海外工程企業信息安全探討

導語：海外工程企業信息安全探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

信息安全成為關注焦點2016年7月，歐盟通過首部安全法規《網絡與信息系統安全指令》，要求成員國從國家層面制定戰略，加強國際合作，強化網絡與信息系統安全；2018年5月，歐盟《一般數據保護條例》落地，針對個人數據保護制定保護規則；2019年6月，《關于歐洲網絡與信息安全局信息和通訊技術的網絡安全》（歐洲議會和歐盟理事會第2019/881號條例）正式實施，從法律的層面將歐盟網絡和信息安全署（ENISA）確定為負責歐盟網絡安全的永久性機制，進一步優化提升各成員國間網絡和信息通訊安全體系，將歐盟網絡安全治理推向新的高度。2021年1月，新美國安全中心（CNAS）發布《掌舵：應對中國挑戰的國家技術戰略》報告，指出中國在5G領域的競爭優勢給美國決策者敲響了警鐘，未來中美的技術競爭將更為激烈。4月20日，CNAS發布《信任流程：國家技術戰略的制定、實施、監測和評估》，提出有效執行美國國家技術戰略的基本原則，明確了國家技術戰略的實施階段、核心目標及方法建議。7月29日，CNAS發布《從計劃到行動——實施美國國家技術戰略》，從實操層面將國家技術戰略具體化。報告進一步指明了互聯網使得海量信息數字化并廣泛傳播，加大了美國國家安全的風險與挑戰。報告建議將商務部納入國家情報體系，通過加強國家安全信息收集與分析，強化商務部主責項目的決策。

一、管理不完善、靈敏度不高

1978年，改革開放的春風催生中國企業“走出去”的堅定步伐。中國的企業在“自力更生基礎上，積極發展同世界各國平等互利的經濟合作”方針指引下，逐步開始探索國門外的世界。由于起步晚、家底薄，直到2000年初，中國才首次把“走出去”上升到國家戰略層面。時值今日，也才走過了22個春秋。在中國企業大踏步“走出去”的這20余年里，海外承包工程行業蓬勃發展。海外市場大、機遇多，為了搶占市場先機，快速做大市場份額，中國工程承包企業多數采用粗放型管理模式，甚至有些企業采用包工頭式的做法，拿到項目就干、干完項目就算，對于企業自身的管理缺乏系統性思考和提升。企業對信息安全管理的認識不足，缺乏底線思維和風險意識。部分企業信息技術專業部門的設立相對較晚，專業團隊人員不足，采用簡單外包形式以解燃眉之急的做法也屢見不鮮，缺乏對信息安全事件及時有效的專業應對措施，信息安全管理體系化建設還很不完善。

二、軟硬件配套設施不到位承包工程企業在海外執行項目

受限于人員、成本、距離、所在國信息技術條件等多重因素，不管是在項目還是駐外機構，信息化工具普遍采用電腦、個人手機，內部溝通借助開放型通訊軟件，信息安全保護主要依靠殺毒軟件，在信息安全方面的軟硬件配套設施還很不完善。疫情出現后，對遠程辦公、在線會晤交流等的需求量激增，體量較大的承包工程企業軟硬件條件的配置不足、改造升級滯后等問題愈發凸顯。

