企业管理者如何确定公司文件加密的内部防泄密需求

2020-09-30 08:54:53

     随着互联网的发展,国家对网络安全的重视,再加上互联网安全事件频发,各种勒索软件,勒索病毒猖獗,各地对网络安全周的宣传,国家层面对网络安全的立法,越来越多的企业主意识到网络安全的重要了,也就逐渐在加大对网络安全数据安全领域的IT投入,同时由于网络安全和数据安全知识的欠缺,很多IT从业人员或网络管理人员对于安全这一块还是比较小白,所以今天特意整理了以下内容,供大家参考:

一、哪些软件和通过该软件产生的文档需要加密?

1、办公类的软件及其产生的文件加密,如:Office,WPS,PDF工具,文本工具等;

2、二维CAD和三维CAD软件:AutoCAD,Caxa CAD,开目CAD,中望CAD,凯思CAD,纬衡CAD,天瑜CAD,浩辰CAD,皓辰CAD;SolidWorks,SolidEdge,Pro-E,Catia,UG,Inventor,Rinoceros;还有CAE软件PKPM,PADS,CAM350,Beyond Compare3,PowerMill等,XTCAPP,金叶CAPP等。

3、企业是否有硬件研发方面的业务,如果有,那源代码或源程序是否需要加密保护?

4、是否需要与第三方应用系统进行集成,如第三方OA,第三方ERP,第三方PDM/PLM等。

二、企业在数据防泄密安全管理上有什么个性化的要求或需求?

即除了对内部局域网内的电子文件需要通过文件加密软件加密保护外,针对外发给第三方供应链(上下游供应商)的电子文件是否也有安全管控的需要?比如说发给企业的客户和企业的供应商的电子文件的二次安全也需要控制安全,防患泄密风险。

1、企业外发出去给第三方公司的电子文件不加密(则需要把公司的电子文件由加密状态转换为不加密状态,需要有一个申请转换的审批的电子流程);

2、外发给第三方的电子文件仍然要受保护,那就是外发出去的也是被加密过的加密电子文件,而且对方收到了加密的电子文件也能正常的打开阅读,而且是在也没有安装客户的文件加密软件电脑客户端或手机APP客户端的前提下还需要能正常阅读或编辑,则可以从三个方面来控制:(1)、从电子文件的接收对象上来控制,谁收到后能看,谁收到后仍然不能看; (2)、从文件的有效期时间上控制:限制可以使用的日期,或限制可以打开文件的次数; (3)、可以控制文件的使用权限,比如只有只读权限,不能打印的权限,不能编辑的权限等。

三、需要通过文件加密软件来保护电脑电子文档的员工,分别涉及哪些部门和这些部门的哪些员工,分别有多少数量?

     比如设计部,技术部或研发部,有的会把采购部、销售部和财务部也纳入并计算进来,但大部分都是以研发部或技术部为主。然后就是要统计一下这些部门加起来有多少台电脑需要做电子文件加密保护软件,这样统计起来就知道一个大概的总数量,不同的总数量可能会涉及到采购的价格会有偏差,通常购买得越多,单台或单套授权许可的采购单位成本会更低,总价格或性价比会更划算啊!

四、当企业领导或技术售后服务部门的同事因公出差时,会涉及文件外发的需求:

     文件外发分为二个方面:一个方面是外出时要能打开被加密的文件(此时员工离开了公司的环境,不在公司内部了,断内网了);比如:参加展会或到客户的客户那里去做售后服务可能也需要用到被加密的文件,此时需要使用到文件加密软件的离线脱机加密功能,离线后也要能正常使用加密过的电子文件;另一个方面是企业领导各种出差,可能需要通过手机APP在线查看各员工申请外发的加密文件,那么就需要用到在手机上通过加密软件的APP看被加密的电子文件,若同意该员工申请的对应的加密文件外发就审批通过,若不同意就退回上一个流程,或直接就流程结束了,需要重新申请,这就涉及到手机上安装加密软件的手机APP程序了,这个也涉及到要统计用户数量,即有几个企业领导可能需要在手机上安装加密软件的APP,以方便他们在出差或参加展会或各种不在公司时,也能处理加密的业务,且要不影响正常的工作。

五、最后总结一下几个内容,需要进一步的向企业客户确认一下:

1、加密软件的需求是什么?是否有明确的文字内容通过电子文档整理出来了吗?(或有向需求部门确认过了加密需求吗?)

2、需求安装加密软件的部门和人员有明确统计了数量和部门及人员名单了吗?(除电脑上要安装加密软件外,有没有个别领导需要在他们的手机上安装手机版的文件加密需求呢?)

3、文件加密软件主要是保护企业或单位公司内部局域网内的电脑上的各种图纸及日常办公类文档,但实际应用过程中会涉及到公司内部被加密过的文档需要向第三方供应链企业发送(向客户和供应商或招投标公司,或业主单位等),此时需要对外发送解密过后的明文文件(没有加密的文件)还是仍然需要发送受保护的加密文件呢(虽然受保护,但收到文件的一方仍然能正常打开使用加密过的电子文件);

4、导入文件加密软件系统是否有明确的时间计划表吗?就是希望什么时间开始选型,什么时候可以确定商务合同,供应商必须什么时候进场进行安装,关于加密软件的培训什么时候必须开展,什么时候必须实施完加密软件产品这个项目?

5、企业导入文件加密软件项目是否有明确具体的项目预算?企业愿意花多少钱来做这个项目或事情?

6、此文件加密软件项目购买过程中是否会涉及到需要招投标?如果不需要,那又是以哪种形式来进行采购或洽谈?

7、这个项目在采购过程中,会有哪些部门和员工,以及哪些领导会参与项目的选型过程呢?需要经过怎样的选型审批流程才能确定下来合作伙伴或供应商呢?是不是由您牵头筛选后就可以确定下来呢?还是有其它的流程需要走各种申请审批流程等呢?

8、选型或商务洽谈过程中的其它未尽事项(待补充或完善事宜)。



标签:   文件加密软件 企业加密软件