀與前瞻性視野。

美的信息安全“五板斧”策略詳解

一、進(jìn)不來(lái):嚴(yán)控外部威脅,筑牢安全防線

美的集團(tuán)采取了多重措施來(lái)確保外部攻擊者無(wú)法滲透系統(tǒng)。從網(wǎng)絡(luò)隔離、準(zhǔn)入控制到權(quán)限管理,美的依托零信任系統(tǒng)和機(jī)制,對(duì)每一個(gè)可能的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行嚴(yán)格把控。同時(shí),美的進(jìn)行了上層應(yīng)用的全面改造,通過(guò)DMZ應(yīng)用治理、外網(wǎng)應(yīng)用二次認(rèn)證、DevSecOps建設(shè)以及HTTPS改造等手段,顯著強(qiáng)化了應(yīng)用層的安全防護(hù)能力。

在公有云安全方面,美的集團(tuán)實(shí)施了網(wǎng)絡(luò)隔離和邊界防護(hù)等關(guān)鍵措施,并自動(dòng)化審計(jì)云上安全配置,以確保公有云使用的安全性。此外,美的還通過(guò)郵件系統(tǒng)的二次認(rèn)證、郵件安全網(wǎng)關(guān)過(guò)濾,資產(chǎn)管理和攻擊面治理等舉措,持續(xù)校準(zhǔn)和優(yōu)化安全策略,確保信息和資產(chǎn)的安全性。

在內(nèi)網(wǎng)安全方面,美的集團(tuán)實(shí)施了從內(nèi)到內(nèi)的網(wǎng)絡(luò)隔離、生產(chǎn)準(zhǔn)入和辦公準(zhǔn)入等機(jī)制,有效防止了內(nèi)部威脅的擴(kuò)散。同時(shí),針對(duì)辦公網(wǎng)以及數(shù)據(jù)中心的主動(dòng)外聯(lián)行為,美的設(shè)置了特殊設(shè)備白名單,進(jìn)一步降低了潛在的安全風(fēng)險(xiǎn)。在工控安全層面,美的施行了準(zhǔn)入嚴(yán)控和外設(shè)嚴(yán)控等策略,并進(jìn)行工控漏洞掃描和工控隔離,確保了工控系統(tǒng)的安全性。在運(yùn)維層面,美的明確要求運(yùn)維人員將運(yùn)維電腦和辦公電腦區(qū)分開,從而有效防范釣魚攻擊和遠(yuǎn)程控制等威脅。此外,美的還通過(guò)密碼管理系統(tǒng)進(jìn)行有效的密碼管控,顯著降低了密碼被破解的風(fēng)險(xiǎn)。

二、能發(fā)現(xiàn):及時(shí)發(fā)現(xiàn)任何安全威脅或入侵

美的集團(tuán)致力于構(gòu)建一個(gè)多層次、全方位的監(jiān)控和檢測(cè)體系,以確保信息系統(tǒng)在面對(duì)各種潛在威脅時(shí)能夠迅速、準(zhǔn)確地做出反應(yīng)。在服務(wù)器(數(shù)據(jù)中心與公有云)安全方面,美的采用HIDS(基于主機(jī)型入侵檢測(cè)系統(tǒng))進(jìn)行實(shí)時(shí)監(jiān)控,確保任何異常行為都能被及時(shí)發(fā)現(xiàn)并有效應(yīng)對(duì)。同時(shí),在終端(辦公、工控)設(shè)備方面,美的則采用EDR(端點(diǎn)檢測(cè)和響應(yīng))結(jié)合內(nèi)存安全技術(shù),通過(guò)指令序列白名單機(jī)制,有效防范惡意軟件的入侵,保障終端設(shè)備的穩(wěn)定運(yùn)行。

在網(wǎng)絡(luò)層面,美的集團(tuán)部署了流量探針,對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行深度分析,以便及時(shí)發(fā)現(xiàn)異常流量。此外,美的集團(tuán)使用文件沙箱和郵件沙箱,對(duì)接收到的文件和郵件進(jìn)行隔離檢測(cè),確保安全后再放行。同時(shí)加強(qiáng)對(duì)API安全的監(jiān)控,通過(guò)API調(diào)用監(jiān)控技術(shù),有效防止API被惡意利用。

為了更全面地發(fā)現(xiàn)潛在威脅,美的集團(tuán)在數(shù)據(jù)中心、公有云和工控環(huán)境中部署了蜜罐系統(tǒng),誘捕攻擊者并收集攻擊信息,以便更好地了解攻擊者的行為和手段。同時(shí),美的集團(tuán)還實(shí)施了嚴(yán)格的上網(wǎng)行為管理策略,嚴(yán)控應(yīng)用敏感數(shù)據(jù)的導(dǎo)出,并加強(qiáng)了對(duì)大數(shù)據(jù)訪問、導(dǎo)出和權(quán)限的控制,確保數(shù)據(jù)的安全性和隱私性。

此外,美的數(shù)字大腦集成了SOC與工控SOC平臺(tái),同時(shí)配備了美的自研的安全數(shù)據(jù)挖掘系統(tǒng)。該系統(tǒng)專注于UEBA(用戶與實(shí)體行為分析)以及數(shù)據(jù)泄露檢測(cè)等領(lǐng)域,能夠有效覆蓋傳統(tǒng)SOC難以全面涉及的領(lǐng)域,為美的集團(tuán)的信息安全提供了強(qiáng)力保障。

三、防泄漏:防止信息泄露,保護(hù)公司數(shù)據(jù)資產(chǎn)

為確保數(shù)據(jù)安全,美的集團(tuán)針對(duì)性地部署了七大核心策略,全方位應(yīng)對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)。劉向陽(yáng)對(duì)這七大策略逐一進(jìn)行了詳細(xì)解讀。

(1)建組織、標(biāo)準(zhǔn)、明確責(zé)任:美的集團(tuán)建立了專門的個(gè)人隱私保護(hù)項(xiàng)目組,并清晰界定了信息安全團(tuán)隊(duì)、集團(tuán)法務(wù)及各業(yè)務(wù)部門數(shù)據(jù)保護(hù)代表(DPR)的職責(zé)范疇。同時(shí),遵循國(guó)內(nèi)外數(shù)據(jù)安全標(biāo)準(zhǔn)和法規(guī),制定了內(nèi)部數(shù)據(jù)安全管理標(biāo)準(zhǔn)和流程體系,確保數(shù)據(jù)在各個(gè)環(huán)節(jié)的處理過(guò)程中都能得到充分保護(hù)。此外,通過(guò)明確各部門和崗位的數(shù)據(jù)安全責(zé)任,美的集團(tuán)有效增強(qiáng)了全員的數(shù)據(jù)安全意識(shí),成功營(yíng)造了一種全員參與、共同維護(hù)數(shù)據(jù)安全的良好氛圍。

