制造業(yè)的信息化一直被認(rèn)為業(yè)界認(rèn)為是最完善、最復(fù)雜的信息化系統(tǒng),信息化的安全性在制造業(yè)中的地位至關(guān)重要,沒有安全的信息化,企業(yè)就難有大的發(fā)展。也正是這種行業(yè)安全的理念“根深蒂固”,讓制造業(yè)的信息化建設(shè)水平和信息化程度一直排在整個(gè)行業(yè)的前列。
正如前面所說,制造業(yè)與其他行業(yè)相比,信息化建設(shè)的情況現(xiàn)對(duì)完善,從制造業(yè)市場(chǎng)的調(diào)研、到生產(chǎn)、排程、物流、進(jìn)銷存、銷售、客戶管理、電子商務(wù),可以說,其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)。面對(duì)如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng),企業(yè)應(yīng)該以什么樣的思路來保證制造業(yè)整個(gè)生產(chǎn)流程的信息化安全?近日,記者采訪到制造業(yè)信息化行業(yè)專家劉歆軼先生,他從國(guó)際ISO27001標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估的角度,研究和分析制造業(yè)信息安全全過程。
制造業(yè)信息化行業(yè)專家 劉歆軼
劉歆軼介紹說,制造業(yè)的信息安全體現(xiàn)與其他的ERP、CRM等系統(tǒng)一樣,需要分析業(yè)務(wù)目標(biāo)、制定一個(gè)評(píng)估標(biāo)準(zhǔn),然后根據(jù)評(píng)估標(biāo)準(zhǔn)進(jìn)行差異化分析,最后通過制定時(shí)間規(guī)劃,進(jìn)行信息化設(shè)備的選擇和采購。其中信息化安全的部分,需要考慮信息化系統(tǒng)增長(zhǎng)的狀況與信息安全規(guī)劃的協(xié)調(diào)。
企業(yè)信息化系統(tǒng)需要評(píng)估
制造業(yè)信息化安全的第一步是業(yè)務(wù)分析。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險(xiǎn)評(píng)估。劉歆軼說到,制造業(yè)一般按照國(guó)際的ISO27001標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,標(biāo)準(zhǔn)中對(duì)企業(yè)的11個(gè)領(lǐng)域目前進(jìn)而將來可能會(huì)存在的問題進(jìn)行全面的評(píng)估。
具體來說,分以下幾個(gè)部分,第一部分是企業(yè)制定具體的方針。整個(gè)企業(yè)需要具有信息安全的政策,并且全企業(yè)全部貫徹實(shí)施。這個(gè)政策最好是企業(yè)最高層級(jí)別的質(zhì)量手冊(cè),這樣可以保證方針的有效執(zhí)行。
第二部分企業(yè)信息安全的組織需要完善。劉歆軼特別提到,目前很多公司認(rèn)為信息安全只是IT部門的職責(zé),實(shí)際上,信息安全與每個(gè)員工都是息息相關(guān)的,通過企業(yè)的信息安全的組織形式,如建立信息安全委員會(huì)(公司的最高層擔(dān)任委員會(huì)的主席)、信息安全核心工作小組(主要做安全工作的跟蹤和實(shí)施)、審計(jì)小組(對(duì)企業(yè)整個(gè)信息情況進(jìn)行年度或季度內(nèi)審)、信息安全成員小組(對(duì)信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度。
企業(yè)信息安全的第三部分是對(duì)企業(yè)信息資產(chǎn)的控制。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對(duì)象。除了最常用的辦公工具電腦外,復(fù)印件、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分。此外,再把信息安全管控的因素加進(jìn)去,把設(shè)備的類型、資產(chǎn)類型進(jìn)行分類、標(biāo)識(shí)、資產(chǎn)發(fā)放、合理授權(quán),這樣便于企業(yè)對(duì)其信息資產(chǎn)進(jìn)行控制。
