引言

　　隨著信息技術(shù)的迅猛發(fā)展，信息系統(tǒng)被企業(yè)的廣泛應(yīng)用，信息及信息系統(tǒng)對(duì)汽車制造企業(yè)來(lái)說(shuō)，不僅只意味著財(cái)富和實(shí)力，而且已經(jīng)成為企業(yè)的重要戰(zhàn)略資源及賴以生存的血液，對(duì)企業(yè)的生存、發(fā)展起著至關(guān)重要的作用。十七大胡總書記報(bào)告中提出：全面認(rèn)識(shí)工業(yè)化、信息化、城鎮(zhèn)化、市場(chǎng)化、國(guó)際化、深入發(fā)展新形勢(shì)、新任務(wù)，要大力推進(jìn)信息化和工業(yè)化的融合。信息化是當(dāng)今世界制造業(yè)發(fā)展的趨勢(shì)，更是中國(guó)汽車制造業(yè)實(shí)現(xiàn)跨越發(fā)展的重要機(jī)遇。同時(shí)，隨著企業(yè)信息化廣泛深入應(yīng)用，信息安全問(wèn)題也日益突出且越來(lái)越關(guān)系企業(yè)的命運(yùn)，在信息安全領(lǐng)域，很多企業(yè)在內(nèi)網(wǎng)安全方面雖然有信息安全相關(guān)產(chǎn)品的部署，但都缺乏統(tǒng)一的安全策略，上下級(jí)網(wǎng)絡(luò)間也缺乏很好的聯(lián)動(dòng)管理與維護(hù)，客戶端漏洞補(bǔ)丁的下載與執(zhí)行無(wú)法統(tǒng)一，病毒庫(kù)及補(bǔ)丁升級(jí)更新不及時(shí)、不準(zhǔn)確、不共享，內(nèi)網(wǎng)病毒及木馬等威脅比較多，雖然有防病毒軟件，但是無(wú)法定位，組織機(jī)構(gòu)不合理，安全監(jiān)管措施缺失，管理手段落后等，都成為制約企業(yè)信息化發(fā)展的重要問(wèn)題。

　　大量的信息安全事件，已經(jīng)使人們逐步明白：不是任何的信息安全問(wèn)題都可以通過(guò)技術(shù)手段解決的。即便有了技術(shù)手段，如果沒(méi)有管理，也不能真正發(fā)揮出技術(shù)手段應(yīng)有的功效。信息安全保障包括技術(shù)和管理兩個(gè)層面，就技術(shù)和管理所起的作用而言，管理的比重甚至要大于技術(shù)。再先進(jìn)的技術(shù)手段，離開科學(xué)合理的管理也不能發(fā)揮全部的作用。信息管理就是把分散的信息安全技術(shù)因素、人的因素，通過(guò)政策規(guī)則協(xié)調(diào)整合成為一體，服務(wù)于企業(yè)信息化使命的安全目標(biāo)。因此，參照國(guó)際先進(jìn)的信息安全管理實(shí)踐經(jīng)驗(yàn)，結(jié)合企業(yè)的實(shí)際情況以及國(guó)家信息安全等級(jí)保護(hù)要求，以及風(fēng)險(xiǎn)評(píng)估等要求建立一套符合國(guó)際標(biāo)準(zhǔn)要求的信息安全保障管理體系(Information Security Assurance Management Systems，ISAMS)，將有效地從管理、技術(shù)、運(yùn)維等方面提高企業(yè)的總體信息安全水平，保障企業(yè)的業(yè)務(wù)持續(xù)運(yùn)行，保護(hù)企業(yè)的核心競(jìng)爭(zhēng)力。對(duì)于任何企業(yè)，采用ISAMS將是一項(xiàng)重要的戰(zhàn)略性決策，企業(yè)信息化體系結(jié)構(gòu)最重要是信息安全保障，如果沒(méi)有信息安全保障，企業(yè)的信息化就很難健康地發(fā)展。

一 信息安全保障管理基礎(chǔ)

