製造業資訊化安全部署三步走

製造業的資訊化一直被認為業界認為是最完善、最複雜的資訊化系統，資訊化的安全性在製造業中的地位至關重要，沒有安全的資訊化，企業就難有大的發展。也正是這種行業安全的理念「根深蒂固」，讓製造業的資訊化建設水平和資訊化程度一直排在整個行業的前列。

正如前面所說，製造業與其他行業相比，資訊化建設的情況現對完善，從製造業市場的調研、到生產、排程、物流、進銷存、銷售、客戶管理、電子商務，可以說，其他行業裡面所有的資訊化過程都可以在製造業中體現。面對如此全面和複雜的製造業資訊化系統，企業應該以什麼樣的思路來保證製造業整個生產流程的資訊化安全？近日，記者採訪到製造業資訊化行業專家劉歆軼先生，他從國際iso27001標準的風險評估的角度，研究和分析製造業資訊保安全過程。

劉歆軼介紹說，製造業的資訊保安體現與其他的erp、crm等系統一樣，需要分析業務目標、制定乙個評估標準，然後根據評估標準進行差異化分析，最後通過制定時間規劃，進行資訊化裝置的選擇和採購。其中資訊化安全的部分，需要考慮資訊化系統增長的狀況與資訊保安規劃的協調。

企業資訊化系統需要評估

製造業資訊化安全的第一步是業務分析。在業務分析的基礎上做風險評估。劉歆軼說到，製造業一般按照國際的iso27001標準進行風險評估，標準中對企業的11個領域目前進而將來可能會存在的問題進行全面的評估。

具體來說，分以下幾個部分，第一部分是企業制定具體的方針。整個企業需要具有資訊保安的政策，並且全企業全部貫徹實施。這個政策最好是企業最高層級別的質量手冊，這樣可以保證方針的有效執行。

第二部分企業資訊保安的組織需要完善。劉歆軼特別提到，目前很多公司認為資訊保安只是it部門的職責，實際上，資訊保安與每個員工都是息息相關的，通過企業的資訊保安的組織形式，如建立資訊保安委員會(公司的最高層擔任委員會的主席)、資訊保安核心工作小組(主要做安全工作的跟蹤和實施)、審計小組(對企業整個資訊情況進行年度或季度內審)、資訊保安成員小組(對資訊保安策略進行傳達)可以貫徹執行企業資訊保安制度。

企業資訊保安的第三部分是對企業資訊資產的控制。企業所有包含企業資訊的裝置都是資訊保安部門需要保護的物件。除了最常用的辦公工具電腦外，影印件、印表機等具有輸出資訊功能的裝置都是it資產保護的一部分。此外，再把資訊保安管控的因素加進去，把裝置的型別、資產型別進行分類、標識、資產發放、合理授權，這樣便於企業對其資訊資產進行控制。

第四部分內容是保證人力的安全。「人」在某種程度上講也算是資訊的資產的「攜帶者」。每乙個資訊化環節上的人員都有特定的角色扮演。而每乙個角色擔當需要經過嚴格的聘用條件，選拔，以及僱傭保密協議的限制，這是從企業資訊化在人員安全角度必須考慮的問題。

第五部分是資訊化系統的物理安全，需要對物理邊界進行把控。例如企業日常辦公中的門禁系統，門禁許可權分配與管理、許可權申請與把控。劉歆軼介紹說，對於生產製造型的企業來說，其生產部分、研發部門因為職能的不同，對人員進出的要求也不同。尤其是研發部門，實驗室的物理安全性非常重要。

第六部分是對通訊等網路裝置的安全管控。從廣義上的伺服器，到狹義上的資訊化安全產品的實施和規劃、驗收、網路的黑客攻防，網路的安全管理，磁碟的備份都是需要做管控。一般企業的it也是最關心這類的安全內容。