第四部分內(nèi)容是保證人力的安全。“人”在某種程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個(gè)信息化環(huán)節(jié)上的人員都有特定的角色扮演。而每一個(gè)角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件,選拔,以及雇傭保密協(xié)議的限制,這是從企業(yè)信息化在人員安全角度必須考慮的問題。
第五部分是信息化系統(tǒng)的物理安全,需要對(duì)物理邊界進(jìn)行把控。例如企業(yè)日常辦公中的門禁系統(tǒng),門禁權(quán)限分配與管理、權(quán)限申請(qǐng)與把控。劉歆軼介紹說,對(duì)于生產(chǎn)制造型的企業(yè)來說,其生產(chǎn)部分、研發(fā)部門因?yàn)槁毮艿牟煌,?duì)人員進(jìn)出的要求也不同。尤其是研發(fā)部門,實(shí)驗(yàn)室的物理安全性非常重要。
第六部分是對(duì)通信等網(wǎng)絡(luò)設(shè)備的安全管控。從廣義上的服務(wù)器,到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃、驗(yàn)收、網(wǎng)絡(luò)的黑客攻防,網(wǎng)絡(luò)的安全管理,磁盤的備份都是需要做管控。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容。
第七部分是訪問控制,企業(yè)對(duì)信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān),其中包括各種軟件的賬號(hào)管理、網(wǎng)絡(luò)設(shè)備登陸登出管理、權(quán)限變更、人員訪問和等級(jí)劃分。
第八部分是信息系統(tǒng)的獲取和開發(fā)。信息系統(tǒng)的開發(fā)一般包括ERP、CRM等各種軟件系統(tǒng)的開發(fā)和實(shí)施。在開發(fā)和實(shí)施過程中需要符合一點(diǎn)標(biāo)準(zhǔn)。劉歆軼介紹說,美國(guó)的薩班斯法案里面的條款的要求,系統(tǒng)的輸入保證不出現(xiàn)錯(cuò)誤、中間的運(yùn)算過程不能出現(xiàn)誤差、輸出結(jié)果正確無誤、、、、、、換句話說,如果企業(yè)自己開發(fā)的系統(tǒng)輸入和輸出有偏差,企業(yè)的CEO或者CIO可能會(huì)收到法律的制裁。特別是外企,或者在國(guó)外上市的中國(guó)企業(yè)對(duì)信息系統(tǒng)軟件的開發(fā)的要求相對(duì)較高,企業(yè)一定要有足夠的證據(jù)證明自己所開發(fā)的系統(tǒng)是能夠做到正常輸入,防止勿操作、錯(cuò)誤數(shù)據(jù)無法輸入,運(yùn)算過程可追溯、、、、、還有經(jīng)過黑箱測(cè)試和白箱測(cè)試。此外、除了企業(yè)自己開發(fā)外,企業(yè)購買供應(yīng)商軟件產(chǎn)品時(shí),也要要求供應(yīng)商提供相應(yīng)的資質(zhì)證明。
第九部分是對(duì)信息安全事故的管理。企業(yè)一旦發(fā)生信息安全事故,信息安全事故的處理機(jī)制就顯得尤為重要。比如發(fā)現(xiàn)問題、匯總問題、問題分析、事故處理、問題回顧、再次檢測(cè)、事故報(bào)道撰寫、證據(jù)收集、案例調(diào)整等,都需要對(duì)信息安全進(jìn)行事故管理。
第十部分是業(yè)務(wù)連續(xù)性管理。該部分主要包括容災(zāi)恢復(fù)與備份、應(yīng)急預(yù)案。劉歆軼說到,從美國(guó)911事件之后,地震、火災(zāi)、海嘯、臺(tái)風(fēng)等災(zāi)難對(duì)于企業(yè)業(yè)務(wù)聯(lián)系性的影響也越來越受企業(yè)重視。與災(zāi)難恢復(fù)不同的是,該部分注重企業(yè)業(yè)務(wù)連續(xù)性的要求,特別是制造業(yè),需要讓企業(yè)的業(yè)務(wù)盡快的恢復(fù)運(yùn)行,通過讓業(yè)務(wù)人員的訪問其他代替的系統(tǒng),來保證企業(yè)業(yè)務(wù)不中斷。