(2)梳理數(shù)據(jù)保護(hù)目錄:美的集團(tuán)建立了詳細(xì)的數(shù)據(jù)保護(hù)目錄體系,對(duì)重要及敏感數(shù)據(jù)實(shí)施了精細(xì)化的分類與分級(jí)管理。通過(guò)對(duì)數(shù)據(jù)的敏感性、重要性進(jìn)行準(zhǔn)確評(píng)估,制定了相應(yīng)的保護(hù)措施和訪問控制策略,有效筑起了防止敏感數(shù)據(jù)非法訪問與泄露的堅(jiān)固防線,確保了數(shù)據(jù)的安全性和保密性。

(3)系統(tǒng)開發(fā)上線和運(yùn)維要按照安全規(guī)范進(jìn)行:在系統(tǒng)開發(fā)、上線和運(yùn)維過(guò)程中,美的集團(tuán)始終遵循安全規(guī)范,將安全需求深度融入系統(tǒng)設(shè)計(jì)的每一個(gè)關(guān)鍵環(huán)節(jié)。通過(guò)嚴(yán)格的代碼審查、全面的安全測(cè)試等多重舉措,確保系統(tǒng)上線前不存在明顯的安全漏洞。同時(shí),美的集團(tuán)還建立了應(yīng)急響應(yīng)機(jī)制,以確保在發(fā)生數(shù)據(jù)泄露等突發(fā)事件時(shí)能夠迅速響應(yīng)并有效處置,從而保障系統(tǒng)的穩(wěn)定運(yùn)行和數(shù)據(jù)的安全性。

(4)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估:美的集團(tuán)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作,全面排查并評(píng)估潛在的安全威脅、漏洞及隱患。依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,及時(shí)制定并實(shí)施針對(duì)性的改進(jìn)措施和加固方案,提升了系統(tǒng)的整體安全防護(hù)能力。這一舉措有助于及時(shí)發(fā)現(xiàn)并有效應(yīng)對(duì)潛在的安全風(fēng)險(xiǎn),確保數(shù)據(jù)的安全性和穩(wěn)定性。

(5)持續(xù)推動(dòng)數(shù)據(jù)風(fēng)險(xiǎn)整改和升級(jí):美的集團(tuán)將數(shù)據(jù)安全工作視為一項(xiàng)長(zhǎng)期任務(wù),持續(xù)推動(dòng)安全整改和升級(jí)工作。一旦發(fā)現(xiàn)安全問題和漏洞,集團(tuán)會(huì)立即調(diào)配資源進(jìn)行修復(fù)和加固;同時(shí),緊跟技術(shù)發(fā)展和安全威脅的變化趨勢(shì),及時(shí)更新和完善安全防護(hù)措施和策略。這種持續(xù)改進(jìn)和升級(jí)的做法,有助于保持?jǐn)?shù)據(jù)安全防護(hù)的先進(jìn)性和有效性,確保企業(yè)數(shù)據(jù)的安全性和競(jìng)爭(zhēng)力。

(6)持續(xù)的數(shù)據(jù)安全能力建設(shè):美的集團(tuán)不斷探索和實(shí)踐前沿的數(shù)據(jù)安全技術(shù),包括數(shù)據(jù)加密、數(shù)據(jù)出境監(jiān)測(cè)、API檢測(cè)、訪問控制、數(shù)據(jù)水印、數(shù)據(jù)脫敏、數(shù)據(jù)泄露檢測(cè)與響應(yīng)等多個(gè)維度,致力于構(gòu)建全方位、多層次的數(shù)據(jù)安全防護(hù)體系。美的持續(xù)優(yōu)化數(shù)據(jù)安全技術(shù)架構(gòu),強(qiáng)化系統(tǒng)對(duì)外部攻擊和內(nèi)部泄露的防御能力,同時(shí)加大人員培訓(xùn)力度,以增強(qiáng)團(tuán)隊(duì)對(duì)數(shù)據(jù)安全的認(rèn)知和應(yīng)急響應(yīng)能力。通過(guò)緊跟行業(yè)最佳實(shí)踐和技術(shù)發(fā)展趨勢(shì),美的集團(tuán)致力于保持其在數(shù)據(jù)安全防護(hù)領(lǐng)域的領(lǐng)先地位,確保能夠有效應(yīng)對(duì)不斷演變的數(shù)據(jù)安全威脅和挑戰(zhàn),為業(yè)務(wù)的持續(xù)健康發(fā)展提供堅(jiān)實(shí)保障。

(7)持續(xù)的外部合規(guī)認(rèn)證:美的集團(tuán)的重要業(yè)務(wù)系統(tǒng)持續(xù)通過(guò)第三方安全機(jī)構(gòu)與監(jiān)管部門的嚴(yán)格評(píng)估和認(rèn)證,如ISO 27001、ISO 27701、CCRC數(shù)據(jù)安全管理認(rèn)證等,不僅滿足了監(jiān)管部門的要求,也進(jìn)一步增強(qiáng)了外部客戶與消費(fèi)者的信心。獲得外部安全認(rèn)證,是美的向監(jiān)管部門、消費(fèi)者、客戶和合作伙伴等展示其卓越安全防護(hù)能力的重要途徑。

四、保合規(guī):確保所有IT系統(tǒng)符合全球法律法規(guī)和行業(yè)標(biāo)準(zhǔn)

在全球化背景下,不同國(guó)家和地區(qū)的信息安全合規(guī)要求千差萬(wàn)別,給企業(yè)跨國(guó)運(yùn)營(yíng)帶來(lái)了重重挑戰(zhàn)。面對(duì)這一復(fù)雜局勢(shì),美的集團(tuán)通過(guò)實(shí)施隱私合規(guī)管理體系與產(chǎn)品合規(guī)管理體系并重的策略,成功在全球范圍內(nèi)實(shí)現(xiàn)了信息安全合規(guī)管理的目標(biāo)。