第七部分是訪問控制，企業對資訊系統的體系和環節都需要訪問控制和人員把關，其中包括各種軟體的賬號管理、網路裝置登陸登出管理、許可權變更、人員訪問和等級劃分。

第八部分是資訊系統的獲取和開發。資訊系統的開發一般包括erp、crm等各種軟體系統的開發和實施。在開發和實施過程中需要符合一點標準。劉歆軼介紹說，美國的薩班斯法案裡面的條款的要求，系統的輸入保證不出現錯誤、中間的運算過程不能出現誤差、輸出結果正確無誤。換句話說，如果企業自己開發的系統輸入和輸出有偏差，企業的ceo或者cio可能會收到法律的制裁。特別是外企，或者在國外上市的中國企業對資訊系統軟體的開發的要求相對較高，企業一定要有足夠的證據證明自己所開發的系統是能夠做到正常輸入，防止勿操作、錯誤資料無法輸入，運算過程可追溯還有經過黑箱測試和白箱測試。此外、除了企業自己開發外，企業購買**商軟體產品時，也要要求**商提供相應的資質證明。

第九部分是對資訊保安事故的管理。企業一旦發生資訊保安事故，資訊保安事故的處理機制就顯得尤為重要。比如發現問題、彙總問題、問題分析、事故處理、問題回顧、再次檢測、事故報道撰寫、證據收集、案例調整等，都需要對資訊保安進行事故管理。

第十部分是業務連續性管理。該部分主要包括容災恢復與備份、應急預案。劉歆軼說到，從美國911事件之後，**、火災、海嘯、颱風等災難對於企業業務聯絡性的影響也越來越受企業重視。與災難恢復不同的是，該部分注重企業業務連續性的要求，特別是製造業，需要讓企業的業務盡快的恢復執行，通過讓業務人員的訪問其他代替的系統，來保證企業業務不中斷。

第十一部分是企業系統的合規性。合規性體現在企業生產安全過程要符合國際的法律、法規，比如說上市公司要符合薩班斯法案、銀行金融業需要符合銀監會的要求、產品策略需要符合**的要求，而這些要求最終要體現在資訊系統上，所以資訊系統上要有檢測合規性的模組，使得這套資訊系統要符合企業安全的管控要求。

企業資訊化目標差距分析

企業依照以上11個方面對資訊化系統進行評估後，就自然而然的了解了資訊化系統整體的狀況。這時候，企業的it部門需要對評估後的結果進行差距分析。

通過差距分析，可以讓企業的it部門了解是造成的差距原因是什麼，如何解決這些差距。劉歆軼特別提到，不僅僅是製造業，幾乎所有的企業都面臨著「可接受性」影響。比如說，很多企業認為有的風險雖然存在，但是不影響企業的核心價值，這個時候it部門可以認為這個風險可以暫時存在，沒有必要馬上解決。企業的it部門工作的職能不是「消滅所有的風險」，而是把風險降低到可以接受的這條線之上。這也是目前it人經常容易忽略的問題。很多企業的it部門經常在遇到乙個問題時就要立刻解決掉，但是實際上解決一些小的問題的人力和財力成本，這樣對於企業來說沒有價值。

所有企業在進行差距分析的乙個重要內容就是風險底線的分析，如果超多這個底線，就需要解決掉。經過差距分析後，資訊化系統的問題，處理的時間、資金支援、資源支援的訴求可以確定，企業的資訊化整體的工作計畫也可隨著出台。

整體計畫包括可以是5年計畫，3年計畫，和1年計畫等，通過計畫的輕重緩急，企業的it部門可以對人力進行合理分配，重點專案跟進，部門協調等等，最後經過企業高層人員的評估，確認、審批後就可以進入到具體的實施階段。

資訊保安產品選型是最後一環

談到資訊保安產品的選型，劉歆軼說到，經過上面的介紹可以看出，資訊保安產品的選型在整個安全資訊化專案的實施過程中是最後乙個環節，舉例說來，通過評估和差距分析後，資訊化系統需要彌補外網的攻擊的風險，這時候it部門通過檢視針對外網攻擊的屬於哪類安全風險，然後檢視具體在計畫中的哪一年的哪個月份開始實施，然後再考慮具體選擇哪個**商的產品和解決方案。

以上是整個資訊化安全系統方案在企業中實施的全過程，此外企業內部還會對專案的實施效果進行審查和審計，如果企業需要做認證的話，還需要進行外部審計。

製造業資訊化安全部署三步走

製造業資訊化與現代企業管理

服裝製造業資訊化系統分析（一）

製造業物流

製造業資訊化安全部署三步走

製造業資訊化與現代企業管理

服裝製造業資訊化系統分析（一）

製造業物流

相關推薦