【寫在前言】

時光如流水，不知不覺地離開資訊保安這個領域已6年了，但安全意識早已融入血液，現在的工作中或多或少也還會有所涉及，今日有感….隨聊.（微信：13206224698）

--------------------------------------------------------------------------- -------------------------

一、何謂資訊保安

何謂資訊保安？通俗來講就是【資訊】的安全，在臺資企業通常叫資安（資訊安全），在行業內簡稱 InfoSec.(Information security).

很多人把資訊保安誤解為網路安全，理解為病毒、駭客攻擊之類的，認為資訊保安就是計算機沒有病毒或系統沒有漏洞，又或是認為資訊保安就是資訊保密，只要沒有連線網際網路就是安全的，這些都有點太過片面 . 資訊保安的範圍遠大於此，行業內把資訊保安稱其為資訊資產的安全，那麼資產的範圍包括哪些呢，請參下表：

資產大分類	資產中分類	說明
資訊類	紙本檔案電子檔案	資料庫檔案、備份資訊、網路架構圖、系統檔案、使用手冊、教育訓練教材、操作或支援程式、緊急應變計劃、合約、報表、報告、通訊簿、窗體、紀錄等
軟體類	商用軟體	軟體包、系統軟體、開發工具及公用程式等
軟體類	內部開發軟體	應用軟體、原始程式等
計算機裝置類	一般硬體	計算機裝置（伺服器、主機、膝上型電腦、個人計算機、工作站）等
	電訊	通訊裝置（網橋、集線器、路由器、網路交換器、調變解調器、電話自動交換機）等
	計算機保護設施	UPS 、磁帶櫃等
	媒體	照像機、錄音機、麥克風、幻燈片放映機、幻燈片放映機、攝影機等
	計算機媒體	光碟、磁帶、軟碟片、硬碟等儲存媒體
建築與設施類	備品與裝置	備用裝置等
	基礎架構	牆壁、地板、門窗及天花板等
	建築	機房、操作室、檔案室等管制區域
	建築保護設施	消防系統等
	便利設施	照明、空調系統、通風裝置、配管工程、電力供應等
服務類	內部服務	內部網路服務、一般公共設施（冷氣、電力、空調）等
服務類	外部服務	對外網路服務（對外網站）等
人員類	內部人員	本公司編制內人員
人員類	外部人員	委外維護人員、委外廠商、包商或供貨商、臨時工作人員、訪客等

表一（資產的分級分類參考）

從上表可以看到，資產的範圍實在太廣，而這些都是資訊保安防護的範疇 .

資訊保安是指保護資訊免受多種威脅的攻擊，保證業務連續性，將業務損失降至最少，同時最大限度的獲得投資回報和利用商業機遇 ，而 資訊保安的管理是一套體系（ I nformation Security Management System, 簡稱 ISMS ），是企業整個管理體系的一部分 ，是組織在整體或特定範圍內建立資訊保安方針和目標，以及完成這些目標所用方法的體系。基於對業務風險的認識， ISMS 包括建立、實施、操作、監視、複查、維護和改進資訊保安等一系列的管理活動，表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

二、製造業資訊保安現狀

在製造業，資訊保安的重視度通常是比較弱的 , 企業注重在 “ 應用性 ” ，忽略了 “ 安全性 ” ，其實在很多企業都一樣，沒有設立資訊保安組織，資訊基礎設施水平較差，缺乏基本的保障，資訊制度缺失或不完善，沒有制定安全策略，甚至大部分員工沒有資訊保安的意識，比如辦公桌貼滿各種密碼的小紙條，印表機旁散落的帶有敏感資訊的紙張，隨處可見的 U 盤 …. 等等。那麼企業在什麼時候會開始重視資訊保安呢？通常在以下兩種情況：

一是客戶對資訊保安的重視度很高，強烈要求合作商必須有其資質，能保障自身產品從生產到出貨的一系列安全，企業為了拿下訂單，不得不建立資訊保安組織進行推動並取得資訊保安相關資質以滿足客戶的要求。

另一種情況則更明顯一些，那就是在自身企業經歷了“痛”或看到同行業某公司經歷了“痛”之後，這個是最立竿見影的，只要企業內部發生一次較嚴重的資訊保安事件引起較大的損失，就會刻骨銘心，如生產車間大規模重病毒引起停線，又或是公司產品 BOM 表外洩，客戶產品還尚未上市，原型圖就在市面上出現等等。一旦有這些情況發生，企業高層就會痛定思痛，迅速匯入。