　　企業(yè)信息安全保障管理指的是通過(guò)管理和保護(hù)企業(yè)所有的信息系統(tǒng)，包括制定信息安全方針策略、風(fēng)險(xiǎn)評(píng)估與管理、控制目標(biāo)及控制手段的選擇與實(shí)施、制定規(guī)范的操作流程、對(duì)員工進(jìn)行安全培訓(xùn)等一系列工作，來(lái)維護(hù)企業(yè)信息系統(tǒng)的機(jī)密性、完整性及可用性等的一項(xiàng)體制。通過(guò)在信息安全策略(包含信息安全方針)、信息安全組織、信息資產(chǎn)分類與管控、核心人員信息安全、物理與環(huán)境包括邊界安全、通信操作安全、信息安全訪問(wèn)控制、信息系統(tǒng)獲取開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、信息安全法律法規(guī)符合性等十幾個(gè)領(lǐng)域內(nèi)建立管理控制措施，來(lái)為企業(yè)建立起一張完備的信息安全“保護(hù)網(wǎng)”，保證企業(yè)信息資產(chǎn)的安全與業(yè)務(wù)的連續(xù)性。

　　企業(yè)信息安全保障管理是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程，它需要企業(yè)對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行全面統(tǒng)一的考慮、規(guī)劃、設(shè)計(jì)和架構(gòu)，并要時(shí)時(shí)兼顧組織內(nèi)外不斷發(fā)生的業(yè)務(wù)情況，任何環(huán)節(jié)上的信息安全脆弱點(diǎn)都會(huì)對(duì)系統(tǒng)構(gòu)成風(fēng)險(xiǎn)。企業(yè)的信息安全保障管理水平由與信息安全相關(guān)環(huán)節(jié)中的最薄弱環(huán)節(jié)決定。信息從產(chǎn)生到銷毀的生命周期過(guò)程中還包括了收集、加工、交換、存儲(chǔ)、檢索、存檔等多個(gè)事件，表現(xiàn)形式和載體會(huì)發(fā)生各種變化，這些環(huán)節(jié)中的任何一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題都可能影響整體信息安全水平。另外，如果企業(yè)憑著一時(shí)的需要，想當(dāng)然地去制定一些控制措施和引入幾項(xiàng)技術(shù)產(chǎn)品，就難免使得信息安全這只“木桶” 出現(xiàn)若干“短板” ，從而無(wú)法整體提高信息安全保障管理水平。建立全面的信息安全保障管理體系是避免上述問(wèn)題的有效手段。

二 企業(yè)信息安全保障管理目標(biāo)與原則

　　企業(yè)在建立信息安全保障管理體系前首先要確定其目標(biāo)與原則，企業(yè)信息安全管理通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo)，即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)，這是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。

　　對(duì)汽車制造企業(yè)來(lái)說(shuō)，信息安全CIA的3個(gè)方面都應(yīng)該是比較重要的，一方面，公司內(nèi)部牽涉到核心技術(shù)、知識(shí)產(chǎn)權(quán)、隱私保護(hù)的信息資產(chǎn)，其保密性要求會(huì)比較高，另一方面，由于關(guān)系到各項(xiàng)應(yīng)用和業(yè)務(wù)系統(tǒng)的持續(xù)有效運(yùn)營(yíng)，支持這些應(yīng)用和業(yè)務(wù)系統(tǒng)的信息系統(tǒng)則必須保證可用性和完整性。對(duì)CIA的追求只是企業(yè)信息安全管理的直接目標(biāo)，對(duì)于汽車制造企業(yè)，其實(shí)最終關(guān)心的是其關(guān)鍵業(yè)務(wù)活動(dòng)的持續(xù)性和有效性，而各項(xiàng)關(guān)鍵業(yè)務(wù)活動(dòng)的運(yùn)轉(zhuǎn)，又依賴于信息系統(tǒng)的支持，所以，企業(yè)業(yè)務(wù)持續(xù)性及企業(yè)的生存發(fā)展目標(biāo)，才是企業(yè)信息安全保障管理的最終目標(biāo)。

　　講科學(xué)管理，常常提出若干管理原則，講信息安全管理同樣也不例外，但是，一旦執(zhí)行起來(lái)，原則往往變成了“圓則” ，無(wú)處下手，難于考核，流于形式，成為口號(hào)。

