制造業(yè)的信息化一直被認(rèn)為業(yè)界認(rèn)為是最完善、最復(fù)雜的信息化系統(tǒng)，信息化的安全性在制造業(yè)中的地位至關(guān)重要，沒(méi)有安全的信息化，企業(yè)就難有大的發(fā)展。也正是這種行業(yè)安全的理念“根深蒂固”，讓制造業(yè)的信息化建設(shè)水平和信息化程度一直排在整個(gè)行業(yè)的前列。

正如前面所說(shuō)，制造業(yè)與其他行業(yè)相比，信息化建設(shè)的情況現(xiàn)對(duì)完善，從制造業(yè)市場(chǎng)的調(diào)研、到生產(chǎn)、排程、物流、進(jìn)銷存、銷售、客戶管理、電子商務(wù)，可以說(shuō)，其他行業(yè)里面所有的信息化過(guò)程都可以在制造業(yè)中體現(xiàn)。面對(duì)如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng)，企業(yè)應(yīng)該以什么樣的思路來(lái)保證制造業(yè)整個(gè)生產(chǎn)流程的信息化安全？近日，記者采訪到制造業(yè)信息化行業(yè)專家劉歆軼先生，他從國(guó)際ISO27001標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估的角度，研究和分析制造業(yè)信息安全全過(guò)程。

劉歆軼介紹說(shuō)，制造業(yè)的信息安全體現(xiàn)與其他的ERP、CRM等系統(tǒng)一樣，需要分析業(yè)務(wù)目標(biāo)、制定一個(gè)評(píng)估標(biāo)準(zhǔn)，然后根據(jù)評(píng)估標(biāo)準(zhǔn)進(jìn)行差異化分析，最后通過(guò)制定時(shí)間規(guī)劃，進(jìn)行信息化設(shè)備的選擇和采購(gòu)。其中信息化安全的部分，需要考慮信息化系統(tǒng)增長(zhǎng)的狀況與信息安全規(guī)劃的協(xié)調(diào)。

企業(yè)信息化系統(tǒng)需要評(píng)估

制造業(yè)信息化安全的第一步是業(yè)務(wù)分析。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險(xiǎn)評(píng)估。劉歆軼說(shuō)到，制造業(yè)一般按照國(guó)際的ISO27001標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，標(biāo)準(zhǔn)中對(duì)企業(yè)的11個(gè)領(lǐng)域目前進(jìn)而將來(lái)可能會(huì)存在的問(wèn)題進(jìn)行全面的評(píng)估。

具體來(lái)說(shuō)，分以下幾個(gè)部分：

第一部分是企業(yè)制定具體的方針。整個(gè)企業(yè)需要具有信息安全的政策，并且全企業(yè)全部貫徹實(shí)施。這個(gè)政策最好是企業(yè)最高層級(jí)別的質(zhì)量手冊(cè)，這樣可以保證方針的有效執(zhí)行。

第二部分企業(yè)信息安全的組織需要完善。劉歆軼特別提到，目前很多公司認(rèn)為信息安全只是IT部門的職責(zé)，實(shí)際上，信息安全與每個(gè)員工都是息息相關(guān)的，通過(guò)企業(yè)的信息安全的組織形式，如建立信息安全委員會(huì)(公司的最高層擔(dān)任委員會(huì)的主席)、信息安全核心工作小組(主要做安全工作的跟蹤和實(shí)施)、審計(jì)小組(對(duì)企業(yè)整個(gè)信息情況進(jìn)行年度或季度內(nèi)審)、信息安全成員小組(對(duì)信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度。

第三部分是對(duì)企業(yè)信息資產(chǎn)的控制。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對(duì)象。除了最常用的辦公工具電腦外，復(fù)印件、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分。此外，再把信息安全管控的因素加進(jìn)去，把設(shè)備的類型、資產(chǎn)類型進(jìn)行分類、標(biāo)識(shí)、資產(chǎn)發(fā)放、合理授權(quán)，這樣便于企業(yè)對(duì)其信息資產(chǎn)進(jìn)行控制。

第四部分內(nèi)容是保證人力的安全。“人”在某種程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個(gè)信息化環(huán)節(jié)上的人員都有特定的角色扮演。而每一個(gè)角色擔(dān)當(dāng)需要經(jīng)過(guò)嚴(yán)格的聘用條件，選拔，以及雇傭保密協(xié)議的限制，這是從企業(yè)信息化在人員安全角度必須考慮的問(wèn)題。

