1 背景介绍

伴随数字化时代的到来，企业的数字化应用成为国家制造业转型升级的重头戏。在此背景下，众多制造业企业由传统作业方式向数字化、智能化、网联化方向不断发展。

某公司作为一家传统的硬件制造企业，其过去的市场增长就主要依靠于市场的规模效应和廉价的劳动力。一方面，在消费升级的大背景下，消费者需要更加智能化的产品；另一方面，中国劳动力已经不再低廉，传统的供应链和资源链接很难再为品牌提供有效的保障。

为了从根本上实现的可持续发展，公司决策层提出了改变旧的发展模式，进行企业转型升级的思路。已持续投入百亿进行数字化转型，目前转型效果已有成效，已成为业内颇具影响力的科技型制造企业。

与此同时，伴随数字化转型的初步成功，在营收和利润达到具备一定市场影响力的规模，公司开始对保护自主知识产权、商业秘密方面有强烈的自发动力；另一方面，大环境下的工业信息安全整体形势也变得更加复杂严峻，合作商客户对制造企业有相应的信息安全资质要求，正是在这样的驱动因素下，公司以保护知识产权产权及商业秘密为支点，开启了信息安全的建设。

2 研发体系信息安全管控痛点

某公司数字化转型带来大量拥有自主产权和体现研发创新能力的信息资产。这种快速发展也带来了内部管理方面的问题：如何管理和保护这些信息资产，如何保护和维持自己的研发创新能力，这是该公司竞争力的根本基础，因此会不断面临来自外部病毒、木马、网络攻击等网络安全威胁，以及来自内部数据泄露的问题。

在竞争激烈的商业社会，到处存在着陷阱和诱惑，部分企业或个人会不择手段谋取自身利益最大化。他们有可能窥探该公司研发、生产、收入数据、客户数据、销售数据等核心信息。这些信息关系企业生存与发展的命脉，一旦流失将会让公司面临信誉、经济、运营、隐私和法规遵从方面的威胁。另外来自外部环境的驱动力也越来越大，一旦发生严重的数据泄漏，对企业的声誉将造成巨大的负面影响；近年来各业务单位频繁发生信息泄漏事件，暴露出内部对研发信息监管手段的薄弱及安全管理体系的缺乏。

经过该公司信息安全部门的研发体系信息安全管控的难度分析，执行完备的信息安全体系有如下痛点：

• 员工自身意识薄弱，对信息安全不理解

• 业务场景复杂多样，研发全生命周期上下游链条长、覆盖广

• 信息安全基础建设尚不完善

针对以上痛点，综合的建设思路如下：

1. 做好向上管理。信息安全不是直接的利润部门，很难像销售部门一样大力出奇迹，或者以一个单一指标来量化给公司带来的收益，因此领导不重视是非常正常的情况，所以一开始是通过业界的大量案例，从宣传教育做起，找准机会，对管理层进行“洗脑”，先形成正确的意识；

2. 等待时机，做好本职工作前提下，等一个大事件的发生。这个是典型的事件驱动型思路，或许是绝大部分传统企业的信息安全建设得以快速推动的最快的驱动因素，吃一堑长一智，只有自己痛过了才会深有体会；

