大多数钢铁企业的信息安全管理仍然存在很多问题,需要认真面对。
钢铁企业对信息安全的要求
摘要:钢铁行业作为传统的制造行业,在逐步摆脱传统的业务模式,加速走向信息化生产时代。“如何保障信息系统的安全正常运行”的课题,一直是行业中讨论、尝试的重点。虽然信息化程度提高了,但信息安全问题不容忽视,尤其是针对业务系统的信息安全治理成为重中之重。为了防止信息安全事故或事件的发生,尽管有相应技术防范措施,但是人为因素造成的安全风险仍然占有很高的比率。因此明确目前钢铁企业面临的主要信息安全问题并提出相应的信息管理措施十分必要。本文通过介绍上海三零卫士信息安全有限公司在钢铁行业建设ISMS中的经验为钢铁企业降低信息安全风险以有效保障业务的信息安全提供参考素材。
关键词:钢铁企业或钢铁行业;ISMS;信息安全
上海三零卫士信息安全有限公司 单宁
随着信息化的发展,钢铁企业信息系统由以前单一的一、二级作业系统,向多级系统并存、互动发展。在SAP的定义中,钢铁冶金行业的信息系统架构被分解成五个层次,这五级系统分别是:一级设备控制系统;二级过程控制系统;三级车间或分厂级制造执行系统(即MES)等;四级钢铁企业资源计划系统(即ERP);五级钢铁企业间管理系统及决策系统。这五层系统之间相互集成、相互协调,构成了一个完整、复杂的钢铁企业信息系统。
少数大型国有企业如宝钢、武钢等已经建立了体系化的信息安全管理,但是大多数钢铁企业的信息安全管理仍然存在很多问题,需要认真面对。
一、 钢铁企业信息系统的特点
三零卫士通过对钢铁企业信息系统的实地调研和分析,得出钢铁企业信息系统有以下特点:
第一、 钢铁企业系统最鲜明的特点在于对物料的描述。物料在生产过程中
从固态铁矿石等原料到液态铁水、钢水, 再到固态坯、板、卷, 最后达到用户要求的规格。对于物料准确的描述是正确生产、安全生产的前提。
第二、 客户信息安全的重要性较高。钢铁企业客户对产品的配方、配料等
本身就有保密性要求,例如,石油企业、军工企业、大型制造企业等。
第三、钢铁企业的信息系统与业务流程紧密结合。钢铁企业的信息系统从设计到开发、应用、维护,无不是围绕业务目标并沿袭其各种流程而展开的。
第四、钢铁企业信息系统对于业务连续性要求较高。在一个制造周期内生产不能间断(离散型的生产钢铁企业除外)。
二、 钢铁企业对信息安全的要求
信息安全问题对钢铁企业生产、销售等关键业务系统产生越来越大的影响,已经成为影响钢铁企业“生命线”的重要问题。钢铁企业对信息安全的要求主要体现在信息可用性以及保密性上面。
钢铁企业对于信息的可用性要求很高。由于钢铁企业是一个生产密集型企业,对于系统的耦合性要求非常高,并且对骨干网络通讯的依赖性非常高,在庞大而复杂的信息化管理系统背景下,一处出错或者中断都可能会对系统其他部位造成重大影响。
钢铁企业对于信息的保密性要求很高。首先,钢铁企业的配方、配料等对其非常重要,如果被竞争对手得到则可能会给企业自身造成毁灭性影响;再者,在生产过程中,钢铁企业的生产数据和能源数据也可以侧面反映一个钢铁企业的生产情况,这些数据同样具有保密性需求;最后,在生产过程中,钢铁企业对于客户的需求信息也具有保密的责任,一旦客户的需求等方面信息泄露,钢铁企业会被追究法律责任,这也将间接对钢铁企业的业务造成不利影响。
钢铁企业信息安全主要问题
三、 钢铁企业信息安全主要问题
三零卫士通过对钢铁企业各部门进行多次信息安全管理和信息安全技术现场调研,得出钢铁企业目前面临的信息安全主要问题如下:
1. 组织问题
目前钢铁企业普遍缺乏明确、可操作的信息安全方针;企业层面与二级单位层面的信息安全管理制度不协调;缺乏对整体信息安全管理的风险评估、对信息安全管理的全面评审;缺乏独立的信息安全领导组织,信息安全的责任不明晰;各类流程混乱、不按照流程办事的现象普遍存在。
目前钢铁企业往往由IT部门充当了信息安全管理的主力,但是IT部门不具备对信息价值判断的能力,也不具备对信息安全重要资源的管理职能,最终导致信息安全的工作处于被动状态,信息安全工作的有效性难以得到保障。