第五部分是信息化系統(tǒng)的物理安全，需要對(duì)物理邊界進(jìn)行把控。例如企業(yè)日常辦公中的門禁系統(tǒng)，門禁權(quán)限分配與管理、權(quán)限申請(qǐng)與把控。劉歆軼介紹說(shuō)，對(duì)于生產(chǎn)制造型的企業(yè)來(lái)說(shuō)，其生產(chǎn)部分、研發(fā)部門因?yàn)槁毮艿牟煌瑢?duì)人員進(jìn)出的要求也不同。尤其是研發(fā)部門，實(shí)驗(yàn)室的物理安全性非常重要。

第六部分是對(duì)通信等網(wǎng)絡(luò)設(shè)備的安全管控。從廣義上的服務(wù)器，到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃、驗(yàn)收、網(wǎng)絡(luò)的黑客攻防，網(wǎng)絡(luò)的安全管理，磁盤(pán)的備份都是需要做管控。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容。

第七部分是訪問(wèn)控制，企業(yè)對(duì)信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問(wèn)控制和人員把關(guān)，其中包括各種軟件的賬號(hào)管理、網(wǎng)絡(luò)設(shè)備登陸登出管理、權(quán)限變更、人員訪問(wèn)和等級(jí)劃分。

第八部分是信息系統(tǒng)的獲取和開(kāi)發(fā)。信息系統(tǒng)的開(kāi)發(fā)一般包括ERP、CRM等各種軟件系統(tǒng)的開(kāi)發(fā)和實(shí)施。在開(kāi)發(fā)和實(shí)施過(guò)程中需要符合一點(diǎn)標(biāo)準(zhǔn)。劉歆軼介紹說(shuō)，美國(guó)的薩班斯法案里面的條款的要求，系統(tǒng)的輸入保證不出現(xiàn)錯(cuò)誤、中間的運(yùn)算過(guò)程不能出現(xiàn)誤差、輸出結(jié)果正確無(wú)誤。換句話說(shuō)，如果企業(yè)自己開(kāi)發(fā)的系統(tǒng)輸入和輸出有偏差，企業(yè)的CEO或者CIO可能會(huì)收到法律的制裁。特別是外企，或者在國(guó)外上市的中國(guó)企業(yè)對(duì)信息系統(tǒng)軟件的開(kāi)發(fā)的要求相對(duì)較高，企業(yè)一定要有足夠的證據(jù)證明自己所開(kāi)發(fā)的系統(tǒng)是能夠做到正常輸入，防止勿操作、錯(cuò)誤數(shù)據(jù)無(wú)法輸入，運(yùn)算過(guò)程可追溯還有經(jīng)過(guò)黑箱測(cè)試和白箱測(cè)試。此外、除了企業(yè)自己開(kāi)發(fā)外，企業(yè)購(gòu)買供應(yīng)商軟件產(chǎn)品時(shí)，也要要求供應(yīng)商提供相應(yīng)的資質(zhì)證明。

第九部分是對(duì)信息安全事故的管理。企業(yè)一旦發(fā)生信息安全事故，信息安全事故的處理機(jī)制就顯得尤為重要。比如發(fā)現(xiàn)問(wèn)題、匯總問(wèn)題、問(wèn)題分析、事故處理、問(wèn)題回顧、再次檢測(cè)、事故報(bào)道撰寫(xiě)、證據(jù)收集、案例調(diào)整等，都需要對(duì)信息安全進(jìn)行事故管理。

第十部分是業(yè)務(wù)連續(xù)性管理。該部分主要包括容災(zāi)恢復(fù)與備份、應(yīng)急預(yù)案。劉歆軼說(shuō)到，從美國(guó)911事件之后，地震、火災(zāi)、海嘯、臺(tái)風(fēng)等災(zāi)難對(duì)于企業(yè)業(yè)務(wù)聯(lián)系性的影響也越來(lái)越受企業(yè)重視。與災(zāi)難恢復(fù)不同的是，該部分注重企業(yè)業(yè)務(wù)連續(xù)性的要求，特別是制造業(yè)，需要讓企業(yè)的業(yè)務(wù)盡快的恢復(fù)運(yùn)行，通過(guò)讓業(yè)務(wù)人員的訪問(wèn)其他代替的系統(tǒng)，來(lái)保證企業(yè)業(yè)務(wù)不中斷。

