客户名称:联想集团研究院
项目名称:信息安全评估及安全增强方案设计
项目背景:
联想研究院(Lenovo Corporate Research & Development)成立于1999年1月,是联想集团公司级的中央研发机构。自成立以来,联想研究院始终致力于推动公司和所在区域的技术进步和长远发展,为公司提供持久的核心竞争力,创造新的利润增长点,为中国信息产业提供源源不断的创新动力。目前,联想研究院除在北京外,还在上海、成都建有分院,联想的研发中心遍布中国深圳、美国罗利、日本大和等地,国际化的联想业已构建出规模宏伟的全球研发体系,实现了研发基地的多点布局。在新的研发体系之下,联想研究院做为公司级核心研发机构,承担着新联想未来核心技术研究与开发的重任,居于至关重要的位置。
随着联想研究院创新研发核心价值的不断提升,研发业务需求的不断增加,内外部环境的不断变化,对研发过程的信息安全保障提出了更高的挑战。如何能从管理与技术角度出发,有效的识别和控制目前存在的信息泄露风险,保障研发过程中信息资产的安全、可控,以及重要数据的完整、可靠、不泄露,建立符合自身研发机构特点的信息安全管理机制和有效的技术控制措施,已成为目前研究院重点关注和需要解决的问题。
为进一步提升联想研究院的信息安全保障能力,加强核心研发数据信息的保护,确保研发数据生命周期过程中的保密性、完整性、可用性、可稽核性,需要对联想研究院目前的信息安全现状进行评估和分析,有效的识别出关键业务当前面临的信息安全风险,并从组织、人员、管理流程、技术措施等不同的维度建立以满足研发业务需求为基础,全面的以数据信息资产保护为核心的解决方案,为研发业务活动提供全面的信息安全保护。
项目实施:
项目实施范围以联想研究院北京总部为主,以LePhone、LePad、DLL实验室为重点,并兼顾成都和上海分院,以及深圳研发中心,可使信息安全增强方案扩展至联想全球研发机构。
信息安全风险评估:
纵迪浩博从风险管理的角度,借鉴业界公认的信息安全标准及最佳实践,从管理机制和技术控制措施两方面系统的分析研究院关键业务所面临的威胁及其存在的脆弱性,重点织识别数据的保护、网络访问控制、信息的共享和传递、生产系统稳定性方面所面临的信息安全风险;评估信息安全风险可能对组织造成的危害程度,并划分风险级别;为信息安全体系的改进提供指导和依据,并帮助联想研究院相关人员,尤其是管理层掌握和了解目前业务所面临的风险。
信息安全风险计算方法
信息安全增强方案设计:
根据联想研究院未来的业务目标和发展需求,纵迪浩博结合联想集团公司的信息安全管理要求及本次信息安全评估结果,以风险管理为核心,人员、技术、流程为主线,设计了满足研发、测试、运营服务核心业务访问需求及关键数据的保密性、完整性、可用性、可追溯性保护要求的信息安全整体增强解决方案,并制定实施路线蓝图,为联想研究院未来的信息安全体系实施提供了指导和帮助。
纵迪浩博信息安全方案设计方法
客户收益:
通过基于数据全生命周期的风险评估帮助Lenovo R&T相关人员,尤其是管理层掌握和了解目前研发业务所面临的风险。帮助客户有效防范和化解信息安全风险,将风险控制在可接受的水平。
整体的信息安全方案架构以信息安全组织保障为基础,融合了管理和技术防护措施,使管理作为技术的有益补充,技术成为管理的可靠保障,帮助客户实现关键研发数据生命周期全过程安全防护。
整体安全方案在实现研发数据安全风险可控的前提下,确保了客户的研发效率。
平衡功能和成本的整体安全解决方案,与客户现有系统充分整合,从整体上节省信息安全建设投入,提高投资回报率。