引言

　　隨著信息技術(shù)的迅猛發(fā)展，信息系統(tǒng)被企業(yè)的廣泛應(yīng)用，信息及信息系統(tǒng)對汽車制造企業(yè)來說，不僅只意味著財(cái)富和實(shí)力，而且已經(jīng)成為企業(yè)的重要戰(zhàn)略資源及賴以生存的血液，對企業(yè)的生存、發(fā)展起著至關(guān)重要的作用。十七大胡總書記報告中提出：全面認(rèn)識工業(yè)化、信息化、城鎮(zhèn)化、市場化、國際化、深入發(fā)展新形勢、新任務(wù)，要大力推進(jìn)信息化和工業(yè)化的融合。信息化是當(dāng)今世界制造業(yè)發(fā)展的趨勢，更是中國汽車制造業(yè)實(shí)現(xiàn)跨越發(fā)展的重要機(jī)遇。同時，隨著企業(yè)信息化廣泛深入應(yīng)用，信息安全問題也日益突出且越來越關(guān)系企業(yè)的命運(yùn)，在信息安全領(lǐng)域，很多企業(yè)在內(nèi)網(wǎng)安全方面雖然有信息安全相關(guān)產(chǎn)品的部署，但都缺乏統(tǒng)一的安全策略，上下級網(wǎng)絡(luò)間也缺乏很好的聯(lián)動管理與維護(hù)，客戶端漏洞補(bǔ)丁的下載與執(zhí)行無法統(tǒng)一，病毒庫及補(bǔ)丁升級更新不及時、不準(zhǔn)確、不共享，內(nèi)網(wǎng)病毒及木馬等威脅比較多，雖然有防病毒軟件，但是無法定位，組織機(jī)構(gòu)不合理，安全監(jiān)管措施缺失，管理手段落后等，都成為制約企業(yè)信息化發(fā)展的重要問題。

　　大量的信息安全事件，已經(jīng)使人們逐步明白：不是任何的信息安全問題都可以通過技術(shù)手段解決的。即便有了技術(shù)手段，如果沒有管理，也不能真正發(fā)揮出技術(shù)手段應(yīng)有的功效。信息安全保障包括技術(shù)和管理兩個層面，就技術(shù)和管理所起的作用而言，管理的比重甚至要大于技術(shù)。再先進(jìn)的技術(shù)手段，離開科學(xué)合理的管理也不能發(fā)揮全部的作用。信息管理就是把分散的信息安全技術(shù)因素、人的因素，通過政策規(guī)則協(xié)調(diào)整合成為一體，服務(wù)于企業(yè)信息化使命的安全目標(biāo)。因此，參照國際先進(jìn)的信息安全管理實(shí)踐經(jīng)驗(yàn)，結(jié)合企業(yè)的實(shí)際情況以及國家信息安全等級保護(hù)要求，以及風(fēng)險評估等要求建立一套符合國際標(biāo)準(zhǔn)要求的信息安全保障管理體系(Information Security Assurance Management Systems，ISAMS)，將有效地從管理、技術(shù)、運(yùn)維等方面提高企業(yè)的總體信息安全水平，保障企業(yè)的業(yè)務(wù)持續(xù)運(yùn)行，保護(hù)企業(yè)的核心競爭力。對于任何企業(yè)，采用ISAMS將是一項(xiàng)重要的戰(zhàn)略性決策，企業(yè)信息化體系結(jié)構(gòu)最重要是信息安全保障，如果沒有信息安全保障，企業(yè)的信息化就很難健康地發(fā)展。

一 信息安全保障管理基礎(chǔ)

　　企業(yè)信息安全保障管理指的是通過管理和保護(hù)企業(yè)所有的信息系統(tǒng)，包括制定信息安全方針策略、風(fēng)險評估與管理、控制目標(biāo)及控制手段的選擇與實(shí)施、制定規(guī)范的操作流程、對員工進(jìn)行安全培訓(xùn)等一系列工作，來維護(hù)企業(yè)信息系統(tǒng)的機(jī)密性、完整性及可用性等的一項(xiàng)體制。通過在信息安全策略(包含信息安全方針)、信息安全組織、信息資產(chǎn)分類與管控、核心人員信息安全、物理與環(huán)境包括邊界安全、通信操作安全、信息安全訪問控制、信息系統(tǒng)獲取開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、信息安全法律法規(guī)符合性等十幾個領(lǐng)域內(nèi)建立管理控制措施，來為企業(yè)建立起一張完備的信息安全“保護(hù)網(wǎng)”，保證企業(yè)信息資產(chǎn)的安全與業(yè)務(wù)的連續(xù)性。

