2013-03-04 14:33:46 来源:畅享网
制造业的信息化一直被认为业界认为是最完善、最复杂的信息化系统,信息化的安全性在制造业中的地位至关重要,没有安全的信息化,企业就难有大的发展。也正是这种行业安全的理念“根深蒂固”,让制造业的信息化建设水平和信息化程度一直排在整个行业的前列。
正如前面所说,制造业与其他行业相比,信息化建设的情况现对完善,从制造业市场的调研、到生产、排程、物流、进销存、销售、客户管理、电子商务,可以说,其他行业里面所有的信息化过程都可以在制造业中体现。面对如此全面和复杂的制造业信息化系统,企业应该以什么样的思路来保证制造业整个生产流程的信息化安全?近日,记者采访到制造业信息化行业专家刘歆轶先生,他从国际ISO27001标准的风险评估的角度,研究和分析制造业信息安全全过程。
刘歆轶介绍说,制造业的信息安全体现与其他的ERP、CRM等系统一样,需要分析业务目标、制定一个评估标准,然后根据评估标准进行差异化分析,最后通过制定时间规划,进行信息化设备的选择和采购。其中信息化安全的部分,需要考虑信息化系统增长的状况与信息安全规划的协调。
企业信息化系统需要评估
制造业信息化安全的第一步是业务分析。在业务分析的基础上做风险评估。刘歆轶说到,制造业一般按照国际的ISO27001标准进行风险评估,标准中对企业的11个领域目前进而将来可能会存在的问题进行全面的评估。
具体来说,分以下几个部分,第一部分是企业制定具体的方针。整个企业需要具有信息安全的政策,并且全企业全部贯彻实施。这个政策最好是企业最高层级别的质量手册,这样可以保证方针的有效执行。
第二部分企业信息安全的组织需要完善。刘歆轶特别提到,目前很多公司认为信息安全只是IT部门的职责,实际上,信息安全与每个员工都是息息相关的,通过企业的信息安全的组织形式,如建立信息安全委员会(公司的最高层担任委员会的主席)、信息安全核心工作小组(主要做安全工作的跟踪和实施)、审计小组(对企业整个信息情况进行年度或季度内审)、信息安全成员小组(对信息安全策略进行传达)可以贯彻执行企业信息安全制度。
企业信息安全的第三部分是对企业信息资产的控制。企业所有包含企业信息的设备都是信息安全部门需要保护的对象。除了最常用的办公工具电脑外,复印件、打印机等具有输出信息功能的设备都是IT资产保护的一部分。此外,再把信息安全管控的因素加进去,把设备的类型、资产类型进行分类、标识、资产发放、合理授权,这样便于企业对其信息资产进行控制。
第四部分内容是保证人力的安全。“人”在某种程度上讲也算是信息的资产的“携带者”。每一个信息化环节上的人员都有特定的角色扮演。而每一个角色担当需要经过严格的聘用条件,选拔,以及雇佣保密协议的限制,这是从企业信息化在人员安全角度必须考虑的问题。
第五部分是信息化系统的物理安全,需要对物理边界进行把控。例如企业日常办公中的门禁系统,门禁权限分配与管理、权限申请与把控。刘歆轶介绍说,对于生产制造型的企业来说,其生产部分、研发部门因为职能的不同,对人员进出的要求也不同。尤其是研发部门,实验室的物理安全性非常重要。
第六部分是对通信等网络设备的安全管控。从广义上的服务器,到狭义上的信息化安全产品的实施和规划、验收、网络的黑客攻防,网络的安全管理,磁盘的备份都是需要做管控。一般企业的IT也是最关心这类的安全内容。
第七部分是访问控制,企业对信息系统的体系和环节都需要访问控制和人员把关,其中包括各种软件的账号管理、网络设备登陆登出管理、权限变更、人员访问和等级划分。