在隱私合規(guī)管理體系的運(yùn)作方面,劉向陽(yáng)指出,美的集團(tuán)通過(guò)成立專門的合規(guī)團(tuán)隊(duì),負(fù)責(zé)隱私相關(guān)標(biāo)準(zhǔn)的制定和隱私方案的評(píng)審,確保公司運(yùn)營(yíng)符合當(dāng)?shù)胤煞ㄒ?guī)標(biāo)準(zhǔn)。合規(guī)團(tuán)隊(duì)不僅定期梳理和更新全球所有業(yè)務(wù)所在國(guó)家和地區(qū)的法律和法規(guī)要求,還將合規(guī)管理融入公司運(yùn)營(yíng)的各個(gè)環(huán)節(jié),制定相應(yīng)的合規(guī)流程和操作指南,明確各部門和崗位的合規(guī)職責(zé)。

“我們各業(yè)務(wù)部門的數(shù)據(jù)保護(hù)代表(DPR)負(fù)責(zé)履行隱私合規(guī)的主體責(zé)任,落實(shí)隱私合規(guī)相關(guān)工作的推進(jìn)。”劉向陽(yáng)強(qiáng)調(diào),“DPR負(fù)責(zé)協(xié)調(diào)本單位資源,對(duì)個(gè)人隱私風(fēng)險(xiǎn)進(jìn)行閉環(huán)管理,確保個(gè)人隱私安全標(biāo)準(zhǔn)執(zhí)行落地,建立并盤點(diǎn)個(gè)人隱私數(shù)據(jù)清單,以解決過(guò)程中出現(xiàn)的問題和風(fēng)險(xiǎn)。”

在產(chǎn)品合規(guī)管理體系的運(yùn)作方面,美的集團(tuán)會(huì)定期了解和梳理全球物聯(lián)網(wǎng)產(chǎn)品的合規(guī)法規(guī)要求,并持續(xù)跟進(jìn)全球法規(guī)的更新和發(fā)布。為對(duì)標(biāo)全球合規(guī)要求,美的集團(tuán)制定了全球物聯(lián)網(wǎng)產(chǎn)品安全規(guī)范,并在全球進(jìn)行推廣和實(shí)施。“針對(duì)全球重要的產(chǎn)品安全法規(guī),美的與第三方機(jī)構(gòu)合作,對(duì)旗下產(chǎn)品進(jìn)行認(rèn)證測(cè)評(píng),以確保產(chǎn)品合規(guī)地進(jìn)入市場(chǎng)。”劉向陽(yáng)表示,“目前,美的集團(tuán)的產(chǎn)品已經(jīng)滿足了歐盟EN 303645法規(guī)、美國(guó)NIST 8425、英國(guó)PSTI、中國(guó)CCRC產(chǎn)品安全認(rèn)證、中國(guó)家電院產(chǎn)品安全認(rèn)證等多項(xiàng)標(biāo)準(zhǔn)與法規(guī)要求。”

然而,作為全球化企業(yè),美的集團(tuán)在合規(guī)管理中也面臨著諸多挑戰(zhàn),如法律法規(guī)眾多、法律法規(guī)變化快、落地實(shí)施標(biāo)準(zhǔn)不統(tǒng)一等。為了應(yīng)對(duì)這些挑戰(zhàn),美的集團(tuán)與監(jiān)管部門建立起良好的溝通機(jī)制,積極參與合規(guī)標(biāo)準(zhǔn)的制定和解讀,以便及時(shí)了解監(jiān)管動(dòng)態(tài)和政策意圖。

美的集團(tuán)致力于將隱私合規(guī)管理自動(dòng)化,通過(guò)開發(fā)工具和模板,提高合規(guī)管理的效率和一致性。劉向陽(yáng)分享道,“美的集團(tuán)將產(chǎn)品合規(guī)的關(guān)鍵要求轉(zhuǎn)化為企業(yè)標(biāo)準(zhǔn)和紅線,進(jìn)行實(shí)施與治理。同時(shí),積極參與部分標(biāo)準(zhǔn)的制定,并建議監(jiān)管部門出臺(tái)更多標(biāo)準(zhǔn)實(shí)施指引,以更好地指導(dǎo)和支持企業(yè)的合規(guī)工作。”

五、重運(yùn)營(yíng):持續(xù)監(jiān)控、及時(shí)響應(yīng)、快速處置、迭代優(yōu)化

安全運(yùn)營(yíng)的重要性不言而喻,美的集團(tuán)構(gòu)建了全局SOC平臺(tái),并充分結(jié)合安全大模型進(jìn)行高效管理。面對(duì)每天產(chǎn)生的超過(guò)80億條安全日志和20萬(wàn)條告警信息,美的集團(tuán)通過(guò)安全大模型將需要人工處理的告警量大幅降低至約200條,實(shí)現(xiàn)了高效的信息安全管理。美的集團(tuán)上線了安全編排自動(dòng)化與響應(yīng)(SOAR)系統(tǒng),SOAR與企業(yè)流程緊密結(jié)合,能夠自動(dòng)化處理大量報(bào)警信息,顯著提升了信息安全管理的智能化和自動(dòng)化水平。針對(duì)工控領(lǐng)域,美的集團(tuán)建立了專門的工控SOC平臺(tái),并將其接入全局SOC體系,實(shí)現(xiàn)對(duì)工控環(huán)境的全面監(jiān)控與管理。

美的集團(tuán)自研了自動(dòng)化攻擊與模擬驗(yàn)證系統(tǒng)(BAS),該平臺(tái)不僅定期邀請(qǐng)外部紅隊(duì)進(jìn)行實(shí)戰(zhàn)攻擊測(cè)試,還配備了自主研發(fā)的自動(dòng)化攻擊測(cè)試系統(tǒng),能夠模擬和應(yīng)對(duì)各種潛在的安全威脅。通過(guò)實(shí)戰(zhàn)演習(xí),美的集團(tuán)不斷檢驗(yàn)和提升自身的信息安全防護(hù)能力,以模擬和應(yīng)對(duì)各種潛在的安全威脅。

