制造業(yè)的信息化一直被認(rèn)為業(yè)界認(rèn)為是最完善、最復(fù)雜的信息化系統(tǒng),信息化的安全性在制造業(yè)中的地位至關(guān)重要,沒有安全的信息化,企業(yè)就難有大的發(fā)展。也正是這種行業(yè)安全的理念“根深蒂固”,讓制造業(yè)的信息化建設(shè)水平和信息化程度一直排在整個(gè)行業(yè)的前列。
正如前面所說,制造業(yè)與其他行業(yè)相比,信息化建設(shè)的情況現(xiàn)對(duì)完善,從制造業(yè)市場(chǎng)的調(diào)研、到生產(chǎn)、排程、物流、進(jìn)銷存、銷售、客戶管理、電子商務(wù),可以說,其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)。面對(duì)如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng),企業(yè)應(yīng)該以什么樣的思路來保證制造業(yè)整個(gè)生產(chǎn)流程的信息化安全?
制造業(yè)的信息安全體現(xiàn)與其他的ERP、CRM等系統(tǒng)一樣,需要分析業(yè)務(wù)目標(biāo)、制定一個(gè)評(píng)估標(biāo)準(zhǔn),然后根據(jù)評(píng)估標(biāo)準(zhǔn)進(jìn)行差異化分析,最后通過制定時(shí)間規(guī)劃,進(jìn)行信息化設(shè)備的選擇和采購。其中信息化安全的部分,需要考慮信息化系統(tǒng)增長(zhǎng)的狀況與信息安全規(guī)劃的協(xié)調(diào)。
企業(yè)信息化系統(tǒng)需要評(píng)估
制造業(yè)信息化安全的第一步是業(yè)務(wù)分析。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險(xiǎn)評(píng)估。劉歆軼說到,制造業(yè)一般按照國(guó)際的ISO27001標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,標(biāo)準(zhǔn)中對(duì)企業(yè)的11個(gè)領(lǐng)域目前進(jìn)而將來可能會(huì)存在的問題進(jìn)行全面的評(píng)估。
具體來說,分以下幾個(gè)部分:
第一部分是企業(yè)制定具體的方針。整個(gè)企業(yè)需要具有信息安全的政策,并且全企業(yè)全部貫徹實(shí)施。這個(gè)政策最好是企業(yè)最高層級(jí)別的質(zhì)量手冊(cè),這樣可以保證方針的有效執(zhí)行。
第二部分企業(yè)信息安全的組織需要完善。專家特別提到,目前很多公司認(rèn)為信息安全只是IT部門的職責(zé),實(shí)際上,信息安全與每個(gè)員工都是息息相關(guān)的,通過企業(yè)的信息安全的組織形式,如建立信息安全委員會(huì)(公司的最高層擔(dān)任委員會(huì)的主席)、信息安全核心工作小組(主要做安全工作的跟蹤和實(shí)施)、審計(jì)小組(對(duì)企業(yè)整個(gè)信息情況進(jìn)行年度或季度內(nèi)審)、信息安全成員小組(對(duì)信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度。
第三部分是對(duì)企業(yè)信息資產(chǎn)的控制。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對(duì)象。除了最常用的辦公工具電腦外,復(fù)印件、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分。此外,再把信息安全管控的因素加進(jìn)去,把設(shè)備的類型、資產(chǎn)類型進(jìn)行分類、標(biāo)識(shí)、資產(chǎn)發(fā)放、合理授權(quán),這樣便于企業(yè)對(duì)其信息資產(chǎn)進(jìn)行控制。
第四部分內(nèi)容是保證人力的安全。“人”在某種程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個(gè)信息化環(huán)節(jié)上的人員都有特定的角色扮演。而每一個(gè)角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件,選拔,以及雇傭保密協(xié)議的限制,這是從企業(yè)信息化在人員安全角度必須考慮的問題。