第十一部分是企業(yè)系統(tǒng)的合規(guī)性。合規(guī)性體現(xiàn)在企業(yè)生產(chǎn)安全過(guò)程要符合國(guó)際的法律、法規(guī)，比如說(shuō)上市公司要符合薩班斯法案、銀行金融業(yè)需要符合銀監(jiān)會(huì)的要求、產(chǎn)品策略需要符合政府的要求，而這些要求最終要體現(xiàn)在信息系統(tǒng)上，所以信息系統(tǒng)上要有檢測(cè)合規(guī)性的模塊，使得這套信息系統(tǒng)要符合企業(yè)安全的管控要求。#p#

企業(yè)信息化目標(biāo)差距分析

企業(yè)依照以上11個(gè)方面對(duì)信息化系統(tǒng)進(jìn)行評(píng)估后，就自然而然的了解了信息化系統(tǒng)整體的狀況。這時(shí)候，企業(yè)的IT部門需要對(duì)評(píng)估后的結(jié)果進(jìn)行差距分析。

通過(guò)差距分析，可以讓企業(yè)的IT部門了解是造成的差距原因是什么，如何解決這些差距。劉歆軼特別提到，不僅僅是制造業(yè)，幾乎所有的企業(yè)都面臨著“可接受性”影響。比如說(shuō)，很多企業(yè)認(rèn)為有的風(fēng)險(xiǎn)雖然存在，但是不影響企業(yè)的核心價(jià)值，這個(gè)時(shí)候IT部門可以認(rèn)為這個(gè)風(fēng)險(xiǎn)可以暫時(shí)存在，沒(méi)有必要馬上解決。企業(yè)的IT部門工作的職能不是“消滅所有的風(fēng)險(xiǎn)”，而是把風(fēng)險(xiǎn)降低到可以接受的這條線之上。這也是目前IT人經(jīng)常容易忽略的問(wèn)題。很多企業(yè)的IT部門經(jīng)常在遇到一個(gè)問(wèn)題時(shí)就要立刻解決掉，但是實(shí)際上解決一些小的問(wèn)題的人力和財(cái)力成本，這樣對(duì)于企業(yè)來(lái)說(shuō)沒(méi)有價(jià)值。

所有企業(yè)在進(jìn)行差距分析的一個(gè)重要內(nèi)容就是風(fēng)險(xiǎn)底線的分析，如果超多這個(gè)底線，就需要解決掉。經(jīng)過(guò)差距分析后，信息化系統(tǒng)的問(wèn)題，處理的時(shí)間、資金支持、資源支持的訴求可以確定，企業(yè)的信息化整體的工作計(jì)劃也可隨著出臺(tái)。

整體計(jì)劃包括可以是5年計(jì)劃，3年計(jì)劃，和1年計(jì)劃等，通過(guò)計(jì)劃的輕重緩急，企業(yè)的IT部門可以對(duì)人力進(jìn)行合理分配，重點(diǎn)項(xiàng)目跟進(jìn)，部門協(xié)調(diào)等等，最后經(jīng)過(guò)企業(yè)高層人員的評(píng)估，確認(rèn)、審批后就可以進(jìn)入到具體的實(shí)施階段。

信息安全產(chǎn)品選型是最后一環(huán)

談到信息安全產(chǎn)品的選型，劉歆軼說(shuō)到，經(jīng)過(guò)上面的介紹可以看出，信息安全產(chǎn)品的選型在整個(gè)安全信息化項(xiàng)目的實(shí)施過(guò)程中是最后一個(gè)環(huán)節(jié)，舉例說(shuō)來(lái)，通過(guò)評(píng)估和差距分析后，信息化系統(tǒng)需要彌補(bǔ)外網(wǎng)的攻擊的風(fēng)險(xiǎn)，這時(shí)候IT部門通過(guò)查看針對(duì)外網(wǎng)攻擊的屬于哪類安全風(fēng)險(xiǎn)，然后查看具體在計(jì)劃中的哪一年的哪個(gè)月份開(kāi)始實(shí)施，然后再考慮具體選擇哪個(gè)供應(yīng)商的產(chǎn)品和解決方案。

以上是整個(gè)信息化安全系統(tǒng)方案在企業(yè)中實(shí)施的全過(guò)程，此外企業(yè)內(nèi)部還會(huì)對(duì)項(xiàng)目的實(shí)施效果進(jìn)行審查和審計(jì)，如果企業(yè)需要做認(rèn)證的話，還需要進(jìn)行外部審計(jì)。