在處理安全事件時(shí),美的集團(tuán)遵循“及時(shí)止血、刨根問底、舉一反三”的原則,確保安全事件能夠得到迅速、有效地處置,并從中汲取教訓(xùn),不斷完善和優(yōu)化信息安全管理體系。劉向陽(yáng)強(qiáng)調(diào),對(duì)于大多數(shù)企業(yè)而言,7*24小時(shí)的信息安全托管服務(wù)至關(guān)重要,這能確保企業(yè)在任何時(shí)刻都能迅速響應(yīng)并處理安全事件。

在安全管理方面,美的集團(tuán)信息安全部負(fù)責(zé)制定方案、提供培訓(xùn)和具體指引,事業(yè)部負(fù)責(zé)執(zhí)行和落實(shí)。這種明確分工、協(xié)同合作的管理模式,確保了信息安全措施的有效實(shí)施。同時(shí),美的還對(duì)事業(yè)部園區(qū)安全(含工控安全)進(jìn)行定期現(xiàn)場(chǎng)審查,以確保各項(xiàng)安全措施得到嚴(yán)格執(zhí)行。

在組織保障方面,美的集團(tuán)建設(shè)了一整套CISO體系,確保信息安全事件的實(shí)時(shí)同步,以及信息安全策略的落地執(zhí)行。此外,持續(xù)進(jìn)行信息安全培訓(xùn),提升員工的信息安全意識(shí)也尤為重要。

劉向陽(yáng)強(qiáng)調(diào),信息安全從業(yè)人員需具備“推土機(jī)精神”,因推廣信息安全常面臨諸多挑戰(zhàn),如爭(zhēng)取預(yù)算、改造應(yīng)用系統(tǒng)、改變員工習(xí)慣等。為應(yīng)對(duì)這些挑戰(zhàn),從業(yè)人員需與各方充分聯(lián)動(dòng)和協(xié)作,共同保護(hù)公司的信息安全。

總結(jié)

美的信息安全“五板斧”策略體現(xiàn)了其對(duì)信息安全全方位的重視以及不懈追求持續(xù)改進(jìn)的態(tài)度,這無(wú)疑為所有企業(yè)樹立了一個(gè)值得學(xué)習(xí)的標(biāo)桿。劉向陽(yáng)進(jìn)一步強(qiáng)調(diào),在實(shí)施“五板斧”策略時(shí),并無(wú)固定的先后順序,這五個(gè)方面需要齊頭并進(jìn),共同建設(shè),以確保信息安全體系不存在任何短板。

然而,在實(shí)際落地執(zhí)行的過(guò)程中,CISO需要根據(jù)風(fēng)險(xiǎn)進(jìn)行細(xì)致的分類和分級(jí),依據(jù)風(fēng)險(xiǎn)的大小、潛在的影響范圍以及發(fā)生的頻率,來(lái)明智地決定建設(shè)與運(yùn)營(yíng)的優(yōu)先級(jí),以及項(xiàng)目推進(jìn)的合理節(jié)奏。特別是對(duì)于那些核心、重要的業(yè)務(wù)系統(tǒng),更是需要優(yōu)先進(jìn)行保障與建設(shè),以確保其信息安全能夠得到最大程度的堅(jiān)實(shí)保護(hù)。

最后,劉向陽(yáng)特別提醒,盡管“五板斧”策略提供了一個(gè)極具參考價(jià)值的實(shí)踐范例,但企業(yè)在借鑒之時(shí),必須充分考慮自身獨(dú)特的業(yè)務(wù)模式、技術(shù)架構(gòu)、組織結(jié)構(gòu)、業(yè)務(wù)需求和法規(guī)要求,進(jìn)行靈活的調(diào)整和定制化的設(shè)計(jì)。這樣才能確保信息安全體系能夠精準(zhǔn)對(duì)接企業(yè)的實(shí)際需求,為企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展提供堅(jiān)實(shí)有力的保障,護(hù)航企業(yè)在數(shù)字時(shí)代的穩(wěn)步前行。

關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):

國(guó)內(nèi)最大的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

關(guān)鍵字:美的CISO信息安全合規(guī)

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

x “美的”如何防泄漏保合規(guī)?CISO劉向陽(yáng)詳解信息安全“五板斧” 掃一掃
分享本文到朋友圈
當(dāng)前位置:CIO人物訪談 → 正文

“美的”如何防泄漏保合規(guī)?CISO劉向陽(yáng)詳解信息安全“五板斧”

責(zé)任編輯:shjiaz 作者:查士加 |來(lái)源:企業(yè)網(wǎng)D1Net  2024-08-02 09:09:50 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

在數(shù)字化浪潮和AI大模型技術(shù)的雙重推動(dòng)下,企業(yè)信息安全領(lǐng)域正面臨前所未有的復(fù)雜挑戰(zhàn),這對(duì)CIO、CISO等IT領(lǐng)航者的專業(yè)素養(yǎng)和洞察力提出了更高要求。外部環(huán)境方面,智能化攻擊工具的普及,使攻擊成本驟降,復(fù)雜隱蔽的威脅正如影隨形;同時(shí),全球網(wǎng)絡(luò)犯罪的組織化和SaaS化趨勢(shì),加劇了企業(yè)成為針對(duì)性網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露目標(biāo)的風(fēng)險(xiǎn);此外,全球地區(qū)性沖突頻發(fā),使得某些國(guó)家黑客組織利用AI技術(shù)發(fā)起網(wǎng)絡(luò)戰(zhàn),全球化企業(yè)在這種網(wǎng)絡(luò)戰(zhàn)威脅下更易受到波及,成為黑客攻擊的重點(diǎn)目標(biāo)。

在企業(yè)內(nèi)部,數(shù)字化轉(zhuǎn)型的高速推進(jìn)導(dǎo)致數(shù)據(jù)量呈井噴式增長(zhǎng),傳統(tǒng)的安全解決方案在海量日志面前顯得力不從心;錯(cuò)綜復(fù)雜的數(shù)字化基礎(chǔ)設(shè)施和龐大的業(yè)務(wù)系統(tǒng),包括IT、工控、海外、公有云、APP、IDC等眾多業(yè)務(wù)場(chǎng)景,進(jìn)一步增加了縱深安全防御體系的建設(shè)難度;此外,隨著信息安全防護(hù)系統(tǒng)的持續(xù)完善,如何優(yōu)化縱深安全防御體系的運(yùn)營(yíng)效率,同時(shí)巧妙融合AI技術(shù),確保數(shù)據(jù)合規(guī)、防范數(shù)據(jù)泄露風(fēng)險(xiǎn),已成為大型跨國(guó)制造企業(yè)亟待攻克的關(guān)鍵問題。

