偉創(chuàng)軟件：辦公軟件專家

淺析制造業(yè)信息化安全部署三部曲

    企業(yè)就難有大的發(fā)展。也正是這種行業(yè)安全的理念“根深蒂固”，讓制造業(yè)的信息化建設水平和信息化程度一直排在整個行業(yè)的前列，正如前面所說，制造業(yè)與其他行業(yè)相比，信息化建設的情況現(xiàn)對完善，從制造業(yè)市場的調(diào)研、到生產(chǎn)、排程、物流、進銷存、銷售、客戶管理、電子商務，可以說，其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)。面對如此全面和復雜的制造業(yè)信息化系統(tǒng)，企業(yè)應該以什么樣的思路來保證制造業(yè)整個生產(chǎn)流程的信息化安全？

    制造業(yè)的信息安全體現(xiàn)與其他的ERP、CRM等系統(tǒng)一樣，需要分析業(yè)務目標、制定一個評估標準，然后根據(jù)評估標準進行差異化分析，最后通過制定時間規(guī)劃，進行信息化設備的選擇和采購。其中信息化安全的部分，需要考慮信息化系統(tǒng)增長的狀況與信息安全規(guī)劃的協(xié)調(diào)。

    企業(yè)信息化系統(tǒng)需要評估：制造業(yè)信息化安全的第一步是業(yè)務分析。在業(yè)務分析的基礎上做風險評估。據(jù)相關標準中對企業(yè)的幾個領域目前進而將來可能會存在的問題進行全面的評估。

    具體來說，分以下幾個部分：
           第一部分是企業(yè)制定具體的方針。整個企業(yè)需要具有信息安全的政策，并且全企業(yè)全部貫徹實施。這個政策最好是企業(yè)最高層級別的質(zhì)量手冊，這樣可以保證方針的有效執(zhí)行。

    第二部分企業(yè)信息安全的組織需要完善。專家特別提到，目前很多公司認為信息安全只是IT部門的職責，實際上，信息安全與每個員工都是息息相關的，通過企業(yè)的信息安全的組織形式，如建立信息安全委員會（公司的最高層擔任委員會的主席）、信息安全核心工作小組（主要做安全工作的跟蹤和實施）、審計小組（對企業(yè)整個信息情況進行年度或季度內(nèi)審）、信息安全成員小組（對信息安全策略進行傳達）可以貫徹執(zhí)行企業(yè)信息安全制度。

    第三部分是對企業(yè)信息資產(chǎn)的控制。企業(yè)所有包含企業(yè)信息的設備都是信息安全部門需要保護的對象。除了最常用的辦公工具電腦外，復印件、打印機等具有輸出信息功能的設備都是IT資產(chǎn)保護的一部分。此外，再把信息安全管控的因素加進去，把設備的類型、資產(chǎn)類型進行分類、標識、資產(chǎn)發(fā)放、合理授權，這樣便于企業(yè)對其信息資產(chǎn)進行控制。

    第四部分內(nèi)容是保證人力的安全�！叭恕痹谀撤N程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個信息化環(huán)節(jié)上的人員都有特定的角色扮演。而每一個角色擔當需要經(jīng)過嚴格的聘用條件，選拔，以及雇傭保密協(xié)議的限制，這是從企業(yè)信息化在人員安全角度必須考慮的問題。

    第五部分是信息化系統(tǒng)的物理安全，需要對物理邊界進行把控。例如企業(yè)日常辦公中的門禁系統(tǒng)，門禁權限分配與管理、權限申請與把控。劉歆軼介紹說，對于生產(chǎn)制造型的企業(yè)來說，其生產(chǎn)部分、研發(fā)部門因為職能的不同，對人員進出的要求也不同。尤其是研發(fā)部門，實驗室的物理安全性非常重要。

    第六部分是對通信等網(wǎng)絡設備的安全管控。從廣義上的服務器，到狹義上的信息化安全產(chǎn)品的實施和規(guī)劃、驗收、網(wǎng)絡的黑客攻防，網(wǎng)絡的安全管理，磁盤的備份都是需要做管控。一般企業(yè)的IT也是最關心這類的安全內(nèi)容。

    第七部分是訪問控制，企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關，其中包括各種軟件的賬號管理、網(wǎng)絡設備登陸登出管理、權限變更、人員訪問和等級劃分。