2. 人员问题
在人力资源安全方面缺乏从就职前、就职到离岗的全周期人员信息安全管理;缺乏对人员的信息安全系统、机制化的教育和培训;人员自身信息安全意识薄弱,经常出现误操作;对第三方人员的管理薄弱。
3. 系统获取与实施的问题
在信息化的过程中,从不同的软件开发商处购买不同模块是我国大多数钢铁企业信息化建设的模式。随着钢铁企业信息化的迅速推进, 这种模式的弊病越来越明显, 首先, 钢铁企业必须花费大量人力、物力及时间去集成这些来自不同开发商的独立模块, 由于钢铁企业采用的是独立的、非集成的模块, 因而就必须一个个模块由不同的供应商来升级, 升级后必须再一次做集成的工作。而这些操作过程中各类不完善的地方就回给今后在使用过程中带来安全隐患。
在信息系统的规划与建设过程中,由于钢铁企业信息系统接口众多、彼此耦合性很高,更加若对信息系统的安全功能与安全架构考虑欠缺;由于缺乏经验以及赶工时等原因而随意变更;在系统上线之前,钢铁企业容易跨越必要的独立测试过程而直接上线,这都为今后的使用带来了安全隐患。
4. 其他问题
目前多数钢铁企业缺乏完善的信息资产分类与管理。资产管理还主要停留在对财务资产的管理上,信息资产目前处于混乱无序状态。
随着钢铁企业规模的扩大,业务范围的增加,组织结构的变化,各系统间的接口越来越多, 通过建立专用数据接口的方法实现信息集成的难度也逐渐增加,这都是对钢铁企业信息安全的挑战。
在业务连续性方面,钢铁企业在生产方面有生产应急预案,但是往往缺乏有效的信息安全应急预案,有些企业则缺乏必要的容灾备份。
上述问题综合起来导致了钢铁企业信息安全风险的存在,一旦发生生产线瘫痪、主服务器数据丢失或者重要业务信息泄露等事件,则钢铁企业的损失不堪设想!
对策——建立ISMS
四、 对策——建立ISMS
三零卫士通过在钢铁企业建设信息安全管理体系来全面降低其信息安全风险。
信息安全管理体系(ISMS:Information Security Management System),它是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统。其依据是信息安全管理体系标准——ISO27001,ISO27001清晰地定义了ISMS是什么样子的,并对企业主要安全管理过程进行了详细地描述。
我们通过对钢铁企业信息系统的信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全管理、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事故管理、业务连续性、符合性(ISO27002要求的各个控制域)11个方面的处置,来建立钢铁企业信息安全管理体系。
ISMS建设分为五个阶段:准备阶段、风险评估阶段、实施阶段、运行阶段和持续改进阶段。
1. 准备阶段
本阶段应该确定以下内容:从组织的业务出发并通过与钢铁企业沟通明确ISMS项目的实施范围、业务流程所依赖的信息系统、项目实施框架、明确信息安全所涉及到的人员、部门和职能并确定双方在项目中的工作责任和范围(项目组内应设立领导小组、筹备小组、风险评估组、文件编写组、控制措施实施组、内审组和培训组等)、松紧适度的合理的项目日程规划并应获得钢铁企业审批。此外,在准备阶段对相关人员应进行标准内容的培训和辅导。
本阶段应该达到以下效果:得到钢铁企业高层的实际支持与承诺、双方项目组人员分工明确、项目组人员对ISMS以及项目将要涉及到的与之相关的工作有较为清晰的认知,以保证在以下的项目实施过程中能够进行积极、有效地配合。
2. 风险评估阶段
在准备阶段工作的基础上,根据ISO27001标准的要求,对钢铁企业目前的信息安全现状进行风险评估,通过风险评估,确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前钢铁企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。