　　如何將信息安全管理原則不變成“圓則” ，變成看得見(jiàn)，抓得住的現(xiàn)實(shí)，需要通過(guò)抓好如下幾個(gè)方面來(lái)加以實(shí)現(xiàn)：

　　1)信息安全管理責(zé)任明確

　　管理是需要通過(guò)人來(lái)實(shí)施的。信息安全保障管理不是一個(gè)人的事情，要人人有事做，事事有人做，企業(yè)需要建立人與事的匹配關(guān)系，用角色和責(zé)任把這種關(guān)系明確起來(lái)，固定下來(lái)，以便備忘、查考、賞罰。同時(shí)，管理者還必須給予明確的支持和承諾。

　　2)信息安全保障管理“有規(guī)可依”

　　信息安全保障管理是一個(gè)動(dòng)態(tài)的過(guò)程，需要通過(guò)建立符合規(guī)范的流程來(lái)體現(xiàn)這個(gè)過(guò)程。流程必須規(guī)范，使不同時(shí)間、不同的人在實(shí)施同類事物的管理時(shí)，步調(diào)一致、效果最佳、可以比較。

　　3)信息安全保障管理流程“執(zhí)規(guī)必嚴(yán)”

　　賦有管理責(zé)任的角色，在實(shí)施信息安全管理時(shí)，決不能信馬游韁，隨意亂來(lái)。相關(guān)的法律、規(guī)章、制度是實(shí)施管理的依據(jù)，必須與其保持一致。

　　4)信息安全保障管理整體的協(xié)調(diào)一致

　　信息安全保障管理的整體是通過(guò)不同部門、不同人員管理的各個(gè)分項(xiàng)綜合來(lái)顯現(xiàn)其效果的。它們之間為了整體的管理要求，必須協(xié)調(diào)。協(xié)調(diào)的要求應(yīng)該是事先共識(shí)達(dá)成的一致。為了協(xié)調(diào)，相互之間必須溝通，同時(shí)也要與企業(yè)的文化保持一致。

　　5)信息安全管理執(zhí)行應(yīng)該有據(jù)可查

　　規(guī)定的管理行為必須執(zhí)行，執(zhí)行的管理活動(dòng)應(yīng)該有據(jù)可查。信息安全管理活動(dòng)必須留有記錄、證據(jù)，以便查考管理的效果，改進(jìn)完善管理行為。

　　6)信息安全保障管理的常態(tài)性

　　向所有管理者、員工和其他方提供適當(dāng)?shù)囊庾R(shí)、培訓(xùn)和教育，傳達(dá)有效的信息安全知識(shí)以使他們具備安全意識(shí)和素質(zhì)。

　　7)信息安全保障管理需求明確

　　企業(yè)信息安全保障管理需求，一是從考慮企業(yè)整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下，評(píng)估該組織的信息安全風(fēng)險(xiǎn)獲得。通過(guò)風(fēng)險(xiǎn)評(píng)估，識(shí)別出資產(chǎn)受到的威脅，評(píng)價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計(jì)潛在的影響。二是企業(yè)開發(fā)的支持其運(yùn)行的信息處理的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。三是來(lái)源于組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的企業(yè)文化環(huán)境。

三 企業(yè)信息安全保障管理實(shí)施關(guān)鍵活動(dòng)

　　在整個(gè)實(shí)施ISAMS的過(guò)程中，各階段都有一些關(guān)鍵的活動(dòng)，這些活動(dòng)是否能夠順利實(shí)施并且生成有效成果，將直接決定著信息安全體系建設(shè)最終的成敗。為此，本小節(jié)即對(duì)一些最關(guān)鍵的活動(dòng)給予介紹，包括這些活動(dòng)的意義、前后關(guān)聯(lián)、成果、最終收益、對(duì)企業(yè)的影響等。了解這些內(nèi)容，將對(duì)整體上把握體系建設(shè)過(guò)程以及制定各類規(guī)劃大有幫助。

