二、国人通信数据泄露防护（DLP）政策的制定过程

    按照BS7799体系，要建立企业信息安全体系，首先要确立信息安全政策。那什么是信息安全政策呢？从本质上来说，信息安全政策是描述企业具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对企业中成员阐明如何使用信息系统资源，如何处理敏感信息，如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对员工的安全意识与技能要求，列出被组织禁止的行为。

    BS7799明确提出：管理层应当提出一套清晰的政策来指导信息安全实践，并且通过在组织内发布和维护信息安全政策来表明对信息安全的支持和承诺。亿赛通根据这一原则，按照以下步骤来制定国人通信数据泄露防护体系：

    1、理解国人通信的企业文化和业务特征

    国人通信业务遍及全国31个省、市、自治区和特别行政区，办事处涉及海外7个国家，这是一个规模庞大的企业机构，企业内部人员不仅是管理层和普通员工，还有不同文化、民族和种族的人群。企业使用数据泄露防护体系，必须要考虑总公司与分公司，分公司与办事处，管理层和普通员工等等复杂关系。不仅如此，总公司与分公司之间、分公司与办事处之间，并发各种类型的业务往来，涵盖不同类型的保密等级需求，对不同类型的文件类型进行加密等等。亿赛通经过与国人通信的有效沟通，充分了解国人通信企业文化和业务特征，这是设计数据安全政策的前提。

    2、得到管理层的明确支持与承诺

    要制定一个好的数据信息安全政策，必须与决策层进行有效沟通，并得到企业高层领导的支持与承诺。这有三个作用，一是制定的信息安全政策与企业的业务目标一致；二是制定的安全方针政策、控制措施可以在企业的上上下下得到有效的贯彻；三是可以得到有效的资源保证。亿赛通经过数月努力，与国人通信保持好良好的实时交流，得到领导层的充分信任和支持，这是国人通信数据泄露防护体系得以顺利实施的保证。

    3、组建一个安全政策制定小组

    亿赛通与国人通信通力合作，建立了以亿赛通团队和国人通信相关人士的数据安全政策制定小组。安全政策制定小组由亿赛通团队（包括技术团队及项目咨询成员）和国人通信团队（包括高级管理人员、文档保密员、IT部门负责人、律师、国人通信用户部门的人员）组成。

    4、确定信息安全整体目标经过调研，确定国人通信的数据安全整体目标是：确保电子文档在企业内部和授权部门内部，可以安全共享；在对外合作时能确保机密文件不被二次扩散；在保证数据安全的同时，还要保证业务持续性，并最小化业务损失，为企业实现业务目标提供保障。

    5、确定信息管理体系的范围

    国人通信公司所有部门都参与此次数据安全项目，根据国人通信公司各个分部职能、工作内容、文件类型、文件保密等级要求的不同，将亿赛通文档安全管理动态加解密和权限管理两个模块灵活搭配使用，即保障了核心电子信息的安全也实现了文档的安全流转。

    6、风险评估与选择数据安全控制

    数据安全政策制定小组经过对国人通信的数据信息安全管理现状调查，并采用风险评估工作是建立具体的信息安全策略的基础与关键，在安全体系建立的整个过程中，风险评估工作占了很大的比例，风险评估的工作质量直接影响安全控制的合理选择和安全策略的完备制定。

    7、起草拟订数据安全政策

    按照BS7799体系，亿赛通按照PDCA的持续改进的管理模式，通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施（Do）阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦发现问题，需要在措施（Act）阶段予以解决，以便改进ISMS。

图2  BS7799的PDCA模型

    8、评估数据安全政策

    国人通信数据泄露防护体系被制订出来后，双方联合召开了专家评审会，对该体系进行评估，并进行了测试，以评审体系的完备性、易用性，最终确定，改体系安全政策能完全达到企业所需的安全目标。

    9、数据安全政策的实施

    在数据安全政策通过测试评估后，国人通信管理层正式批准实施，编制了成国人通信数据信息安全政策手册，发布到企业中的每个员工与相关利益方，明确安全责任与义务。

    10、政策的持续改进

    在国人通信数据泄露防护（DLP）实施后，亿赛通与国人通信公司建立了“售后保障服务体系”，其中包含了对数据安全政策的定期评审，并进行持续改进。