1. 系统调研
在调研的过程中,调研人员应明确要调研的目标并控制好调研时间与引导好调研内容。针对不同调研对象,应有不同调研侧重点。针对高管的调研应注重法规、方针、制度等方面的调研;针对中层管理者的调研应注重管理活动、流程运转等方面的调研,由于中层是衔接高层和运维人员的重要环节,大多数重要流程都要从他们这里走,因此,往往要重点对其进行调研;针对运维人员的调研应注重技术细节和具体运作方面的调研。另外,要结合调研进程定期进行内部例会交流、整合调研成果。
2. 差距分析
差距分析是实施ISMS的重要环节,咨询公司以此深入了解目前的信息系统与标准的差距在哪里,为今后采取相应的风险控制措施提供决策参考。
差距分析是将钢铁企业既有的业务流程、资产、信息系统、各类标准作业程序、安全防范措施等与ISO27002里面所规定的ISMS管控项目做比较,了解目前的信息系统与ISO27002所设定的安全信息系统之间有多大差距,以作为后续风险评估与适用性声明参考之用。
差距分析要对调研结果进行综合分析,编写差距分析报告,列出差异之处并计划实际资源投放,为下一步的工作做好铺垫。最好将差距分析报告交给钢铁企业评审,通过后进行下一步工作。
3. 风险评估
风险评估是从信息安全的角度来为钢铁企业IT环境进行合理划分,找出技术上的不足、管理上的缺陷,为今后的方案设计和具体实施提供基础。
在风险评估之前,项目组应该结合钢铁企业的业务特点、组织架构和项目目的、目标、范围、时间、成本、质量等多重因素根据项目自身特点量体裁衣地确定风险评估的方法。
首先,应识别出关键信息资产并对其资产价值进行评估,结合前面的工作成果确认脆弱点和威胁并加以分析,然后根据资产值、脆弱性值以及威胁值来推算出风险值的大小(其中风险值的计算应充分考虑到钢铁企业信息安全的完整性、保密性、可用性的要求并据此选择算法),输出风险评估报告,然后咨询公司和钢铁企业协商决定风险控制方法(减少、接受、规避或者转移风险),并将相应文档提交给企业审阅,如果有和实际情况、企业需求不符的地方则对分析方法或过程等进行相应调整以最终符合实际情况并得到企业认同、批准和授权。最后,编写适用性声明。适用性声明是对适用于钢铁企业的控制目标和控制措施的评述,相当于一个控制目标与方式清单,并在其中阐述选择与不选择的理由。
3. 实施阶段
实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。
ISMS体系文件由四级文件构成:方针性文件、规定性文件、程序性文件、记录性文件。结合钢铁企业目前已有的管理制度和文件,编写符合标准要求的控制文件。同时,将已有的操作规程、规范文件,整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施。最终将形成一整套符合钢铁企业信息安全管理现状的、可实施的、文件化的信息安全管理体系。
建立ISMS体系文件的关键成功要素有:体系文件符合业务运作和安全控制的实际情况;具有可操作性,可以实现事事有人做、人人有事做、做事有考评、结果有奖惩而不能仅成为文件摆设;文件之间协调一致、不矛盾;文件应该具有编写、审核、修订、批准和实施的周期过程;依据法律法规和标准;参考现有的策略、制度和规范。
4. 运行阶段
运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对钢铁企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式,评审钢铁企业信息安全管理体系运行的符合性。通过内审,发现体系存在的问题。通过管理评审,找到改善信息安全管理体系运行状况的方法。
