|
|
|
|
|
|
来源: 发布日期:2020.05.22 点击量:
本期我们继续沿着制造业信息安全进阶之路,进一步探讨安全建设落地实施的话题。
安言咨询 - 制造业信息安全建设实施第二步(落地实施)详解
企业根据管理评估和技术评估结果进行整体规划设计,按照实施路线开展各项落地实施工作,逐步建立完整的信息安全体系。
01-制造业信息安全体系框架
目前,国内工业信息安全处于起步阶段,尚未有正式发布的体系框架类标准。安言咨询根据多年来在工业领域信息安全建设的实践经验,提出了针对不同行业特点的多套安全体系框架。其中,大型制造业企业可参照ISO/IEC 27001标准规范,结合企业实际情况构建完整的信息安全体系。汽车制造业可进一步参照TISAX审核标准构建满足VDA/ENX评估要求。其他中小型企业以商业秘密、数据安全、文档安全为核心,建立企业数据保护体系。
ISO27001信息安全体系:
作为国际广泛认可的关于组织信息安全的管理准则,ISO/IEC 27001标准适用于不同业务性质、企业规模、管理成熟度组织,在各类IT和非IT类企业都得到广泛应用。大型制造业企业可根据自身条件及客户要求,有效利用ISO/IEC 27001做好信息安全管理规划。
基于TISAX的信息安全体系:
目前国际大型整车制造商如大众、戴姆勒、宝马等,均要求其供应链企业和相关服务方必须获得TISAX资质。相关企业需要注册成为TISAX参与方,通过由VDA/ENX授权的审计服务机构(目前已有11家)实施评估,并将结果会发布在TISAX平台上。TISAX每3年审核一次并在成员之间共享,有效降低了制造商的安全认证成本。
商业秘密保护体系:
由于制造业企业内部信息安全管控普遍较为薄弱,内部泄密、员工跳槽成为企业信息泄露的主要原因。商业秘密与专利、商标等其他知识产权最显著的区别在于,权利的取得必须依赖于权利人的自发保护行为。企业应明确具有商业价值性的信息,通过建立企业数据保护体系采取合理、有效的保密措施,并对信息、数据的访问和使用实施有效的监控。
02-制造业信息安全管理体系建设思路
通过基于TISAX、ISO 27001以及企业商业秘密保护的安全管理体系建设,制定一套符合企业运营及发展需要的安全管理制度,作为企业内部实施有效的安全控制措施的指导和依据。以此为基础,进一步明确各项安全管理职责及管理流程,识别企业内部关键信息资产的保密性、完整性和可用性(CIA属性),从而制订有针对性的、可落地执行的安全控制措施。
03-制造业信息安全技术体系建设思路
与传统计算机网络安全相比,工业信息安全在保障目标对象、安全需求等方面具有其特殊性。保护场景多样、安全措施通用性较差,给工业信息安全技术防护带来了挑战。
虽然各企业的行业性质、企业规模、信息化程度各不相同,但在技术体系建设的方法和原则是相通的,即基于“分区分域、纵深防御、重点保护、技管结合”的原则。
2019年底,GB/T 22239_2019《信息安全技术 信息系统安全等级保护基本要求》(等保2.0)正式实施。新标准对移动互联、云计算、物联网和工业控制等新的保护对象和行业领域进行了扩展。制造业企业可依据等保要求建立安全技术体系框架,选择企业的关键业务系统进行重点安全防护。
展望未来,制造业企业在网络强国、制造强国战略为指导,以“互联网+制造业”发展蓝图为目标,通过加强法规标准落地、提升安全防护能力、培育壮大人才队伍,以工业信息安全提升企业综合实力,将有力保障我国先进制造业的国际竞争力。
更多相关业务与内容,请持续关注安言咨询公众号,如下图。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com
相关新闻:
