华为数据安全管理实践 孙颖 华为信息安全运营总监 目录 1 2 需求及解决方案 3 安全运营保障方案 4 成果展示 机要信息资产识别与管控 内外部环境变化驱动华为加大力度保护核心信息资产 信息 资产 随着华为竞争力的提升，居于业界领先地位的自主研 发的智力资产越来越多，信息资产价值越来越大 漏洞 云计算、移动化等IT技术在提升业务效率同时，引入 了更多的安全风险 威胁 觊觎华为核心竞争力的竞争对手越来越多 安全建设 势在必行 构建与华为业务发展 和竞争态势相匹配的 信息安全体系 找到华为核心信息资产，从流程、组织、技术三个方面构 建数据安全整体解决方案 目录 需求及解决方案 1 2 机要信息资产识别与管控 3 安全运营保障方案 4 成果展示 信息：识别核心信息资产在流程中在系统中的位置 人：识别使用待保护资产的人在流程中在系统中的位置 管控模式：什么人在什么时间什么地点如何使用哪些资产 (4W1H) 目录 1 需求及解决方案 2 机要信息资产识别与管控 3 安全运营保障方案 4 成果展示 安全控制要素融入业务流程 安全要求：关键项目的源代码集成测试通过后要上载到PDM系统只允许最小授权范围可读， 并删除本地源码。 产品研发流程 关键信息 资产清单 立项报告 IT环境 安全控制要素 • 增加项目属性“是否关键项目” • 增加评审Checklist关于“是 否关键项目”的判断要求 • 增加指南“关键项目”的判断 原则 代码 BOM 员工PC PDM 安全要求化整为零，融入业 务流程，完成对业务流程的 安全改造，实现“润物细无 声”的安全管理目标 PDM系统需对关键项目源代 码的访问范围设置进行校验， 如不得设置为全员可读 研发信息安全专员 • 检查源代码是否上载PDM • 检查PDM授权是否符合要求 • 检查员工PC上的源代码是否 删除 安全组织要上有支持下有支撑，持续运营推动改进 决策层 各部门一把手是本 部门信息安全的第 一责任人 研发体系 管理层 操作层 技术实现层 CISO有向老板 直接汇报的通道 和权力 公司信息安全监管委员会 战略市场 体系 信息安全部 销服体系 研发体系信管办 首席信息安全官CISO 战略市场体系 信管办 销服体系信管办 运营商BG信管专员 亚太信管专员 终端BG信管专员 南太信管专员 企业网BG信管专员 西欧信管专员 安全运营推动整个 体系持续改进 …… 流程&IT 流程&IT 信管办 强大的技术支撑实 现能力，形成安全 威慑 网络安全部 行政管理 业务管理 安全管控、安全服务、安全监控三位一体打造管理落地的 技术基石 包含运营解决方案的安全管控方案  导出：只有关键角色才能拥有包含关键信息资产关键属性界面的导出权限， 且只能在公司内网指定地点使用客户端进行导出操作。 控制点二：如何控制新 增关键界面？ 控制点一：如何保证机要 岗位人员在指定地点访问？ 控制点三：如何控制新 增机要角色和新增机要 岗位人员？  打印：只提供对单张报表进行打印的功能，无法对批量数据进行打印 安全运营管控举例：新增关键界面的管控方案 新增 删除 CRM关键界面清单 信息安全科和项目组业 务成员逐一检查和审视 所有界面 上线后，发动全体业务人员 发现关键界面，通过奖励举 报的方式，消除死角 新增CRM关键界面的管控方案 解决存量风险 CRM上线 新配置界面会产生配置传输日志，定期对配置传输日志 进行审计，通过审计配置传输日志能够发现新建界面是 否调用关键属性 解决新增风险 安全服务提升运营体验从而促成管控目标的达成 在服务中管控：需要通过良好的服务来降低安全对业务效率的影响。 安全服务举例：关键岗位人员一键式获得关键权限 • 一键式：业务人员只要提交一次申请即可获得所有相关的资源 • 安全职责告知：在申请流程中备注具体的安全管理要求和应尽职责义务， 无须业务人员自行查找相关规定 • 直接主管负责制：直接主管对授权负责，无须多层审批 安全监控是建立安全威慑的重要保障 关键岗位张三用账号zhangsan登陆CRM，进入客户管理界面，搜索“客户 360信息”，之后批量导出到excel文档，然后发送给主管李四。 目录 1 需求及解决方案 2 机要信息资产识别与管控 3 安全运营保障方案 4 成果展示 安全运营蓝图：一个团队、一份报告 安全运营机制 安全运营报告 安全运营团队评估、指导、监控业 务人员在业务流程中对关键信息资 产的使用，每月向公司管理层汇报 关键信息资产安全状况。 运营报告内容：包括关键信息资产清 单、关键岗位人员清单以及分布情况、 安全合规状况等。 保障安全管控持续有效