正如前面所说,制造业与其他行业相比,信息化建设的情况现对完善,从制造业市场的调研、到生产、排程、物流、进销存、销售、客户管理、电子商务,可以说,其他行业里面所有的信息化过程都可以在制造业中体现。面对如此全面和复杂的制造业信息化系统,企业应该以什么样的思路来保证制造业整个生产流程的信息化安全?
制造业的信息安全体现与其他的ERP、CRM等系统一样,需要分析业务目标、制定一个评估标准,然后根据评估标准进行差异化分析,最后通过制定时间规划,进行信息化设备的选择和采购。其中信息化安全的部分,需要考虑信息化系统增长的状况与信息安全规划的协调。
企业信息化系统需要评估:
制造业信息化安全的第一步是业务分析。在业务分析的基础上做风险评估。专家说到,制造业一般按照国际ISO27001标准进行风险评估,标准中对企业的几个领域目前进而将来可能会存在的问题进行全面的评估。
具体来说,分以下几个部分:
第一部分是企业制定具体的方针。整个企业需要具有信息安全的政策,并且全企业全部贯彻实施。这个政策最好是企业最高层级别的质量手册,这样可以保证方针的有效执行。
第二部分企业信息安全的组织需要完善。专家特别提到,目前很多公司认为信息安全只是IT部门的职责,实际上,信息安全与每个员工都是息息相关的,通过企业的信息安全的组织形式,如建立信息安全委员会(公司的最高层担任委员会的主席)、信息安全核心工作小组(主要做安全工作的跟踪和实施)、审计小组(对企业整个信息情况进行年度或季度内审)、信息安全成员小组(对信息安全策略进行传达)可以贯彻执行企业信息安全制度。
第三部分是对企业信息资产的控制。企业所有包含企业信息的设备都是信息安全部门需要保护的对象。除了最常用的办公工具电脑外,复印件、打印机等具有输出信息功能的设备都是IT资产保护的一部分。此外,再把信息安全管控的因素加进去,把设备的类型、资产类型进行分类、标识、资产发放、合理授权,这样便于企业对其信息资产进行控制。
第四部分内容是保证人力的安全。“人”在某种程度上讲也算是信息的资产的“携带者”。每一个信息化环节上的人员都有特定的角色扮演。而每一个角色担当需要经过严格的聘用条件,选拔,以及雇佣保密协议的限制,这是从企业信息化在人员安全角度必须考虑的问题。
第五部分是信息化系统的物理安全,需要对物理边界进行把控。例如企业日常办公中的门禁系统,门禁权限分配与管理、权限申请与把控。专家介绍说,对于生产制造型的企业来说,其生产部分、研发部门因为职能的不同,对人员进出的要求也不同。尤其是研发部门,实验室的物理安全性非常重要。
第六部分是对通信等网络设备的安全管控。从广义上的服务器,到狭义上的信息化安全产品的实施和规划、验收、网络的黑客攻防,网络的安全管理,磁盘的备份都是需要做管控。一般企业的IT也是最关心这类的安全内容。
第七部分是访问控制,企业对信息系统的体系和环节都需要访问控制和人员把关,其中包括各种软件的账号管理、网络设备登陆登出管理、权限变更、人员访问和等级划分。 |