　　企業(yè)信息安全保障管理是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程，它需要企業(yè)對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行全面統(tǒng)一的考慮、規(guī)劃、設(shè)計(jì)和架構(gòu)，并要時時兼顧組織內(nèi)外不斷發(fā)生的業(yè)務(wù)情況，任何環(huán)節(jié)上的信息安全脆弱點(diǎn)都會對系統(tǒng)構(gòu)成風(fēng)險。企業(yè)的信息安全保障管理水平由與信息安全相關(guān)環(huán)節(jié)中的最薄弱環(huán)節(jié)決定。信息從產(chǎn)生到銷毀的生命周期過程中還包括了收集、加工、交換、存儲、檢索、存檔等多個事件，表現(xiàn)形式和載體會發(fā)生各種變化，這些環(huán)節(jié)中的任何一個環(huán)節(jié)出現(xiàn)問題都可能影響整體信息安全水平。另外，如果企業(yè)憑著一時的需要，想當(dāng)然地去制定一些控制措施和引入幾項(xiàng)技術(shù)產(chǎn)品，就難免使得信息安全這只“木桶” 出現(xiàn)若干“短板” ，從而無法整體提高信息安全保障管理水平。建立全面的信息安全保障管理體系是避免上述問題的有效手段。

二 企業(yè)信息安全保障管理目標(biāo)與原則

　　企業(yè)在建立信息安全保障管理體系前首先要確定其目標(biāo)與原則，企業(yè)信息安全管理通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo)，即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)，這是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。

　　對汽車制造企業(yè)來說，信息安全CIA的3個方面都應(yīng)該是比較重要的，一方面，公司內(nèi)部牽涉到核心技術(shù)、知識產(chǎn)權(quán)、隱私保護(hù)的信息資產(chǎn)，其保密性要求會比較高，另一方面，由于關(guān)系到各項(xiàng)應(yīng)用和業(yè)務(wù)系統(tǒng)的持續(xù)有效運(yùn)營，支持這些應(yīng)用和業(yè)務(wù)系統(tǒng)的信息系統(tǒng)則必須保證可用性和完整性。對CIA的追求只是企業(yè)信息安全管理的直接目標(biāo)，對于汽車制造企業(yè)，其實(shí)最終關(guān)心的是其關(guān)鍵業(yè)務(wù)活動的持續(xù)性和有效性，而各項(xiàng)關(guān)鍵業(yè)務(wù)活動的運(yùn)轉(zhuǎn)，又依賴于信息系統(tǒng)的支持，所以，企業(yè)業(yè)務(wù)持續(xù)性及企業(yè)的生存發(fā)展目標(biāo)，才是企業(yè)信息安全保障管理的最終目標(biāo)。

　　講科學(xué)管理，常常提出若干管理原則，講信息安全管理同樣也不例外，但是，一旦執(zhí)行起來，原則往往變成了“圓則” ，無處下手，難于考核，流于形式，成為口號。

　　如何將信息安全管理原則不變成“圓則” ，變成看得見，抓得住的現(xiàn)實(shí)，需要通過抓好如下幾個方面來加以實(shí)現(xiàn)：

　　1)信息安全管理責(zé)任明確

　　管理是需要通過人來實(shí)施的。信息安全保障管理不是一個人的事情，要人人有事做，事事有人做，企業(yè)需要建立人與事的匹配關(guān)系，用角色和責(zé)任把這種關(guān)系明確起來，固定下來，以便備忘、查考、賞罰。同時，管理者還必須給予明確的支持和承諾。

　　2)信息安全保障管理“有規(guī)可依”

　　信息安全保障管理是一個動態(tài)的過程，需要通過建立符合規(guī)范的流程來體現(xiàn)這個過程。流程必須規(guī)范，使不同時間、不同的人在實(shí)施同類事物的管理時，步調(diào)一致、效果最佳、可以比較。

