一、IT技术的应用使印刷企业面临新的安全问题
按照《印刷业管理条例》,印刷品按产品性质不同分为三大类,即出版物、包装装潢印刷品、其它印刷品,印刷企业按照经批准的经营范围开展经营活动,可以包括一类、两类或全部三类产品。通常人们又按企业主营业务的特点将各类企业分为书刊印刷企业、包装印刷企业、零件印刷企业、安全印务企业等几类。其中安全印务是根据产品的安全保密要求来定义的一类印刷企业或产品,属其它印刷品的范畴,一般指票据、证件、涉密文件资料,安全印务包括但不限于票据印刷。本文着重探讨安全印务企业的信息安全。
由于产品的特殊要求,安全印务企业在两个方面具有显著特征,即有较高的防伪技术含量和严密的安保措施。国家在防伪产品生产和涉密产品生产上实行许可制度,即分别要取得技术监督部门颁发的《防伪工业产品生产许可证》和《秘密载体复制许可证》方可进行防伪产品的印刷和涉密产品的印刷。
安全印务企业都有完备的安全管理制度和安防措施,特别是在产品的承印手续、生产加工、交付运输、废品废版的销毁、工作场所的进出等方面都非常严格,一般也都具备对主要工作区域进行24小时监控的能力,这是安全印务企业区别于其它印刷企业的独特优势,也是安全印务企业赢得有安全要求的金融、政府机关等客户信任的重要条件。
随着IT技术向印刷业的渗透,印刷企业与客户之间的合作已越来越多地依赖IT技术和网络平台,印刷产品也越来越多地溶入数字化的信息,这时,客户在原有的产品安全要求之外对印刷企业提出了新的要求,包括如何保证重要交换文档的完好、如何保证合作项目内容的安全;同时印刷企业也发现,大量有价值信息的泄漏、客户重要文件数据的丢失、信息化网络平台的瘫痪、人员流动所引发的商业信息扩散等现象越来越困扰安全印务企业的经营管理。面对这个日益严峻的问题,企业必须寻找一种可行的办法保护企业有价值的商业信息,用科学的方法解决信息安全这一涉及范围广、专业性强的问题,将安全印务的“安全”内涵提升到一个新的高度。
ISO/IEC27001无疑为印刷企业提供了一个有效管理信息安全问题的思路和方法。
二、信息资产的识别和风险评估、处理是核心
要保护企业的商业信息就是要对信息资产进行识别、评估、保护、改进。息资产即与信息相关的所有资产,例如信息、信息处理设施以及信息处理人等。按此定义,广义上讲,企业内的所有资产和都信息是有联系的,都可以作为信息资产而被识别,在实践过程中,信息处理设施往往属于固定资产的范畴,一般都已得到良好的管理,而人员的管理有专门的人力资源管理资料可用,且其评估应该有其它的方法,因此信息本身类资产的识别和评估是这个过程的难点和重点。
信息资产一般分为信息资产(实体信息、电子信息)、软件资产、物理资产、无形资产等几类,在识别信息资产的同时,也应识别出其所归的类别。
信息资产会存在于企业的各个环节,如客户服务部会有客户信息、产品台帐、销售统计、客户文件等;印前部门会有客户提供资料、产品设计稿、发排文件等。因此,信息资产的识别也涉及到各个部门。在识别的过程中会有过粗和过细两个误区,过粗会遗漏信息资产而导致风险被忽视,过细则会加大对其实施管理和控制的成本。在实践可采取先细后粗的方法,即先尽量全面地找出所有资产,之后再评价过程中再将风险低的筛选出来,避免遗漏。
在识别出所有信息资产并制定详细的信息资产清单后即开始对其风险进行评估,即对这些信息资产存在的风险程度进行诊断,评估工作对于部门和企业来说也是难点。在定性的评估方法中,会应用资产重要度级别、资产面临的危胁和威胁可利用的脆弱性、资产的暴露程度、风险发生的容易度、可能性等因素及其相互关系,最终确定所有信息资产的风险大小,做出风险评估结果的列表,并据此编写风险评估报告,至此,企业就了解了本公司信息资产及其风险情况,做到心中有数。信息资产评估使企业掌握了本公司信息资产的状况,但却不能改变其安全现状,只有通过对风险的处理才能减少、缓解或消除原有的风险,达到控制风险的目的。对风险的处理在下一章中再举例说明。
[next]
三、以电子数据信息为控制重点
印刷企业在享用信息化带来的便利的同时,信息资产的脆弱性也使信息技术面临着很多危胁和困扰,对依托于IT平台的电子数据信息的安全性控制是信息资产管理的重点和难点。
安全印务企业的重要电子数据信息一般包括两个方面,第一来自办公自动化,第二来自产品的电脑设计制作。而这两个方面的信息资产又分别存在于服务器和客户端电脑中。
服务器中的电子信息一般包括文件倍份、用户信息、访问策略、共享文件、邮件倍份、最终发排文件等。
