杨世杰 信息安全保护部 摩托罗拉
大家好!首先感谢上海信息化培训中心给我们搭建了这个平台,交流我们在信息安全方面的一些措施。
我先讲一个故事,看这位老先生,他的名字叫Martin Cooper他拿的手机是世界上第一部手机,是在摩托罗拉的时候发明的。我们中国有一本杂志叫做《读者》,把这个编了一个故事。这个Cooper先生去牛经的时候,去拜访了一个叫做乔治的专家想跟他学习无线通讯,被决绝。然后Cooper受到了羞辱,他发奋制造了手机。这个故事是假的,Cooper在E-mail里面跟我说,他全凭靠的是热情。我想我们做信息安全最重要的是有热情。
我们摩托罗拉的创始人在刚开始创立摩托罗拉的时候,第一个实验的产品是用来点烟的,他想发明这样一种点烟器,但是不知道什么原因,总是有一定比例地发生爆炸,但是他实验了很多次,终于得到了成功。所以我们也可以借鉴我们公司常见于我们公司创始人高尔文先生,我们不要怕失败,努力地去尝试,我想我们各位在信息安全方面的专家或者是有兴趣的人士也好,经过大家不断的努力,我们中国的信息安全水平一定会越来越高。
下面介绍一下我自己,我跟大家一样,也是一个土生土长的中国人。我的工作的部门是在摩托罗拉的信息保护,专业资格是CISSP、绿带。因为在工厂里面需要跟不同的人进行合作,所以获得绿带资格非常重要。主要的工作经验在软件质量管理、信息安全管理、项目管理、质量管理体系的建立与维护、SOX审核、服务质量管理,知识管理,以前做过环境保护。如果有时间,我喜欢钓鱼、游泳,我们在业余时间可以做交流,照相等等。还有时间的话,我会打太极拳。
我先介绍一下摩托罗拉中国公司,下一步步再讲一下我们的信息安全的管理组织架构、安全意识和培训。再下面粗略地介绍一下信息安全的政策和标准;最后再讲一下,我现在每天要做的工作和关于信息安全风险评估。
摩托罗拉中国电子有限公司是中国公司,我们在中国注册的。生产的产品,手机部、Mobile Devices在年底的时候会分离出来,还有和家庭的网络有关系,还有和企事业单位有关系。摩托罗拉在中国有很多的研发和生产基地,我们在北京有研发中心,有北亚中心,在天津有生产厂,在杭州有投资公司,在上海有研发。
摩托罗拉在中国2007年的销售额是4.516B,在中国总员工大概是3万人。摩托罗拉在中国取得了很多成绩,获得了很多奖项,包括统计局,《光明日报》,《21世纪新闻集团》等等。我们在天津的工厂已经建立了15年,我工作了10年。
摩托罗拉在这些年一直在进行本地化,第一个是关于人才的本地化,第二个是产品,第三个是生产。我们在环境保护、社会奉献这方面做了很多的努力。
面我介绍一下摩托罗拉的信息安全的架构。摩托罗拉的信息安全我们有专门的一个部门,这个部门是属于摩托罗拉公司IT下面的一个信息安全保护服务部,我们的目标是不能产生有重大影响的事故。这是我们的目标。在下面分为三个方面,一个是应当知道做什么样的事情;第二个是遵循的步骤;第三个是在保护资产方面的技术。在应该知道的下面包括政策、培训、信息的分类、还有系统集成、私保服务。去年的摩托罗拉隐私保护关获得了2007年美国最佳的个人信息隐私保护官。这是资产保护,内容监控,这是我们调查、取证、风险评估、法规符合、SOX、危机预防等等,摩托罗拉在无线信息安全领域可以说是世界领先,所以我们会有很多咨询或者是服务给世界上不同的组织或者是政府提供咨询。我专门负责风险的评估,负责摩托罗拉在亚太地区的项目或者是公司重组、采购这方面的信息安全的风险评估。
下面介绍摩托罗拉的信息安全的政策,我们专门有一个徽标,叫做“iProtect”,每一个员工和保墒都要学习网上信息安全和隐私保护的课程。第一个是iProtect 101和Privacy 101,每一次完成这个都需要两个多小时,都要进行回答和打分。这是我们公司的培训所比较要掌握的信息安全知识的要求。
下面我再粗略地讲一下关于信息安全政策和标准。这是我们摩托罗拉信息保护的政策,它基本的框架是我们的信息保护要和公司的商业运营的目标和法律法规的要求,还有专业的最佳实践等等。我们要在信息保护方面要遵循所有的法律法规、专业要求,和我们的商业目标都是一致的。
下面是摩托罗拉的信息保护的Policy,Policy下面有很多的标准,一项一项的很多。公司的每一个人都可以参考。我们有对普通员工所有人的标准,第一项是信息资产的合理应用;第二项是信息的分类和保护;第三是信息所有人的责任。第四个是隐私保护。我们有全套的方法、流程,我们有很多根据世界上最先进的最佳实践列出来的条目。
下面是对IT专业人士和信息资产保护关系比较重大人士的标准。我们除了有标准之外,还有一系列的指南,关于信息安全的指南。第一个是保护信息;第二个是信息的分类;第三个是信息分类的流程;第四个是加密;第五个是数据销毁的指南;第六个是受控访问;第七个是需要特别加强的控制;最后一个是隐私保护。我们的标准大概有1千多页,所以在平时工作的时候,我们也不可能详细地全部记录下来,如果需要,我们会从这里面用搜索的方式去找相关的内容。