　　3.1 風(fēng)險(xiǎn)評(píng)估

　　風(fēng)險(xiǎn)評(píng)估 是實(shí)施信息安全管理保障體系重要的先決條件，是ISAMS建設(shè)準(zhǔn)備階段最關(guān)鍵的一步�；�于風(fēng)險(xiǎn)評(píng)估，企業(yè)可以對(duì)當(dāng)前的信息安全現(xiàn)狀有一個(gè)系統(tǒng)全面的分析，找出真正的不足，以此來(lái)確定自己在信息安全管理建設(shè)方面的需求。在實(shí)施風(fēng)險(xiǎn)評(píng)估活動(dòng)時(shí)，企業(yè)應(yīng)該在確定范圍內(nèi)組建風(fēng)險(xiǎn)評(píng)估小組，并且由安全項(xiàng)目主管擔(dān)任組長(zhǎng)，負(fù)責(zé)協(xié)調(diào)風(fēng)險(xiǎn)評(píng)估事宜。風(fēng)險(xiǎn)評(píng)估成員要參加必要的技能培訓(xùn)，包括信息安全管理概要、風(fēng)險(xiǎn)評(píng)估方法等。

　　實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，在管理評(píng)估的基礎(chǔ)上還要考慮借助專業(yè)人員的經(jīng)驗(yàn)和各種技術(shù)手段，探測(cè)并發(fā)掘客戶網(wǎng)絡(luò)信息系統(tǒng)中存在的各種安全威脅和漏洞，全面了解網(wǎng)絡(luò)信息系統(tǒng)的安全現(xiàn)狀，杜絕外部和內(nèi)部違規(guī)利用網(wǎng)絡(luò)資源而引發(fā)安全事件的可能。內(nèi)網(wǎng)信息安全已經(jīng)被證明是在高度信息化的情況下所有汽車制造企業(yè)必須面對(duì)的問(wèn)題。

　　技術(shù)評(píng)估可以針對(duì)以下系統(tǒng)：

　　1)典型的Windows、Unix操作系統(tǒng)服務(wù)器。

　　2)典型的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)。

　　3)典型的Web應(yīng)用系統(tǒng)。

　　4)典型的網(wǎng)絡(luò)設(shè)備。

　　5)防火墻、IDS等典型的安全設(shè)備。

　　6)網(wǎng)絡(luò)拓?fù)浼盎�礎(chǔ)設(shè)施。

　　企業(yè)專業(yè)人員采用強(qiáng)大的安全評(píng)估工具對(duì)客戶的網(wǎng)絡(luò)和主機(jī)系統(tǒng)進(jìn)行安全漏洞評(píng)估。漏洞評(píng)估分階段按步驟進(jìn)行，實(shí)施過(guò)程中采集到的大量信息，由專業(yè)技術(shù)人員進(jìn)行分析甄別，最終給出評(píng)估報(bào)告，針對(duì)每一項(xiàng)發(fā)現(xiàn)的漏洞問(wèn)題，按照不同的嚴(yán)重程度進(jìn)行分級(jí)，并結(jié)合實(shí)際需求提出相應(yīng)的漏洞修補(bǔ)建議。專業(yè)人員通過(guò)以下途徑實(shí)施安全評(píng)估：

　　1)通過(guò)研讀網(wǎng)絡(luò)拓?fù)鋱D、進(jìn)行現(xiàn)場(chǎng)調(diào)查和人員訪談等途徑，對(duì)網(wǎng)絡(luò)整體架構(gòu)的安全性進(jìn)行分析和評(píng)估。

　　2)借助專用的自動(dòng)化掃描工具，對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行漏洞掃描。

　　3)利用滲透測(cè)試技術(shù)，對(duì)值得關(guān)注的目標(biāo)系統(tǒng)進(jìn)行模擬入侵測(cè)試。

　　4)登錄到受測(cè)試主機(jī)本地，通過(guò)本地日志系統(tǒng)、配置文件、命令操作過(guò)程的審查，更深入細(xì)致地了解目標(biāo)系統(tǒng)的安全狀況。

