1.it技術(shù)的應用使印刷企業(yè)面臨新的安全問題

　　安全印務是根據(jù)產(chǎn)品的安全保密要求來定義的一類印刷企業(yè)或產(chǎn)品,，屬其他印刷品范疇,，一般指票據(jù)、證件,、涉密文件資料，包括但不限于票據(jù)印刷,。由于產(chǎn)品的特殊要求,，安全印務企業(yè)在兩方面具有顯著特征：較高的防偽技術(shù)含量和嚴密的安保措施,。國家在防偽產(chǎn)品生產(chǎn)和涉密產(chǎn)品生產(chǎn)上實行許可制度，即分別取得技術(shù)監(jiān)督部門頒發(fā)的《防偽工業(yè)產(chǎn)品生產(chǎn)許可證》和《秘密載體復制許可證》后方可進行相關(guān)產(chǎn)品的印刷,。

　　安全印務企業(yè)有完備的安全管理制度和安防措施,，特別是在產(chǎn)品的承印手續(xù)、生產(chǎn)加工,、交付運輸、廢品廢版銷毀,、工作場所進出等方面非常嚴格,，一般也具備對主要工作區(qū)域進行24小時監(jiān)控的能力,，這是其獨特優(yōu)勢,，也是贏得有安全要求的金融、政府機關(guān)等客戶信任的重要條件,。

　　隨著it技術(shù)向印刷業(yè)的滲透,，印刷企業(yè)與客戶之間的合作已越來越多地依賴it技術(shù)和網(wǎng)絡平臺，印刷產(chǎn)品也越來越多地融入數(shù)字化的信息,，這時，客戶在原有的產(chǎn)品安全要求之外對印刷企業(yè)提出了新要求,，包括保證重要交換文檔的完好,、保證合作項目內(nèi)容的安全等。同時大量有價值信息的泄漏,、客戶重要文件數(shù)據(jù)的丟失,、信息化網(wǎng)絡平臺的癱瘓、人員流動所引發(fā)的商業(yè)信息擴散等現(xiàn)象越來越困擾企業(yè)的經(jīng)營管理,。企業(yè)必須尋找一種可行的辦法保護有價值的商業(yè)信息,，用科學的方法解決信息安全這一涉及范圍廣、專業(yè)性強的問題,，將安全印務的“安全”內(nèi)涵提升到新的高度,。iso/iec27001無疑為企業(yè)提供了有效管理該問題的思路和方法。

　　2.信息資產(chǎn)的識別和風險評估,、處理是核心

　　保護企業(yè)的商業(yè)信息即要對信息資產(chǎn)進行識別,、評估、保護,、改進。信息資產(chǎn)即與信息相關(guān)的所有資產(chǎn),，例如信息,、信息處理設施、信息處理人等,。按此定義,，廣義上企業(yè)內(nèi)的所有資產(chǎn)和信息都有聯(lián)系,，都可以作為信息資產(chǎn)被識別，在實踐過程中,，信息處理設施往往屬于固定資產(chǎn)范疇,，一般已得到良好的管理，而人員的管理有專門的人力資源管理資料可用,，且其評估有其他方法，因此信息的識別和評估是這個過程的難點和重點,。

　　信息資產(chǎn)一般分為信息資產(chǎn)（實體信息,、電子信息）、軟件資產(chǎn),、物理資產(chǎn)、無形資產(chǎn)等幾類,，在識別信息資產(chǎn)的同時，也應識別其類別,。

　　信息資產(chǎn)存在于企業(yè)的各個環(huán)節(jié),，如客戶服務部會有客戶信息,、產(chǎn)品臺賬,、銷售統(tǒng)計,、客戶文件等,；印前部門會有客戶提供資料,、產(chǎn)品設計稿,、發(fā)排文件等。因此,，信息資產(chǎn)的識別涉及到各部門,。在識別過程中會有過粗和過細兩個誤區(qū)，過粗會遺漏信息資產(chǎn)而導致風險被忽視,，過細則會加大對其實施管理和控制的成本,。實踐中可采取先細后粗的方法，先盡可能找出所有資產(chǎn),，在評價過程中再將風險低的篩選出來,，避免遺漏。

　　對信息資產(chǎn)存在的風險程度進行診斷的評估工作，對部門和企業(yè)來說也是難點,。在定性的評估方法中,，會應用資產(chǎn)重要度級別、資產(chǎn)面臨威脅,、資產(chǎn)暴露程度,、風險發(fā)生容易度等因素及其相互關(guān)系，最終確定所有信息資產(chǎn)的風險大小,，列表并據(jù)此編寫風險評估報告,。信息資產(chǎn)評估使企業(yè)掌握了本公司信息資產(chǎn)狀況，但不能改變其安全現(xiàn)狀,，只有通過對風險的處理才能達到控制風險的目的。

　　3.以電子數(shù)據(jù)信息為控制重點

　　印刷企業(yè)在享用信息化帶來的便利的同時,，信息資產(chǎn)的脆弱性也使信息技術(shù)面臨著很多威脅和困擾,，對依托于it平臺的電子數(shù)據(jù)信息的安全性控制是信息資產(chǎn)管理的重點和難點。