3. 导入体系，从整体上对公司的业务、长期发展等进行安全考量，一旦时机成熟并得到一把手支持，就导入体系、全面铺开。建设原则必须先僵化、再优化，最后固化。

3 建设分享

3.1建设企业安全RYG分区

落到具体的建设中，主要从安全为主、强制审计、效率优先几个方面对整个信息环境进行安全分区，分别是R区（红区）、Y区（黄区）和G区（绿区）。

区域	范围	要求及措施（举例）
R区	R&D	该区域数据禁止外出（物理、网络隔离、VDI（日常办公）、数据审计） （1）划分R区独立办公区域，所有R&D人员进入R区办公，物理隔离，配置保安、门禁、安检、进出口摄像头，无金属出入； （2）非R&D人员禁止进入该区域，特殊人员经流程审批后由R&D人员全程陪同； （3）该区域本地工作站加固配置，禁止数据外传，仅可访问R&D系统、数据摆渡系统等特定相关系统； （4）该区域人员增配VDI作日常办公（OA、邮件、互联网访问、企业IM等），本地工作站数据不能上传至VDI；VDI数据可以传输至本地工作站； （5）本地工作站数据对外发送只能通过公司数据摆渡系统发送；
Y区	Finance、Operation、HR、Quality、Process、Supply chain etc.	该区域实施数据不落地方案（VDI、网络逻辑隔离、接入控制、信息流转审计） （1）该区域进出口配置门禁、摄像头，非授权人员禁止进入，电脑禁止数据外传； （2）对外发送涉密信息通过公司内部工具（如邮件、企业IM、云盘、数据摆渡系统等），对外涉密邮件须抄送对应上级主管或同事； （3）定期对外的文件发送进行审计；定期对邮件外发及互联网访问行为进行审计；定期对端点进行安全违规审计。
G区	Other	关注基础安全与边界防护，可审计 （1）必须使用公司标准化办公系统，电脑禁止数据外传； （2）对外发送涉密信息通过公司内部工具（如邮件、企业IM、云盘、数据摆渡系统等），对外涉密邮件须抄送对应上级主管或同事； （3）定期对信息安全违规行为进行审计。

3.2 R&D管控方案-物理隔离

各下属单位执行R&D信息安全红区的物理方案规划和基建整改、物理隔离措施、网络整改的实施落地，由信息安全团队提供物理方案的技术指导、合规性评估和验收。

3.3研发R区管控方案-管控体系

 

3.4信息安全企业文化宣传

集团信息安全有成套的R区宣传素材，整个宣传以集团宣传素材为主，各子单位宣传素材为辅。

1. 管控运作前，召开答疑会，说明管控的目的，解开员工心中的疑惑

2. 建立R区企业IM吐槽群，不加任何管理层，让员工反馈真实想法，尽量在不违背原则的情况下解决员工问题

3. 通过粘贴海报、播放视频、公众号推送信息安全软文，日常邮件宣传等多种形式，营造信息安全文化氛围

4. 对员工提出的建设性意见，给予奖励

3.5信息安全运营维护

在初步建设完成后，更需要持续运营，对各子单位开展信息安全评比考核机制，促进信息安全管理体系的日常运作

管控阶段	类别	说明	推动主体
事前	宣传与教育	日常宣传与培训； 专项宣传：开展R区答疑会，构建信息安全R区企业IM吐槽群	信息安全，各下属单位
事中	月度评价	各各下属单位R区建设执行和落地情况进行月度自评	各下属单位
	季度检讨与总结	召开办公室例会，对集团信息安全R区策略和执行情况进行总结检讨，并将总结呈报集团决策层。	信息安全
	半年度点检	每年两次开展全集团信息安全点检，确保R区管理规范刚性落地	信息安全
事后	信息安全事件处理	对R区的严重信息安全事件开展专项调研和追责	信息安全，集团审计

4 优化提升

该体系已在公司平稳运作几年，有效地保障了公司业务的增长；但随着公司的业务扩张，研发安全管控和业务需求的平衡点正在逐渐倾斜，急迫需要新技术、新管理理念的介入，赶上数字化转型的步伐，因此，后续打算提炼出两个方向进行优化提升：

1、通过加大新技术预研，导入新的管控方式，以减少管理体系对员工工作的干扰，提升用户体验，达到信息安全用户无感知。比如引入符合零信任思想的技术或解决方案；

2、从研发业务全生命周期出发，在先进研究、企划策划、供应链、研发、质量监督等方面加大安全资源，深入了解业务，从“业务管控”转化成业务partner，提升安全和研发效率，保障经营成果。

作者介绍

小安，投身信息安全领域逾十年，从无知脚本小子开始聚焦于企业安全，伴随某制造行业公司信息安全从0到1，再从1到N的历程，深刻理解制造业对信息安全建设的迫切需求，致力于为公司提供具备性价比而又接地气的解决方案，不做盲目贪图大而全的巨无霸，小而精的润物细无声安全建设反而更敏捷。

RECOMMEND

往期回顾

研发型企业的产品安全实践之路｜科技创新型企业专刊·安全村

兼顾实战与合规的重要数据与个人信息防护探索｜科技创新型企业专刊·安全村

高科技企业信息保密工作心得体会｜科技创新型企业专刊·安全村

关于 安全村文集·科技创新型企业专刊

科技强大的根本在于企业创新，创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案，希望搭建一个创新型企业信息安全交流的平台，推动行业的信息安全工作交流、共享、提升。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（SecUN安全村）：科技型制造业的研发信息安全建设｜科技创新型企业专刊·安全村