　　3)信息安全保障管理流程“執(zhí)規(guī)必嚴(yán)”

　　賦有管理責(zé)任的角色，在實(shí)施信息安全管理時，決不能信馬游韁，隨意亂來。相關(guān)的法律、規(guī)章、制度是實(shí)施管理的依據(jù)，必須與其保持一致。

　　4)信息安全保障管理整體的協(xié)調(diào)一致

　　信息安全保障管理的整體是通過不同部門、不同人員管理的各個分項(xiàng)綜合來顯現(xiàn)其效果的。它們之間為了整體的管理要求，必須協(xié)調(diào)。協(xié)調(diào)的要求應(yīng)該是事先共識達(dá)成的一致。為了協(xié)調(diào)，相互之間必須溝通，同時也要與企業(yè)的文化保持一致。

　　5)信息安全管理執(zhí)行應(yīng)該有據(jù)可查

　　規(guī)定的管理行為必須執(zhí)行，執(zhí)行的管理活動應(yīng)該有據(jù)可查。信息安全管理活動必須留有記錄、證據(jù)，以便查考管理的效果，改進(jìn)完善管理行為。

　　6)信息安全保障管理的常態(tài)性

　　向所有管理者、員工和其他方提供適當(dāng)?shù)囊庾R、培訓(xùn)和教育，傳達(dá)有效的信息安全知識以使他們具備安全意識和素質(zhì)。

　　7)信息安全保障管理需求明確

　　企業(yè)信息安全保障管理需求，一是從考慮企業(yè)整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下，評估該組織的信息安全風(fēng)險獲得。通過風(fēng)險評估，識別出資產(chǎn)受到的威脅，評價易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計(jì)潛在的影響。二是企業(yè)開發(fā)的支持其運(yùn)行的信息處理的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。三是來源于組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的企業(yè)文化環(huán)境。

三 企業(yè)信息安全保障管理實(shí)施關(guān)鍵活動

　　在整個實(shí)施ISAMS的過程中，各階段都有一些關(guān)鍵的活動，這些活動是否能夠順利實(shí)施并且生成有效成果，將直接決定著信息安全體系建設(shè)最終的成敗。為此，本小節(jié)即對一些最關(guān)鍵的活動給予介紹，包括這些活動的意義、前后關(guān)聯(lián)、成果、最終收益、對企業(yè)的影響等。了解這些內(nèi)容，將對整體上把握體系建設(shè)過程以及制定各類規(guī)劃大有幫助。

　　3.1 風(fēng)險評估

　　風(fēng)險評估 是實(shí)施信息安全管理保障體系重要的先決條件，是ISAMS建設(shè)準(zhǔn)備階段最關(guān)鍵的一步。基于風(fēng)險評估，企業(yè)可以對當(dāng)前的信息安全現(xiàn)狀有一個系統(tǒng)全面的分析，找出真正的不足，以此來確定自己在信息安全管理建設(shè)方面的需求。在實(shí)施風(fēng)險評估活動時，企業(yè)應(yīng)該在確定范圍內(nèi)組建風(fēng)險評估小組，并且由安全項(xiàng)目主管擔(dān)任組長，負(fù)責(zé)協(xié)調(diào)風(fēng)險評估事宜。風(fēng)險評估成員要參加必要的技能培訓(xùn)，包括信息安全管理概要、風(fēng)險評估方法等。

　　實(shí)施風(fēng)險評估時，在管理評估的基礎(chǔ)上還要考慮借助專業(yè)人員的經(jīng)驗(yàn)和各種技術(shù)手段，探測并發(fā)掘客戶網(wǎng)絡(luò)信息系統(tǒng)中存在的各種安全威脅和漏洞，全面了解網(wǎng)絡(luò)信息系統(tǒng)的安全現(xiàn)狀，杜絕外部和內(nèi)部違規(guī)利用網(wǎng)絡(luò)資源而引發(fā)安全事件的可能。內(nèi)網(wǎng)信息安全已經(jīng)被證明是在高度信息化的情況下所有汽車制造企業(yè)必須面對的問題。