在ISMS正式运行前,应对体系进行试运行。结合信息系统的实际情况、钢铁企业实际需要、项目特点等确定试运行的时间。在ISMS试运行之前,应与钢铁企业高管进行充分沟通,得到必要的支持以及明确要做的具体工作,同时要进行ISMS的推广培训以减少体系运行的阻力。在体系试运行过程中,审核员应对ISMS进行评审,并应保持跟钢铁企业中层管理者的充分交流,发现有问题的地方,进行相应的调整以确保ISMS的建立。
5. 持续改进阶段
项目的完成只是钢铁企业ISMS建立和完善的一个首要步骤。
要通过内审与管理评审等持续改进活动,使钢铁企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对钢铁企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。如果项目条件允许,那么制作一个全面而均衡的测量体系则会为ISMS的绩效管理提供较准确的评测尺度以确保持续而有效的改进ISMS。
分析总结
五、 效果分析
三零卫士通过在不同钢铁企业实施ISMS,总结出钢铁企业实施ISMS可获得以下收益:
由于构建了大量的流程文档,为钢铁企业在开展各项与安全相关的活动中提供了明确的目标和操作指引;
进一步明确分工,使安全风险和责任意识从传统的IT 部门扩展到钢铁企业每个员工,提高了安全管理的整体效率;
培养一批熟悉国际标准和信息安全管理的专业人才,将信息安全管理工作贯穿到日常工作中,有效保护了产销系统的重要信息资产;
钢铁企业的IT部门能够有效控制成本,提高信息安全水平和用户的满意度;
通过构建静态的组织保障体系和实施动态的对整个体系进行调整、改善的PDCA过程,使钢铁企业安全管理从“静态、被动、散乱”的管理向“动态、主动、系统”的管理转变;
通过把ISO27001 的要求引入业务流程,使现有的业务运作更加符合安全规范,减少了流程和操作过程带来的安全风险;
实施ISMS为今后通过ISO27001认证做好了铺垫,钢铁企业通过国际安全风险管理认证,有助于提高客户的信任度,从而巩固在钢铁行业领域的专业形象和市场号召力。
六、 经验总结
根据三零卫士在不同钢铁企业建立ISMS的实施经验,现将在钢铁企业建立ISMS的经验总结如下:
钢铁企业信息安全管理体系的建立,让钢铁企业拥有了可持续改进的信息安全管理架构、方法和机制,显著改善了钢铁企业的信息安全风险主动防御能力。在项目实施过程中我们总结了以下经验:
不同钢铁企业的信息化历史不同、特点不同,因此其建设ISMS的要求也有区别。应该根据钢铁企业的具体情况明确ISMS的实施重点并予以落实。充分结合现有管理体系可以使得ISMS的运行更为切实有效。
随着产销一体化地完成和钢铁行业内竞争的不断发展,钢铁企业的交货期在逐渐缩短,这对信息系统功能提出了很高的要求,找出钢铁企业信息系统全生命周期中信息安全管理的薄弱特点并加以完善对于保障钢铁企业信息安全有重要意义。
以钢铁企业信息系统的主要维护部门作为立足点,以面向整个钢铁企业范围为最终目标建立体系,可以为后期阶段的项目实施确定方向,也为信息安全管理体系(ISMS)的建设奠定良好基础。
钢铁企业在建立ISMS过程中要考虑信息安全组织机构的建立和调整、信息安全岗位角色的建立或转换、以及信息安全相关业务流程的改善优化;安全策略、目标的设置应符合业务目标;完善而平衡的测量体系将有助于ISMS的持续改进;由于ISMS的实施可能会涉及到组织结构和人员职责的变动,实施过程中要能够获得高管的支持与承诺、尽量保持原有钢铁企业文化、立足现在的组织分工与人员结构进行部署,并深化教育,避免由于强制推行ISMS引起实施阻力;风险是永远存在的,重点是钢铁企业是否有经过详尽的风险分析与评估,在明确风险后找到并采取对钢铁企业自身合适的技术手段、管理手段以控制风险让钢铁企业能承受。钢铁企业面对的风险环境会变化。
ISMS的建立和完善本身是一整套管理制度的实施、多个流程的运作,并结合技术手段进行配合的过程。因此信息安全的控制目标、手段需持续改进。ISMS的建立是确保信息系统安全的起点,因此,钢铁企业ISMS的建立和实施是一个循序渐进的过程,不可能一蹴而就。
网友评论