企业核心数据是企业的命脉。通过建立完善的信息安全系统，保护企业核心数据尤其是企业商业机密，防止从企业内部泄密，已经成为当前众多企业的共识。企业从信息系统的安全性、稳定性和可靠性等方面为基点，以数据安全为目标，纷纷构建企业数据泄露防护体系。要想建立完善的数据泄露防护体系，必须遵循科学严谨的信息安全管理体系。当前，BS7799体系（或ISO/ICE17799体系）是全球普遍采用的信息安全系统建设标准。这套体系能保证企业信息（包括：专利商业档案、文件、标准、专有技术、客户资料、统计数据、图样、配方、报价、规章制度、财务数据、工艺计划、资源配置、管理体系等）的安全风险降低到可接受的最低水平，防止可能由于人员的原因（疏忽、跳槽、破坏）、竞争对手原因（商业间谍、收买、盗窃、网络攻击）和自然灾害（火灾、水灾、地震）等原因，被毁灭、消失、损坏、盗窃、贬值、转移，给企业带来致命的打击。

　　亿赛通数据泄露防护（DLP）体系，是中国第一套完全基于BS7799制定的数据安全保护体系。以下将以中集集团数据泄露防护（DLP）工程为例，介绍数据安全政策的制定。

　　一、项目背景

　　中国国际海运集装箱（集团）股份有限公司（简称：中集集团），是一家为全球市场提供“现代化交通运输装备和服务”的企业集团，主要经营集装箱、道路运输车辆、能源、化工及食品装备、海洋工程、机场设备等装备的制造和服务。目前，中集集团总资产345.58亿、净资产134.17亿元，2008年销售额473.27亿元，净利润14.07亿元。在中国以及北美、欧洲、亚洲、澳洲等国家和地区拥有100余家全资及控股子公司，员工近五万人，初步形成跨国公司运营格局。中集集团于1980年1月创立于深圳，1994年在深圳证券交易所上市，目前主要股东为中远集团和招商局集团。经过二十多年的发展，中集集团已经成为根植于中国本土的全球交通运输装备制造与服务业的领先企业。2008年，中集集团被列为“2008最具全球竞争力中国公司”第49位，“中国国有上市企业社会责任榜”第39位，中国500最具价值品牌第40位；2007年9月“CIMC中集”牌集装箱被国家质量监督检验检疫总局评选为“中国世界名牌”产品称号，“中集”商标被国家工商总局正式认定为中国驰名商标。

　　中集集团的发展目标是：到2012年，销售额达到1000亿元人民币，净利润50亿元人民币，成为所进入行业的世界级企业。

　　二、中集集团数据泄露防护（DLP）政策的制定过程

　　按照BS7799（或ISO/ICE17799）体系，要建立企业信息安全体系，首先要确立信息安全政策。那什么是信息安全政策呢？从本质上来说，信息安全政策是描述企业具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对企业中成员阐明如何使用信息系统资源，如何处理敏感信息，如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对员工的安全意识与技能要求，列出被组织禁止的行为。

　　BS7799明确提出：管理层应当提出一套清晰的政策来指导信息安全实践，并且通过在组织内发布和维护信息安全政策来表明对信息安全的支持和承诺。亿赛通根据这一原则，按照以下步骤来制定中集集团数据泄露防护体系：

　　1、 理解中集集团的企业文化和业务特征

　　中集集团在中国以及北美、欧洲、亚洲、澳洲等国家和地区拥有100余家全资及控股子公司，员工近五万人，这是一个规模庞大的企业机构，企业内部人员不仅是管理层和普通员工，还有不同文化、民族和种族的人群。企业使用数据泄露防护体系，必须要考虑总公司与分公司，分公司与办事处，管理层和普通员工等等复杂关系。不仅如此，总公司与分公司之间、分公司与办事处之间，并发各种类型的业务往来，涵盖不同类型的保密等级需求，对不同类型的文件类型进行加密等等。亿赛通经过与中集集团的有效沟通，充分了解中集集团企业文化和业务特征，这是设计数据安全政策的前提。

　　2、得到管理层的明确支持与承诺

　　要制定一个好的数据信息安全政策，必须与决策层进行有效沟通，并得到企业高层领导的支持与承诺。这有三个作用，一是制定的信息安全政策与企业的业务目标一致；二是制定的安全方针政策、控制措施可以在企业的上上下下得到有效的贯彻；三是可以得到有效的资源保证。亿赛通经过数月努力，与中集集团保持好良好的实时交流，得到领导层的充分信任和支持，这是中集集团数据泄露防护体系得以顺利实施的保证。

　　3、组建一个安全政策制定小组

　　亿赛通与中集集团通力合作，建立了以亿赛通团队和中集集团相关人士的数据安全政策制定小组。安全政策制定小组由亿赛通团队（包括技术团队及项目咨询成员）和中集集团团队（包括高级管理人员、文档保密员、IT部门负责人、律师、中集集团用户部门的人员）组成。

　　4、确定信息安全整体目标经过调研，确定中集集团的数据安全整体目标是：确保电子文档在企业内部和授权部门内部，可以安全共享；在对外合作时能确保机密文件不被二次扩散；在保证数据安全的同时，还要保证业务持续性，并最小化业务损失，为企业实现业务目标提供保障。

　　5、确定信息管理体系的范围

　　中集集团公司所有部门都参与此次数据安全项目，根据中集集团各个分部职能、工作内容、文件类型、文件保密等级要求的不同，将亿赛通文档安全管理动态加解密和权限管理两个模块灵活搭配使用，即保障了核心电子信息的安全也实现了文档的安全流转。

　　6、风险评估与选择数据安全控制

　　数据安全政策制定小组经过对中集集团的数据信息安全管理现状调查，并采用风险评估工作是建立具体的信息安全策略的基础与关键，在安全体系建立的整个过程中，风险评估工作占了很大的比例，风险评估的工作质量直接影响安全控制的合理选择和安全策略的完备制定。

　　7、起草拟订数据安全政策

　　按照BS7799体系，亿赛通按照PDCA的持续改进的管理模式，通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施（Do）阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦发现问题，需要在措施（Act）阶段予以解决，以便改进ISMS。

图2 BS7799的PDCA模型

　　8、评估数据安全政策

　　中集集团数据泄露防护体系被制订出来后，双方联合召开了专家评审会，对该体系进行评估，并进行了测试，以评审体系的完备性、易用性，最终确定，改体系安全政策能完全达到企业所需的安全目标。

　　9、数据安全政策的实施

　　在数据安全政策通过测试评估后，中集集团管理层正式批准实施，编制了成中集集团数据信息安全政策手册，发布到企业中的每个员工与相关利益方，明确安全责任与义务。

　　10、政策的持续改进

　　在中集集团数据泄露防护（DLP）实施后，亿赛通与中集集团公司建立了“售后保障服务体系”，其中包含了对数据安全政策的定期评审，并进行持续改进。