1.it技術(shù)的應(yīng)用使印刷企業(yè)面臨新的安全問(wèn)題

　　安全印務(wù)是根據(jù)產(chǎn)品的安全保密要求來(lái)定義的一類(lèi)印刷企業(yè)或產(chǎn)品,，屬其他印刷品范疇，一般指票據(jù),、證件,、涉密文件資料，包括但不限于票據(jù)印刷,。由于產(chǎn)品的特殊要求,，安全印務(wù)企業(yè)在兩方面具有顯著特征：較高的防偽技術(shù)含量和嚴(yán)密的安保措施。國(guó)家在防偽產(chǎn)品生產(chǎn)和涉密產(chǎn)品生產(chǎn)上實(shí)行許可制度,，即分別取得技術(shù)監(jiān)督部門(mén)頒發(fā)的《防偽工業(yè)產(chǎn)品生產(chǎn)許可證》和《秘密載體復(fù)制許可證》后方可進(jìn)行相關(guān)產(chǎn)品的印刷,。

　　安全印務(wù)企業(yè)有完備的安全管理制度和安防措施，特別是在產(chǎn)品的承印手續(xù),、生產(chǎn)加工,、交付運(yùn)輸、廢品廢版銷(xiāo)毀,、工作場(chǎng)所進(jìn)出等方面非常嚴(yán)格,，一般也具備對(duì)主要工作區(qū)域進(jìn)行24小時(shí)監(jiān)控的能力，這是其獨(dú)特優(yōu)勢(shì),，也是贏得有安全要求的金融,、政府機(jī)關(guān)等客戶(hù)信任的重要條件。

　　隨著it技術(shù)向印刷業(yè)的滲透,，印刷企業(yè)與客戶(hù)之間的合作已越來(lái)越多地依賴(lài)it技術(shù)和網(wǎng)絡(luò)平臺(tái),，印刷產(chǎn)品也越來(lái)越多地融入數(shù)字化的信息，這時(shí),，客戶(hù)在原有的產(chǎn)品安全要求之外對(duì)印刷企業(yè)提出了新要求,，包括保證重要交換文檔的完好,、保證合作項(xiàng)目?jī)?nèi)容的安全等。同時(shí)大量有價(jià)值信息的泄漏,、客戶(hù)重要文件數(shù)據(jù)的丟失,、信息化網(wǎng)絡(luò)平臺(tái)的癱瘓、人員流動(dòng)所引發(fā)的商業(yè)信息擴(kuò)散等現(xiàn)象越來(lái)越困擾企業(yè)的經(jīng)營(yíng)管理,。企業(yè)必須尋找一種可行的辦法保護(hù)有價(jià)值的商業(yè)信息,，用科學(xué)的方法解決信息安全這一涉及范圍廣、專(zhuān)業(yè)性強(qiáng)的問(wèn)題,，將安全印務(wù)的“安全”內(nèi)涵提升到新的高度,。iso/iec27001無(wú)疑為企業(yè)提供了有效管理該問(wèn)題的思路和方法。

　　2.信息資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估,、處理是核心

　　保護(hù)企業(yè)的商業(yè)信息即要對(duì)信息資產(chǎn)進(jìn)行識(shí)別,、評(píng)估、保護(hù),、改進(jìn),。信息資產(chǎn)即與信息相關(guān)的所有資產(chǎn)，例如信息,、信息處理設(shè)施,、信息處理人等。按此定義,，廣義上企業(yè)內(nèi)的所有資產(chǎn)和信息都有聯(lián)系,，都可以作為信息資產(chǎn)被識(shí)別，在實(shí)踐過(guò)程中,，信息處理設(shè)施往往屬于固定資產(chǎn)范疇,，一般已得到良好的管理，而人員的管理有專(zhuān)門(mén)的人力資源管理資料可用,，且其評(píng)估有其他方法,，因此信息的識(shí)別和評(píng)估是這個(gè)過(guò)程的難點(diǎn)和重點(diǎn)。

　　信息資產(chǎn)一般分為信息資產(chǎn)（實(shí)體信息,、電子信息）,、軟件資產(chǎn)、物理資產(chǎn),、無(wú)形資產(chǎn)等幾類(lèi),，在識(shí)別信息資產(chǎn)的同時(shí)，也應(yīng)識(shí)別其類(lèi)別,。