　　技術(shù)評估可以針對以下系統(tǒng)：

　　1)典型的Windows、Unix操作系統(tǒng)服務(wù)器。

　　2)典型的數(shù)據(jù)庫應(yīng)用系統(tǒng)。

　　3)典型的Web應(yīng)用系統(tǒng)。

　　4)典型的網(wǎng)絡(luò)設(shè)備。

　　5)防火墻、IDS等典型的安全設(shè)備。

　　6)網(wǎng)絡(luò)拓?fù)浼盎�礎(chǔ)設(shè)施。

　　企業(yè)專業(yè)人員采用強(qiáng)大的安全評估工具對客戶的網(wǎng)絡(luò)和主機(jī)系統(tǒng)進(jìn)行安全漏洞評估。漏洞評估分階段按步驟進(jìn)行，實(shí)施過程中采集到的大量信息，由專業(yè)技術(shù)人員進(jìn)行分析甄別，最終給出評估報告，針對每一項(xiàng)發(fā)現(xiàn)的漏洞問題，按照不同的嚴(yán)重程度進(jìn)行分級，并結(jié)合實(shí)際需求提出相應(yīng)的漏洞修補(bǔ)建議。專業(yè)人員通過以下途徑實(shí)施安全評估：

　　1)通過研讀網(wǎng)絡(luò)拓?fù)鋱D、進(jìn)行現(xiàn)場調(diào)查和人員訪談等途徑，對網(wǎng)絡(luò)整體架構(gòu)的安全性進(jìn)行分析和評估。

　　2)借助專用的自動化掃描工具，對網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行漏洞掃描。

　　3)利用滲透測試技術(shù)，對值得關(guān)注的目標(biāo)系統(tǒng)進(jìn)行模擬入侵測試。

　　4)登錄到受測試主機(jī)本地，通過本地日志系統(tǒng)、配置文件、命令操作過程的審查，更深入細(xì)致地了解目標(biāo)系統(tǒng)的安全狀況。

　　5)針對關(guān)鍵系統(tǒng)和設(shè)施，考察BCP框架的有效性和完備性。

　　3.2 基于TDA深度威脅發(fā)現(xiàn)與分析

　　威脅是構(gòu)成安全風(fēng)險不可缺少的要素之一，它是指可能導(dǎo)致對系統(tǒng)或組織損害的不期望事件發(fā)生的潛在原因，在信息安全領(lǐng)域可以將會潛在妨害安全并對信息系統(tǒng)造成破壞的環(huán)境或事件定義為系統(tǒng)的危險。威脅的起因可能是蓄意的，也可能是偶然或自然的。據(jù)國際權(quán)威調(diào)查，85％以上的安全事件出自內(nèi)網(wǎng)，企業(yè)時刻面臨著諸如：APT和針對性攻擊、零日惡意軟件和文檔漏洞、Web威脅(漏洞、隱蔽強(qiáng)迫下載)、電子郵件威脅(網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚)、特洛伊木馬、蠕蟲病毒、按鍵記錄軟件和犯罪軟件、破壞性應(yīng)用程序等各種威脅。內(nèi)網(wǎng)信息安全是一個廣泛的概念，包括了桌面管理、監(jiān)控審計(jì)、威脅發(fā)現(xiàn)與分析、授權(quán)管理和信息保密等內(nèi)容，一個完整的內(nèi)網(wǎng)信息安全體系，需要考慮計(jì)算機(jī)終端、用戶身份、計(jì)算機(jī)外設(shè)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、存儲和服務(wù)器等各方面的因素。高級持續(xù)性威脅和針對性攻擊已清楚地表明其抵御傳統(tǒng)安全防御、保持長期不被檢測到，以及隱蔽泄露公司數(shù)據(jù)和知識產(chǎn)權(quán)的能力。隨著新型IT技術(shù)的應(yīng)用(例如云計(jì)算技術(shù)等)，進(jìn)一步加劇了這些攻擊的嚴(yán)重性，削弱了外圍安保的作用，從而使網(wǎng)絡(luò)更容易遭到攻擊。企業(yè)分析人員和專家已清楚地認(rèn)識到這些問題，并建議企業(yè)加強(qiáng)其安全監(jiān)測及防御，采用專業(yè)的針對高級持續(xù)性威脅的檢測技術(shù)和前瞻性的實(shí)時威脅管理流程來進(jìn)行威脅分析。

