制造業的信息化一直被認為業界認為是最完善、最復雜的信息化系統,信息化的安全性在制造業中的地位至關重要,沒有安全的信息化,企業就難有大的發展。也正是這種行業安全的理念“根深蒂固”,讓制造業的信息化建設水平和信息化程度一直排在整個行業的前列。
正如前面所說,制造業與其他行業相比,信息化建設的情況現對完善,從制造業市場的調研、到生產、排程、物流、進銷存、銷售、客戶管理、電子商務,可以說,其他行業里面所有的信息化過程都可以在制造業中體現。面對如此全面和復雜的制造業信息化系統,企業應該以什么樣的思路來保證制造業整個生產流程的信息化安全?近日,記者采訪到制造業信息化行業專家劉歆軼先生,他從國際ISO27001標準的風險評估的角度,研究和分析制造業信息安全全過程。
制造業信息化行業專家 劉歆軼
劉歆軼介紹說,制造業的信息安全體現與其他的ERP、CRM等系統一樣,需要分析業務目標、制定一個評估標準,然后根據評估標準進行差異化分析,最后通過制定時間規劃,進行信息化設備的選擇和采購。其中信息化安全的部分,需要考慮信息化系統增長的狀況與信息安全規劃的協調。
企業信息化系統需要評估
制造業信息化安全的第一步是業務分析。在業務分析的基礎上做風險評估。劉歆軼說到,制造業一般按照國際的ISO27001標準進行風險評估,標準中對企業的11個領域目前進而將來可能會存在的問題進行全面的評估。
具體來說,分以下幾個部分,第一部分是企業制定具體的方針。整個企業需要具有信息安全的政策,并且全企業全部貫徹實施。這個政策最好是企業最高層級別的質量手冊,這樣可以保證方針的有效執行。
第二部分企業信息安全的組織需要完善。劉歆軼特別提到,目前很多公司認為信息安全只是IT部門的職責,實際上,信息安全與每個員工都是息息相關的,通過企業的信息安全的組織形式,如建立信息安全委員會(公司的最高層擔任委員會的主席)、信息安全核心工作小組(主要做安全工作的跟蹤和實施)、審計小組(對企業整個信息情況進行年度或季度內審)、信息安全成員小組(對信息安全策略進行傳達)可以貫徹執行企業信息安全制度。
企業信息安全的第三部分是對企業信息資產的控制。企業所有包含企業信息的設備都是信息安全部門需要保護的對象。除了最常用的辦公工具電腦外,復印件、打印機等具有輸出信息功能的設備都是IT資產保護的一部分。此外,再把信息安全管控的因素加進去,把設備的類型、資產類型進行分類、標識、資產發放、合理授權,這樣便于企業對其信息資產進行控制。
第四部分內容是保證人力的安全。“人”在某種程度上講也算是信息的資產的“攜帶者”。每一個信息化環節上的人員都有特定的角色扮演。而每一個角色擔當需要經過嚴格的聘用條件,選拔,以及雇傭保密協議的限制,這是從企業信息化在人員安全角度必須考慮的問題。
第五部分是信息化系統的物理安全,需要對物理邊界進行把控。例如企業日常辦公中的門禁系統,門禁權限分配與管理、權限申請與把控。劉歆軼介紹說,對于生產制造型的企業來說,其生產部分、研發部門因為職能的不同,對人員進出的要求也不同。尤其是研發部門,實驗室的物理安全性非常重要。
第六部分是對通信等網絡設備的安全管控。從廣義上的服務器,到狹義上的信息化安全產品的實施和規劃、驗收、網絡的黑客攻防,網絡的安全管理,磁盤的備份都是需要做管控。一般企業的IT也是最關心這類的安全內容。
第七部分是訪問控制,企業對信息系統的體系和環節都需要訪問控制和人員把關,其中包括各種軟件的賬號管理、網絡設備登陸登出管理、權限變更、人員訪問和等級劃分。