　　5)針對(duì)關(guān)鍵系統(tǒng)和設(shè)施，考察BCP框架的有效性和完備性。

　　3.2 基于TDA深度威脅發(fā)現(xiàn)與分析

　　威脅是構(gòu)成安全風(fēng)險(xiǎn)不可缺少的要素之一，它是指可能導(dǎo)致對(duì)系統(tǒng)或組織損害的不期望事件發(fā)生的潛在原因，在信息安全領(lǐng)域可以將會(huì)潛在妨害安全并對(duì)信息系統(tǒng)造成破壞的環(huán)境或事件定義為系統(tǒng)的危險(xiǎn)。威脅的起因可能是蓄意的，也可能是偶然或自然的。據(jù)國(guó)際權(quán)威調(diào)查，85％以上的安全事件出自內(nèi)網(wǎng)，企業(yè)時(shí)刻面臨著諸如：APT和針對(duì)性攻擊、零日惡意軟件和文檔漏洞、Web威脅(漏洞、隱蔽強(qiáng)迫下載)、電子郵件威脅(網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚)、特洛伊木馬、蠕蟲病毒、按鍵記錄軟件和犯罪軟件、破壞性應(yīng)用程序等各種威脅。內(nèi)網(wǎng)信息安全是一個(gè)廣泛的概念，包括了桌面管理、監(jiān)控審計(jì)、威脅發(fā)現(xiàn)與分析、授權(quán)管理和信息保密等內(nèi)容，一個(gè)完整的內(nèi)網(wǎng)信息安全體系，需要考慮計(jì)算機(jī)終端、用戶身份、計(jì)算機(jī)外設(shè)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、存儲(chǔ)和服務(wù)器等各方面的因素。高級(jí)持續(xù)性威脅和針對(duì)性攻擊已清楚地表明其抵御傳統(tǒng)安全防御、保持長(zhǎng)期不被檢測(cè)到，以及隱蔽泄露公司數(shù)據(jù)和知識(shí)產(chǎn)權(quán)的能力。隨著新型IT技術(shù)的應(yīng)用(例如云計(jì)算技術(shù)等)，進(jìn)一步加劇了這些攻擊的嚴(yán)重性，削弱了外圍安保的作用，從而使網(wǎng)絡(luò)更容易遭到攻擊。企業(yè)分析人員和專家已清楚地認(rèn)識(shí)到這些問(wèn)題，并建議企業(yè)加強(qiáng)其安全監(jiān)測(cè)及防御，采用專業(yè)的針對(duì)高級(jí)持續(xù)性威脅的檢測(cè)技術(shù)和前瞻性的實(shí)時(shí)威脅管理流程來(lái)進(jìn)行威脅分析。

　　如今，高級(jí)持續(xù)性攻擊使用多階段方式來(lái)竊取重要數(shù)據(jù)：獲取入口點(diǎn)，下載其他惡意軟件，打開后門程序訪問(wèn)，找到并危害目標(biāo)系統(tǒng)，然后上傳數(shù)據(jù)。盡管筆記本電腦數(shù)據(jù)危害可快速發(fā)生，但從初始入侵到目標(biāo)數(shù)據(jù)受到危害通常需要幾天或幾周的時(shí)間，實(shí)際發(fā)現(xiàn)并完全抑制危害所用的時(shí)間可能為幾個(gè)月。在此期間，企業(yè)網(wǎng)絡(luò)中潛伏著入侵者，其目的是持續(xù)危害重要數(shù)據(jù)。趨勢(shì)科技深度威脅發(fā)現(xiàn)設(shè)備TDA使用3個(gè)層面的檢測(cè)方案來(lái)執(zhí)行初始檢測(cè)，然后進(jìn)行模擬和關(guān)聯(lián)，最后通過(guò)最終的交叉關(guān)聯(lián)發(fā)現(xiàn)隱蔽的高級(jí)持續(xù)性威脅活動(dòng)，以及其他只有通過(guò)長(zhǎng)期觀察才能發(fā)現(xiàn)的隱蔽活動(dòng)，為企業(yè)和政府組織提供了降低高級(jí)持續(xù)性威脅攻擊(APT)和針對(duì)性攻擊風(fēng)險(xiǎn)所需的全網(wǎng)范圍的可見(jiàn)性、洞察力和控制。TDA以獨(dú)特方式實(shí)時(shí)檢測(cè)和虛擬模擬分析技術(shù)，提供防止、發(fā)現(xiàn)和抑制針對(duì)公司數(shù)據(jù)的攻擊所需的深入分析和行動(dòng)情報(bào)。TDA通過(guò)對(duì)高級(jí)持續(xù)性威脅惡意軟件和隱蔽式攻擊者行為的檢測(cè)和深入分析，為企業(yè)和政府組織提供在不斷發(fā)展的網(wǎng)絡(luò)環(huán)境中檢測(cè)APT和針對(duì)性攻擊所需的可見(jiàn)性和情報(bào)。