三、員工信息安全保護意識和技能不足

如某項目工作人員將郵箱、QQ、微信、公司網站登錄賬號設置統一的登錄密碼，長期未曾修改，且一直使用微信作為工作主要溝通工具，因QQ賬號被病毒軟件盜取，導致微信一并被盜取，公司郵箱、網站遭到攻擊，大量工作信息和資料外泄。再如某海外工程承包公司員工，在海外常駐期間與身份未經充分核實的潛在合作方頻繁交往，對方在取得該名員工信任后，以未來項目合作為旗號，搜集該公司內部信息資料。后經有關部門調查發現該合作方人員行徑可疑，及時有效地阻止了相關人員與該合作方的進一步接觸。還有某海外項目個別工作人員信息保護意識淡薄，使用手機應用軟件或微信小程序拍照掃描重要工作文件，導致相關信息傳輸到應用軟件后臺服務器后造成信息泄露。上述事件的發生，充分反映出相關人員信息安全保護意識不強，缺乏對人、事的辨別，信息保護技能十分有限。信息安全管理提升建議一、加強機制設計，建立信息安全管理體系海外承包工程企業既肩負著中國企業“走出去”重任，又承載著促進當地社會經濟發展的希望。近年來，國際舞臺風云變幻，不確定因素不斷增多，面對紛繁復雜又瞬息萬變的全球市場，海外承包工程企業要建立加強機制設計，信息安全管理體系建設勢在必行。一是要建立健全企業信息安全管理制度。企業要以國家總體安全觀為綱，以《個人信息保護法》等信息保護法律法規為要，堅持底線思維，建立并完善企業信息管理制度。二是建立信息安全管理機構。信息安全是一把手工程。海外工程承包單位要根據自身企業經營特點，搭建覆蓋公司總部，到駐外機構、項目一線的各層級信息安全管理架構，各層級主要負責人對信息安全管理負總責。三是配強信息安全管理專業人員。當前，不少海外承包工程企業的信息技術服務多使用外協公司、外聘技術人員，多數外協公司又同時為多家企業提供服務。外協公司的技術水平、服務能力、外聘技術人員的工作持久性、對所服務公司要求和業務的熟悉程度等等，也是所服務企業的信息安全風險隱患。企業要加大人才引進力度，配置專業信息安全管理人員，以企業自有信息安全管理部門為主，附以部分優質外協技術支持，做好企業信息安全防護工作。二、加強技術提升，優化信息安全硬件設施企業日常信息溝通交流離不開信息工具。企業要在信息安全方面加大投入和支持力度。一是加強提升現有技術和管理，對企業核心信息、人員信息、重要商業數據等要加大保護力度，細化技防措施，強化數據調取、使用的身份認證和全流程管理。二是對于業務體量大、境內外信息交流頻繁的國際承包工程企業，要與技術過硬、排名靠前的國內主流信息技術公司建立良好的合作關系，適時開發本單位的內部溝通軟硬件設施，如企業OA、手機應用軟件、企業微信、專屬視頻會議系統等等，并定期做好信息系統優化升級和風險漏洞及病毒查殺。三是構建企業內網，辦公配置工作電腦且使用內網工作交流。對于出境頻繁且轉機或因公需在敏感國家地區停留的人員，要增配辦公手機。

四、加強監管懲戒，做好事前事中事后處置

一是要做好信息安全設施設備的監督管理，組織開展常態化信息安全風險排查，定期分析評估數據匯聚可能帶來的信息安全風險，重點加強對于工作文件、數據信息、視頻電話會議等關鍵環節的監督檢查，及時消除隱患。二是嚴格信息安全審查機制。要做好對外協單位、合作伙伴的盡調，對于背景存疑的組織機構要果斷停止合作。三是要制定并完善信息安全保護工作應急預案和懲戒措施。一方面要加強應急演練，提升員工對信息安全風險的應急處突能力；另一方面要加大懲戒力度，一旦發生發信息泄漏事件，嚴肅追究相關單位、人員的責任。四是加強與公安、網信等部門的溝通對接，及時發現并有效處置信息安全事件。

五、加強嚴格培訓，提升信息安全保護意識

一是要嚴格工作紀律，做好日常監督提醒。在會議室、文印室等信息交流頻繁的企業內部公共場所設置顯著標識，提醒員工不安裝來路不明的軟件，不打開信息存疑的郵件，提升員工信息安全風險識別能力。二是常態化開展全員培訓和警示教育，特別是對即將出國人員，要在行前培訓中心明確信息安全要求，指導掌握境外信息保護措施方法，不斷提升員工的信息安全保護意識和能力。三是加強信息保護模擬演練和技術引導，總結推廣技術防護信息安全的良好經驗做法，教授信息安全風險應對措施，提升員工的信息保護實戰技能。

作者：李斐 陳博楠