導(dǎo)語(yǔ)：海外工程企業(yè)信息安全探討一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

信息安全成為關(guān)注焦點(diǎn)2016年7月，歐盟通過(guò)首部安全法規(guī)《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》，要求成員國(guó)從國(guó)家層面制定戰(zhàn)略，加強(qiáng)國(guó)際合作，強(qiáng)化網(wǎng)絡(luò)與信息系統(tǒng)安全；2018年5月，歐盟《一般數(shù)據(jù)保護(hù)條例》落地，針對(duì)個(gè)人數(shù)據(jù)保護(hù)制定保護(hù)規(guī)則；2019年6月，《關(guān)于歐洲網(wǎng)絡(luò)與信息安全局信息和通訊技術(shù)的網(wǎng)絡(luò)安全》（歐洲議會(huì)和歐盟理事會(huì)第2019/881號(hào)條例）正式實(shí)施，從法律的層面將歐盟網(wǎng)絡(luò)和信息安全署（ENISA）確定為負(fù)責(zé)歐盟網(wǎng)絡(luò)安全的永久性機(jī)制，進(jìn)一步優(yōu)化提升各成員國(guó)間網(wǎng)絡(luò)和信息通訊安全體系，將歐盟網(wǎng)絡(luò)安全治理推向新的高度。2021年1月，新美國(guó)安全中心（CNAS）發(fā)布《掌舵：應(yīng)對(duì)中國(guó)挑戰(zhàn)的國(guó)家技術(shù)戰(zhàn)略》報(bào)告，指出中國(guó)在5G領(lǐng)域的競(jìng)爭(zhēng)優(yōu)勢(shì)給美國(guó)決策者敲響了警鐘，未來(lái)中美的技術(shù)競(jìng)爭(zhēng)將更為激烈。4月20日，CNAS發(fā)布《信任流程：國(guó)家技術(shù)戰(zhàn)略的制定、實(shí)施、監(jiān)測(cè)和評(píng)估》，提出有效執(zhí)行美國(guó)國(guó)家技術(shù)戰(zhàn)略的基本原則，明確了國(guó)家技術(shù)戰(zhàn)略的實(shí)施階段、核心目標(biāo)及方法建議。7月29日，CNAS發(fā)布《從計(jì)劃到行動(dòng)——實(shí)施美國(guó)國(guó)家技術(shù)戰(zhàn)略》，從實(shí)操層面將國(guó)家技術(shù)戰(zhàn)略具體化。報(bào)告進(jìn)一步指明了互聯(lián)網(wǎng)使得海量信息數(shù)字化并廣泛傳播，加大了美國(guó)國(guó)家安全的風(fēng)險(xiǎn)與挑戰(zhàn)。報(bào)告建議將商務(wù)部納入國(guó)家情報(bào)體系，通過(guò)加強(qiáng)國(guó)家安全信息收集與分析，強(qiáng)化商務(wù)部主責(zé)項(xiàng)目的決策。

一、管理不完善、靈敏度不高

1978年，改革開(kāi)放的春風(fēng)催生中國(guó)企業(yè)“走出去”的堅(jiān)定步伐。中國(guó)的企業(yè)在“自力更生基礎(chǔ)上，積極發(fā)展同世界各國(guó)平等互利的經(jīng)濟(jì)合作”方針指引下，逐步開(kāi)始探索國(guó)門(mén)外的世界。由于起步晚、家底薄，直到2000年初，中國(guó)才首次把“走出去”上升到國(guó)家戰(zhàn)略層面。時(shí)值今日，也才走過(guò)了22個(gè)春秋。在中國(guó)企業(yè)大踏步“走出去”的這20余年里，海外承包工程行業(yè)蓬勃發(fā)展。海外市場(chǎng)大、機(jī)遇多，為了搶占市場(chǎng)先機(jī)，快速做大市場(chǎng)份額，中國(guó)工程承包企業(yè)多數(shù)采用粗放型管理模式，甚至有些企業(yè)采用包工頭式的做法，拿到項(xiàng)目就干、干完項(xiàng)目就算，對(duì)于企業(yè)自身的管理缺乏系統(tǒng)性思考和提升。企業(yè)對(duì)信息安全管理的認(rèn)識(shí)不足，缺乏底線思維和風(fēng)險(xiǎn)意識(shí)。部分企業(yè)信息技術(shù)專業(yè)部門(mén)的設(shè)立相對(duì)較晚，專業(yè)團(tuán)隊(duì)人員不足，采用簡(jiǎn)單外包形式以解燃眉之急的做法也屢見(jiàn)不鮮，缺乏對(duì)信息安全事件及時(shí)有效的專業(yè)應(yīng)對(duì)措施，信息安全管理體系化建設(shè)還很不完善。

