近日，记者采访了制造业信息产业专家刘信义先生，他从国际iso27001标准风险评估的角度对制造业信息安全的全过程进行了研究和分析。

制造业信息化一直被认为是行业中最完善、最复杂的信息系统。信息化安全在制造业中起着重要的作用。没有安全的信息化，企业很难取得长足的进步。正是这种“根深蒂固”的行业安全理念，使得制造业的信息化建设水平和信息化程度始终处于全行业的前列。

如前所述，与其他行业相比，制造业的信息化建设现在已经非常完善，从制造业市场调研到生产、调度、物流、开票、销售、客户管理和电子商务。可以说，其他行业的所有信息流程都可以在制造业中体现出来。面对如此全面而复杂的制造信息系统，企业应该用什么样的思维来保证整个制造过程的信息安全？近日，记者采访了制造业信息产业专家刘信义先生，他从国际iso27001标准风险评估的角度对制造业信息安全的全过程进行了研究和分析。

刘信义表示，制造业的信息安全与其他erp、crm和其他系统一样。有必要分析业务目标，制定评估标准，然后根据评估标准进行差异化分析。最后，有必要通过制定时间计划来选择和购买信息设备。在信息安全方面，需要考虑信息系统的发展与信息安全规划之间的协调。

企业信息系统需求评估

制造信息安全的第一步是业务分析。基于业务分析的风险评估。刘信义表示，制造业一般按照国际iso27001标准进行风险评估，全面评估企业目前和未来11个领域可能存在的问题。

具体来说，它分为以下几个部分。第一部分是企业制定具体政策。整个企业都需要有信息安全策略，这些策略应该由整个企业来实施。该政策应是企业最高级别的质量手册，以确保政策的有效实施。

第二部分企业信息安全的组织需要改进。刘信义特别提到，目前，许多公司认为信息安全只是it部门的责任。事实上，信息安全与每个员工都息息相关。通过企业信息安全的组织形式，如成立信息安全委员会(公司最高级别担任委员会主席)、信息安全核心工作组(主要负责跟踪和实施安全工作)、审计小组(对企业整体信息状况进行年度或季度内部审计)、信息安全成员小组(负责信息安全战略)，

企业信息安全的第三部分是对企业信息资产的控制。所有包含企业信息的设备都是信息安全部门需要保护的对象。除了最常用的办公工具之外，计算机、复印机、打印机和其他具有输出信息功能的设备都是it资产保护的一部分。此外，增加了信息安全控制的因素，对设备和资产的类型进行了合理的分类、识别、发放和授权，使企业能够控制其信息资产。

第四部分是确保人力的安全。在某种程度上，“人”也可以被视为信息资产的“载体”。人们在每个信息环节都有特定的角色扮演。每个角色都需要经过严格的录用条件、选拔和录用保密协议，这必须从企业信息化的角度考虑人员安全问题。

#page#

第五部分是信息系统的物理安全，需要控制物理边界。例如，访问控制系统，访问控制权限的分配和管理，权限在企业日常办公中的应用和控制。刘信义表示，对于制造企业来说，其生产部门和R&D部门由于职能不同，对人员进出有不同的要求。特别是在R&D部门，实验室的物理安全非常重要。

第六部分是通信和其他网络设备的安全控制。从广义的服务器到狭义的信息安全产品的实施和规划、接受、黑客对网络的攻击和防御、网络的安全管理和磁盘备份都需要控制。它在一般企业中也是最关心这种安全内容的。

第七部分是访问控制。企业需要对信息系统系统和环节进行访问控制和人员控制，包括各种软件的账户管理、网络设备的登录和注销管理、权限变更、人员访问和分类。

第八部分是信息系统的获取和开发。信息系统的开发一般包括erp、crm等软件系统的开发和实施。在开发和实施过程中，有必要满足一些标准。刘信义说，美国《萨班斯-奥克斯利法案》规定，系统的输入应保证无错误，中间操作过程不应无错误，输出结果应正确。换句话说，如果企业自己开发的系统的输入和输出发生偏差，企业的首席执行官或首席信息官可能会受到法律制裁。特别是在国外上市的外国公司或中国企业对信息系统软件的开发要求相对较高。企业必须有足够的证据证明自己开发的系统可以正常输入，以防止输入错误的数据，并且操作过程可以追溯到、、、、、、，经过黑盒测试和白盒测试。另外，除了企业自身的发展之外，企业在采购供应商的软件产品时，还应该要求供应商提供相应的资质证书。

第九部分是信息安全事件的管理。一旦企业发生信息安全事件，信息安全事件的处理机制就变得尤为重要。例如，发现问题、总结问题、分析问题、处理事故、审查问题、重新测试、撰写事故报告、收集证据、调整案例等。，都需要为信息安全进行事故管理。

第10部分是业务连续性管理。这部分主要包括灾难恢复和备份、应急预案。刘信义表示，自美国911事件以来，企业越来越重视地震、火灾、海啸、台风等灾害对企业互联互通的影响。与灾难恢复不同，本部分关注企业的业务连续性要求，特别是制造业，需要尽快恢复企业的业务，并通过允许业务人员访问其他替代系统来保证企业业务的不间断。

Xi部分是企业系统的合规性。合规性体现在企业安全生产过程应符合国际法律法规，如上市公司应符合萨班斯-奥克斯利法案，银行业和金融业应符合银监会要求，产品策略应符合政府要求...这些要求最终应该反映在信息系统中，所以信息系统应该有一个检测符合性的模块，这样这个信息系统应该满足企业安全的管理和控制要求。

#page#

企业信息化目标差距分析

根据以上11个方面对信息系统进行评估后，企业自然会了解信息系统的整体情况。此时，企业的it部门需要对评估结果进行差距分析。

通过差距分析，企业的it部门可以知道是什么导致了差距以及如何解决这些差距。刘信义特别提到，不仅制造业，而且几乎所有企业都面临“可接受性”的影响。例如，许多企业认为存在一些风险，但它们并不影响企业的核心价值观。此时，it部门可能认为这种风险会暂时存在，无需立即解决。企业it部门的职能不是“消除所有风险”，而是将风险降低到可接受的水平。这也是it人员经常忽略的一个问题。许多企业的It部门在遇到问题时往往必须立即解决，但事实上，解决一些小问题的人力和财务成本对企业来说毫无价值。

所有企业差距分析的一个重要内容是风险底线分析。如果底线太多，就需要解决。通过差距分析，可以确定信息系统存在的问题、处理时间的要求、资金支持和资源支持，并随之发布企业信息化总体工作计划。

总体规划可以包括五年计划、三年计划、一年计划等。通过计划的优先性，企业的it部门可以合理配置人力，跟进重点项目，协调各部门等。最后，经过企业高层人员的评估、确认和批准后，才能进入具体的实施阶段。

信息安全产品选择是最后一步

以上是企业实施整个信息安全系统方案的全过程。此外，项目的实施效果将在企业内部进行检查和审核。如果企业需要认证，也需要外部审计。