　　3.3 風(fēng)險(xiǎn)處理

　　風(fēng)險(xiǎn)評(píng)估之后，明確了企業(yè)自身真正的安全需求，在制定并落實(shí)各項(xiàng)風(fēng)險(xiǎn)處理計(jì)劃時(shí)，首先要考慮的，是在整個(gè)公司范圍內(nèi)建立有效的安全管理和執(zhí)行組織，落實(shí)人員的責(zé)任。具體來(lái)說(shuō)，最終企業(yè)建立的信息安全管理組織應(yīng)該設(shè)置以下關(guān)鍵角色，如圖1所示。

　　企業(yè)還應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果制定一系列風(fēng)險(xiǎn)處置計(jì)劃。計(jì)劃可以是分階段分層次的，從階段來(lái)講，通常分為短期、中期和長(zhǎng)期計(jì)劃，或者從層次來(lái)講，通常分為事務(wù)實(shí)施計(jì)劃、策略計(jì)劃和戰(zhàn)略計(jì)劃。企業(yè)在制定信息安全計(jì)劃時(shí)應(yīng)該優(yōu)先考慮與關(guān)鍵業(yè)務(wù)最緊密相關(guān)的信息系統(tǒng)環(huán)境，至于先做什么后做什么，只有根據(jù)風(fēng)險(xiǎn)評(píng)估得出風(fēng)險(xiǎn)等級(jí)之后，由決策者最終確定。不過(guò)，無(wú)論優(yōu)先順序如何考慮，企業(yè)都應(yīng)該有計(jì)劃地實(shí)施以下事務(wù)：

　　1)編寫并完善企業(yè)信息安全策略文件，這是統(tǒng)領(lǐng)企業(yè)信息安全管理各項(xiàng)事務(wù)的總體綱領(lǐng)、指導(dǎo)方針和行動(dòng)指南。務(wù)必做到信息安全管理“有法可依”和“有法必依”，并且盡量實(shí)現(xiàn)“執(zhí)法必嚴(yán)”和“違法必究”。

　　2)在人員組織方面應(yīng)該做到：

　�、俳M建信息安全管理組織架構(gòu)，設(shè)定人員責(zé)任；

　�、趯�(shí)施層次化和全方位的人員意識(shí)培訓(xùn)，使每一個(gè)員工能夠自覺(jué)履行安全責(zé)任，使每一個(gè)系統(tǒng)管理和維護(hù)人員掌握應(yīng)有的安全技能，使信息安全管理者有能力去行使信息安全管理職權(quán)。

　　3)在流程建設(shè)方面應(yīng)該做到：

　�、偌訌�(qiáng)內(nèi)部審核。這要求企業(yè)建立內(nèi)部審核流程和制度，明確責(zé)任人，制定審核計(jì)劃，定期對(duì)公司信息安全管理體系的運(yùn)行情況進(jìn)行審核，審核結(jié)果應(yīng)該和人員考核掛鉤，發(fā)現(xiàn)問(wèn)題及時(shí)改進(jìn)，使遵守信息安全策略真正成為每一個(gè)員工的意識(shí)和習(xí)慣；

　�、诮�立BCP/DRP機(jī)制，包括應(yīng)急響應(yīng)，完善企業(yè)業(yè)務(wù)連續(xù)性管理框架；

　�、蹖�安全管理流程與IT服務(wù)管理流程結(jié)合，在變更管理、配置管理、問(wèn)題管理等方面進(jìn)行規(guī)范化。

　　4)在信息安全技術(shù)運(yùn)用方面應(yīng)該考慮：

　　①對(duì)IT基礎(chǔ)設(shè)施實(shí)施安全加固，從系統(tǒng)一級(jí)消減因?yàn)榕渲没蛘卟僮鞑划?dāng)而造成的安全風(fēng)險(xiǎn)；