二、軟硬件配套設(shè)施不到位承包工程企業(yè)在海外執(zhí)行項(xiàng)目

受限于人員、成本、距離、所在國(guó)信息技術(shù)條件等多重因素，不管是在項(xiàng)目還是駐外機(jī)構(gòu)，信息化工具普遍采用電腦、個(gè)人手機(jī)，內(nèi)部溝通借助開(kāi)放型通訊軟件，信息安全保護(hù)主要依靠殺毒軟件，在信息安全方面的軟硬件配套設(shè)施還很不完善。疫情出現(xiàn)后，對(duì)遠(yuǎn)程辦公、在線會(huì)晤交流等的需求量激增，體量較大的承包工程企業(yè)軟硬件條件的配置不足、改造升級(jí)滯后等問(wèn)題愈發(fā)凸顯。

三、員工信息安全保護(hù)意識(shí)和技能不足

如某項(xiàng)目工作人員將郵箱、QQ、微信、公司網(wǎng)站登錄賬號(hào)設(shè)置統(tǒng)一的登錄密碼，長(zhǎng)期未曾修改，且一直使用微信作為工作主要溝通工具，因QQ賬號(hào)被病毒軟件盜取，導(dǎo)致微信一并被盜取，公司郵箱、網(wǎng)站遭到攻擊，大量工作信息和資料外泄。再如某海外工程承包公司員工，在海外常駐期間與身份未經(jīng)充分核實(shí)的潛在合作方頻繁交往，對(duì)方在取得該名員工信任后，以未來(lái)項(xiàng)目合作為旗號(hào)，搜集該公司內(nèi)部信息資料。后經(jīng)有關(guān)部門(mén)調(diào)查發(fā)現(xiàn)該合作方人員行徑可疑，及時(shí)有效地阻止了相關(guān)人員與該合作方的進(jìn)一步接觸。還有某海外項(xiàng)目個(gè)別工作人員信息保護(hù)意識(shí)淡薄，使用手機(jī)應(yīng)用軟件或微信小程序拍照掃描重要工作文件，導(dǎo)致相關(guān)信息傳輸?shù)綉?yīng)用軟件后臺(tái)服務(wù)器后造成信息泄露。上述事件的發(fā)生，充分反映出相關(guān)人員信息安全保護(hù)意識(shí)不強(qiáng)，缺乏對(duì)人、事的辨別，信息保護(hù)技能十分有限。信息安全管理提升建議一、加強(qiáng)機(jī)制設(shè)計(jì)，建立信息安全管理體系海外承包工程企業(yè)既肩負(fù)著中國(guó)企業(yè)“走出去”重任，又承載著促進(jìn)當(dāng)?shù)厣鐣?huì)經(jīng)濟(jì)發(fā)展的希望。近年來(lái)，國(guó)際舞臺(tái)風(fēng)云變幻，不確定因素不斷增多，面對(duì)紛繁復(fù)雜又瞬息萬(wàn)變的全球市場(chǎng)，海外承包工程企業(yè)要建立加強(qiáng)機(jī)制設(shè)計(jì)，信息安全管理體系建設(shè)勢(shì)在必行。一是要建立健全企業(yè)信息安全管理制度。企業(yè)要以國(guó)家總體安全觀為綱，以《個(gè)人信息保護(hù)法》等信息保護(hù)法律法規(guī)為要，堅(jiān)持底線思維，建立并完善企業(yè)信息管理制度。二是建立信息安全管理機(jī)構(gòu)。信息安全是一把手工程。海外工程承包單位要根據(jù)自身企業(yè)經(jīng)營(yíng)特點(diǎn)，搭建覆蓋公司總部，到駐外機(jī)構(gòu)、項(xiàng)目一線的各層級(jí)信息安全管理架構(gòu)，各層級(jí)主要負(fù)責(zé)人對(duì)信息安全管理負(fù)總責(zé)。三是配強(qiáng)信息安全管理專業(yè)人員。當(dāng)前，不少海外承包工程企業(yè)的信息技術(shù)服務(wù)多使用外協(xié)公司、外聘技術(shù)人員，多數(shù)外協(xié)公司又同時(shí)為多家企業(yè)提供服務(wù)。外協(xié)公司的技術(shù)水平、服務(wù)能力、外聘技術(shù)人員的工作持久性、對(duì)所服務(wù)公司要求和業(yè)務(wù)的熟悉程度等等，也是所服務(wù)企業(yè)的信息安全風(fēng)險(xiǎn)隱患。企業(yè)要加大人才引進(jìn)力度，配置專業(yè)信息安全管理人員，以企業(yè)自有信息安全管理部門(mén)為主，附以部分優(yōu)質(zhì)外協(xié)技術(shù)支持，做好企業(yè)信息安全防護(hù)工作。二、加強(qiáng)技術(shù)提升，優(yōu)化信息安全硬件設(shè)施企業(yè)日常信息溝通交流離不開(kāi)信息工具。企業(yè)要在信息安全方面加大投入和支持力度。一是加強(qiáng)提升現(xiàn)有技術(shù)和管理，對(duì)企業(yè)核心信息、人員信息、重要商業(yè)數(shù)據(jù)等要加大保護(hù)力度，細(xì)化技防措施，強(qiáng)化數(shù)據(jù)調(diào)取、使用的身份認(rèn)證和全流程管理。二是對(duì)于業(yè)務(wù)體量大、境內(nèi)外信息交流頻繁的國(guó)際承包工程企業(yè)，要與技術(shù)過(guò)硬、排名靠前的國(guó)內(nèi)主流信息技術(shù)公司建立良好的合作關(guān)系，適時(shí)開(kāi)發(fā)本單位的內(nèi)部溝通軟硬件設(shè)施，如企業(yè)OA、手機(jī)應(yīng)用軟件、企業(yè)微信、專屬視頻會(huì)議系統(tǒng)等等，并定期做好信息系統(tǒng)優(yōu)化升級(jí)和風(fēng)險(xiǎn)漏洞及病毒查殺。三是構(gòu)建企業(yè)內(nèi)網(wǎng)，辦公配置工作電腦且使用內(nèi)網(wǎng)工作交流。對(duì)于出境頻繁且轉(zhuǎn)機(jī)或因公需在敏感國(guó)家地區(qū)停留的人員，要增配辦公手機(jī)。