面對(duì)這些挑戰(zhàn),美的集團(tuán)以其創(chuàng)新的信息安全“五板斧”策略,為行業(yè)提供了信息安全體系建設(shè)的新思路。近日,企業(yè)網(wǎng)D1net有幸專訪到美的集團(tuán)首席信息安全官(CISO)兼軟件工程院院長(zhǎng)、歐洲科學(xué)院院士、IEEE Fellow、IET Fellow、ACM杰出科學(xué)家劉向陽(yáng)先生,他詳細(xì)分享了美的在信息安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn),以及應(yīng)對(duì)新挑戰(zhàn)的策略與規(guī)劃。

美的集團(tuán)首席信息安全官(CISO)兼軟件工程院院長(zhǎng) 劉向陽(yáng)

美的集團(tuán),作為大型跨國(guó)制造業(yè)中的“燈塔”,其網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)場(chǎng)景的復(fù)雜性不言而喻。美的獨(dú)創(chuàng)的“五板斧”信息安全策略,更具全面性與多元性。從構(gòu)建堅(jiān)實(shí)的縱深安全防御體系,實(shí)施全方位、全覆蓋的防護(hù)措施,到建立高效可靠且能持續(xù)自我完善的運(yùn)營(yíng)模式,實(shí)施合適的安全控制策略,再到隱私合規(guī)管理的精耕細(xì)作,每一個(gè)環(huán)節(jié)都凝聚了美的在信息安全領(lǐng)域的深厚積淀與前瞻性視野。

美的信息安全“五板斧”策略詳解

一、進(jìn)不來(lái):嚴(yán)控外部威脅,筑牢安全防線

美的集團(tuán)采取了多重措施來(lái)確保外部攻擊者無(wú)法滲透系統(tǒng)。從網(wǎng)絡(luò)隔離、準(zhǔn)入控制到權(quán)限管理,美的依托零信任系統(tǒng)和機(jī)制,對(duì)每一個(gè)可能的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行嚴(yán)格把控。同時(shí),美的進(jìn)行了上層應(yīng)用的全面改造,通過(guò)DMZ應(yīng)用治理、外網(wǎng)應(yīng)用二次認(rèn)證、DevSecOps建設(shè)以及HTTPS改造等手段,顯著強(qiáng)化了應(yīng)用層的安全防護(hù)能力。

在公有云安全方面,美的集團(tuán)實(shí)施了網(wǎng)絡(luò)隔離和邊界防護(hù)等關(guān)鍵措施,并自動(dòng)化審計(jì)云上安全配置,以確保公有云使用的安全性。此外,美的還通過(guò)郵件系統(tǒng)的二次認(rèn)證、郵件安全網(wǎng)關(guān)過(guò)濾,資產(chǎn)管理和攻擊面治理等舉措,持續(xù)校準(zhǔn)和優(yōu)化安全策略,確保信息和資產(chǎn)的安全性。

在內(nèi)網(wǎng)安全方面,美的集團(tuán)實(shí)施了從內(nèi)到內(nèi)的網(wǎng)絡(luò)隔離、生產(chǎn)準(zhǔn)入和辦公準(zhǔn)入等機(jī)制,有效防止了內(nèi)部威脅的擴(kuò)散。同時(shí),針對(duì)辦公網(wǎng)以及數(shù)據(jù)中心的主動(dòng)外聯(lián)行為,美的設(shè)置了特殊設(shè)備白名單,進(jìn)一步降低了潛在的安全風(fēng)險(xiǎn)。在工控安全層面,美的施行了準(zhǔn)入嚴(yán)控和外設(shè)嚴(yán)控等策略,并進(jìn)行工控漏洞掃描和工控隔離,確保了工控系統(tǒng)的安全性。在運(yùn)維層面,美的明確要求運(yùn)維人員將運(yùn)維電腦和辦公電腦區(qū)分開,從而有效防范釣魚攻擊和遠(yuǎn)程控制等威脅。此外,美的還通過(guò)密碼管理系統(tǒng)進(jìn)行有效的密碼管控,顯著降低了密碼被破解的風(fēng)險(xiǎn)。

二、能發(fā)現(xiàn):及時(shí)發(fā)現(xiàn)任何安全威脅或入侵

美的集團(tuán)致力于構(gòu)建一個(gè)多層次、全方位的監(jiān)控和檢測(cè)體系,以確保信息系統(tǒng)在面對(duì)各種潛在威脅時(shí)能夠迅速、準(zhǔn)確地做出反應(yīng)。在服務(wù)器(數(shù)據(jù)中心與公有云)安全方面,美的采用HIDS(基于主機(jī)型入侵檢測(cè)系統(tǒng))進(jìn)行實(shí)時(shí)監(jiān)控,確保任何異常行為都能被及時(shí)發(fā)現(xiàn)并有效應(yīng)對(duì)。同時(shí),在終端(辦公、工控)設(shè)備方面,美的則采用EDR(端點(diǎn)檢測(cè)和響應(yīng))結(jié)合內(nèi)存安全技術(shù),通過(guò)指令序列白名單機(jī)制,有效防范惡意軟件的入侵,保障終端設(shè)備的穩(wěn)定運(yùn)行。

在網(wǎng)絡(luò)層面,美的集團(tuán)部署了流量探針,對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行深度分析,以便及時(shí)發(fā)現(xiàn)異常流量。此外,美的集團(tuán)使用文件沙箱和郵件沙箱,對(duì)接收到的文件和郵件進(jìn)行隔離檢測(cè),確保安全后再放行。同時(shí)加強(qiáng)對(duì)API安全的監(jiān)控,通過(guò)API調(diào)用監(jiān)控技術(shù),有效防止API被惡意利用。

為了更全面地發(fā)現(xiàn)潛在威脅,美的集團(tuán)在數(shù)據(jù)中心、公有云和工控環(huán)境中部署了蜜罐系統(tǒng),誘捕攻擊者并收集攻擊信息,以便更好地了解攻擊者的行為和手段。同時(shí),美的集團(tuán)還實(shí)施了嚴(yán)格的上網(wǎng)行為管理策略,嚴(yán)控應(yīng)用敏感數(shù)據(jù)的導(dǎo)出,并加強(qiáng)了對(duì)大數(shù)據(jù)訪問、導(dǎo)出和權(quán)限的控制,確保數(shù)據(jù)的安全性和隱私性。

