正如前面所說,制造業(yè)與其他行業(yè)相比��,信息化建設(shè)的情況現(xiàn)對完善�,從制造業(yè)市場的調(diào)研、到生產(chǎn)�、排程、物流�����、進(jìn)銷存����、銷售、客戶管理�����、電子商務(wù)�����,可以說����,其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)��。面對如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng)��,企業(yè)應(yīng)該以什么樣的思路來保證制造業(yè)整個生產(chǎn)流程的信息化安全���?
制造業(yè)的信息安全體現(xiàn)與其他的ERP�、CRM等系統(tǒng)一樣,需要分析業(yè)務(wù)目標(biāo)����、制定一個評估標(biāo)準(zhǔn),然后根據(jù)評估標(biāo)準(zhǔn)進(jìn)行差異化分析��,最后通過制定時間規(guī)劃��,進(jìn)行信息化設(shè)備的選擇和采購�����。其中信息化安全的部分���,需要考慮信息化系統(tǒng)增長的狀況與信息安全規(guī)劃的協(xié)調(diào)�����。
企業(yè)信息化系統(tǒng)需要評估:
制造業(yè)信息化安全的第一步是業(yè)務(wù)分析�。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險評估。專家說到�����,制造業(yè)一般按照國際ISO27001標(biāo)準(zhǔn)進(jìn)行風(fēng)險評估��,標(biāo)準(zhǔn)中對企業(yè)的幾個領(lǐng)域目前進(jìn)而將來可能會存在的問題進(jìn)行全面的評估�。
具體來說,分以下幾個部分:
第一部分是企業(yè)制定具體的方針�����。整個企業(yè)需要具有信息安全的政策��,并且全企業(yè)全部貫徹實施�。這個政策最好是企業(yè)最高層級別的質(zhì)量手冊,這樣可以保證方針的有效執(zhí)行�����。
第二部分企業(yè)信息安全的組織需要完善���。專家特別提到����,目前很多公司認(rèn)為信息安全只是IT部門的職責(zé),實際上�����,信息安全與每個員工都是息息相關(guān)的�,通過企業(yè)的信息安全的組織形式,如建立信息安全委員會(公司的最高層擔(dān)任委員會的主席)����、信息安全核心工作小組(主要做安全工作的跟蹤和實施)����、審計小組(對企業(yè)整個信息情況進(jìn)行年度或季度內(nèi)審)、信息安全成員小組(對信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度�。
第三部分是對企業(yè)信息資產(chǎn)的控制。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對象�。除了最常用的辦公工具電腦外,復(fù)印件���、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分��。此外�����,再把信息安全管控的因素加進(jìn)去��,把設(shè)備的類型�、資產(chǎn)類型進(jìn)行分類、標(biāo)識���、資產(chǎn)發(fā)放�����、合理授權(quán)��,這樣便于企業(yè)對其信息資產(chǎn)進(jìn)行控制��。
第四部分內(nèi)容是保證人力的安全���!叭恕痹谀撤N程度上講也算是信息的資產(chǎn)的“攜帶者”���。每一個信息化環(huán)節(jié)上的人員都有特定的角色扮演����。而每一個角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件,選拔����,以及雇傭保密協(xié)議的限制,這是從企業(yè)信息化在人員安全角度必須考慮的問題�。
第五部分是信息化系統(tǒng)的物理安全,需要對物理邊界進(jìn)行把控���。例如企業(yè)日常辦公中的門禁系統(tǒng)�,門禁權(quán)限分配與管理�����、權(quán)限申請與把控����。專家介紹說����,對于生產(chǎn)制造型的企業(yè)來說,其生產(chǎn)部分���、研發(fā)部門因為職能的不同��,對人員進(jìn)出的要求也不同����。尤其是研發(fā)部門,實驗室的物理安全性非常重要��。
第六部分是對通信等網(wǎng)絡(luò)設(shè)備的安全管控��。從廣義上的服務(wù)器����,到狹義上的信息化安全產(chǎn)品的實施和規(guī)劃、驗收���、網(wǎng)絡(luò)的黑客攻防���,網(wǎng)絡(luò)的安全管理,磁盤的備份都是需要做管控�����。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容��。
第七部分是訪問控制��,企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān),其中包括各種軟件的賬號管理��、網(wǎng)絡(luò)設(shè)備登陸登出管理�����、權(quán)限變更���、人員訪問和等級劃分��。 ..
|