　　重要電子數(shù)據(jù)信息一般包括兩個方面,，第一來自辦公自動化,，第二來自產(chǎn)品的電腦設計制作。它們分別存在于服務器和客戶端電腦中,。

　　服務器中的電子信息一般包括文件備份,、用戶信息、訪問策略,、共享文件,、郵件備份、最終發(fā)排文件等,。

　　重要客戶端包括存有銷售臺賬,、人事資料、財務賬目,、產(chǎn)品信息,、客戶信息等終端，以及用于防偽設計,、平面設計制作的客戶端,，儲存有產(chǎn)品數(shù)據(jù)（如可變數(shù)據(jù)）的客戶端。

　　這些電子數(shù)據(jù)信息面臨著很多威脅,，一般包括未被授權(quán)人員的訪問,、硬件及軟件問題導致數(shù)據(jù)丟失、隨意擴散公司機密等,，安全的脆弱性通常包括員工無信息保護意識,、it管理部門無數(shù)據(jù)訪問控制手段、廢棄移動介質(zhì)管理混亂未徹底清除信息、無備份文件和系統(tǒng),、信息易受病毒破壞等。

　　上述這些數(shù)據(jù)資產(chǎn)重要度較高,，存在的威脅及其可利用的脆弱性較多,，判斷出其風險等級后，若風險等級偏高,，應制定風險處理方案并組織實施,，讓其殘余風險在規(guī)定的時間內(nèi)降低到可接受范圍。

　　例如,，針對無健全的備份文件和系統(tǒng)導致發(fā)生意外故障時數(shù)據(jù)丟失無法找回的高風險,，制定完善備份策略，并由電腦部檢查落實,，并對實施后殘余風險進行評審,，如殘余風險為低則可接受。針對關(guān)鍵信息安全崗位人員意識不強導致信息擴散的高風險,，則采取對關(guān)鍵信息安全崗位人員根據(jù)重要程度進行分級管理,，制定關(guān)鍵信息安全崗位人員管理辦法、分級管理方法,，使風險降至可接受范圍,。
　　
　　4.通過133項控制措施實施對信息資產(chǎn)的日常管理 

　　以上闡述的是本企業(yè)在實施isms過程中認識到的重點和難點問題，但建立isms體系絕不止上述工作,。iso/iec27001∶2005附錄a中共有11個主章節(jié),、39個控制目標、133項控制措施,，在建立該體系過程中,，利用附錄a建立soa文件（適用性聲明，為描述與組織的信息安全管理體系相關(guān)的和適用的控制目標和控制措施的文件）可幫助企業(yè)完善對信息資產(chǎn)的管理,。

　　表中列舉了幾項控制目標和控制措施,，在實際工作中，應對照133個條款要求的控制目標逐一制定控制措施,。企業(yè)在相關(guān)方面的基礎管理若較為完善,，則只需對原有的控制措施進行梳理并納入信息安全管理體系。

　　5.信息安全管理的現(xiàn)實意義

　　建立一個基本的isms體系并不難,。風險控制的有效程度,，還取決于企業(yè)是否持續(xù)認真地落實各項要求、持續(xù)改善安全管理的硬件環(huán)境,、持續(xù)對安全技術(shù)產(chǎn)品進行必要投資,。

　　信息安全管理體系的建立，可幫助企業(yè)識別信息資產(chǎn)風險所在，并通過對信息資產(chǎn)管理的各項措施的實施,，如物理區(qū)域的訪問管理,，對通訊和操作的管理、備份管理,、網(wǎng)絡安全管理,、訪問控制等，對信息資產(chǎn)可能的損壞,、丟失做好保護和恢復準備,，以便意外發(fā)生時保持業(yè)務的連續(xù)性，避免損失,。同時,，信息安全管理體系的建立還為企業(yè)erp的實施做好了安全準備。信息安全管理體系的建立可增加客戶合作雙方的安全感,，排除客戶對信息安全問題的擔憂,，極大地提高客戶的信任度，增強競爭力,，使企業(yè)在招投標中占據(jù)主動,。它以信息流為著眼點，從一個新的視角幫助企業(yè)建立信息安全管理框架,，減少信息安全問題的威脅,，使企業(yè)原有的各項管理得到有益補充。

　　安全印務企業(yè)應把信息資產(chǎn)的保護和管理提升到一個新的高度,，只有這樣,，才能取得客戶的信任進而產(chǎn)生長期、穩(wěn)定,、深入的合作,，同時也保證企業(yè)利益不受侵害。
　�,。ū疚淖髡邽楸本┿y牡丹印務有限公司副總經(jīng)理）

　　【點擊查看更多精彩內(nèi)容】

　　相關(guān)新聞:
　　印刷企業(yè)信息管理安全初探
　　張琪：RFID識別技術(shù)產(chǎn)用結(jié)合蘊藏新商機
　　我國正式啟動信息安全管理體系認可工作