此外,美的數(shù)字大腦集成了SOC與工控SOC平臺(tái),同時(shí)配備了美的自研的安全數(shù)據(jù)挖掘系統(tǒng)。該系統(tǒng)專注于UEBA(用戶與實(shí)體行為分析)以及數(shù)據(jù)泄露檢測(cè)等領(lǐng)域,能夠有效覆蓋傳統(tǒng)SOC難以全面涉及的領(lǐng)域,為美的集團(tuán)的信息安全提供了強(qiáng)力保障。

三、防泄漏:防止信息泄露,保護(hù)公司數(shù)據(jù)資產(chǎn)

為確保數(shù)據(jù)安全,美的集團(tuán)針對(duì)性地部署了七大核心策略,全方位應(yīng)對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)。劉向陽(yáng)對(duì)這七大策略逐一進(jìn)行了詳細(xì)解讀。

(1)建組織、標(biāo)準(zhǔn)、明確責(zé)任:美的集團(tuán)建立了專門的個(gè)人隱私保護(hù)項(xiàng)目組,并清晰界定了信息安全團(tuán)隊(duì)、集團(tuán)法務(wù)及各業(yè)務(wù)部門數(shù)據(jù)保護(hù)代表(DPR)的職責(zé)范疇。同時(shí),遵循國(guó)內(nèi)外數(shù)據(jù)安全標(biāo)準(zhǔn)和法規(guī),制定了內(nèi)部數(shù)據(jù)安全管理標(biāo)準(zhǔn)和流程體系,確保數(shù)據(jù)在各個(gè)環(huán)節(jié)的處理過(guò)程中都能得到充分保護(hù)。此外,通過(guò)明確各部門和崗位的數(shù)據(jù)安全責(zé)任,美的集團(tuán)有效增強(qiáng)了全員的數(shù)據(jù)安全意識(shí),成功營(yíng)造了一種全員參與、共同維護(hù)數(shù)據(jù)安全的良好氛圍。

(2)梳理數(shù)據(jù)保護(hù)目錄:美的集團(tuán)建立了詳細(xì)的數(shù)據(jù)保護(hù)目錄體系,對(duì)重要及敏感數(shù)據(jù)實(shí)施了精細(xì)化的分類與分級(jí)管理。通過(guò)對(duì)數(shù)據(jù)的敏感性、重要性進(jìn)行準(zhǔn)確評(píng)估,制定了相應(yīng)的保護(hù)措施和訪問控制策略,有效筑起了防止敏感數(shù)據(jù)非法訪問與泄露的堅(jiān)固防線,確保了數(shù)據(jù)的安全性和保密性。

(3)系統(tǒng)開發(fā)上線和運(yùn)維要按照安全規(guī)范進(jìn)行:在系統(tǒng)開發(fā)、上線和運(yùn)維過(guò)程中,美的集團(tuán)始終遵循安全規(guī)范,將安全需求深度融入系統(tǒng)設(shè)計(jì)的每一個(gè)關(guān)鍵環(huán)節(jié)。通過(guò)嚴(yán)格的代碼審查、全面的安全測(cè)試等多重舉措,確保系統(tǒng)上線前不存在明顯的安全漏洞。同時(shí),美的集團(tuán)還建立了應(yīng)急響應(yīng)機(jī)制,以確保在發(fā)生數(shù)據(jù)泄露等突發(fā)事件時(shí)能夠迅速響應(yīng)并有效處置,從而保障系統(tǒng)的穩(wěn)定運(yùn)行和數(shù)據(jù)的安全性。

(4)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估:美的集團(tuán)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作,全面排查并評(píng)估潛在的安全威脅、漏洞及隱患。依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,及時(shí)制定并實(shí)施針對(duì)性的改進(jìn)措施和加固方案,提升了系統(tǒng)的整體安全防護(hù)能力。這一舉措有助于及時(shí)發(fā)現(xiàn)并有效應(yīng)對(duì)潛在的安全風(fēng)險(xiǎn),確保數(shù)據(jù)的安全性和穩(wěn)定性。

(5)持續(xù)推動(dòng)數(shù)據(jù)風(fēng)險(xiǎn)整改和升級(jí):美的集團(tuán)將數(shù)據(jù)安全工作視為一項(xiàng)長(zhǎng)期任務(wù),持續(xù)推動(dòng)安全整改和升級(jí)工作。一旦發(fā)現(xiàn)安全問題和漏洞,集團(tuán)會(huì)立即調(diào)配資源進(jìn)行修復(fù)和加固;同時(shí),緊跟技術(shù)發(fā)展和安全威脅的變化趨勢(shì),及時(shí)更新和完善安全防護(hù)措施和策略。這種持續(xù)改進(jìn)和升級(jí)的做法,有助于保持?jǐn)?shù)據(jù)安全防護(hù)的先進(jìn)性和有效性,確保企業(yè)數(shù)據(jù)的安全性和競(jìng)爭(zhēng)力。

(6)持續(xù)的數(shù)據(jù)安全能力建設(shè):美的集團(tuán)不斷探索和實(shí)踐前沿的數(shù)據(jù)安全技術(shù),包括數(shù)據(jù)加密、數(shù)據(jù)出境監(jiān)測(cè)、API檢測(cè)、訪問控制、數(shù)據(jù)水印、數(shù)據(jù)脫敏、數(shù)據(jù)泄露檢測(cè)與響應(yīng)等多個(gè)維度,致力于構(gòu)建全方位、多層次的數(shù)據(jù)安全防護(hù)體系。美的持續(xù)優(yōu)化數(shù)據(jù)安全技術(shù)架構(gòu),強(qiáng)化系統(tǒng)對(duì)外部攻擊和內(nèi)部泄露的防御能力,同時(shí)加大人員培訓(xùn)力度,以增強(qiáng)團(tuán)隊(duì)對(duì)數(shù)據(jù)安全的認(rèn)知和應(yīng)急響應(yīng)能力。通過(guò)緊跟行業(yè)最佳實(shí)踐和技術(shù)發(fā)展趨勢(shì),美的集團(tuán)致力于保持其在數(shù)據(jù)安全防護(hù)領(lǐng)域的領(lǐng)先地位,確保能夠有效應(yīng)對(duì)不斷演變的數(shù)據(jù)安全威脅和挑戰(zhàn),為業(yè)務(wù)的持續(xù)健康發(fā)展提供堅(jiān)實(shí)保障。