　　如今，高級持續(xù)性攻擊使用多階段方式來竊取重要數(shù)據(jù)：獲取入口點(diǎn)，下載其他惡意軟件，打開后門程序訪問，找到并危害目標(biāo)系統(tǒng)，然后上傳數(shù)據(jù)。盡管筆記本電腦數(shù)據(jù)危害可快速發(fā)生，但從初始入侵到目標(biāo)數(shù)據(jù)受到危害通常需要幾天或幾周的時間，實(shí)際發(fā)現(xiàn)并完全抑制危害所用的時間可能為幾個月。在此期間，企業(yè)網(wǎng)絡(luò)中潛伏著入侵者，其目的是持續(xù)危害重要數(shù)據(jù)。趨勢科技深度威脅發(fā)現(xiàn)設(shè)備TDA使用3個層面的檢測方案來執(zhí)行初始檢測，然后進(jìn)行模擬和關(guān)聯(lián)，最后通過最終的交叉關(guān)聯(lián)發(fā)現(xiàn)隱蔽的高級持續(xù)性威脅活動，以及其他只有通過長期觀察才能發(fā)現(xiàn)的隱蔽活動，為企業(yè)和政府組織提供了降低高級持續(xù)性威脅攻擊(APT)和針對性攻擊風(fēng)險所需的全網(wǎng)范圍的可見性、洞察力和控制。TDA以獨(dú)特方式實(shí)時檢測和虛擬模擬分析技術(shù)，提供防止、發(fā)現(xiàn)和抑制針對公司數(shù)據(jù)的攻擊所需的深入分析和行動情報。TDA通過對高級持續(xù)性威脅惡意軟件和隱蔽式攻擊者行為的檢測和深入分析，為企業(yè)和政府組織提供在不斷發(fā)展的網(wǎng)絡(luò)環(huán)境中檢測APT和針對性攻擊所需的可見性和情報。

　　3.3 風(fēng)險處理

　　風(fēng)險評估之后，明確了企業(yè)自身真正的安全需求，在制定并落實(shí)各項(xiàng)風(fēng)險處理計(jì)劃時，首先要考慮的，是在整個公司范圍內(nèi)建立有效的安全管理和執(zhí)行組織，落實(shí)人員的責(zé)任。具體來說，最終企業(yè)建立的信息安全管理組織應(yīng)該設(shè)置以下關(guān)鍵角色，如圖1所示。

　　企業(yè)還應(yīng)該根據(jù)風(fēng)險評估的結(jié)果制定一系列風(fēng)險處置計(jì)劃。計(jì)劃可以是分階段分層次的，從階段來講，通常分為短期、中期和長期計(jì)劃，或者從層次來講，通常分為事務(wù)實(shí)施計(jì)劃、策略計(jì)劃和戰(zhàn)略計(jì)劃。企業(yè)在制定信息安全計(jì)劃時應(yīng)該優(yōu)先考慮與關(guān)鍵業(yè)務(wù)最緊密相關(guān)的信息系統(tǒng)環(huán)境，至于先做什么后做什么，只有根據(jù)風(fēng)險評估得出風(fēng)險等級之后，由決策者最終確定。不過，無論優(yōu)先順序如何考慮，企業(yè)都應(yīng)該有計(jì)劃地實(shí)施以下事務(wù)：

　　1)編寫并完善企業(yè)信息安全策略文件，這是統(tǒng)領(lǐng)企業(yè)信息安全管理各項(xiàng)事務(wù)的總體綱領(lǐng)、指導(dǎo)方針和行動指南。務(wù)必做到信息安全管理“有法可依”和“有法必依”，并且盡量實(shí)現(xiàn)“執(zhí)法必嚴(yán)”和“違法必究”。

　　2)在人員組織方面應(yīng)該做到：

　　①組建信息安全管理組織架構(gòu)，設(shè)定人員責(zé)任；

　　②實(shí)施層次化和全方位的人員意識培訓(xùn)，使每一個員工能夠自覺履行安全責(zé)任，使每一個系統(tǒng)管理和維護(hù)人員掌握應(yīng)有的安全技能，使信息安全管理者有能力去行使信息安全管理職權(quán)。

