汽车制造业信息安全保障管理关键过程

　　引言

　　随着信息技术的迅猛发展，信息系统被企业的广泛应用，信息及信息系统对汽车制造企业来说，不仅只意味着财富和实力，而且已经成为企业的重要战略资源及赖以生存的血液，对企业的生存、发展起着至关重要的作用。十七大胡总书记报告中提出：全面认识工业化、信息化、城镇化、市场化、国际化、深入发展新形势、新任务，要大力推进信息化和工业化的融合。信息化是当今世界制造业发展的趋势，更是中国汽车制造业实现跨越发展的重要机遇。同时，随着企业信息化广泛深入应用，信息安全问题也日益突出且越来越关系企业的命运，在信息安全领域，很多企业在内网安全方面虽然有信息安全相关产品的部署，但都缺乏统一的安全策略，上下级网络间也缺乏很好的联动管理与维护，客户端漏洞补丁的下载与执行无法统一，病毒库及补丁升级更新不及时、不准确、不共享，内网病毒及木马等威胁比较多，虽然有防病毒软件，但是无法定位，组织机构不合理，安全监管措施缺失，管理手段落后等，都成为制约企业信息化发展的重要问题。

　　大量的信息安全事件，已经使人们逐步明白：不是任何的信息安全问题都可以通过技术手段解决的。即便有了技术手段，如果没有管理，也不能真正发挥出技术手段应有的功效。信息安全保障包括技术和管理两个层面，就技术和管理所起的作用而言，管理的比重甚至要大于技术。再先进的技术手段，离开科学合理的管理也不能发挥全部的作用。信息管理就是把分散的信息安全技术因素、人的因素，通过政策规则协调整合成为一体，服务于企业信息化使命的安全目标。因此，参照国际先进的信息安全管理实践经验，结合企业的实际情况以及国家信息安全等级保护要求，以及风险评估等要求建立一套符合国际标准要求的信息安全保障管理体系(Information Security Assurance Management Systems，ISAMS)，将有效地从管理、技术、运维等方面提高企业的总体信息安全水平，保障企业的业务持续运行，保护企业的核心竞争力。对于任何企业，采用ISAMS将是一项重要的战略性决策，企业信息化体系结构最重要是信息安全保障，如果没有信息安全保障，企业的信息化就很难健康地发展。

　　一 信息安全保障管理基础

　　企业信息安全保障管理指的是通过管理和保护企业所有的信息系统，包括制定信息安全方针策略、风险评估与管理、控制目标及控制手段的选择与实施、制定规范的操作流程、对员工进行安全培训等一系列工作，来维护企业信息系统的机密性、完整性及可用性等的一项体制。通过在信息安全策略(包含信息安全方针)、信息安全组织、信息资产分类与管控、核心人员信息安全、物理与环境包括边界安全、通信操作安全、信息安全访问控制、信息系统获取开发与维护、业务持续性管理、信息安全法律法规符合性等十几个领域内建立管理控制措施，来为企业建立起一张完备的信息安全“保护网”，保证企业信息资产的安全与业务的连续性。

　　企业信息安全保障管理是一个多层面、多因素的、综合的、动态的系统工程，它需要企业对信息系统的各个环节进行全面统一的考虑、规划、设计和架构，并要时时兼顾组织内外不断发生的业务情况，任何环节上的信息安全脆弱点都会对系统构成风险。企业的信息安全保障管理水平由与信息安全相关环节中的最薄弱环节决定。信息从产生到销毁的生命周期过程中还包括了收集、加工、交换、存储、检索、存档等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个环节出现问题都可能影响整体信息安全水平。另外，如果企业凭着一时的需要，想当然地去制定一些控制措施和引入几项技术产品，就难免使得信息安全这只“木桶” 出现若干“短板” ，从而无法整体提高信息安全保障管理水平。建立全面的信息安全保障管理体系是避免上述问题的有效手段。

　　二 企业信息安全保障管理目标与原则

　　企业在建立信息安全保障管理体系前首先要确定其目标与原则，企业信息安全管理通常强调所谓CIA三元组的目标，即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)，这是信息安全的基本要素和安全建设所应遵循的基本原则。

　　对汽车制造企业来说，信息安全CIA的3个方面都应该是比较重要的，一方面，公司内部牵涉到核心技术、知识产权、隐私保护的信息资产，其保密性要求会比较高，另一方面，由于关系到各项应用和业务系统的持续有效运营，支持这些应用和业务系统的信息系统则必须保证可用性和完整性。对CIA的追求只是企业信息安全管理的直接目标，对于汽车制造企业，其实最终关心的是其关键业务活动的持续性和有效性，而各项关键业务活动的运转，又依赖于信息系统的支持，所以，企业业务持续性及企业的生存发展目标，才是企业信息安全保障管理的最终目标。

　　讲科学管理，常常提出若干管理原则，讲信息安全管理同样也不例外，但是，一旦执行起来，原则往往变成了“圆则” ，无处下手，难于考核，流于形式，成为口号。

　　如何将信息安全管理原则不变成“圆则” ，变成看得见，抓得住的现实，需要通过抓好如下几个方面来加以实现：

　　1)信息安全管理责任明确

　　管理是需要通过人来实施的。信息安全保障管理不是一个人的事情，要人人有事做，事事有人做，企业需要建立人与事的匹配关系，用角色和责任把这种关系明确起来，固定下来，以便备忘、查考、赏罚。同时，管理者还必须给予明确的支持和承诺。

　　2)信息安全保障管理“有规可依”

　　信息安全保障管理是一个动态的过程，需要通过建立符合规范的流程来体现这个过程。流程必须规范，使不同时间、不同的人在实施同类事物的管理时，步调一致、效果最佳、可以比较。

　　3)信息安全保障管理流程“执规必严”

　　赋有管理责任的角色，在实施信息安全管理时，决不能信马游缰，随意乱来。相关的法律、规章、制度是实施管理的依据，必须与其保持一致。

　　4)信息安全保障管理整体的协调一致

　　信息安全保障管理的整体是通过不同部门、不同人员管理的各个分项综合来显现其效果的。它们之间为了整体的管理要求，必须协调。协调的要求应该是事先共识达成的一致。为了协调，相互之间必须沟通，同时也要与企业的文化保持一致。

　　5)信息安全管理执行应该有据可查

　　规定的管理行为必须执行，执行的管理活动应该有据可查。信息安全管理活动必须留有记录、证据，以便查考管理的效果，改进完善管理行为。

　　6)信息安全保障管理的常态性

　　向所有管理者、员工和其他方提供适当的意识、培训和教育，传达有效的信息安全知识以使他们具备安全意识和素质。

　　7)信息安全保障管理需求明确

　　企业信息安全保障管理需求，一是从考虑企业整体业务战略和目标的情况下，评估该组织的信息安全风险获得。通过风险评估，识别出资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。二是企业开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。三是来源于组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的企业文化环境。