制造行业信息安全实施方法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、前言:
制造业是向产品产生过程和产品使用过程所提供的各种形式的服务的总称,现代制造业,是指融合了互联网、通信、计算机等信息化手段和现代管理思想与方法。
现代制造业将信息化作为提供服务的平台和工具,借助于信息化手段把服务向业务链的前端和后端延伸,扩大了服务范围,拓展了服务群体,并且能够快速获得客户的反馈,能够不断优化服务内容,持续改进服务质量。
制造业信息化虽然在近二十多年中得到逐步发展,但与其他行业相比应用水平仍然不高。
由于能源及原材料产地、生产地以及销售地的分散,无论是离散式制造模式还是流程式制造模式,由于这种特殊的行业特性,造成企业内往往容易形成局域网孤岛,生产系统与业务、管理系统,以及总公司与各分支企业系统间,难以得到紧密整合,缺乏完整的信息系统。
在网络信息安全领域,很多企业内网都缺乏统一的安全策略和产品部署,上下级网络间也没有很好的联动管理与维护,客户端漏洞补丁的下载与执行无法统一,安全监管措施缺失。
二、制造行业信息安全面临的威胁:
2.1网络信息病毒库及补丁升级更新不及时、不准确、不共享,组织机构不合理,管理手段落后,都成为
制约企业信息安全堡垒建设的重要问题。
2.2只重视了来自外部网络的安全威胁,而忽略了内部网络带来的诸多安全问题。
如:移动办公、和多种
网络接入方式的发展,以及移动硬盘、U盘的普及,都使大量的流动信息越过防火墙、防毒墙、Web 安全网关以及UTM等网管型硬件设备直接企业内网,加之企业内部人员的违规操作和对网络资源的
滥用,以及人们对网络信息安全防护的种种误区,都对企业的信息安全造成很大威胁。
2.3由于生产、销售和管理系统之间的剥离,造成企业内部网络形成很多孤岛式局域网,各局域网间如果
缺乏统一的管理,在安全问题上各自为战,使得各网络系统之间无法形成安全联动和协同管理,无法
形成整体内网安全防护,直面安全风险的挑战时,则很可能造成措手不及、防护不利,最终造成重大的损失。
三、制造行业解决方案:
华菱咨询根据制造行业独特的信息安全特点及需求,凭借自身强大的咨询师团队与服务优势,根据“立体安全”的信息安全管理理念,在不断提高信息安全智能性的同时,注重桌面和网络边缘的安全防御,为制造行业企业打造专门的立体安全解决方案,通过在多层面的产品立体部署,实现全面的信息资产的保护,具体的方案为:
2.1通过ISO27001的信息安全管理体系建立,确保在管理制度有一套规范的制度作为企业内部的有效运
行体系。
如从产品实现策划开始就建立公司的各项管理流程图,根据管理流程识别相对应的信息资
产,并对信息资产进行有效的评价和制订控制措施。
2.2通过ISO20000-1的IT服务管理体系建立,确保在管理制度有一套规范的制度作为企业内部的有效
运行体系。
如人员的培训,资产等级的分类,信息安全职责的确定等
2.3通过对风险评估和相关对策的制订,降低风险,如建立风险管理、资产管理、脆弱性管理、安全事
件管理、安全任务单管理、安全预警管理、安全设备管理、安全评价管理、报表管理等制度。
2.4通过建立完整的业务连续性计划,包括灾难恢复,来降低经营风险,提供企业的形象。