制造業(yè)的信息化一直被認(rèn)為業(yè)界認(rèn)為是最完善、最復(fù)雜的信息化系統(tǒng)，信息化的安全性在制造業(yè)中的地位至關(guān)重要，沒有安全的信息化，企業(yè)就難有大的發(fā)展。也正是這種行業(yè)安全的理念“根深蒂固”，讓制造業(yè)的信息化建設(shè)水平和信息化程度一直排在整個行業(yè)的前列。

正如前面所說，制造業(yè)與其他行業(yè)相比，信息化建設(shè)的情況現(xiàn)對完善，從制造業(yè)市場的調(diào)研、到生產(chǎn)、排程、物流、進(jìn)銷存、銷售、客戶管理、電子商務(wù)，可以說，其他行業(yè)里面所有的信息化過程都可以在制造業(yè)中體現(xiàn)。面對如此全面和復(fù)雜的制造業(yè)信息化系統(tǒng)，企業(yè)應(yīng)該以什么樣的思路來保證制造業(yè)整個生產(chǎn)流程的信息化安全？近日，記者采訪到制造業(yè)信息化行業(yè)專家劉歆軼先生，他從國際ISO27001標(biāo)準(zhǔn)的風(fēng)險評估的角度，研究和分析制造業(yè)信息安全全過程。

劉歆軼介紹說，制造業(yè)的信息安全體現(xiàn)與其他的ERP、CRM等系統(tǒng)一樣，需要分析業(yè)務(wù)目標(biāo)、制定一個評估標(biāo)準(zhǔn)，然后根據(jù)評估標(biāo)準(zhǔn)進(jìn)行差異化分析，最后通過制定時間規(guī)劃，進(jìn)行信息化設(shè)備的選擇和采購。其中信息化安全的部分，需要考慮信息化系統(tǒng)增長的狀況與信息安全規(guī)劃的協(xié)調(diào)。

企業(yè)信息化系統(tǒng)需要評估

制造業(yè)信息化安全的第一步是業(yè)務(wù)分析。在業(yè)務(wù)分析的基礎(chǔ)上做風(fēng)險評估。劉歆軼說到，制造業(yè)一般按照國際的ISO27001標(biāo)準(zhǔn)進(jìn)行風(fēng)險評估，標(biāo)準(zhǔn)中對企業(yè)的11個領(lǐng)域目前進(jìn)而將來可能會存在的問題進(jìn)行全面的評估。

具體來說，分以下幾個部分：

第一部分是企業(yè)制定具體的方針。整個企業(yè)需要具有信息安全的政策，并且全企業(yè)全部貫徹實(shí)施。這個政策最好是企業(yè)最高層級別的質(zhì)量手冊，這樣可以保證方針的有效執(zhí)行。

第二部分企業(yè)信息安全的組織需要完善。劉歆軼特別提到，目前很多公司認(rèn)為信息安全只是IT部門的職責(zé)，實(shí)際上，信息安全與每個員工都是息息相關(guān)的，通過企業(yè)的信息安全的組織形式，如建立信息安全委員會(公司的最高層擔(dān)任委員會的主席)、信息安全核心工作小組(主要做安全工作的跟蹤和實(shí)施)、審計小組(對企業(yè)整個信息情況進(jìn)行年度或季度內(nèi)審)、信息安全成員小組(對信息安全策略進(jìn)行傳達(dá))可以貫徹執(zhí)行企業(yè)信息安全制度。

第三部分是對企業(yè)信息資產(chǎn)的控制。企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對象。除了最常用的辦公工具電腦外，復(fù)印件、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分。此外，再把信息安全管控的因素加進(jìn)去，把設(shè)備的類型、資產(chǎn)類型進(jìn)行分類、標(biāo)識、資產(chǎn)發(fā)放、合理授權(quán)，這樣便于企業(yè)對其信息資產(chǎn)進(jìn)行控制。

第四部分內(nèi)容是保證人力的安全。“人”在某種程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個信息化環(huán)節(jié)上的人員都有特定的角色扮演。而每一個角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件，選拔，以及雇傭保密協(xié)議的限制，這是從企業(yè)信息化在人員安全角度必須考慮的問題。

第五部分是信息化系統(tǒng)的物理安全，需要對物理邊界進(jìn)行把控。例如企業(yè)日常辦公中的門禁系統(tǒng)，門禁權(quán)限分配與管理、權(quán)限申請與把控。劉歆軼介紹說，對于生產(chǎn)制造型的企業(yè)來說，其生產(chǎn)部分、研發(fā)部門因為職能的不同，對人員進(jìn)出的要求也不同。尤其是研發(fā)部門，實(shí)驗室的物理安全性非常重要。

第六部分是對通信等網(wǎng)絡(luò)設(shè)備的安全管控。從廣義上的服務(wù)器，到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃、驗收、網(wǎng)絡(luò)的黑客攻防，網(wǎng)絡(luò)的安全管理，磁盤的備份都是需要做管控。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容。

第七部分是訪問控制，企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān)，其中包括各種軟件的賬號管理、網(wǎng)絡(luò)設(shè)備登陸登出管理、權(quán)限變更、人員訪問和等級劃分。