第十一部分是企業(yè)系統(tǒng)的合規(guī)性。合規(guī)性體現(xiàn)在企業(yè)生產(chǎn)安全過程要符合國(guó)際的法律、法規(guī),比如說上市公司要符合薩班斯法案、銀行金融業(yè)需要符合銀監(jiān)會(huì)的要求、產(chǎn)品策略需要符合政府的要求,而這些要求最終要體現(xiàn)在信息系統(tǒng)上,所以信息系統(tǒng)上要有檢測(cè)合規(guī)性的模塊,使得這套信息系統(tǒng)要符合企業(yè)安全的管控要求。
企業(yè)信息化目標(biāo)差距分析
企業(yè)依照以上11個(gè)方面對(duì)信息化系統(tǒng)進(jìn)行評(píng)估后,就自然而然的了解了信息化系統(tǒng)整體的狀況。這時(shí)候,企業(yè)的IT部門需要對(duì)評(píng)估后的結(jié)果進(jìn)行差距分析。
通過差距分析,可以讓企業(yè)的IT部門了解是造成的差距原因是什么,如何解決這些差距。劉歆軼特別提到,不僅僅是制造業(yè),幾乎所有的企業(yè)都面臨著“可接受性”影響。比如說,很多企業(yè)認(rèn)為有的風(fēng)險(xiǎn)雖然存在,但是不影響企業(yè)的核心價(jià)值,這個(gè)時(shí)候IT部門可以認(rèn)為這個(gè)風(fēng)險(xiǎn)可以暫時(shí)存在,沒有必要馬上解決。企業(yè)的IT部門工作的職能不是“消滅所有的風(fēng)險(xiǎn)”,而是把風(fēng)險(xiǎn)降低到可以接受的這條線之上。這也是目前IT人經(jīng)常容易忽略的問題。很多企業(yè)的IT部門經(jīng)常在遇到一個(gè)問題時(shí)就要立刻解決掉,但是實(shí)際上解決一些小的問題的人力和財(cái)力成本,這樣對(duì)于企業(yè)來說沒有價(jià)值。
所有企業(yè)在進(jìn)行差距分析的一個(gè)重要內(nèi)容就是風(fēng)險(xiǎn)底線的分析,如果超多這個(gè)底線,就需要解決掉。經(jīng)過差距分析后,信息化系統(tǒng)的問題,處理的時(shí)間、資金支持、資源支持的訴求可以確定,企業(yè)的信息化整體的工作計(jì)劃也可隨著出臺(tái)。
整體計(jì)劃包括可以是5年計(jì)劃,3年計(jì)劃,和1年計(jì)劃等,通過計(jì)劃的輕重緩急,企業(yè)的IT部門可以對(duì)人力進(jìn)行合理分配,重點(diǎn)項(xiàng)目跟進(jìn),部門協(xié)調(diào)等等,最后經(jīng)過企業(yè)高層人員的評(píng)估,確認(rèn)、審批后就可以進(jìn)入到具體的實(shí)施階段。
信息安全產(chǎn)品選型是最后一環(huán)
談到信息安全產(chǎn)品的選型,劉歆軼說到,經(jīng)過上面的介紹可以看出,信息安全產(chǎn)品的選型在整個(gè)安全信息化項(xiàng)目的實(shí)施過程中是最后一個(gè)環(huán)節(jié),舉例說來,通過評(píng)估和差距分析后,信息化系統(tǒng)需要彌補(bǔ)外網(wǎng)的攻擊的風(fēng)險(xiǎn),這時(shí)候IT部門通過查看針對(duì)外網(wǎng)攻擊的屬于哪類安全風(fēng)險(xiǎn),然后查看具體在計(jì)劃中的哪一年的哪個(gè)月份開始實(shí)施,然后再考慮具體選擇哪個(gè)供應(yīng)商的產(chǎn)品和解決方案。
以上是整個(gè)信息化安全系統(tǒng)方案在企業(yè)中實(shí)施的全過程,此外企業(yè)內(nèi)部還會(huì)對(duì)項(xiàng)目的實(shí)施效果進(jìn)行審查和審計(jì),如果企業(yè)需要做認(rèn)證的話,還需要進(jìn)行外部審計(jì)。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:制造業(yè)信息化ERP安全部署三部曲