(7)持續(xù)的外部合規(guī)認(rèn)證:美的集團(tuán)的重要業(yè)務(wù)系統(tǒng)持續(xù)通過(guò)第三方安全機(jī)構(gòu)與監(jiān)管部門的嚴(yán)格評(píng)估和認(rèn)證,如ISO 27001、ISO 27701、CCRC數(shù)據(jù)安全管理認(rèn)證等,不僅滿足了監(jiān)管部門的要求,也進(jìn)一步增強(qiáng)了外部客戶與消費(fèi)者的信心。獲得外部安全認(rèn)證,是美的向監(jiān)管部門、消費(fèi)者、客戶和合作伙伴等展示其卓越安全防護(hù)能力的重要途徑。

四、保合規(guī):確保所有IT系統(tǒng)符合全球法律法規(guī)和行業(yè)標(biāo)準(zhǔn)

在全球化背景下,不同國(guó)家和地區(qū)的信息安全合規(guī)要求千差萬(wàn)別,給企業(yè)跨國(guó)運(yùn)營(yíng)帶來(lái)了重重挑戰(zhàn)。面對(duì)這一復(fù)雜局勢(shì),美的集團(tuán)通過(guò)實(shí)施隱私合規(guī)管理體系與產(chǎn)品合規(guī)管理體系并重的策略,成功在全球范圍內(nèi)實(shí)現(xiàn)了信息安全合規(guī)管理的目標(biāo)。

在隱私合規(guī)管理體系的運(yùn)作方面,劉向陽(yáng)指出,美的集團(tuán)通過(guò)成立專門的合規(guī)團(tuán)隊(duì),負(fù)責(zé)隱私相關(guān)標(biāo)準(zhǔn)的制定和隱私方案的評(píng)審,確保公司運(yùn)營(yíng)符合當(dāng)?shù)胤煞ㄒ?guī)標(biāo)準(zhǔn)。合規(guī)團(tuán)隊(duì)不僅定期梳理和更新全球所有業(yè)務(wù)所在國(guó)家和地區(qū)的法律和法規(guī)要求,還將合規(guī)管理融入公司運(yùn)營(yíng)的各個(gè)環(huán)節(jié),制定相應(yīng)的合規(guī)流程和操作指南,明確各部門和崗位的合規(guī)職責(zé)。

“我們各業(yè)務(wù)部門的數(shù)據(jù)保護(hù)代表(DPR)負(fù)責(zé)履行隱私合規(guī)的主體責(zé)任,落實(shí)隱私合規(guī)相關(guān)工作的推進(jìn)。”劉向陽(yáng)強(qiáng)調(diào),“DPR負(fù)責(zé)協(xié)調(diào)本單位資源,對(duì)個(gè)人隱私風(fēng)險(xiǎn)進(jìn)行閉環(huán)管理,確保個(gè)人隱私安全標(biāo)準(zhǔn)執(zhí)行落地,建立并盤點(diǎn)個(gè)人隱私數(shù)據(jù)清單,以解決過(guò)程中出現(xiàn)的問題和風(fēng)險(xiǎn)。”

在產(chǎn)品合規(guī)管理體系的運(yùn)作方面,美的集團(tuán)會(huì)定期了解和梳理全球物聯(lián)網(wǎng)產(chǎn)品的合規(guī)法規(guī)要求,并持續(xù)跟進(jìn)全球法規(guī)的更新和發(fā)布。為對(duì)標(biāo)全球合規(guī)要求,美的集團(tuán)制定了全球物聯(lián)網(wǎng)產(chǎn)品安全規(guī)范,并在全球進(jìn)行推廣和實(shí)施。“針對(duì)全球重要的產(chǎn)品安全法規(guī),美的與第三方機(jī)構(gòu)合作,對(duì)旗下產(chǎn)品進(jìn)行認(rèn)證測(cè)評(píng),以確保產(chǎn)品合規(guī)地進(jìn)入市場(chǎng)。”劉向陽(yáng)表示,“目前,美的集團(tuán)的產(chǎn)品已經(jīng)滿足了歐盟EN 303645法規(guī)、美國(guó)NIST 8425、英國(guó)PSTI、中國(guó)CCRC產(chǎn)品安全認(rèn)證、中國(guó)家電院產(chǎn)品安全認(rèn)證等多項(xiàng)標(biāo)準(zhǔn)與法規(guī)要求。”

然而,作為全球化企業(yè),美的集團(tuán)在合規(guī)管理中也面臨著諸多挑戰(zhàn),如法律法規(guī)眾多、法律法規(guī)變化快、落地實(shí)施標(biāo)準(zhǔn)不統(tǒng)一等。為了應(yīng)對(duì)這些挑戰(zhàn),美的集團(tuán)與監(jiān)管部門建立起良好的溝通機(jī)制,積極參與合規(guī)標(biāo)準(zhǔn)的制定和解讀,以便及時(shí)了解監(jiān)管動(dòng)態(tài)和政策意圖。

美的集團(tuán)致力于將隱私合規(guī)管理自動(dòng)化,通過(guò)開發(fā)工具和模板,提高合規(guī)管理的效率和一致性。劉向陽(yáng)分享道,“美的集團(tuán)將產(chǎn)品合規(guī)的關(guān)鍵要求轉(zhuǎn)化為企業(yè)標(biāo)準(zhǔn)和紅線,進(jìn)行實(shí)施與治理。同時(shí),積極參與部分標(biāo)準(zhǔn)的制定,并建議監(jiān)管部門出臺(tái)更多標(biāo)準(zhǔn)實(shí)施指引,以更好地指導(dǎo)和支持企業(yè)的合規(guī)工作。”

