安全产品是工具完善制度是根本_综合_基础信息化_信息化文库

近期热点

·	企业网络安全的规划设计与实践
·	网络安全之我见
·	制造执行系统（MES）的应用与发展
·	基于PDM的工作流程管理
·	<连载>Protel二次开发从入门到精通
·	PDM选型决策支持系统的研究与实现

相关文章

·	共享信息资源保护智力资产
·	中国制造业信息安全调查报告摘要
·	为制造企业架构整体安全平台
·	完善企业管理制度建设信息安全体系
·	制造业智力资产保护和核心数据安全管理及其发展趋势
·	实现企业信息环境真安全

相关博客

相关新闻

·	e-works首届制造业信息管理与安全年会在京成功举行
·	赛门铁克于沪召开Security Insights Live信息安全年会

相关热贴

相关商城商品

当前位置：基础信息化 -> 综合

安全产品是工具完善制度是根本

——制造企业代表上海联合汽车信息安全专家刘云端采访实录

发表时间：2007-10-10 陈同江冷凝来源：e-works

关键字：信息安全年会安全管理制度企业代表刘云端

企业信息化水平在不断提高，企业对信息安全是如何看待？制造企业是如何解决安全问题？e-works编辑在首届制造业信息安全与管理年会上采访了企业代表上海联合汽车信息安全专家刘云端先生。

e-works：首先请您介绍一下上海联合汽车的情况。
刘云端：联合汽车电子有限公司（简称UAES）是中联汽车电子有限公司和德国罗伯特•博世有限公司在中国的合资企业。公司引进博世公司具有当代世界先进水平的汽油发动机控制系统（Engine Management System）的产品技术，始终致力于研究、开发和生产适合中国汽车工业发展需要，并有批量出口的安全、洁净、经济的EMS产品及其零部件。公司的总部、技术中心和上海生产厂建设在上海市浦东新区金桥开发区，并在无锡和西安的高新技术开发区设立分厂，重庆设有一个分公司。目前，年生产能力已超过200万套。

e-works：这个系统是给专业的汽车厂用的还是给客户用的？
刘云端：这个系统主要是给汽车生产厂家使用的，发动机需要进行管理，主要体现如燃油经济性、启动、带速、控制系统、燃油喷射系统、供油、供气等。

e-works：产品主要和国内哪些厂商配套?市场情况如何？
刘云端：国内大部分汽车厂都在采用我们的产品，国外厂商也因为要降低成本和国产化要求等原因，也在与我们展开合作，我们在市场上的整体占有率超过1/3。

e-works：产品是软件产品还是软件加硬件的解决方案？研发部门有多少人？
刘云端：整个系统既有硬件又有软件，属于高新技术产品。我们的研发中心有200-300人的人员，2年后将达到500人。

e-works：您在企业主要负责哪方面？
刘云端：我是负责信息安全方面的。

e-works：根据我们前段时间的调查，在企业里请专职人员做信息安全目前并不是特别多，不少企业中由负责信息化的IT人员兼职管理信息安全。您怎么看这个问题？
刘云端：因为我们公司是合资公司，合资方采用了一套完整的安全体系，在给体系中，要求保证自己的信息安全部门和信息技术部门分离，这样可以让这两个部门互相配合和相互监督。

e-works：在您负责的日常工作中，信息安全主要包括哪些内容？
刘云端：首先我们谈到的信息安全是一个管理的范畴，作为企业感受会很深，就是三分技术、七分管理。从企业应用层面来看绝对是这样。所以在我们公司，谈到信息安全，肯定是要从管理的高度来理解信息安全的概念，我们建立了一套专门的体系，通过一个组织来实施和推进，在实行这个体系还会有定期的检查和回顾，就像我们做ISO9000体系、管理体系是一样，形成一个完整的PDCA循环。

e-works：安全有一整套的安全体系，是不是企业应该采用类似ISO27000一类的标准来实施？
刘云端：我们公司还没有严格按照ISO27000来做，而是采用合资方的一套管理体系与我们企业的自己管理体系相结合，形成的一套体系来做的。

e-works：我想与您谈的问题就是能从企业的角度出发，这与厂商的角度是不一样的。现在我们遇到的大多数企业已经完成了基础网络的建设，也具备基本防范能力，您认为下一步企业应该如何来保障自身的信息安全？
刘云端：基础建设几乎是十年前企业就在做的事情了。我认为，首先，信息安全从领导层来看一定要重视。我们做信息安全开始的时候，从表面看往往是技术问题，但它实际是一个管理问题。与许多企业接触后发现，他们很多没有整套安全体系，虽然他们也有病毒、防火墙这类产品，但往往只是产品的堆积，对真正的安全来说，它的作用不是最大的。只有建立一套完整的体系，有领导的重视、员工的真正的意识提高和参与，与企业的流程想结合的安全体系，才是能起作用的安全体系，否则，用的工具再好也不一定能发挥效用。

e-works：企业该怎样构筑自己的安全体系？如军工和一些大中型企业已经遵循规范建立了自己的安全体系，企业苦恼的不是安全体系的建立问题，而是执行问题。一些企业往往是数据丢了、系统崩溃、损失惨重了才开始真正重视安全问题。如何才能让领导真正重视、员工真正参与？
刘云端：这个是件比较难的工作，无论是在合资企业还是国有企业。对于制造业来说，一个安全体系要真正的起作用，一定是要跟自己的业务紧密结合的，如果是光建立这么套安全体系，发几个文件，开个宣传会，领导讲讲话、发个e-mail或用其他工具通知下，那么它起的效果就会大打折扣。

e-works：能否请您举个信息安全与业务结合的例子？
刘云端：我们在企业中往往需要制定各种流程，在流程执行中，我们可以把信息安全的关键点做些限制。例如：电子银行电子付款我们用的是自动化的流程，不可能会计做完账目之后就可以转账。流程中经理要签字、总经理要审批。在制定流程时就应该考虑进去这些安全问题。我们可以利用安全工具确定审批权限只能在某台制定的设备上、由某个制定的人来完成。如果在我们不采用安全工具的情况下，我们可以要求由人工来完成，有了身分认证和指纹识别等工具后，我们可以把流程审批工作做成程序，做成自动化程度较高的网上应用，但关键还是这些适合企业的流程。

e-works：如您所说，如果要建立安全体系建设，先分析自己工作的实际状况，像企业在导入ERP里是有最佳实践，不知道我们信息安全有没有类似的说法或者其他可供遵循的原则？
刘云端：我们做信息安全有三个原则：1、合法性：不能用盗版；作为一家合资公司的经营，必须符合国家的法律法规。2、经济有效性：即投入产出比，我们不可能上一个大的项目来补一个小漏洞或比较小的事情。3、平衡：局部利益服从整体利益；要基于我们的一些安全方针、一些规定或者是一些流程来执行，不能说到了一个部门说我有特殊情况就给停了。

e-works：听你这么说，信息安全已经不能说单纯的是一个工具而是集成到日常工作中去了。
刘云端：是的，只有这样才能体现安全的价值，否则安全只是控制、限制，这样人人都会恨它。

本文为e-works原创投稿文章，未经e-works书面许可，任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴，应在授权范围内使用。e-works内容合作伙伴申请热线：editor@e-works.net.cn tel：027-87592219/20/21。

<<首页 <上一页 1 2 下一页> 末页>>

共2页,当前第1页

责任编辑：冷凝