IT業界內的軟體研發部門是如何做機密信息安全管理的？

02-13

1. 研發部門有文檔和源代碼等數據，需要防止隨意流出
2. 流出的方式的通過網路、U盤、拔硬碟、帶筆記本進入研發網路複製數據等
2. 純內網管控研發部門時也有與其他部門協作的需要，如Mail,項目發布,文件交換等，而且，越來越多程序員不接受工作期間不能上網的控制。

請大家介紹下經歷過的企業內對上述問題的解決方法和經驗，尤其是對於中小微型軟體企業可以實施的建議。多謝。

提供一些思路，完整的安全解決方案不便提供哈

1，建議信息安全委員會或部門，有信息owner的參與，確立信息的價值，預估可投入防禦的預算，定義信息的密級，標識，定義商業秘密內容，使用指紋

2，定義「內網」，確立內網准入標準。最簡單粗暴的方式是像政府和銀行那樣，禁止內外網互通，若需要擴大便捷性，那麼仍需要保持相同程度的安全性就要付出更多的成本，比如說一套內網環境一套外網環境！

3，上網。大家抄代碼時經常只驗證功能是否實現，不會去逐行理解代碼的功能是否與需求完全一致？代碼是否安全存在漏洞？甚至是否帶有後門？是否允許開發瀏覽、參考互聯網上任意網站的代碼？還是指定白名單？還是只允許使用評估過的包？post行為是否是必要的？是否需要部署數據防泄漏產品和上網行為產品？

4，建立物理安全，辦公場所除了防火防水以外，還要有適當的供電，CCTV，門禁，安保措施。

5，員工為什麼需要管理員許可權？是否需要硬碟加密？是否需要封堵數據口？是否需要採購微軟辦公服務？是否需要下發PC策略？

6，是否使用互聯網提供的小微企業郵箱、項目管理、遠程辦公共享文件服務？互聯網公司是否在合同中須履行保密義務？是否可信？是否可忍受這些共享信息未經授權的披露？是否需要採購企業級郵箱、項目管理、文件共享？

7，是否需要提供VPN或虛擬桌面給員工？

頭兩點其實已經表達完了核心思想，後面的都是擴展。歡迎交流，但是不要給我場景讓我提供針對性解決方案哈！謝謝！

一、如涉密參考 BMB20，如果不涉及國家層面的也盡量不要用「機密」此類字眼，如涉及請找有專業涉密資質的公司進行諮詢。

二、如非涉密企業隨便部署桌面雲。

不知