五、重運(yùn)營(yíng):持續(xù)監(jiān)控、及時(shí)響應(yīng)、快速處置、迭代優(yōu)化

安全運(yùn)營(yíng)的重要性不言而喻,美的集團(tuán)構(gòu)建了全局SOC平臺(tái),并充分結(jié)合安全大模型進(jìn)行高效管理。面對(duì)每天產(chǎn)生的超過(guò)80億條安全日志和20萬(wàn)條告警信息,美的集團(tuán)通過(guò)安全大模型將需要人工處理的告警量大幅降低至約200條,實(shí)現(xiàn)了高效的信息安全管理。美的集團(tuán)上線了安全編排自動(dòng)化與響應(yīng)(SOAR)系統(tǒng),SOAR與企業(yè)流程緊密結(jié)合,能夠自動(dòng)化處理大量報(bào)警信息,顯著提升了信息安全管理的智能化和自動(dòng)化水平。針對(duì)工控領(lǐng)域,美的集團(tuán)建立了專門的工控SOC平臺(tái),并將其接入全局SOC體系,實(shí)現(xiàn)對(duì)工控環(huán)境的全面監(jiān)控與管理。

美的集團(tuán)自研了自動(dòng)化攻擊與模擬驗(yàn)證系統(tǒng)(BAS),該平臺(tái)不僅定期邀請(qǐng)外部紅隊(duì)進(jìn)行實(shí)戰(zhàn)攻擊測(cè)試,還配備了自主研發(fā)的自動(dòng)化攻擊測(cè)試系統(tǒng),能夠模擬和應(yīng)對(duì)各種潛在的安全威脅。通過(guò)實(shí)戰(zhàn)演習(xí),美的集團(tuán)不斷檢驗(yàn)和提升自身的信息安全防護(hù)能力,以模擬和應(yīng)對(duì)各種潛在的安全威脅。

在處理安全事件時(shí),美的集團(tuán)遵循“及時(shí)止血、刨根問底、舉一反三”的原則,確保安全事件能夠得到迅速、有效地處置,并從中汲取教訓(xùn),不斷完善和優(yōu)化信息安全管理體系。劉向陽(yáng)強(qiáng)調(diào),對(duì)于大多數(shù)企業(yè)而言,7*24小時(shí)的信息安全托管服務(wù)至關(guān)重要,這能確保企業(yè)在任何時(shí)刻都能迅速響應(yīng)并處理安全事件。

在安全管理方面,美的集團(tuán)信息安全部負(fù)責(zé)制定方案、提供培訓(xùn)和具體指引,事業(yè)部負(fù)責(zé)執(zhí)行和落實(shí)。這種明確分工、協(xié)同合作的管理模式,確保了信息安全措施的有效實(shí)施。同時(shí),美的還對(duì)事業(yè)部園區(qū)安全(含工控安全)進(jìn)行定期現(xiàn)場(chǎng)審查,以確保各項(xiàng)安全措施得到嚴(yán)格執(zhí)行。

在組織保障方面,美的集團(tuán)建設(shè)了一整套CISO體系,確保信息安全事件的實(shí)時(shí)同步,以及信息安全策略的落地執(zhí)行。此外,持續(xù)進(jìn)行信息安全培訓(xùn),提升員工的信息安全意識(shí)也尤為重要。

劉向陽(yáng)強(qiáng)調(diào),信息安全從業(yè)人員需具備“推土機(jī)精神”,因推廣信息安全常面臨諸多挑戰(zhàn),如爭(zhēng)取預(yù)算、改造應(yīng)用系統(tǒng)、改變員工習(xí)慣等。為應(yīng)對(duì)這些挑戰(zhàn),從業(yè)人員需與各方充分聯(lián)動(dòng)和協(xié)作,共同保護(hù)公司的信息安全。

總結(jié)

美的信息安全“五板斧”策略體現(xiàn)了其對(duì)信息安全全方位的重視以及不懈追求持續(xù)改進(jìn)的態(tài)度,這無(wú)疑為所有企業(yè)樹立了一個(gè)值得學(xué)習(xí)的標(biāo)桿。劉向陽(yáng)進(jìn)一步強(qiáng)調(diào),在實(shí)施“五板斧”策略時(shí),并無(wú)固定的先后順序,這五個(gè)方面需要齊頭并進(jìn),共同建設(shè),以確保信息安全體系不存在任何短板。

然而,在實(shí)際落地執(zhí)行的過(guò)程中,CISO需要根據(jù)風(fēng)險(xiǎn)進(jìn)行細(xì)致的分類和分級(jí),依據(jù)風(fēng)險(xiǎn)的大小、潛在的影響范圍以及發(fā)生的頻率,來(lái)明智地決定建設(shè)與運(yùn)營(yíng)的優(yōu)先級(jí),以及項(xiàng)目推進(jìn)的合理節(jié)奏。特別是對(duì)于那些核心、重要的業(yè)務(wù)系統(tǒng),更是需要優(yōu)先進(jìn)行保障與建設(shè),以確保其信息安全能夠得到最大程度的堅(jiān)實(shí)保護(hù)。

最后,劉向陽(yáng)特別提醒,盡管“五板斧”策略提供了一個(gè)極具參考價(jià)值的實(shí)踐范例,但企業(yè)在借鑒之時(shí),必須充分考慮自身獨(dú)特的業(yè)務(wù)模式、技術(shù)架構(gòu)、組織結(jié)構(gòu)、業(yè)務(wù)需求和法規(guī)要求,進(jìn)行靈活的調(diào)整和定制化的設(shè)計(jì)。這樣才能確保信息安全體系能夠精準(zhǔn)對(duì)接企業(yè)的實(shí)際需求,為企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展提供堅(jiān)實(shí)有力的保障,護(hù)航企業(yè)在數(shù)字時(shí)代的穩(wěn)步前行。

關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):

國(guó)內(nèi)最大的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

關(guān)鍵字:美的CISO信息安全合規(guī)

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號(hào)-6 京公網(wǎng)安備 11010502049343號(hào)

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 闽清县| 瑞昌市| 昭通市| 岑溪市| 平舆县| 南木林县| 怀安县| 溧水县| 将乐县| 日土县| 博爱县| 赤壁市| 永新县| 泰宁县| 承德市| 扶风县| 天等县| 长寿区| 宾阳县| 类乌齐县| 阳新县| 遵化市| 上思县| 静海县| 兴城市| 梨树县| 宁化县| 渑池县| 慈利县| 佛山市| 离岛区| 大庆市| 克什克腾旗| 乌拉特后旗| 遵义县| 宽城| 周至县| 福鼎市| 平安县| 镇远县| 苏尼特右旗|