企業(yè)就難有大的發(fā)展。也正是這種行業(yè)安全的理念“根深蒂固”�����,讓制造業(yè)的信息化建設(shè)水平和信息化程度一直排在整個(gè)行業(yè)的前列���,正如前面所說��,制造業(yè)與其他行業(yè)相比����,信息化建設(shè)的情況現(xiàn)對完善����,從制造業(yè)市場的調(diào)研、到生產(chǎn)���、排程、物流�����、進(jìn)銷存����、銷售��、客戶管理�、電子商務(wù)�����,可以說����,其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)。面對如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng)���,企業(yè)應(yīng)該以什么樣的思路來保證制造業(yè)整個(gè)生產(chǎn)流程的信息化安全��?
制造業(yè)的信息安全體現(xiàn)與其他的ERP�、CRM等系統(tǒng)一樣����,需要分析業(yè)務(wù)目標(biāo)、制定一個(gè)評估標(biāo)準(zhǔn)��,然后根據(jù)評估標(biāo)準(zhǔn)進(jìn)行差異化分析,最后通過制定時(shí)間規(guī)劃�,進(jìn)行信息化設(shè)備的選擇和采購。其中信息化安全的部分�����,需要考慮信息化系統(tǒng)增長的狀況與信息安全規(guī)劃的協(xié)調(diào)����。
企業(yè)信息化系統(tǒng)需要評估:制造業(yè)信息化安全的第一步是業(yè)務(wù)分析。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險(xiǎn)評估��。據(jù)相關(guān)標(biāo)準(zhǔn)中對企業(yè)的幾個(gè)領(lǐng)域目前進(jìn)而將來可能會(huì)存在的問題進(jìn)行全面的評估�����。
具體來說��,分以下幾個(gè)部分:
第一部分是企業(yè)制定具體的方針�。整個(gè)企業(yè)需要具有信息安全的政策,并且全企業(yè)全部貫徹實(shí)施��。這個(gè)政策最好是企業(yè)最高層級別的質(zhì)量手冊�,這樣可以保證方針的有效執(zhí)行���。
第二部分企業(yè)信息安全的組織需要完善�。專家特別提到,目前很多公司認(rèn)為信息安全只是IT部門的職責(zé)�����,實(shí)際上�,信息安全與每個(gè)員工都是息息相關(guān)的,通過企業(yè)的信息安全的組織形式�,如建立信息安全委員會(huì)(公司的最高層擔(dān)任委員會(huì)的主席)、信息安全核心工作小組(主要做安全工作的跟蹤和實(shí)施)�����、審計(jì)小組(對企業(yè)整個(gè)信息情況進(jìn)行年度或季度內(nèi)審)��、信息安全成員小組(對信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度���。
第三部分是對企業(yè)信息資產(chǎn)的控制�����。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對象�����。除了最常用的辦公工具電腦外����,復(fù)印件、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分�。此外,再把信息安全管控的因素加進(jìn)去����,把設(shè)備的類型、資產(chǎn)類型進(jìn)行分類���、標(biāo)識�、資產(chǎn)發(fā)放�、合理授權(quán),這樣便于企業(yè)對其信息資產(chǎn)進(jìn)行控制���。
第四部分內(nèi)容是保證人力的安全���!叭恕痹谀撤N程度上講也算是信息的資產(chǎn)的“攜帶者”���。每一個(gè)信息化環(huán)節(jié)上的人員都有特定的角色扮演�����。而每一個(gè)角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件���,選拔,以及雇傭保密協(xié)議的限制���,這是從企業(yè)信息化在人員安全角度必須考慮的問題��。
第五部分是信息化系統(tǒng)的物理安全���,需要對物理邊界進(jìn)行把控。例如企業(yè)日常辦公中的門禁系統(tǒng)���,門禁權(quán)限分配與管理����、權(quán)限申請與把控��。劉歆軼介紹說�����,對于生產(chǎn)制造型的企業(yè)來說,其生產(chǎn)部分���、研發(fā)部門因?yàn)槁毮艿牟煌��,對人員進(jìn)出的要求也不同���。尤其是研發(fā)部門,實(shí)驗(yàn)室的物理安全性非常重要����。
第六部分是對通信等網(wǎng)絡(luò)設(shè)備的安全管控。從廣義上的服務(wù)器��,到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃����、驗(yàn)收、網(wǎng)絡(luò)的黑客攻防����,網(wǎng)絡(luò)的安全管理,磁盤的備份都是需要做管控��。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容�����。
第七部分是訪問控制,企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān)����,其中包括各種軟件的賬號管理����、網(wǎng)絡(luò)設(shè)備登陸登出管理、權(quán)限變更����、人員訪問和等級劃分。 ..
|