　�、诩訌�(qiáng)應(yīng)用系統(tǒng)的安全性，采取應(yīng)用審計(jì)和分析等手段，對(duì)架構(gòu)于基礎(chǔ)設(shè)施之上的各種應(yīng)用系統(tǒng)進(jìn)行安全加強(qiáng)；

　　③對(duì)適合于采用技術(shù)措施來(lái)予以消減的風(fēng)險(xiǎn)，應(yīng)該制定可行的解決方案(包括產(chǎn)品解決方案)，或者委托專業(yè)技術(shù)公司來(lái)提供并實(shí)施解決方案，方案的實(shí)施應(yīng)該在相應(yīng)的策略或程序指導(dǎo)下進(jìn)行。

　　有了安全計(jì)劃，為了落實(shí)既定的目標(biāo)，必須有針對(duì)性地設(shè)計(jì)解決方案，其中技術(shù)或產(chǎn)品解決方案就是很典型的例子。當(dāng)然，這里需要澄清的是，信息安全體系建設(shè)并不能簡(jiǎn)單地認(rèn)為就是信息安全集成(產(chǎn)品集成)，因?yàn)樾畔�安全管理更多牽涉到的可能還是非技術(shù)的東西，有時(shí)候，用管理手段去解決風(fēng)險(xiǎn)問(wèn)題，往往比花費(fèi)大的代價(jià)購(gòu)買產(chǎn)品去應(yīng)對(duì)要更加經(jīng)濟(jì)有效。說(shuō)到底，設(shè)計(jì)怎樣的解決方案，直接取決于企業(yè)真正的安全需求和管理決策。有了計(jì)劃，有了方案，剩下的事情就比較簡(jiǎn)單了，只要管理層充分重視和支持，項(xiàng)目管理操作完善，及時(shí)總結(jié)和調(diào)整，實(shí)現(xiàn)既定的目標(biāo)是很自然的事情。

　　3.4 文件編寫

　　有效的信息安全保障管理體系包括一套體系化的文件，這里講的文件，并非簡(jiǎn)單的幾個(gè)電子文件或者紙質(zhì)文件，它要充分體現(xiàn)信息安全保障管理有法可依、有據(jù)可查的狀態(tài)。信息安全保障管理文件，是指導(dǎo)并且追蹤所有信息安全保障管理事務(wù)所必備的工具。所以，風(fēng)險(xiǎn)評(píng)估之后，解決方案中包含的很重要的一項(xiàng)任務(wù)，就是制定并有針對(duì)性地完善信息安全管理文件體系。在文件編寫方面，企業(yè)應(yīng)首先組建兩個(gè)編寫小組，一個(gè)是負(fù)責(zé)制定全公司范圍的安全策略(方針)文件，另一個(gè)是負(fù)責(zé)制定具體實(shí)施的策略文件。從層次上來(lái)看，企業(yè)要建立完整的文檔體系，通常由四級(jí)文件構(gòu)成。

　　(1)綱領(lǐng)性文件

　　信息安全方針類文件，需要從公司整體角度來(lái)考慮制定，它應(yīng)該能夠反映最高管理者對(duì)信息安全工作下達(dá)的旨意，應(yīng)該能為所有下級(jí)文件的編寫指引方向。包含信息安全方針的信息安全管理手冊(cè)，由信息安全委員會(huì)負(fù)責(zé)制定、修改和審批，是對(duì)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)信息安全保障管理是按照既定目標(biāo)要求建立并運(yùn)行的。

