企業(yè)就難有大的發(fā)展��。也正是這種行業(yè)安全的理念“根深蒂固”���,讓制造業(yè)的信息化建設(shè)水平和信息化程度一直排在整個行業(yè)的前列,正如前面所說��,制造業(yè)與其他行業(yè)相比���,信息化建設(shè)的情況現(xiàn)對完善���,從制造業(yè)市場的調(diào)研�、到生產(chǎn)�����、排程�����、物流����、進(jìn)銷存、銷售����、客戶管理、電子商務(wù)���,可以說���,其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)。面對如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng)�����,企業(yè)應(yīng)該以什么樣的思路來保證制造業(yè)整個生產(chǎn)流程的信息化安全?
制造業(yè)的信息安全體現(xiàn)與其他的ERP����、CRM等系統(tǒng)一樣,需要分析業(yè)務(wù)目標(biāo)����、制定一個評估標(biāo)準(zhǔn),然后根據(jù)評估標(biāo)準(zhǔn)進(jìn)行差異化分析���,最后通過制定時間規(guī)劃�,進(jìn)行信息化設(shè)備的選擇和采購����。其中信息化安全的部分,需要考慮信息化系統(tǒng)增長的狀況與信息安全規(guī)劃的協(xié)調(diào)���。
企業(yè)信息化系統(tǒng)需要評估:制造業(yè)信息化安全的第一步是業(yè)務(wù)分析��。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險評估。據(jù)相關(guān)標(biāo)準(zhǔn)中對企業(yè)的幾個領(lǐng)域目前進(jìn)而將來可能會存在的問題進(jìn)行全面的評估�。
具體來說�,分以下幾個部分:
第一部分是企業(yè)制定具體的方針���。整個企業(yè)需要具有信息安全的政策����,并且全企業(yè)全部貫徹實(shí)施�����。這個政策最好是企業(yè)最高層級別的質(zhì)量手冊��,這樣可以保證方針的有效執(zhí)行��。
第二部分企業(yè)信息安全的組織需要完善�。專家特別提到,目前很多公司認(rèn)為信息安全只是IT部門的職責(zé)�,實(shí)際上,信息安全與每個員工都是息息相關(guān)的�,通過企業(yè)的信息安全的組織形式,如建立信息安全委員會(公司的最高層擔(dān)任委員會的主席)����、信息安全核心工作小組(主要做安全工作的跟蹤和實(shí)施)、審計(jì)小組(對企業(yè)整個信息情況進(jìn)行年度或季度內(nèi)審)��、信息安全成員小組(對信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度。
第三部分是對企業(yè)信息資產(chǎn)的控制����。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對象。除了最常用的辦公工具電腦外��,復(fù)印件�����、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分���。此外����,再把信息安全管控的因素加進(jìn)去�,把設(shè)備的類型、資產(chǎn)類型進(jìn)行分類��、標(biāo)識�、資產(chǎn)發(fā)放、合理授權(quán)�����,這樣便于企業(yè)對其信息資產(chǎn)進(jìn)行控制。
第四部分內(nèi)容是保證人力的安全��������!叭恕痹谀撤N程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個信息化環(huán)節(jié)上的人員都有特定的角色扮演����。而每一個角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件,選拔����,以及雇傭保密協(xié)議的限制,這是從企業(yè)信息化在人員安全角度必須考慮的問題��。
第五部分是信息化系統(tǒng)的物理安全�����,需要對物理邊界進(jìn)行把控��。例如企業(yè)日常辦公中的門禁系統(tǒng),門禁權(quán)限分配與管理�����、權(quán)限申請與把控�。劉歆軼介紹說,對于生產(chǎn)制造型的企業(yè)來說�,其生產(chǎn)部分、研發(fā)部門因?yàn)槁毮艿牟煌���,對人員進(jìn)出的要求也不同�����。尤其是研發(fā)部門�����,實(shí)驗(yàn)室的物理安全性非常重要�。
第六部分是對通信等網(wǎng)絡(luò)設(shè)備的安全管控��。從廣義上的服務(wù)器����,到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃���、驗(yàn)收、網(wǎng)絡(luò)的黑客攻防���,網(wǎng)絡(luò)的安全管理���,磁盤的備份都是需要做管控�。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容。
第七部分是訪問控制��,企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān)�,其中包括各種軟件的賬號管理、網(wǎng)絡(luò)設(shè)備登陸登出管理�、權(quán)限變更、人員訪問和等級劃分����。 ..
|