　　信息資產(chǎn)存在于企業(yè)的各個(gè)環(huán)節(jié),，如客戶(hù)服務(wù)部會(huì)有客戶(hù)信息、產(chǎn)品臺(tái)賬,、銷(xiāo)售統(tǒng)計(jì),、客戶(hù)文件等,；印前部門(mén)會(huì)有客戶(hù)提供資料、產(chǎn)品設(shè)計(jì)稿,、發(fā)排文件等,。因此，信息資產(chǎn)的識(shí)別涉及到各部門(mén),。在識(shí)別過(guò)程中會(huì)有過(guò)粗和過(guò)細(xì)兩個(gè)誤區(qū),，過(guò)粗會(huì)遺漏信息資產(chǎn)而導(dǎo)致風(fēng)險(xiǎn)被忽視，過(guò)細(xì)則會(huì)加大對(duì)其實(shí)施管理和控制的成本,。實(shí)踐中可采取先細(xì)后粗的方法,，先盡可能找出所有資產(chǎn)，在評(píng)價(jià)過(guò)程中再將風(fēng)險(xiǎn)低的篩選出來(lái),，避免遺漏。

　　對(duì)信息資產(chǎn)存在的風(fēng)險(xiǎn)程度進(jìn)行診斷的評(píng)估工作,，對(duì)部門(mén)和企業(yè)來(lái)說(shuō)也是難點(diǎn),。在定性的評(píng)估方法中，會(huì)應(yīng)用資產(chǎn)重要度級(jí)別,、資產(chǎn)面臨威脅,、資產(chǎn)暴露程度、風(fēng)險(xiǎn)發(fā)生容易度等因素及其相互關(guān)系,，最終確定所有信息資產(chǎn)的風(fēng)險(xiǎn)大小,，列表并據(jù)此編寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告。信息資產(chǎn)評(píng)估使企業(yè)掌握了本公司信息資產(chǎn)狀況,，但不能改變其安全現(xiàn)狀,，只有通過(guò)對(duì)風(fēng)險(xiǎn)的處理才能達(dá)到控制風(fēng)險(xiǎn)的目的。

　　3.以電子數(shù)據(jù)信息為控制重點(diǎn)

　　印刷企業(yè)在享用信息化帶來(lái)的便利的同時(shí),，信息資產(chǎn)的脆弱性也使信息技術(shù)面臨著很多威脅和困擾,，對(duì)依托于it平臺(tái)的電子數(shù)據(jù)信息的安全性控制是信息資產(chǎn)管理的重點(diǎn)和難點(diǎn)。

　　重要電子數(shù)據(jù)信息一般包括兩個(gè)方面,，第一來(lái)自辦公自動(dòng)化,，第二來(lái)自產(chǎn)品的電腦設(shè)計(jì)制作。它們分別存在于服務(wù)器和客戶(hù)端電腦中,。

　　服務(wù)器中的電子信息一般包括文件備份,、用戶(hù)信息、訪問(wèn)策略,、共享文件,、郵件備份、最終發(fā)排文件等,。

　　重要客戶(hù)端包括存有銷(xiāo)售臺(tái)賬,、人事資料,、財(cái)務(wù)賬目、產(chǎn)品信息,、客戶(hù)信息等終端,，以及用于防偽設(shè)計(jì)、平面設(shè)計(jì)制作的客戶(hù)端,，儲(chǔ)存有產(chǎn)品數(shù)據(jù)（如可變數(shù)據(jù)）的客戶(hù)端,。

　　這些電子數(shù)據(jù)信息面臨著很多威脅，一般包括未被授權(quán)人員的訪問(wèn),、硬件及軟件問(wèn)題導(dǎo)致數(shù)據(jù)丟失,、隨意擴(kuò)散公司機(jī)密等，安全的脆弱性通常包括員工無(wú)信息保護(hù)意識(shí),、it管理部門(mén)無(wú)數(shù)據(jù)訪問(wèn)控制手段,、廢棄移動(dòng)介質(zhì)管理混亂未徹底清除信息、無(wú)備份文件和系統(tǒng),、信息易受病毒破壞等,。

　　上述這些數(shù)據(jù)資產(chǎn)重要度較高，存在的威脅及其可利用的脆弱性較多,，判斷出其風(fēng)險(xiǎn)等級(jí)后,，若風(fēng)險(xiǎn)等級(jí)偏高，應(yīng)制定風(fēng)險(xiǎn)處理方案并組織實(shí)施,，讓其殘余風(fēng)險(xiǎn)在規(guī)定的時(shí)間內(nèi)降低到可接受范圍,。

