酒店数据与网络安全自查清单 石基信息出品 作为石基集团首席安全官,AleksanderLudynia拥有超过15年的网络安全管理经验。我们将这些经验,浓缩为一张《酒店数据与网络安全自检清单》,酒店可以按图索骥,对酒店当前的数据和网络安全管理进行自检、自查和自纠,以提前防御风险,确保酒店数据和系统的安全。 HOTELCYBERSECURITYCHECKLISTBYSHIJI 目标1: 负责人: 相关职责: 设置网络与隐私安全专员职位/职责 即便数据安全管理并不是传统意义上酒店运营的核心,但酒店仍然需要配备专职人员或指派相应的人员来负责。这些网络与隐私安全专员需要在公司内部宣传安全理念,有效引导员工,让数据安全的理念真正深入人心,并根植于每一位员工的日常工作之中。 是否完成? 完成/未完成: 是否完成? 完成/未完成: 是否完成? 完成/未完成: 目标2: 鉴别及评估所有敏感数据的风险指数 对酒店的所有敏感数据,以及相关信息存储系统进行全面梳理和审计,并进行风险评估。酒店还需绘制数据流以确定信息流转历经的所有系统和数据存留节点。 保护数据和重要的信息系统 鉴别了所有数据与系统可能遭受的网络风险之后,就到了最重要的一步,保护数据免受攻击,尤其是其中最重要的那些数据。了解酒店有可能遭遇的各种风险,才能确保酒店选择一套最为适配的安全解决方案,并能以理想的安全配置来加强所有密钥系统。 目标3: 风险评估结果: 密钥系统: 是否完成? 完成/未完成: 目标4: 系统:员工权限: 访问权限限制与漏洞管理 每位员工只可以出于一些特定的工作事由访问特定的信息,以确保员工只能看到职责内必需的信息。 通常,网络犯罪并不针对特定的企业,他们往往只是投机取巧,利用程序来寻找可以利用的漏洞,然后趁虚而入。漏洞管理和基础的网络安全策略是防止酒店成为网络低成本犯罪目标的关键。 目标5: 负责网络监督人员: 频次: 网络监督管理 定期监督网络访问记录有助于及早识别网络漏洞或数据泄露,并能及时应对。因此,请定期追踪员工的流量使用情况、使用的应用程序以及所访问的网络。 是否完成? 完成/未完成: 是否完成? 完成/未完成: 目标6: 解决方案: 网络安全专员: 部署网络安全防护系统 许多公司认为只要简单地部署一个防病毒解决方案就意味着网络安全了,但恶意软件却比想象中更加危险。选择最佳网络安全解决方案,配置正确的参数,确保其覆盖酒店的各个使用场景,这是必要且真正奏效的。 是否完成? 完成/未完成: 目标7: 解决方案:网络安全专员: 部署终端保护系统 终端设备(如移动设备、浏览器和办公电脑)通常是大型网络攻击的首要目标,网络犯罪很少先从攻击大型设备开始,比如直接攻击服务器。他们宁愿攻击个人,进入到他的工作系统,将其作为一个接入点,深入到公司内部。因此,监督各个终端设备的网络流量至关重要,如果你能在非常早期的阶段检测出终端受到了网络攻击,你就可能阻止大部分的网络攻击。 是否完成? 完成/未完成: 是否完成? 完成/未完成: 目标8: 管理传统遗留系统和第三方系统 酒店的系统很可能与第三方供应商或服务商系统对接,因此有必要对这样的对接进行管理并确保数据与网络安全。在过去几年里,一些大规模的网络攻击时有发生,罪魁祸首是网络犯罪者入侵了允许访问企业数据的供应商系统。对传统遗留系统而言,由于安全补丁停止发布,它们往往更脆弱,更容易受到新型的网络攻击。 目标9: 系统安全性: 培训步骤: 是否足够安全: 建立网络安全意识,为最坏的情况做足准备 为员工提供良好的培训,让他们有能力识别网络钓鱼软件和其他类型的网络攻击,以减少酒店被网络攻击的可能性。