这是我们公司的信息分类的架构,分为三类,第一个是公众的,Pubic,所有人,内部、外部都可以使用。第二个是Internal,内部使用,第三个是摩托罗拉有线控制信息,等于算是机密的信息。实际上因为现在的信息都是电子化,我们需要保护的机密的信息大概10%以下。这种分类的方式有一个好处,就是我们可以集中更多的资源来保护最重要的资产。顺便提一下,关于隐私的数据,就是客户、员工的信息都属于MCR,机密的数据。
下面我再介绍一下我们信息安全风险评估的流程,我们的风险评估流程分为五步,这是我们在去年初制定的流程。第一步是初始阶段,我们在这里就像所有的项目管理一样,我们有Initiate、信息资产的回顾、相关方的分析等等,这是初始阶段。第二步是获取数据阶段,我们采取评估的办法是用FMEA的办法,这种办法在一定程度上把这个风险进行量化。在这阶段我们要和应用的管理员、系统管理员、数据库管理员、结构、开发人员进行沟通,获得相关的数据。第三步是Verify,我们在这阶段,要和相关的人员进行确认,现在的这些公司的标准是不是得到了实施。我们在第二和第三阶段之间,如果我们牵涉到网络、服务器的,这阶段会对系统进行扫描,用专门的扫描的电脑对整个的应用进行扫描,然后评估整体的风险。第四步叫做报告,在这个阶段,我们要把发现的巨大风险罗列出来,提供给被风险评估的部门或者是项目经理。然后这个阶段我们还要提供咨询,告诉他们怎么改进,做哪些具体的一些帮助或者是支持。第五步是风险评估的结束阶段,我们在这个阶段要回顾一下你发现了这些所有的问题是不是都解决了,然后你要把这些风险评估的解决过程或者是结果要向CIO进行汇报。这就是我们整个的风险评估的过程。
这是我们项目管理的标准框架,摩托罗拉内部的标准管理框架,对管理熟悉知道基本上都是这种框架。我们做风险评估会在不同的阶段会有不同的内容。整体的项目管理的过程是从M15到M1,所有的过程,等于项目开始计划、项目定义、项目技术方案、集成测试、系统和顾客测试到实施,到项目终结,我们信息安全做风险评估的时候在每一个阶段都给他们提供不同的咨询。
我们相关的一系列文档从M15到M11软件开发,公司基本上是要CMM3.0,有研发中心达到5.0的,他们有相关的文档,在这个阶段如果需要信息安全的咨询的话他们会和我们联系。
Q&A
1.刚才杨先生已经介绍了摩托罗拉的情况,我想问一下,你刚才讲的这些材料是可公开的吗?
--这个上面是公开的。
2.已经实况转播了,那就是公开了吧。
--知道范围会有多大,但是我相信从交流、信息保护的流程,信息交流是没有问题的。
3.会后是可以在限读的范围里可以交流吗?
--没有问题。
4.摩托罗拉在给员工的信息隐私保护这块,员工桌面上有什么样的工作,做到什么样的监测措施?
--关于隐私保护,我们可以做到世界领先了,因为我们的信息保护关是在去年获得了美国最佳的信息保护官,我们在隐私保护上面有全套的策略,从信息的搜集、保护、储存、处理方面有要求。比如说登陆的页面肯定每台机器的桌面上都有。这台机器的使用,资产是公司的资产,公司有可能有权利对计算机的内容进行审核,这是必须的,是法律要求的。如果我们要搜集个人信息的话,我们会提供搜集个人信息的目的。不经过个人批准的话,我们不会用做别的地方。我们的个人信息在公司内部是加密的,我们的个人隐私保护这方面有很长的具体的要求。
5.介绍一下能不能够量化的模型资产评估这块是半量化的?第二关于信息安全引入了本地的机制,必须全面的话审计么?新的机制是在什么方面?
--第一个问题是量化。实际上我们只有90%能够量化,我们扫描系统网络可以发现有多少个高风险的问题,这个可以量化。但是如果发现了很多问题是量化需要一定的时间,所以我们在摩托罗拉内部是这样的,经理们非常尊敬我们提供审核的建议,到现在为止几乎没有人说你发现提出的风险没有问题,我可以承担。我们提出的方案他们全都接受,他们花钱,投入精力把这个问题解决。量化的内容比较小,因为量化需要很多的资源。
6.第二个问题是审计是全面的还是侧重的这块?
--我们对于不同的审计项目会确定他们的范围,不可能所有的关于信息安全的都要审计,但是我们会对有重大影响的风险进行审计。说一个具体的例子,我们可能对影响特别大的,比如说会产生严重泄密事件的影响去做评估,具体到里面管理人员权限的控制,这些小的方面我们会忽略到。因为我们的资源有限,在审计的时候要挑重点,所以在审核的时候是有范围定义的。对于任何一个项目审核在刚开始的项目说明书里面要详细列清楚项目审核是什么东西、审核的范围是什么。