三、企業如何匯入資訊保安管理體系？

資訊保安有三大~法寶：法律、管理、技術。其中法律是基礎，管理是保障，技術是手段。而人才是支撐這三大~法寶的關鍵。那麼企業應該如何匯入資訊保安管理體系呢？通常也會有兩種做法

第一種：企業自身建立資訊保安組織，設定資訊保安官，招募有相關經驗的從業人員（人才），按照行業標準一步一步的匯入，然後再認證取得相關資質。

這種方式就像“溫水煮青蛙 ” 過程慢但成效好，可以在匯入的過程中，慢慢讓公司全體員工建立資訊保安意識，瞭解及遵守公司的資訊保安政策，逐步建立企業的資訊保安文化。那麼說它難，又難在哪裡呢？難在領導的支援，難在員工的配合 .

企業要匯入資訊保安管理體系，首先必須獲得高層領導的支援，這就像“欽差大人”取得 “ 上峰寶劍 ” 一樣，有了這個 “ 上峰寶劍 ” ，推動起來就容易多了。其次是員工的配合度，以過去匯入的經驗來看，企業匯入資訊保安通常會經歷以下幾個階段：

一是全員反彈期 ：認為資訊保安造成了工作的不便（殊不知安全與便利本就是矛盾體都嘛 ~~ ），員工抱怨聲音大，內心抗拒。比如，就辦公電腦而言，以前系統登入都沒有密碼或是輸入 123 等簡單密碼就可以，一旦標準匯入，要求字母 + 數字 + 特殊符號等組合，且長度不少於 X 位，定期 X 月更改，他們會講： “ 我哪記得住啊 ….ba~la, ba~la…” 這個大概是 1~3 月時間

二是半推半就期 ：全員參加資訊保安培訓，逐步認識資訊保安帶好的好處，資訊保安要求下發，部分員工開始接受，因有高層領導坐陣，不接受的員工也不得不從，被迫或勉強接受（哀家不得不從啊 … ），各種整改，但內心還是抵抗的，這期間涉及資產識別，風險評估，體系檔案編寫，釋出推廣等，如果沒有時間壓力，一般至少需要半年到一年的時間

三是心裡接受期： 經過一段時間的 “ 洗~腦 ” ，企業員工慢慢形成習慣（論習慣是如何養成的），各種整改基本完成，資訊保安相關的各種規章制度均已遵守，形成一種新的作業標準或模式。

四是資質認證及文化形成期 ：經過內部稽核及整改後，公司透過資訊保安的資質認證，企業內部已然形成資訊保安文化，新進的員工會在老員工的帶領及文化氛圍下，很自然的遵守。

話說這四個階段是不是有點像男女談戀愛的過程，呵呵 ~~~

所以，可以看到，經過這四個階段，公司匯入資訊保安管理體系通常要在 2 年以上的時間。

相對於第一種，第二種就簡單多了，直接請外面從事資訊保安的公司或有認證資質的機構到公司輔導，這種方式，如果順利的話，一般幾個月就可取得資質，但相比第一種而言，它更側重於資質的取得，企業資訊保安文化較難建立。

四．製造業應匯入哪種資訊保安標準？

推動資訊保安工作，主要涵蓋的層面包括人員、作業流程和資訊技術，要如何將此三者串連起來，最好的方式就是建置一套適合組織的資訊保安管理體系。近年來，世界各國發布了各種各樣的資訊保安標準。各種標準的物件、目的、範圍及側重點有所不同，但原則上有很多共同之處，比如：

– 基於風險評估，即以資訊保安風險為主要的探討物件，為組織如何管理資訊保安風險提供指導；

– 提供有關安全控制的操作實踐；

國內外比較熟悉的資訊保安標準主要有以下三個系列 ( 在此不深入介紹，請自行百度 ) ：

l 國際標準 – ISO/IEC 系列資訊保安標準

l 國際標準 – COBIT

l 國內標準 －等級保護

ISO 27000 系列是國際上受到認可的資訊保安管理標準 ，其中重點要提的是在 2005 年透過的 ISO 27001 標準，它是規範建立、實施資訊保安管理體系的方式，以及落實檔案化的要求，可以確保資訊保安管理體系，在組織內部能夠有效的運作，同時它也可以作為資訊保安管理體系的驗證標準。因此， 針對製造業而言 , 也是建議以 ISO27001 標準為主 , 其它標準為輔 . 例如 , 組織在按照 ISO 27001 建立資訊保安管理體系時，可以參照 ISO/IEC 13335 的部分方法，風險評估可以參照 ISO/IEC TR 13335-3 《 IT 安全管理技術》 , 針對製造業的工控環境部分 , 遵循工息部「工業控制系統資訊保安防護能力評估方法」