　　3)在流程建設(shè)方面應(yīng)該做到：

　　①加強(qiáng)內(nèi)部審核。這要求企業(yè)建立內(nèi)部審核流程和制度，明確責(zé)任人，制定審核計(jì)劃，定期對公司信息安全管理體系的運(yùn)行情況進(jìn)行審核，審核結(jié)果應(yīng)該和人員考核掛鉤，發(fā)現(xiàn)問題及時改進(jìn)，使遵守信息安全策略真正成為每一個員工的意識和習(xí)慣；

　　②建立BCP/DRP機(jī)制，包括應(yīng)急響應(yīng)，完善企業(yè)業(yè)務(wù)連續(xù)性管理框架；

　　③將安全管理流程與IT服務(wù)管理流程結(jié)合，在變更管理、配置管理、問題管理等方面進(jìn)行規(guī)范化。

　　4)在信息安全技術(shù)運(yùn)用方面應(yīng)該考慮：

　　①對IT基礎(chǔ)設(shè)施實(shí)施安全加固，從系統(tǒng)一級消減因?yàn)榕渲没蛘卟僮鞑划?dāng)而造成的安全風(fēng)險；

　　②加強(qiáng)應(yīng)用系統(tǒng)的安全性，采取應(yīng)用審計(jì)和分析等手段，對架構(gòu)于基礎(chǔ)設(shè)施之上的各種應(yīng)用系統(tǒng)進(jìn)行安全加強(qiáng)；

　　③對適合于采用技術(shù)措施來予以消減的風(fēng)險，應(yīng)該制定可行的解決方案(包括產(chǎn)品解決方案)，或者委托專業(yè)技術(shù)公司來提供并實(shí)施解決方案，方案的實(shí)施應(yīng)該在相應(yīng)的策略或程序指導(dǎo)下進(jìn)行。

　　有了安全計(jì)劃，為了落實(shí)既定的目標(biāo)，必須有針對性地設(shè)計(jì)解決方案，其中技術(shù)或產(chǎn)品解決方案就是很典型的例子。當(dāng)然，這里需要澄清的是，信息安全體系建設(shè)并不能簡單地認(rèn)為就是信息安全集成(產(chǎn)品集成)，因?yàn)樾畔�安全管理更多牽涉到的可能還是非技術(shù)的東西，有時候，用管理手段去解決風(fēng)險問題，往往比花費(fèi)大的代價購買產(chǎn)品去應(yīng)對要更加經(jīng)濟(jì)有效。說到底，設(shè)計(jì)怎樣的解決方案，直接取決于企業(yè)真正的安全需求和管理決策。有了計(jì)劃，有了方案，剩下的事情就比較簡單了，只要管理層充分重視和支持，項(xiàng)目管理操作完善，及時總結(jié)和調(diào)整，實(shí)現(xiàn)既定的目標(biāo)是很自然的事情。

　　3.4 文件編寫

　　有效的信息安全保障管理體系包括一套體系化的文件，這里講的文件，并非簡單的幾個電子文件或者紙質(zhì)文件，它要充分體現(xiàn)信息安全保障管理有法可依、有據(jù)可查的狀態(tài)。信息安全保障管理文件，是指導(dǎo)并且追蹤所有信息安全保障管理事務(wù)所必備的工具。所以，風(fēng)險評估之后，解決方案中包含的很重要的一項(xiàng)任務(wù)，就是制定并有針對性地完善信息安全管理文件體系。在文件編寫方面，企業(yè)應(yīng)首先組建兩個編寫小組，一個是負(fù)責(zé)制定全公司范圍的安全策略(方針)文件，另一個是負(fù)責(zé)制定具體實(shí)施的策略文件。從層次上來看，企業(yè)要建立完整的文檔體系，通常由四級文件構(gòu)成。

　　(1)綱領(lǐng)性文件

　　信息安全方針類文件，需要從公司整體角度來考慮制定，它應(yīng)該能夠反映最高管理者對信息安全工作下達(dá)的旨意，應(yīng)該能為所有下級文件的編寫指引方向。包含信息安全方針的信息安全管理手冊，由信息安全委員會負(fù)責(zé)制定、修改和審批，是對信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)信息安全保障管理是按照既定目標(biāo)要求建立并運(yùn)行的。

