• 電話:0571-88994238/39/40
  • 傳真:0571-88994238-809
  • 地址:浙江省杭州市文三路259號 昌地火炬大廈 2號樓 1101
新聞詳細頁您當前位置:主頁 > 案例展示 > 專題文章 >

制造企業信息化建設如何保障信息安全:應用企業的信息化安全策略

作者:林雄飛  發布日期:2012-05-28

  自上世紀80年代中期開始,計算機逐步進入企業,用于日常辦公、經營管理和產品創新。特別是進入新世紀以來,計算機的應用已成為一個企業經營活動中必不可少的工具,深入到企業的各個方面,為企業的發展,實現高效率、低成本和技術創新做出巨大貢獻。在帶來高效率和低成本的同時,計算機應用也逐步給企業帶來信息安全管理的問題,特別是互聯網和即時通訊的普及,更加使信息安全保護成為企業經營管理的重要組成部分。目前,計算機應用在制造企業中,主要存在以下幾個涉及信息安全方面的問題:

  1.決策者的忽視,管理行為的滯后,造成企業信息的泄漏;

  2.企業信息逐步成為個人資產,隨著人員流動而廣泛傳播;

  3.即時通訊的普及,給企業信息傳播帶來便利性和及時性;

  4.黑客以及病毒的存在,企業信息失去其隱秘性和安全性;

  5.……

  信息安全所造成的影響十分廣泛,特別是對企業核心機密、商業秘密的影響已成為廣大企業決策者揮之不去的陰霾。

  在浙江,一個產業聚集區集中的地域,對一個比較暢銷或對路的產品來說,因配套產業的齊全,使產品制造變得十分便捷。只要抓住產品的營銷渠道,產品的設計、生產等環節已不成為企業決策者關注的焦點,可以通過企業重組以及相關的配套給予解決,快速形成批量生產,并且創造較高的商業產值。

  例如,在著名的閥門之鄉,擁有近千家的閥門制造商和相應的配套商,可在區域內解決任何有關產品技術、制造、配套等事宜,具有較高的協作生產氛圍與能力。但是,在這種氛圍下,所生產的產品大同小異,技術含量普遍不高,大部分產品屬于勞動密集型,任何一個擁有一定資金和生產場所的有志之士,都可以在極短的周期內,形成規模化生產,成為行業中的一員。

  為了突破現狀,提高產品技術含量,一些資金較雄厚、創新意識較靠前的企業,投入大量的資金和人力,借助與高等院校或國外企業的合作,開發出一些技術含量較高、能夠跟上國外先進技術水平的產品,以適應用戶的需要和國家項目的配套。由于忽視信息安全保護與管理的建設,一些企業在完成新產品開發的同時,也為區域內其他企業創造了“社會”價值,為一些小型企業“免去”大量的開發資金和人力,達到產品“共享”,實現“共贏”。而新產品、新技術的原創者則因企業信息的流逝,快速失去其技術、成本的競爭力,最終成為“平庸”者,嚴重影響這些企業的創新積極性。

  對于企業來說,涉及企業信息的種類很多,但核心信息是產品圖紙、工藝文件、技術訣竅、配套方案、協作關系以及制造成本、銷售報價、營銷渠道等。而這些信息絕大部分是以電子文件(或圖文檔)的形式存在于企業的計算機系統中,不能通過一般的行政手段(包括專利技術)進行安全保護,只能采取特殊的技術手段以及相應的行政措施加以控制。

  企業信息的產生、積累和應用是企業發展過程中的核心機密,不僅對當前企業產生影響,而且在今后的發展中將成為重要的知識產權來源,其經濟價值和社會影響力十分深遠,必須引起廣大企業家的重視。

  目前,中國制造業企業的創新型發展道理,使得更多的企業越來越注意保護自己的知識產權,然而也有越來越多的案例表明,我國企業在信息安全方面存在巨大的問題,我刊策劃此次專題,為讓更多制造業企業增強知識產權保護意識、關注信息安全防護背后的故事,更高層次推進自主創新。

  《CAD/CAM與制造業信息化》:從企業信息化安全保障體系建立來講,物理安全、網絡安全、系統安全和應用安全……都存在漏洞,那么企業應該如何建立適合自己的安全保障體系呢?應該從哪些方面著手?

  林雄飛:隨著國家有關方面對信息安全的警示,信息安全意識越來越多地被眾人所關注和接受,這也影響和促使企業決策者的觀念轉變。由于電子信息安全是在計算機、互聯網和即時通訊普及后所產生的新問題,傳統的信息安全管理模式(如行政保密規章制度)已不能發揮或降低保護與制約的能力,使企業信息安全保護停留在“口頭”或“書面”上。而電子信息的產生與運用離不開計算機以及網絡,所采取的保護措施需要一定的計算機知識與技術,僅僅依靠企業行政管理人員已不能達到有效控制的目的,必須引進專業的IT人員,通過建立信息安全保護與管理體系,并配合專業的計算機安全軟件、硬件,才能組建一個依賴計算機技術的信息安全保護與管理網絡,形成一個信息安全潔凈的環境。

  目前,信息安全保護已提到一個較高層次,國際標準化組織(ISO)專門為構建信息安全保護與管理體系而發布ISO/IEC 27001《信息安全管理體系要求》和ISO/IEC 17799《信息安全管理實施細則》等標準,從組織(如企事業單位、政府機關等)整體業務風險的角度,為建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系(ISMS)規定了要求和方法,并為適應不同組織或其部門的需要,定制不同的安全控制措施的實施要求。ISO/IEC 27001標準是組織建立和實施ISMS的依據,也是ISMS認證機構實施審核的依據。與ISO/IEC 27001標準相配套的ISO/IEC 17799為任何組織實施、維持和管理信息安全,以任何形式生產和使用信息,提供了最好的商業操作、指南和一般原則。

  構建一個符合ISO/IEC 27001標準的企業信息安全管理體系是一件十分繁瑣的工作,不僅需要對企業現有的管理模式進行適應性改造,而且還要與企業現存的其他管理體系(如ISO 9000、ISO14000等標準)相接口和互融。除體系構建周期較長外,企業還需要投入大量的人力、精力和資金,才能形成以文件化形式的信息安全管理體系。因此,企業在進行構建適合自己的信息安全保障體系之前,應從下面幾個方面著手準備

  1.企業信息是企業的核心利益,承載著企業長期積累的知識產權和商業秘密,需要從思想上認識到保護企業信息安全是保證企業發展不可缺少的環節,是全體人員必須達到的要求和目標;

  2.建立或修改企業的各類行政管理措施,完善對企業信息產生、保存、使用和銷毀過程中的運行機制,使企業信息在有效控制環境中得到安全保障;

  3.企業信息安全的保護過程體現在企業全體人員之中,除用行政規范來約束人員對企業信息的使用外,還應從人員的勞動合約、工資收入中得以體現;

  4.完善計算機應用系統以及網絡布局是企業信息安全保護與管理的技術關鍵點,建立操作權限與信息保密之間的平衡點,縮小因權限因素對企業信息安全保護的影響;

  5.利用現有的成熟技術,如電子文檔安全管理系統(軟件)、電子文檔打印控制系統(軟件)、信息數據加密傳輸系統(硬件)、行為監控系統(軟件與硬件),從技術上彌補因行政措施的缺陷而造成的信息泄漏渠道,徹底杜絕使用計算機及網絡等工具的盜密行為。

  • 售前咨詢
  • 售后服務
  • 渠道管理
99热这里只有精品国产_午夜片_天天碰夜夜摸公开视频_caoli社区最新2019入口