就資訊保安三要素（機密性、完整性、可用性）而言，製造業的資訊保安首先是可用性，其次才是機密性和完整性。在資產識別和風險評估階段，需要特別注意。

五、 ISO27001 認證的流程

無論是企業透過自己建立資訊保安組織進行認證還是請專業的機構輔導認證，除上文所講的差異外，整體流程上大同小異，總的來說分為以下階段：

第一階段：現狀調研

從日常運維、管理機制、系統配置等方面對貴公司資訊保安管理安全現狀進行調研，透過培訓使公司相關人員全面瞭解資訊保安管理的基本知識。包括：
（ 1 ）專案啟動：前期溝通，實施計劃，專案小組，資源支援，啟動會議。
（ 2 ）前期培訓：資訊保安管理基礎，風險評估方法。
（ 3 ）現狀評估：初步瞭解資訊保安現狀，分析與 ISO27001 標準要求的差距。
（ 4 ）業務分析：訪談調查，核心與支援業務，業務對資源的需求，業務影響分析。
第二階段：風險評估
對公司資訊資產進行資產價值、威脅因素、脆弱性分析，從而評估公司資訊保安風險，選擇適當的措施、方法實現管理風險的目的。
（ 1 ）資產識別：識別貴公司的各種資訊資產。
（ 2 ）風險評估：重要資產、威脅、弱點、風險識別與評估。
第三階段：管理策劃
根據公司對資訊保安風險的策略，制定相應資訊保安整體規劃、管理規劃、技術規劃等，形成完整的資訊保安管理系統。
（ 1 ）檔案編寫：編寫 ISMS 各級管理檔案，進行 Review 及修訂，管理層討論確認。
（ 2 ）釋出實施： ISMS 實施計劃，體系檔案釋出，控制措施實施。
（ 3 ）中期培訓：全員安全意識培訓， ISMS 實施推廣培訓，必要的考核。
第四階段：體系實施
ISMS 建立起來（體系檔案正式釋出實施）之後，要透過一定時間的試執行來檢驗其有效性和穩定性。
（ 1 ）認證申請：與認證機構切磋商，準備材料申請認證，制定認證計劃，預稽核。
（ 2 ）後期培訓：稽核員等角色的專業技能培訓。
（ 3 ）內部稽核：稽核計劃， Checklist ，內部稽核，不符合項整改
（ 4 ）管理評審：資訊保安管理委員會組織 ISMS 整體評審，糾正預防。
第五階段：認證稽核
經過一定時間執行， ISMS 達到一個穩定的狀態，各項文件和記錄已經建立完備，此時，可以提請進行認證。
（ 1 ）認證準備：準備送審檔案，安排部署稽核事項。
（ 2 ）協助認證：內部稽核小組陪同協助，應對稽核問題。

六、資訊保安的幾個認識

l 資訊保安不是單純的網路安全

l 木桶理論： 資訊保安的防禦強度取決於安全體系最為薄弱的一環，另外，一個木桶能不能容水，可以容多少水，除了看最短板之外，還要看木桶是否有堅實的地板，板與板之間是否有縫隙。這個底板正是指資訊保安基礎，即資訊保安架構，管理制度，安全流程等。再者，一個安全的防禦體系，不同的產品和流程之間聯動與協作猶如木板之間的縫隙，要日常的審查和檢討

l 平衡原則 : 安全性與便利性的平衡，投資與收益的平衡（舉例：不能花 100 元只解決 10 元的問題）

l 員工培訓與全員參與 ：資訊保安強調全員參與，員工培訓猶為重要，培訓的目標要達到四個能

能識別資訊保安問題，能認識潛在的威脅，能做出正確的響應，能養成好的行為習慣

l 收網理論： 資訊保安往上提匯入前或匯入後都會有潛在的威脅，但透過識別風險、控制或規避風險後，整體的威脅就會越來越少，這需要一個過程，就像撒網收魚一樣，把風險口收越小。

l PDCA ：資訊保安體系匯入遵行 PDCA 方法論

l 認證只是開始： ISO27001 在取得資質認證後，並不代表企業就安全了，只是說明企業引入了一套國際認可的資訊保安管理體系，這僅僅只是一個開始 …

周曉江-淺談製造業的資訊保安

相關文章