本文是一篇管理学论文,笔者认为信息安全管理是一个动态变化的、高难度的、内容极为丰富的实用性课题。我国的信息安全管理发展还处于学习阶段,需要不断的摸索和实践。
第1章 绪论
1.1 研究背景
(1)国家大力推进“中国制造2025对于制造业的影响
早在2015年,李克强总理在《政府工作报告》中首次提出 “中国制造2025”战略,该战略明确提出了我国在2025年迈入制造强国行列的目标。随着政府的大力支持,我国制造业蓬勃发展,据国家统计局公布的数据显示,我国2020、2021、2022年的制造业及高技术制造业增加值同比增长如图1.1,从中可以看出,虽然受到疫情影响,但是我国制造业还是保持稳步增长的态势,在当下的2023年,随着疫情的影响减小,我们必将迎来更大的发展。
制造业的高速发展,背后是信息化、智能化技术的有效支撑[1]。随着产业数字化、5G+工业互联网等高新技术的不断深入推进,制造业必将与信息技术进一步融合,从而加速工业3.0的全面实现,并大步迈向4.0。信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。信息网络更加普及并日趋融合,信息资源日益成为重要生产要素、无形资产和社会财富[2]。
1.2 研究意义
1.2.1 理论意义
(1)推动我国制造业信息化发展信息安全管理体系建设的理论体系
在我国制造业大踏步进入信息化、智能化时代,信息已成为无可比拟的重要资产,但随之而来的是网络攻击、数据泄露、信息丢失、病毒爆发等信息安全事件,这些问题已严重阻碍了国家推进工业3.0、4.0的速度,国家已经提出了一系列的应对措施,在此基础上,如何结合本身信息化的具体状况,思考应对信息安全威胁已经是各企业刻不容缓的重要任务[6]。
基于此,对信息安全体系标准ISO27001进行深入研究分析,并结合我国制造业信息化的实际状况[7],思索出一整套适合我国制造业信息化发展的信息安全管理体系建设理论,为我国制造业信息化改革从理论上提供可靠保障,为国家工业4.0提供有力支撑。同时,对于信息安全体系标准的分析过程,具有普遍适用性,可以为一切信息化系统提供一定的理论基础。
(2)为我国制造业信息化高速发展提供可持续性理论支持
如今中国制造业已迈入信息时代,企业的高速发展与长远规划已离不开信息技术的支持,而信息安全威胁已严重影响到企业信息化,进而影响到企业发展甚至生存,故而信息化发展的可持续性越来越受到重视。信息安全管理作为信息化可持续发展的一个影响面,本篇文章在信息安全管理所做的研究可为我国制造业信息化可持续性提供一定的理论支持。
第2章 相关概念及理论基础
2.1 信息安全管理体系相关概念
2.1.1 信息系统
信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统[17]。
信息系统的运行基础包括:计算机硬件(提供物理载体)、计算机软件(控制硬件、支持业务流程、数据交易等)、计算机网络(把不同地理位置的计算机与计算机或其他网络设备进行连接互通并进行数据交互)和数据库(数据最终保存的逻辑载体)。
制造业信息系统主要包含系统如图2.1,建设大致分为以下三个阶段:① 进行基础信息化建设,主要包括:终端计算机、网络设备、服务器等基础设施的部署,组成一个给实现业务和信息交互的物理载体平台;② 进行各大应用系统的建设,主要包括:制造系统、ERP系统、办公自动化系统等,实现各业务的信息化;③ 进行各大应用系统之间的信息交互,使得所有系统直接的壁垒被打破,不再各自为政,而是将所有系统融合成一个整体,系统之间数据根据所需实现自动整理、交互,大大提高工作效率与业务数据准确性、及时性。
2.2 信息安全管理体系理论基础
2.2.1 信息安全风险管理
上文提到,信息安全管理其实就是通过信息资产风险管控,将风险降低到一个企业所能接受范围的过程。在信息化建设、使用、迁移、废弃等过程中,由于基础设备、网络、应用系统、数据库等软硬件本身的缺陷或在汇聚集成时所产生的不协调,以及在信息安全管理中存在的不足,从而形成了信息资产的安全风险[25]。
(1)风险识别
在进行风险管控之前,必须对信息资产进行识别。信息资产识别可以从人员资产、硬件资产、应用资产、数据资产、服务资产等几个部分进行。组织将各个部门所识别的信息资产进行整合,去除共同设备多次识别,对识别出来的信息资产进行机密性、可用性、完整性的识别,进行资产值的评估,这样能够确定信息资产的重要程度。
(2)风险评估
在风险识别的基础上,通过严谨的科学方法,对识别出的信息资产所存在的威胁、弱点及其影响性进行全面评估。从分析评估可以了解到,信息资产由哪些威胁和漏洞、缺陷被利用所能导致的后果、现有的管控措施的有效性、存在的不足等,并对剩余威胁进行评分。