　　(2)規(guī)章、程序性文件

　　程序文件應(yīng)該是針對(duì)信息安全保障管理某方面工作的，是對(duì)信息安全方針內(nèi)容的進(jìn)一步落實(shí)，應(yīng)該是不同部門都能適用的，通常包括(可能不限于此)：風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)評(píng)估程序、內(nèi)部審核程序、管理評(píng)審程序、文件記錄控制管理程序、糾正預(yù)防控制管理程序、信息安全事件管理程序、信息設(shè)備管理程序、信息安全組織建設(shè)規(guī)定、第三方和外包管理規(guī)定、信息資產(chǎn)分類管理規(guī)定、人力資源管理程序、工作環(huán)境安全管理規(guī)定、介質(zhì)處理與安全規(guī)定、系統(tǒng)開發(fā)與維護(hù)程序、變更管理程序、防病毒管理程序、信息交換管理程序、業(yè)務(wù)連續(xù)性管理程序、法律符合性管理規(guī)定。

　　(3)指南、操作性文件

　　具體的操作指導(dǎo)書涉及與具體部門特定工作或系統(tǒng)相關(guān)的具體作業(yè)規(guī)范(操作步驟和方法)，可以由各個(gè)單位自行制定，是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化描述。

　　(4)記錄、證據(jù)性文件

　　各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄和表格，應(yīng)該成為信息安全保障管理執(zhí)行情況的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。

　　3.5 汽車制造業(yè)信息安全保障管理審核

　　信息安全保障管理審核包含信息安全內(nèi)部審核(通過(guò)所說(shuō)的內(nèi)審)與信息安全保障管理測(cè)量，其本質(zhì)就是看其是否符合標(biāo)準(zhǔn)規(guī)范以及既定的策略要求，是否符合企業(yè)真實(shí)的安全需求，以及驗(yàn)證企業(yè)信息安全保障管理體系控制措施的實(shí)施情況與實(shí)施有效性。參照信息安全管理標(biāo)準(zhǔn)的要求，在信息安全保障管理體系初步建立之后，企業(yè)應(yīng)該借助安全審計(jì)等途徑，對(duì)ISMS的效力進(jìn)行定期評(píng)審，以確定其是否符合既定的安全方針和目標(biāo)，確定安全控制是否依然有效。安全審計(jì)可以由企業(yè)內(nèi)部來(lái)完成(內(nèi)部審核)，也可以由第三方機(jī)構(gòu)來(lái)實(shí)施(外部審核)。內(nèi)部審核通常包括管理和技術(shù)兩個(gè)方面：一方面，企業(yè)可以依據(jù)相關(guān)國(guó)際通行標(biāo)準(zhǔn)(如IS027001標(biāo)準(zhǔn))或自身規(guī)范、既定的方針和程序等管理文件，對(duì)當(dāng)前ISMS所有相關(guān)活動(dòng)和內(nèi)容進(jìn)行符合性檢查；另一方面，可以借助一些技術(shù)手段，對(duì)信息系統(tǒng)進(jìn)行檢查以確保其符合安全實(shí)施標(biāo)準(zhǔn)。內(nèi)部審核可以作為提請(qǐng)真正認(rèn)證審核的一項(xiàng)模擬活動(dòng)來(lái)進(jìn)行。

四 結(jié)語(yǔ)

　　中國(guó)有一句老話，叫做“居安思�！�。何況在信息安全問(wèn)題上，企業(yè)所面對(duì)的客觀形勢(shì)還根本談不上“居安”。當(dāng)前，信息安全保障的管理正成為世界上的熱點(diǎn)、重點(diǎn)和難點(diǎn)在加以研究中。然而，信息安全終究是高技術(shù)的對(duì)抗，企業(yè)要解決信息安全，不發(fā)展和應(yīng)用信息安全技術(shù)是不行的。所以。正確的方法是堅(jiān)持管理和技術(shù)并重，積極發(fā)展和采用信息安全技術(shù)，加強(qiáng)信息安全管理。信息安全保障能力已經(jīng)成為衡量企業(yè)競(jìng)爭(zhēng)力的重要依據(jù)，對(duì)于一個(gè)企業(yè)而言，如何保證其整體信息安全，保障信息系統(tǒng)的可用性、完整性、保密性以及信息與信息系統(tǒng)的可控性，防止企業(yè)核心信息泄密，保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)，維護(hù)企業(yè)核心利益，在當(dāng)前形式下顯得尤為重要。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：汽車制造業(yè)信息安全保障管理實(shí)施關(guān)鍵過(guò)程

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112185247.html