伴随数字化时代的到来，企业的数字化应用成为国家制造业转型升级的重头戏。在此背景下，众多制造业企业由传统作业方式向数字化、智能化、网联化方向不断发展。

某公司作为一家传统的硬件制造企业，其过去的市场增长就主要依靠于市场的规模效应和廉价的劳动力。一方面，在消费升级的大背景下，消费者需要更加智能化的产品；另一方面，中国劳动力已经不再低廉，传统的供应链和资源链接很难再为品牌提供有效的保障。

为了从根本上实现的可持续发展，公司决策层提出了改变旧的发展模式，进行企业转型升级的思路。已持续投入百亿进行数字化转型，目前转型效果已有成效，已成为业内颇具影响力的科技型制造企业。

与此同时，伴随数字化转型的初步成功，在营收和利润达到具备一定市场影响力的规模，公司开始对保护自主知识产权、商业秘密方面有强烈的自发动力；另一方面，大环境下的工业信息安全整体形势也变得更加复杂严峻，合作商客户对制造企业有相应的信息安全资质要求，正是在这样的驱动因素下，公司以保护知识产权产权及商业秘密为支点，开启了信息安全的建设。

某公司数字化转型带来大量拥有自主产权和体现研发创新能力的信息资产。这种快速发展也带来了内部管理方面的问题：如何管理和保护这些信息资产，如何保护和维持自己的研发创新能力，这是该公司竞争力的根本基础，因此会不断面临来自外部病毒、木马、网络攻击等网络安全威胁，以及来自内部数据泄露的问题。

在竞争激烈的商业社会，到处存在着陷阱和诱惑，部分企业或个人会不择手段谋取自身利益最大化。他们有可能窥探该公司研发、生产、收入数据、客户数据、销售数据等核心信息。这些信息关系企业生存与发展的命脉，一旦流失将会让公司面临信誉、经济、运营、隐私和法规遵从方面的威胁。另外来自外部环境的驱动力也越来越大，一旦发生严重的数据泄漏，对企业的声誉将造成巨大的负面影响；近年来各业务单位频繁发生信息泄漏事件，暴露出内部对研发信息监管手段的薄弱及安全管理体系的缺乏。

经过该公司信息安全部门的研发体系信息安全管控的难度分析，执行完备的信息安全体系有如下痛点：

• 员工自身意识薄弱，对信息安全不理解

• 业务场景复杂多样，研发全生命周期上下游链条长、覆盖广

• 信息安全基础建设尚不完善

针对以上痛点，综合的建设思路如下：

1. 做好向上管理。信息安全不是直接的利润部门，很难像销售部门一样大力出奇迹，或者以一个单一指标来量化给公司带来的收益，因此领导不重视是非常正常的情况，所以一开始是通过业界的大量案例，从宣传教育做起，找准机会，对管理层进行“洗脑”，先形成正确的意识；

2. 等待时机，做好本职工作前提下，等一个大事件的发生。这个是典型的事件驱动型思路，或许是绝大部分传统企业的信息安全建设得以快速推动的最快的驱动因素，吃一堑长一智，只有自己痛过了才会深有体会；

3. 导入体系，从整体上对公司的业务、长期发展等进行安全考量，一旦时机成熟并得到一把手支持，就导入体系、全面铺开。建设原则必须先僵化、再优化，最后固化。

3.1建设企业安全RYG分区

3.2 R&D管控方案-物理隔离

各下属单位执行R&D信息安全红区的物理方案规划和基建整改、物理隔离措施、网络整改的实施落地，由信息安全团队提供物理方案的技术指导、合规性评估和验收。

3.3研发R区管控方案-管控体系

3.4信息安全企业文化宣传

集团信息安全有成套的R区宣传素材，整个宣传以集团宣传素材为主，各子单位宣传素材为辅。

1. 管控运作前，召开答疑会，说明管控的目的，解开员工心中的疑惑

2. 建立R区企业IM吐槽群，不加任何管理层，让员工反馈真实想法，尽量在不违背原则的情况下解决员工问题

3. 通过粘贴海报、播放视频、公众号推送信息安全软文，日常邮件宣传等多种形式，营造信息安全文化氛围

4. 对员工提出的建设性意见，给予奖励

3.5信息安全运营维护

该体系已在公司平稳运作几年，有效地保障了公司业务的增长；但随着公司的业务扩张，研发安全管控和业务需求的平衡点正在逐渐倾斜，急迫需要新技术、新管理理念的介入，赶上数字化转型的步伐，因此，后续打算提炼出两个方向进行优化提升：

1、通过加大新技术预研，导入新的管控方式，以减少管理体系对员工工作的干扰，提升用户体验，达到信息安全用户无感知。比如引入符合零信任思想的技术或解决方案；

2、从研发业务全生命周期出发，在先进研究、企划策划、供应链、研发、质量监督等方面加大安全资源，深入了解业务，从“业务管控”转化成业务partner，提升安全和研发效率，保障经营成果。

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（SecUN安全村）：科技型制造业的研发信息安全建设｜科技创新型企业专刊·安全村