同时,引入或定期改进突发事件管理流程同样非常重要:一旦遭受由网络攻击引发的突发情况或灾难,酒店需要有适当的处理流程,以保持稳定的数据备份并设置恰当的恢复流程。 目标10 重要数据: 多方威胁: •持卡人信用数据•个人资料•客人所在地•价格数据•宾客数据与他们的设备数据 •网络犯罪团伙 窃取持卡人信息与个人数据•来自竞争对手的威胁盗取定价信息 是否完成?酒店安全指数检测完成/未完成: 最后一点也很重要,酒店需要经常检测网络安全水平。酒店需要进行网络入侵安全测试并确保其达到了安全标准。这一测试可以通过审计人员、执行技术测试人员或内外部入侵安全测试人员来完成,以确定系统真实的安全系数。 测试事项:负责人: 酒店数据与网络安全自查清单 酒店系统上云五步清单 石基信息出品 云计算技术已进入成熟期且被行业广泛接受,《中国酒店业系统上云现状调查报告》显示,有51%的酒店系统云化已进入中期和完成阶段。但在系统上云的过程中,酒店经营者与IT负责人仍然面临数据安全风险,以及按时交付等相关问题。为了回应这些问题,石基集团首席架构师兼总经理Michael Heinze分享了酒店系统上云所需的5个步骤与相关的必要知识,以帮助大家顺利落地系统上云项目。 ACLOUDCHECKLISTFORHOTELS 云PMS为满足当今宾客的需求应运而生。石基首席架构师兼总经理MichaelHeinze根据其在该领域的多年经验,为决心将本地系统向云端迁移的酒店经营者提供了一份清单。 是否完成? 完成/未完成: 目标1: 梳理并填写酒店当前各项业务运营情况 学习并全面了解酒店的业务和系统,对其进行重塑,并始终以宾客与员工需求作为核心。 目标2: 酒店的各项业务: 商业目标(宾客与员工的需求): 为系统云迁做足准备 对未来五年的酒店业务目标进行优先排序与规划,同时,梳理IT系统该如何在其中发挥作用。全面思考酒店如何更好的满足宾客与员工的需求。 是否完成? 完成/未完成: 是否完成? 完成/未完成: 是否完成? 完成/未完成: 是否完成? 完成/未完成: 目标3: 选择适合的系统和项目负责人 对当前系统进行全面梳理,并将其绘制出来。决定1-2个主要系统首先进行云迁,并确保支持性系统为其助力,然后选择有能力实现这一目标的供应商。在整个过程中,需指定相关负责人。 进入实施阶段 选择系统上云的最佳时机,比如淡季,同时依托于供应商提供的支持。有序稳定的进行云迁工作以增加员工和宾客对新系统的接受度。 目标4: 选择更敏捷、开放且面向未来的酒店系统 选择一个充分开放的云系统,让酒店自身能够对其他的外部应用和解决方案拥有充分的选择权,来满足现有供应商无法支持的需求,这点十分重要! 目标5: 现存系统:供应商: 系统上云的时间节点: 可选择的平台: NO. IT系统 供应商名称 API 访问请求 API可用 API校验 1. 酒店前台管理系统(PMS) YES 2. 中央预订系统(CRS) YES 3. 渠道管理系统 YES 4. 全球分销管理系统(GDS) YES 5. 客户关系管理系统(CRM) YES 6. 收益管理系统(RMS) YES 7. POS系统 YES 8. 餐饮管理系统 YES 10. 工程报修管理系统 YES 11. 电子门锁系统 NO 12. WIFI网络管理系统 NO 13. 电子信息发布系统/电子展示牌管理系统 YES 14. 楼宇管理系统(BMS) NO 15. 会议视听系统 NO 16. 电话及网络电话系统 NO 17. 技术安全和网络基础设施 NO 18. BI与报告工具 YES 19. 人力资源系统(HRIS) YES 20. 在线舆评管理系统 YES