(3)风险分析
信息安全风险分析是对通过现有管控措施保护之后,风险系数依然高于警戒值的信息资产,进行漏洞分析,提出改善措施的过程。改善方案一般包含:降低风险、保持风险、规避风险和转移风险等。在制定相关方案时,需要考虑方案可行性:经济成本是否过高,高于预算或高于所带来的效益、方案是否适合组织具体环境、能否有效降低风险等。
第3章 CM公司信息安全管理现状分析 .............................. 17
3.1 CM公司现状 ...................................... 17
3.2 CM公司信息化部门现状 ................................... 17
3.3 CM公司信息化建设现状 ............................. 18
第4章 CM公司信息安全管理体系建设方案 ......................... 35
4.1 信息安全管理体系建设方针、原则和目标 ....................... 35
4.1.1 信息安全管理体系建设方针 ........................... 35
4.1.2 信息安全管理体系建设原则 .............................. 35
第5章 CM公司信息安全管理体系建设实施保障 ............................. 56
5.1 信息安全管理体系建设思想意识保障 ........................... 56
5.1.1 意识提升考核保障 ................................... 56
5.1.2 日常工作抽验检查 ........................... 56
第5章 CM公司信息安全管理体系建设实施保障
5.1 信息安全管理体系建设思想意识保障
人的因素充满了不确定性,是无论如何高级的系统所不能控制的,是整个信息安全管理体系建设中最为薄弱的一环,并且更加容易引起信息安全事件。全面提升员工信息安全管理思想意识品德、职业素养及业务素质是信息安全管理实施的重要保障。 为了确保思想意识强化工作的有效性,还需要通过效果测试来进行检验,CM公司主要从以下几个方面进行:
5.1.1 意识提升考核保障
无论线上还是线下培训,均需要通过培训考核,由信息部根据培训内容出具试卷,人事部在培训结束后统一进行考核,不达标者需再次接受培训,直至达标,确保员工能够意识到信息安全的重要性。对于在考核中发现的普遍性的问题,需进一步针对性的进行分析及更新培训内容,提升培训质量。
5.1.2 日常工作抽验检查
不定期由信息安全工作小组对员工信息安全相关项实施状况进行抽验。例如:写有密码的纸粘贴在办公桌上、带有机密字样的资料随意放置等。
第6章 结论与展望
6.1 研究结论
CM公司属于信息化程度较高的新型制造企业,受益于信息化所带来的红利,使得企业高速发展,但从全球信息安全事件频发可以看出,企业同时也受到信息安全的极大威胁。CM公司出于自身业务发展考量及对客户、社会负责任的态度,决定优化自身的信息安全管理并达到信息安全管理体系要求。
本文以CM公司信息安全管理优化建设为研究对象,首先对国内外的研究现状进行了描述,然后分析了企业信息安全管理现状及问题点,提出了改善方案及措施,最后为了方案的有效落实,总结了方案执行的保障措施。通过研究CM公司的信息安全管理优化项目,得出以下几点结论:
(1)需灵活应用ISO27001信息安全管理体系各项规则
ISO27001信息安全体系的规定是全方位的,适合于所有的组织。但是,组织在实施的过程中,不能照本宣科,需要结合自身的实际业务需求进行量身定制。过分的贪大求全,将过多的浪费金钱、时间、人力等资源,可是建设的结果并不能发挥多大作用,有的甚至成为摆设,毫无作用。需将体系分解成一个个子项,逐项与组织实际需求相比配,仅保留、实施适配的项并将其发挥出最大作用,才能真正促进组织业务发展需求。
(2)信息安全管理需管理、技术、人员相结合全方位建设
需要摒弃以往的以技术为中心的理念,建立信息安全管理需要从管理、技术、人员相结合全方位建设理念。技术层在整个管理体系中最多能算一个面,而且没有体系的支撑时,多为管理链条上的一个个点,在各自的领域作用很大,但是没有统一规划,联合起来的功能大打折扣。而管理,就是从策略、方针、制度等宏观面进行总体布局,将各个点、线、面串成一个立体的信息安全体系。人员拥有主观能动性,在整个体系优化过程中的不确定性最大,虽然有着管理面的指导,系统的支持,但还需要提升信息安全运维人员的技术能力及全体员工的信息安全思想意识。
参考文献(略)