正如前面所說����,制造業(yè)與其他行業(yè)相比,信息化建設(shè)的情況現(xiàn)對完善����,從制造業(yè)市場的調(diào)研、到生產(chǎn)�、排程、物流���、進(jìn)銷存�、銷售���、客戶管理�����、電子商務(wù)���,可以說,其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)��。面對如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng)�����,企業(yè)應(yīng)該以什么樣的思路來保證制造業(yè)整個生產(chǎn)流程的信息化安全?
制造業(yè)的信息安全體現(xiàn)與其他的ERP�����、CRM等系統(tǒng)一樣�����,需要分析業(yè)務(wù)目標(biāo)���、制定一個評估標(biāo)準(zhǔn)���,然后根據(jù)評估標(biāo)準(zhǔn)進(jìn)行差異化分析,最后通過制定時間規(guī)劃����,進(jìn)行信息化設(shè)備的選擇和采購。其中信息化安全的部分��,需要考慮信息化系統(tǒng)增長的狀況與信息安全規(guī)劃的協(xié)調(diào)��。
企業(yè)信息化系統(tǒng)需要評估:
制造業(yè)信息化安全的第一步是業(yè)務(wù)分析���。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險評估�����。專家說到�����,制造業(yè)一般按照國際ISO27001標(biāo)準(zhǔn)進(jìn)行風(fēng)險評估���,標(biāo)準(zhǔn)中對企業(yè)的幾個領(lǐng)域目前進(jìn)而將來可能會存在的問題進(jìn)行全面的評估。
具體來說����,分以下幾個部分:
第一部分是企業(yè)制定具體的方針。整個企業(yè)需要具有信息安全的政策���,并且全企業(yè)全部貫徹實施���。這個政策最好是企業(yè)最高層級別的質(zhì)量手冊,這樣可以保證方針的有效執(zhí)行�。
第二部分企業(yè)信息安全的組織需要完善。專家特別提到���,目前很多公司認(rèn)為信息安全只是IT部門的職責(zé)�����,實際上���,信息安全與每個員工都是息息相關(guān)的�����,通過企業(yè)的信息安全的組織形式��,如建立信息安全委員會(公司的最高層擔(dān)任委員會的主席)�����、信息安全核心工作小組(主要做安全工作的跟蹤和實施)�、審計小組(對企業(yè)整個信息情況進(jìn)行年度或季度內(nèi)審)�、信息安全成員小組(對信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度。
第三部分是對企業(yè)信息資產(chǎn)的控制����。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對象。除了最常用的辦公工具電腦外�,復(fù)印件���、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分。此外�����,再把信息安全管控的因素加進(jìn)去����,把設(shè)備的類型��、資產(chǎn)類型進(jìn)行分類���、標(biāo)識�、資產(chǎn)發(fā)放�����、合理授權(quán)��,這樣便于企業(yè)對其信息資產(chǎn)進(jìn)行控制�����。
第四部分內(nèi)容是保證人力的安全����!叭恕痹谀撤N程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個信息化環(huán)節(jié)上的人員都有特定的角色扮演���。而每一個角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件���,選拔,以及雇傭保密協(xié)議的限制��,這是從企業(yè)信息化在人員安全角度必須考慮的問題�。
第五部分是信息化系統(tǒng)的物理安全,需要對物理邊界進(jìn)行把控���。例如企業(yè)日常辦公中的門禁系統(tǒng)�����,門禁權(quán)限分配與管理����、權(quán)限申請與把控��。專家介紹說,對于生產(chǎn)制造型的企業(yè)來說�����,其生產(chǎn)部分���、研發(fā)部門因為職能的不同����,對人員進(jìn)出的要求也不同���。尤其是研發(fā)部門,實驗室的物理安全性非常重要�。
第六部分是對通信等網(wǎng)絡(luò)設(shè)備的安全管控。從廣義上的服務(wù)器���,到狹義上的信息化安全產(chǎn)品的實施和規(guī)劃��、驗收���、網(wǎng)絡(luò)的黑客攻防,網(wǎng)絡(luò)的安全管理����,磁盤的備份都是需要做管控�。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容����。
第七部分是訪問控制,企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān)��,其中包括各種軟件的賬號管理�、網(wǎng)絡(luò)設(shè)備登陸登出管理、權(quán)限變更�����、人員訪問和等級劃分�。
|