[page] 第八部分是信息系统的获取和开发。信息系统的开发一般包括ERP、CRM等各种软件系统的开发和实施。在开发和实施过程中需要符合一点标准。刘歆轶介绍说,美国的萨班斯法案里面的条款的要求,系统的输入保证不出现错误、中间的运算过程不能出现误差、输出结果正确无误。换句话说,如果企业自己开发的系统输入和输出有偏差,企业的CEO或者CIO可能会收到法律的制裁。特别是外企,或者在国外上市的中国企业对信息系统软件的开发的要求相对较高,企业一定要有足够的证据证明自己所开发的系统是能够做到正常输入,防止勿操作、错误数据无法输入,运算过程可追溯还有经过黑箱测试和白箱测试。此外、除了企业自己开发外,企业购买供应商软件产品时,也要要求供应商提供相应的资质证明。
第九部分是对信息安全事故的管理。企业一旦发生信息安全事故,信息安全事故的处理机制就显得尤为重要。比如发现问题、汇总问题、问题分析、事故处理、问题回顾、再次检测、事故报道撰写、证据收集、案例调整等,都需要对信息安全进行事故管理。
第十部分是业务连续性管理。该部分主要包括容灾恢复与备份、应急预案。刘歆轶说到,从美国911事件之后,地震、火灾、海啸、台风等灾难对于企业业务联系性的影响也越来越受企业重视。与灾难恢复不同的是,该部分注重企业业务连续性的要求,特别是制造业,需要让企业的业务尽快的恢复运行,通过让业务人员的访问其他代替的系统,来保证企业业务不中断。
第十一部分是企业系统的合规性。合规性体现在企业生产安全过程要符合国际的法律、法规,比如说上市公司要符合萨班斯法案、银行金融业需要符合银监会的要求、产品策略需要符合政府的要求,而这些要求最终要体现在信息系统上,所以信息系统上要有检测合规性的模块,使得这套信息系统要符合企业安全的管控要求。
企业信息化目标差距分析
企业依照以上11个方面对信息化系统进行评估后,就自然而然的了解了信息化系统整体的状况。这时候,企业的IT部门需要对评估后的结果进行差距分析。
通过差距分析,可以让企业的IT部门了解是造成的差距原因是什么,如何解决这些差距。刘歆轶特别提到,不仅仅是制造业,几乎所有的企业都面临着“可接受性”影响。比如说,很多企业认为有的风险虽然存在,但是不影响企业的核心价值,这个时候IT部门可以认为这个风险可以暂时存在,没有必要马上解决。企业的IT部门工作的职能不是“消灭所有的风险”,而是把风险降低到可以接受的这条线之上。这也是目前IT人经常容易忽略的问题。很多企业的IT部门经常在遇到一个问题时就要立刻解决掉,但是实际上解决一些小的问题的人力和财力成本,这样对于企业来说没有价值。
所有企业在进行差距分析的一个重要内容就是风险底线的分析,如果超多这个底线,就需要解决掉。经过差距分析后,信息化系统的问题,处理的时间、资金支持、资源支持的诉求可以确定,企业的信息化整体的工作计划也可随着出台。
整体计划包括可以是5年计划,3年计划,和1年计划等,通过计划的轻重缓急,企业的IT部门可以对人力进行合理分配,重点项目跟进,部门协调等等,最后经过企业高层人员的评估,确认、审批后就可以进入到具体的实施阶段。
信息安全产品选型是最后一环
谈到信息安全产品的选型,刘歆轶说到,经过上面的介绍可以看出,信息安全产品的选型在整个安全信息化项目的实施过程中是最后一个环节,举例说来,通过评估和差距分析后,信息化系统需要弥补外网的攻击的风险,这时候IT部门通过查看针对外网攻击的属于哪类安全风险,然后查看具体在计划中的哪一年的哪个月份开始实施,然后再考虑具体选择哪个供应商的产品和解决方案。
以上是整个信息化安全系统方案在企业中实施的全过程,此外企业内部还会对项目的实施效果进行审查和审计,如果企业需要做认证的话,还需要进行外部审计。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。