　　例如，針對(duì)無(wú)健全的備份文件和系統(tǒng)導(dǎo)致發(fā)生意外故障時(shí)數(shù)據(jù)丟失無(wú)法找回的高風(fēng)險(xiǎn),，制定完善備份策略,，并由電腦部檢查落實(shí)，并對(duì)實(shí)施后殘余風(fēng)險(xiǎn)進(jìn)行評(píng)審,，如殘余風(fēng)險(xiǎn)為低則可接受,。針對(duì)關(guān)鍵信息安全崗位人員意識(shí)不強(qiáng)導(dǎo)致信息擴(kuò)散的高風(fēng)險(xiǎn)，則采取對(duì)關(guān)鍵信息安全崗位人員根據(jù)重要程度進(jìn)行分級(jí)管理,，制定關(guān)鍵信息安全崗位人員管理辦法,、分級(jí)管理方法，使風(fēng)險(xiǎn)降至可接受范圍,。
　　
　　4.通過(guò)133項(xiàng)控制措施實(shí)施對(duì)信息資產(chǎn)的日常管理 

　　以上闡述的是本企業(yè)在實(shí)施isms過(guò)程中認(rèn)識(shí)到的重點(diǎn)和難點(diǎn)問(wèn)題,，但建立isms體系絕不止上述工作。iso/iec27001∶2005附錄a中共有11個(gè)主章節(jié),、39個(gè)控制目標(biāo),、133項(xiàng)控制措施，在建立該體系過(guò)程中,，利用附錄a建立soa文件（適用性聲明,，為描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文件）可幫助企業(yè)完善對(duì)信息資產(chǎn)的管理,。

　　表中列舉了幾項(xiàng)控制目標(biāo)和控制措施，在實(shí)際工作中,，應(yīng)對(duì)照133個(gè)條款要求的控制目標(biāo)逐一制定控制措施,。企業(yè)在相關(guān)方面的基礎(chǔ)管理若較為完善，則只需對(duì)原有的控制措施進(jìn)行梳理并納入信息安全管理體系,。

　　5.信息安全管理的現(xiàn)實(shí)意義

　　建立一個(gè)基本的isms體系并不難,。風(fēng)險(xiǎn)控制的有效程度，還取決于企業(yè)是否持續(xù)認(rèn)真地落實(shí)各項(xiàng)要求,、持續(xù)改善安全管理的硬件環(huán)境,、持續(xù)對(duì)安全技術(shù)產(chǎn)品進(jìn)行必要投資。

　　信息安全管理體系的建立,，可幫助企業(yè)識(shí)別信息資產(chǎn)風(fēng)險(xiǎn)所在,，并通過(guò)對(duì)信息資產(chǎn)管理的各項(xiàng)措施的實(shí)施，如物理區(qū)域的訪問(wèn)管理,，對(duì)通訊和操作的管理,、備份管理、網(wǎng)絡(luò)安全管理,、訪問(wèn)控制等，對(duì)信息資產(chǎn)可能的損壞,、丟失做好保護(hù)和恢復(fù)準(zhǔn)備,，以便意外發(fā)生時(shí)保持業(yè)務(wù)的連續(xù)性，避免損失,。同時(shí),，信息安全管理體系的建立還為企業(yè)erp的實(shí)施做好了安全準(zhǔn)備。信息安全管理體系的建立可增加客戶(hù)合作雙方的安全感,，排除客戶(hù)對(duì)信息安全問(wèn)題的擔(dān)憂(yōu),，極大地提高客戶(hù)的信任度，增強(qiáng)競(jìng)爭(zhēng)力,，使企業(yè)在招投標(biāo)中占據(jù)主動(dòng),。它以信息流為著眼點(diǎn)，從一個(gè)新的視角幫助企業(yè)建立信息安全管理框架,，減少信息安全問(wèn)題的威脅,，使企業(yè)原有的各項(xiàng)管理得到有益補(bǔ)充。

　　安全印務(wù)企業(yè)應(yīng)把信息資產(chǎn)的保護(hù)和管理提升到一個(gè)新的高度,，只有這樣,，才能取得客戶(hù)的信任進(jìn)而產(chǎn)生長(zhǎng)期、穩(wěn)定,、深入的合作,，同時(shí)也保證企業(yè)利益不受侵害,。
　　（本文作者為北京銀牡丹印務(wù)有限公司副總經(jīng)理）

　　【點(diǎn)擊查看更多精彩內(nèi)容】

　　相關(guān)新聞:
　　印刷企業(yè)信息管理安全初探
　　張琪：RFID識(shí)別技術(shù)產(chǎn)用結(jié)合蘊(yùn)藏新商機(jī)
　　我國(guó)正式啟動(dòng)信息安全管理體系認(rèn)可工作