ERM系统安全管理项目建议书

文档安全管理项目。建。议。

书。一、系统开发背景。

1.1 安全重点由外到内的转变。

为了实现企业内部的机密数据文件信息的安全管理，通过设置防火墙，入侵检测，防病毒软件等手段，对来自于外部网络的攻击和入侵做到了有效的防御。但是，传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏，对于企业网络内部的信息泄漏（如内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等），却没有引起足够的重视。

据2023年csi调查显示，在所有的安全技术应用中，以数据加密传输和加密存储为基础的技术应用所占比率分别为66%和47%。

通过这一调查，我们可以看到数据加密技术正在成为传统安全技术—防病毒、防火墙、vpn、反间谍、入侵检测后的又一具有发展趋势的应用技术。结合各项攻击所带来的经济损失的变化，我们可以看到针对于机密信息的安全保护正在成为更多企业的新关注方向。

因此，信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序，更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比，这种来自内部的恶意泄露更具有针对性，隐蔽性，给企业造成的损失也更大。

1.2 信息泄露事件愈演愈烈。

据csi调查显示，2023年，内部安全事件所占比率为68%。2023年这一数据依然保持，为64%。

2023年，由于内部人员窃取机密信息所造成的经济损失累计为1515万美元，2023年的这一数据为2329万美元。这一数据的变化说明越来越多的企业开始重视企业内部的机密数据安全。同时，财务数据的安全性问题日益涌现。

对于财务数据来讲，安全和连续性是最为重要的因素。

企业信息安全已不再单属于技术专家、情报局及学术机构所关注的问题。企业中机密的数据信息的泄漏已经严重影响了企业正常的业务流程。一次数据泄漏事件会严重损失公司的声誉，甚至导致无法预知的成本损失。

1.3 机密信息管理薄弱。

企业的核心机密数据就是影响企业发展的关键数据信息。企业通常都有自己的数据安全管理制度和管理流程，但公司在具体执行管理制度和流程中，策略的执行和监控等多个方面存在很大的缺陷。高级员工的****及工资待遇、技术部门的设计数据、企业信息化数据、公司的服务操作流程、规章制度等信息的泄漏，都会对企业造成意想不到的损失。

而且，大多公司的业务流程已不再是狭窄孤立的，而是非常具有动态性，协作性和广泛性的合作过程。例如：在企业的日常办公过程中，可能需要公司内外的人员通过电子邮件、演示文稿、电子**或文档的形式来共享机密文件等信息，当然每个人都担任不同的角色，从而对机密数据也就有不同的访问和使用权限。

这种信息的公开性就给数据的泄漏造成了巨大的威胁，但是公司最具价值的信息又不能被封锁或拒绝流通。这就需要公司的信息安全管理人员在不影响公司竞争优势的前提下，采取积极的措施深刻理解和解决机密文件信息流失的问题。虽然防火墙、访问控制、网关过滤等技术，能够控制用户准许或拒绝访问机密数据。

但这些技术对用户不能提供更加细分化的策略权限控制，也就是说它们不能限定用户具体的使用权限。因此，这种静态的提供“全部或零”权限的安全工具已经不能满足当今动态的业务需求了。

ERM系统安全管理项目建议书

安全管理建议书

安全管理建议书

旅游项目建议书

其他用户还读了