第五部分是信息化系統(tǒng)的物理安全,需要對(duì)物理邊界進(jìn)行把控。例如企業(yè)日常辦公中的門禁系統(tǒng),門禁權(quán)限分配與管理、權(quán)限申請(qǐng)與把控。劉歆軼介紹說,對(duì)于生產(chǎn)制造型的企業(yè)來說,其生產(chǎn)部分、研發(fā)部門因?yàn)槁毮艿牟煌瑢?duì)人員進(jìn)出的要求也不同。尤其是研發(fā)部門,實(shí)驗(yàn)室的物理安全性非常重要。
第六部分是對(duì)通信等網(wǎng)絡(luò)設(shè)備的安全管控。從廣義上的服務(wù)器,到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃、驗(yàn)收、網(wǎng)絡(luò)的黑客攻防,網(wǎng)絡(luò)的安全管理,磁盤的備份都是需要做管控。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容。
第七部分是訪問控制,企業(yè)對(duì)信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān),其中包括各種軟件的賬號(hào)管理、網(wǎng)絡(luò)設(shè)備登陸登出管理、權(quán)限變更、人員訪問和等級(jí)劃分。
第八部分是信息系統(tǒng)的獲取和開發(fā)。信息系統(tǒng)的開發(fā)一般包括ERP、CRM等各種軟件系統(tǒng)的開發(fā)和實(shí)施。在開發(fā)和實(shí)施過程中需要符合一點(diǎn)標(biāo)準(zhǔn)。劉歆軼介紹說,美國(guó)的薩班斯法案里面的條款的要求,系統(tǒng)的輸入保證不出現(xiàn)錯(cuò)誤、中間的運(yùn)算過程不能出現(xiàn)誤差、輸出結(jié)果正確無誤……換句話說,如果企業(yè)自己開發(fā)的系統(tǒng)輸入和輸出有偏差,企業(yè)的CEO或者CIO可能會(huì)收到法律的制裁。特別是外企,或者在國(guó)外上市的中國(guó)企業(yè)對(duì)信息系統(tǒng)軟件的開發(fā)的要求相對(duì)較高,企業(yè)一定要有足夠的證據(jù)證明自己所開發(fā)的系統(tǒng)是能夠做到正常輸入,防止勿操作、錯(cuò)誤數(shù)據(jù)無法輸入,運(yùn)算過程可追溯……還有經(jīng)過黑箱測(cè)試和白箱測(cè)試。此外、除了企業(yè)自己開發(fā)外,企業(yè)購買供應(yīng)商軟件產(chǎn)品時(shí),也要要求供應(yīng)商提供相應(yīng)的資質(zhì)證明。
第九部分是對(duì)信息安全事故的管理。企業(yè)一旦發(fā)生信息安全事故,信息安全事故的處理機(jī)制就顯得尤為重要。比如發(fā)現(xiàn)問題、匯總問題、問題分析、事故處理、問題回顧、再次檢測(cè)、事故報(bào)道撰寫、證據(jù)收集、案例調(diào)整等,都需要對(duì)信息安全進(jìn)行事故管理。
第十部分是業(yè)務(wù)連續(xù)性管理。該部分主要包括容災(zāi)恢復(fù)與備份、應(yīng)急預(yù)案。劉歆軼說到,從美國(guó)911事件之后,地震、火災(zāi)、海嘯、臺(tái)風(fēng)等災(zāi)難對(duì)于企業(yè)業(yè)務(wù)聯(lián)系性的影響也越來越受企業(yè)重視。與災(zāi)難恢復(fù)不同的是,該部分注重企業(yè)業(yè)務(wù)連續(xù)性的要求,特別是制造業(yè),需要讓企業(yè)的業(yè)務(wù)盡快的恢復(fù)運(yùn)行,通過讓業(yè)務(wù)人員的訪問其他代替的系統(tǒng),來保證企業(yè)業(yè)務(wù)不中斷。
第十一部分是企業(yè)系統(tǒng)的合規(guī)性。合規(guī)性體現(xiàn)在企業(yè)生產(chǎn)安全過程要符合國(guó)際的法律、法規(guī),比如說上市公司要符合薩班斯法案、銀行金融業(yè)需要符合銀監(jiān)會(huì)的要求、產(chǎn)品策略需要符合政府的要求……而這些要求最終要體現(xiàn)在信息系統(tǒng)上,所以信息系統(tǒng)上要有檢測(cè)合規(guī)性的模塊,使得這套信息系統(tǒng)要符合企業(yè)安全的管控要求。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:揭秘制造業(yè)信息化安全部署三部曲
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112158893.html