重要的客户端包括存有销售台帐、人事资料、财务账目、产品信息、客户信息等终端,以及用于防伪设计、平面设计制作的客户端、储存有产品数据(如可变数据)的客户端。
这些电子数据信息面临着很多威胁,一般包括未被授权人员的访问、硬件及软件问题导致数据丢失、随意扩散公司机密等,威胁的脆弱性通常包括员工无信息保护意识、IT管理部门无数据访问控制手段、废弃移动介质管理混乱未彻底清除信息、无备份文件和系统、信息易受病毒破坏等。
上述这些数据资产重要度较高,存在的威胁及其可利用的脆弱性较多,在经过考虑其资产的重要度、暴露等级和暴露程度、影响度、容易度、现行控制状况确定出其可能性等级后,即可判断其风险等级,如风险等级偏高,则应制定风险处理方案并组织实施,让其残余风险在规定的时间内降低到可接受范围。
例如:针对无健全的备份文件和系统导致发生意外故障时数据丢失无法找回的高风险,制定完善备份策略,并由电脑部检查落实,并对实施后残余风险进行评审,如残余风险为低则可接受。针对关键信息安全岗位人员意识不强导致信息扩散的高风险,则采取对关键信息安全岗位人员根据重要程度进行分级管理,制定关键信息安全岗位人员管理办法、分级管理的方法,使其风险降低至可接受。
四、通过133项控制措施实施对信息资产的日常管理
以上阐述的是本企业在实施ISMS过程中认识到的重点和难点问题,但建立ISMS体系绝不止上述工作。ISO/IEC27001:2005附录A中共有11个主章节、39个控制目标、133项控制措施,在建立ISMS体系过程中,利用附录A建立SOA文件(适用性声明,为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件)可帮助企业清晰地完善对信息资产的管理,并取得收获。下面举例说明:
条款及项目
|
控制目标
|
控制措施
|
||
A.10.4.1
|
控制恶意代码
|
保护软件和信息的完整性
|
应实施恶意代码的监测、预防和恢复控制措施,以及适当提高用户安全意识的程序
|
|
A.10.5.1
|
信息备份
|
保持信息和信息处理设施的完整性和可用性。
|
应按照己设的备份策略,定期各份和测试信息和软件。
|
|
A.10.6.1
|
网络控制
|
确保网络中信息的安全性并保护支持性的基础设施。
|
应充分管理和控制网络,以防止威胁的发生,维护系统和使用网络的应用程序的安全,包括传输中的信息。
|
|
A.10.7.1
|
可移动介质的管理
|
防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。
|
应有适当的可移动介质的管理程序。防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。
|
|
A.12.3.1
|
使用密码控制的策略
|
通过密码方法保护信息的保密性、真实性或完整性。
|
应开发和实施使用密码控制措施来保护信息的策略。
|
以上列举了几项控制目标和控制措施的例子,在实际工作中,应对照133个条款要求的控制目标逐一制定控制措施。企业在相关方面的基础管理如果较为完善,可能很多方面已经受控,这时需要对原有的控制措施进行一次梳理并纳入信息安全管理体系中,即实际工作中并不需要从零开始建立133项控制措施。日常工作中上述各项措施和制度的有效执行是对信息资产进行保护的关键所在。
[next]
五、信息安全管理的现实意义
建立一个基本的ISMS体系并不难,但企业信息安全风险控制的有效程度,还取决于企业是否持续、认真地落实各项要求、是否持续改善安全管理的硬件环境、持续对安全技术产品进行必要的投资。
信息安全管理体系的建立,可印刷企业企业识别出所有信息资产的风险所在,并通过对信息资产管理的各项措施的实施,如物理区域的访问管理,对通讯和操作的管理、备份管理、网络安全管理、访问控制等,对信息资产可能的损坏、丢失做好保护和恢复的准备,可以在意外事故发生时保持业务的连续性,避免损失。同时,随着企业信息化建设的逐步深入,信息安全管理体系的建立还为企业ERP的实施做好了安全准备。信息安全管理体系的建立可增加客户合作双方的安全感,排除客户对信息安全问题的担忧,极大地提高客户的信任度,增强竞争力,使企业在招投标中占据主动。它以信息流为着眼点,从一个新的视角度帮助企业建立信息安全管理的框架,减少企业的信息安全问题的威胁,使企业原有的各项管理得到有益的补充。
安全印务企业应把信息资产的保护和管理提升到一个新的高度,只有这样,才能取得客户的信任进而产生长期、稳定、深入的合作,同时也保证企业利益不受侵害。