第八部分是信息系統的獲取和開發。信息系統的開發一般包括ERP、CRM等各種軟件系統的開發和實施。在開發和實施過程中需要符合一點標準。劉歆軼介紹說,美國的薩班斯法案里面的條款的要求,系統的輸入保證不出現錯誤、中間的運算過程不能出現誤差、輸出結果正確無誤、、、、、、換句話說,如果企業自己開發的系統輸入和輸出有偏差,企業的CEO或者CIO可能會收到法律的制裁。特別是外企,或者在國外上市的中國企業對信息系統軟件的開發的要求相對較高,企業一定要有足夠的證據證明自己所開發的系統是能夠做到正常輸入,防止勿操作、錯誤數據無法輸入,運算過程可追溯、、、、、還有經過黑箱測試和白箱測試。此外、除了企業自己開發外,企業購買供應商軟件產品時,也要要求供應商提供相應的資質證明。
第九部分是對信息安全事故的管理。企業一旦發生信息安全事故,信息安全事故的處理機制就顯得尤為重要。比如發現問題、匯總問題、問題分析、事故處理、問題回顧、再次檢測、事故報道撰寫、證據收集、案例調整等,都需要對信息安全進行事故管理。
第十部分是業務連續性管理。該部分主要包括容災恢復與備份、應急預案。劉歆軼說到,從美國911事件之后,地震、火災、海嘯、臺風等災難對于企業業務聯系性的影響也越來越受企業重視。與災難恢復不同的是,該部分注重企業業務連續性的要求,特別是制造業,需要讓企業的業務盡快的恢復運行,通過讓業務人員的訪問其他代替的系統,來保證企業業務不中斷。
第十一部分是企業系統的合規性。合規性體現在企業生產安全過程要符合國際的法律、法規,比如說上市公司要符合薩班斯法案、銀行金融業需要符合銀監會的要求、產品策略需要符合政府的要求,而這些要求最終要體現在信息系統上,所以信息系統上要有檢測合規性的模塊,使得這套信息系統要符合企業安全的管控要求。
企業信息化目標差距分析
企業依照以上11個方面對信息化系統進行評估后,就自然而然的了解了信息化系統整體的狀況。這時候,企業的IT部門需要對評估后的結果進行差距分析。
通過差距分析,可以讓企業的IT部門了解是造成的差距原因是什么,如何解決這些差距。劉歆軼特別提到,不僅僅是制造業,幾乎所有的企業都面臨著“可接受性”影響。比如說,很多企業認為有的風險雖然存在,但是不影響企業的核心價值,這個時候IT部門可以認為這個風險可以暫時存在,沒有必要馬上解決。企業的IT部門工作的職能不是“消滅所有的風險”,而是把風險降低到可以接受的這條線之上。這也是目前IT人經常容易忽略的問題。很多企業的IT部門經常在遇到一個問題時就要立刻解決掉,但是實際上解決一些小的問題的人力和財力成本,這樣對于企業來說沒有價值。
所有企業在進行差距分析的一個重要內容就是風險底線的分析,如果超多這個底線,就需要解決掉。經過差距分析后,信息化系統的問題,處理的時間、資金支持、資源支持的訴求可以確定,企業的信息化整體的工作計劃也可隨著出臺。
整體計劃包括可以是5年計劃,3年計劃,和1年計劃等,通過計劃的輕重緩急,企業的IT部門可以對人力進行合理分配,重點項目跟進,部門協調等等,最后經過企業高層人員的評估,確認、審批后就可以進入到具體的實施階段。
信息安全產品選型是最后一環
談到信息安全產品的選型,劉歆軼說到,經過上面的介紹可以看出,信息安全產品的選型在整個安全信息化項目的實施過程中是最后一個環節,舉例說來,通過評估和差距分析后,信息化系統需要彌補外網的攻擊的風險,這時候IT部門通過查看針對外網攻擊的屬于哪類安全風險,然后查看具體在計劃中的哪一年的哪個月份開始實施,然后再考慮具體選擇哪個供應商的產品和解決方案。
以上是整個信息化安全系統方案在企業中實施的全過程,此外企業內部還會對項目的實施效果進行審查和審計,如果企業需要做認證的話,還需要進行外部審計。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:制造業信息化ERP安全部署三部曲
相關文章