第八部分是信息系統(tǒng)的獲取和開發(fā)。信息系統(tǒng)的開發(fā)一般包括ERP、CRM等各種軟件系統(tǒng)的開發(fā)和實(shí)施。在開發(fā)和實(shí)施過程中需要符合一點(diǎn)標(biāo)準(zhǔn)。劉歆軼介紹說，美國的薩班斯法案里面的條款的要求，系統(tǒng)的輸入保證不出現(xiàn)錯誤、中間的運(yùn)算過程不能出現(xiàn)誤差、輸出結(jié)果正確無誤。換句話說，如果企業(yè)自己開發(fā)的系統(tǒng)輸入和輸出有偏差，企業(yè)的CEO或者CIO可能會收到法律的制裁。特別是外企，或者在國外上市的中國企業(yè)對信息系統(tǒng)軟件的開發(fā)的要求相對較高，企業(yè)一定要有足夠的證據(jù)證明自己所開發(fā)的系統(tǒng)是能夠做到正常輸入，防止勿操作、錯誤數(shù)據(jù)無法輸入，運(yùn)算過程可追溯還有經(jīng)過黑箱測試和白箱測試。此外、除了企業(yè)自己開發(fā)外，企業(yè)購買供應(yīng)商軟件產(chǎn)品時，也要要求供應(yīng)商提供相應(yīng)的資質(zhì)證明。

第九部分是對信息安全事故的管理。企業(yè)一旦發(fā)生信息安全事故，信息安全事故的處理機(jī)制就顯得尤為重要。比如發(fā)現(xiàn)問題、匯總問題、問題分析、事故處理、問題回顧、再次檢測、事故報道撰寫、證據(jù)收集、案例調(diào)整等，都需要對信息安全進(jìn)行事故管理。

第十部分是業(yè)務(wù)連續(xù)性管理。該部分主要包括容災(zāi)恢復(fù)與備份、應(yīng)急預(yù)案。劉歆軼說到，從美國911事件之后，地震、火災(zāi)、海嘯、臺風(fēng)等災(zāi)難對于企業(yè)業(yè)務(wù)聯(lián)系性的影響也越來越受企業(yè)重視。與災(zāi)難恢復(fù)不同的是，該部分注重企業(yè)業(yè)務(wù)連續(xù)性的要求，特別是制造業(yè)，需要讓企業(yè)的業(yè)務(wù)盡快的恢復(fù)運(yùn)行，通過讓業(yè)務(wù)人員的訪問其他代替的系統(tǒng)，來保證企業(yè)業(yè)務(wù)不中斷。

第十一部分是企業(yè)系統(tǒng)的合規(guī)性。合規(guī)性體現(xiàn)在企業(yè)生產(chǎn)安全過程要符合國際的法律、法規(guī)，比如說上市公司要符合薩班斯法案、銀行金融業(yè)需要符合銀監(jiān)會的要求、產(chǎn)品策略需要符合政府的要求，而這些要求最終要體現(xiàn)在信息系統(tǒng)上，所以信息系統(tǒng)上要有檢測合規(guī)性的模塊，使得這套信息系統(tǒng)要符合企業(yè)安全的管控要求。#p#

企業(yè)信息化目標(biāo)差距分析

企業(yè)依照以上11個方面對信息化系統(tǒng)進(jìn)行評估后，就自然而然的了解了信息化系統(tǒng)整體的狀況。這時候，企業(yè)的IT部門需要對評估后的結(jié)果進(jìn)行差距分析。

通過差距分析，可以讓企業(yè)的IT部門了解是造成的差距原因是什么，如何解決這些差距。劉歆軼特別提到，不僅僅是制造業(yè)，幾乎所有的企業(yè)都面臨著“可接受性”影響。比如說，很多企業(yè)認(rèn)為有的風(fēng)險雖然存在，但是不影響企業(yè)的核心價值，這個時候IT部門可以認(rèn)為這個風(fēng)險可以暫時存在，沒有必要馬上解決。企業(yè)的IT部門工作的職能不是“消滅所有的風(fēng)險”，而是把風(fēng)險降低到可以接受的這條線之上。這也是目前IT人經(jīng)常容易忽略的問題。很多企業(yè)的IT部門經(jīng)常在遇到一個問題時就要立刻解決掉，但是實(shí)際上解決一些小的問題的人力和財力成本，這樣對于企業(yè)來說沒有價值。

所有企業(yè)在進(jìn)行差距分析的一個重要內(nèi)容就是風(fēng)險底線的分析，如果超多這個底線，就需要解決掉。經(jīng)過差距分析后，信息化系統(tǒng)的問題，處理的時間、資金支持、資源支持的訴求可以確定，企業(yè)的信息化整體的工作計劃也可隨著出臺。

整體計劃包括可以是5年計劃，3年計劃，和1年計劃等，通過計劃的輕重緩急，企業(yè)的IT部門可以對人力進(jìn)行合理分配，重點(diǎn)項目跟進(jìn)，部門協(xié)調(diào)等等，最后經(jīng)過企業(yè)高層人員的評估，確認(rèn)、審批后就可以進(jìn)入到具體的實(shí)施階段。

信息安全產(chǎn)品選型是最后一環(huán)

談到信息安全產(chǎn)品的選型，劉歆軼說到，經(jīng)過上面的介紹可以看出，信息安全產(chǎn)品的選型在整個安全信息化項目的實(shí)施過程中是最后一個環(huán)節(jié)，舉例說來，通過評估和差距分析后，信息化系統(tǒng)需要彌補(bǔ)外網(wǎng)的攻擊的風(fēng)險，這時候IT部門通過查看針對外網(wǎng)攻擊的屬于哪類安全風(fēng)險，然后查看具體在計劃中的哪一年的哪個月份開始實(shí)施，然后再考慮具體選擇哪個供應(yīng)商的產(chǎn)品和解決方案。

以上是整個信息化安全系統(tǒng)方案在企業(yè)中實(shí)施的全過程，此外企業(yè)內(nèi)部還會對項目的實(shí)施效果進(jìn)行審查和審計，如果企業(yè)需要做認(rèn)證的話，還需要進(jìn)行外部審計。