　　(2)規(guī)章、程序性文件

　　程序文件應(yīng)該是針對信息安全保障管理某方面工作的，是對信息安全方針內(nèi)容的進(jìn)一步落實(shí)，應(yīng)該是不同部門都能適用的，通常包括(可能不限于此)：風(fēng)險管理與風(fēng)險評估程序、內(nèi)部審核程序、管理評審程序、文件記錄控制管理程序、糾正預(yù)防控制管理程序、信息安全事件管理程序、信息設(shè)備管理程序、信息安全組織建設(shè)規(guī)定、第三方和外包管理規(guī)定、信息資產(chǎn)分類管理規(guī)定、人力資源管理程序、工作環(huán)境安全管理規(guī)定、介質(zhì)處理與安全規(guī)定、系統(tǒng)開發(fā)與維護(hù)程序、變更管理程序、防病毒管理程序、信息交換管理程序、業(yè)務(wù)連續(xù)性管理程序、法律符合性管理規(guī)定。

　　(3)指南、操作性文件

　　具體的操作指導(dǎo)書涉及與具體部門特定工作或系統(tǒng)相關(guān)的具體作業(yè)規(guī)范(操作步驟和方法)，可以由各個單位自行制定，是對各個程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化描述。

　　(4)記錄、證據(jù)性文件

　　各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄和表格，應(yīng)該成為信息安全保障管理執(zhí)行情況的有力證據(jù)，由各個相關(guān)部門自行維護(hù)。

　　3.5 汽車制造業(yè)信息安全保障管理審核

　　信息安全保障管理審核包含信息安全內(nèi)部審核(通過所說的內(nèi)審)與信息安全保障管理測量，其本質(zhì)就是看其是否符合標(biāo)準(zhǔn)規(guī)范以及既定的策略要求，是否符合企業(yè)真實(shí)的安全需求，以及驗(yàn)證企業(yè)信息安全保障管理體系控制措施的實(shí)施情況與實(shí)施有效性。參照信息安全管理標(biāo)準(zhǔn)的要求，在信息安全保障管理體系初步建立之后，企業(yè)應(yīng)該借助安全審計(jì)等途徑，對ISMS的效力進(jìn)行定期評審，以確定其是否符合既定的安全方針和目標(biāo)，確定安全控制是否依然有效。安全審計(jì)可以由企業(yè)內(nèi)部來完成(內(nèi)部審核)，也可以由第三方機(jī)構(gòu)來實(shí)施(外部審核)。內(nèi)部審核通常包括管理和技術(shù)兩個方面：一方面，企業(yè)可以依據(jù)相關(guān)國際通行標(biāo)準(zhǔn)(如IS027001標(biāo)準(zhǔn))或自身規(guī)范、既定的方針和程序等管理文件，對當(dāng)前ISMS所有相關(guān)活動和內(nèi)容進(jìn)行符合性檢查；另一方面，可以借助一些技術(shù)手段，對信息系統(tǒng)進(jìn)行檢查以確保其符合安全實(shí)施標(biāo)準(zhǔn)。內(nèi)部審核可以作為提請真正認(rèn)證審核的一項(xiàng)模擬活動來進(jìn)行。

四 結(jié)語

　　中國有一句老話，叫做“居安思危”。何況在信息安全問題上，企業(yè)所面對的客觀形勢還根本談不上“居安”。當(dāng)前，信息安全保障的管理正成為世界上的熱點(diǎn)、重點(diǎn)和難點(diǎn)在加以研究中。然而，信息安全終究是高技術(shù)的對抗，企業(yè)要解決信息安全，不發(fā)展和應(yīng)用信息安全技術(shù)是不行的。所以。正確的方法是堅(jiān)持管理和技術(shù)并重，積極發(fā)展和采用信息安全技術(shù)，加強(qiáng)信息安全管理。信息安全保障能力已經(jīng)成為衡量企業(yè)競爭力的重要依據(jù)，對于一個企業(yè)而言，如何保證其整體信息安全，保障信息系統(tǒng)的可用性、完整性、保密性以及信息與信息系統(tǒng)的可控性，防止企業(yè)核心信息泄密，保護(hù)企業(yè)的知識產(chǎn)權(quán)，維護(hù)企業(yè)核心利益，在當(dāng)前形式下顯得尤為重要。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：汽車制造業(yè)信息安全保障管理實(shí)施關(guān)鍵過程

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112185247.html