四、加強(qiáng)監(jiān)管懲戒，做好事前事中事后處置

一是要做好信息安全設(shè)施設(shè)備的監(jiān)督管理，組織開(kāi)展常態(tài)化信息安全風(fēng)險(xiǎn)排查，定期分析評(píng)估數(shù)據(jù)匯聚可能帶來(lái)的信息安全風(fēng)險(xiǎn)，重點(diǎn)加強(qiáng)對(duì)于工作文件、數(shù)據(jù)信息、視頻電話會(huì)議等關(guān)鍵環(huán)節(jié)的監(jiān)督檢查，及時(shí)消除隱患。二是嚴(yán)格信息安全審查機(jī)制。要做好對(duì)外協(xié)單位、合作伙伴的盡調(diào)，對(duì)于背景存疑的組織機(jī)構(gòu)要果斷停止合作。三是要制定并完善信息安全保護(hù)工作應(yīng)急預(yù)案和懲戒措施。一方面要加強(qiáng)應(yīng)急演練，提升員工對(duì)信息安全風(fēng)險(xiǎn)的應(yīng)急處突能力；另一方面要加大懲戒力度，一旦發(fā)生發(fā)信息泄漏事件，嚴(yán)肅追究相關(guān)單位、人員的責(zé)任。四是加強(qiáng)與公安、網(wǎng)信等部門(mén)的溝通對(duì)接，及時(shí)發(fā)現(xiàn)并有效處置信息安全事件。

五、加強(qiáng)嚴(yán)格培訓(xùn)，提升信息安全保護(hù)意識(shí)

一是要嚴(yán)格工作紀(jì)律，做好日常監(jiān)督提醒。在會(huì)議室、文印室等信息交流頻繁的企業(yè)內(nèi)部公共場(chǎng)所設(shè)置顯著標(biāo)識(shí)，提醒員工不安裝來(lái)路不明的軟件，不打開(kāi)信息存疑的郵件，提升員工信息安全風(fēng)險(xiǎn)識(shí)別能力。二是常態(tài)化開(kāi)展全員培訓(xùn)和警示教育，特別是對(duì)即將出國(guó)人員，要在行前培訓(xùn)中心明確信息安全要求，指導(dǎo)掌握境外信息保護(hù)措施方法，不斷提升員工的信息安全保護(hù)意識(shí)和能力。三是加強(qiáng)信息保護(hù)模擬演練和技術(shù)引導(dǎo)，總結(jié)推廣技術(shù)防護(hù)信息安全的良好經(jīng)驗(yàn)做法，教授信息安全風(fēng)險(xiǎn)應(yīng)對(duì)措施，提升員工的信息保護(hù)實(shí)戰(zhàn)技能。

作者：李斐 陳博楠