重视两化融合管理体系中信息安全的基础保障作用

夏凡

北京北方微电子基地设备工艺研究中心有限责任公司

在两化融合管理体系的基本框架中，包括了输入（战略和持续竞争优势）、输出（新型能力）、四个基本要素（数据、技术、业务流程、组织机构）和四个管理域（管理职责、基础保障、实施过程、评测与改进），它们相互关联，相互融合，脉络清晰，结构完整，共同构成了两化融合管理体系这个有机的整体。（如图1所示）

图1　两化融合管理体系框架和基础保障

在两化融合管理体系的四个管理域中，基础保障是充分统筹和优化相关资源、持续提升和改善融合的基础。基础保障包括资金投入、人才保障、设备设施、信息资源和信息安全五个方面。其中，信息安全无疑是基础保障五个方面的重中之重。在新的信息化环境下，信息安全的重要性和社会地位日益提升，信息安全成为信息化领域乃至整个社会中不断升温的热点。2014年2月27日，中央网络安全和信息化领导小组正式成立，并由习近平主席和李克强总理分别担任正、副职。将领导国家信息安全领域的顶层设计，并在上半年出台国家信息安全战略和规划文件。这一系列行动充分表明，网络安全和信息化已经上升到国家安全战略的高度。

随着自动化与信息化不断融合，工业网络的开放性、智能化成为趋势，工业控制系统的信息安全关乎经济发展、社会稳定、国家安全和公众利益。而一旦工控系统遭到攻击，将对我国整个工业系统和社会产生巨大破坏力。工业网络安全的地位和受关注程度迅速上升，成为工业系统当前必须面对的一个重大问题。

工业和信息化部也将信息安全管理和保障提升到重要高度，并开展了一系列专项行动。2015年2月17日，工业和信息化部苗圩部长在2015年新年致辞中提出，“强化互联网行业管理和网络信息安全保障”是工信部在2015年的七项重点工作之一。

随着两化融合进程的不断深入，信息安全在企业中也引起了足够的重视。越来越多的企业认识到，企业信息安全体系的水平如果无法与业务流程、数据和技术水平相匹配，也就无法对新型能力的打造和可持续竞争优势的保持起到基础保障作用。

此外，在企业两化融合的实施和推进过程中，信息安全体系的构建和落地是基础保障五个要素中最复杂的，也是实际运行中问题最多的。原因在于：

第一，信息安全涉及面广。信息安全是一套整体性、关联性、一致性很强的管理体系。例如，ISO27001体系定义了14个管理域，涉及资产、人力、物理与环境、访问控制、密码、操作、通信、供应关系、开发维护等诸多方面。任何方面的管理缺失和技术漏洞都有可能给整个企业信息安全体系的保障带来严重甚至灾难性的后果。

第二，新的信息化环境下，大数据、云计算、社交媒体等新技术的迅速发展和广泛引用，给企业信息安全带来诸多新的挑战和潜在威胁。因此有必要在推进两化融合的过程中，对企业信息安全体系进行全面审视和梳理，做出相应对策和措施。

第三，企业对网络和信息安全不够了解，特别是对信息安全的危害性认识不够。一些企业的领导层常常认为信息安全是“花钱多、不见实效”，造成信息安全体系的建设和推行力度不足。此外，企业员工的信息安全意识不足，也是信息安全体系落地难的重要因素之一。

第四，信息安全自身也有一些成熟的管理体系模型和制度标准，如何选择和参照适合的标准，与两化融合管理体系有机整合，并在实际工作中做到融会贯通，这需要建立在企业自身对信息安全体系深入理解的基础上。

图2　信息安全管理体系组织架构

图3　基于ISO 27001的信息安全管理体系框架

那么，企业推进两化融合建设，在信息安全的基础保障方面应采取什么样的方式，如何建立应对策略，从而提升信息安全管理水平，使信息安全在企业两化融合的整个体系中切实起到保障作用呢？笔者认为可以从以下几个方面来进行：

第一，明确企业信息安全体系组织。任何管理体系的建设和推进，都应首先建立相应的管理组织机构，明确岗位职责。企业应明确信息安全管理体系的“一把手”负责制，在此基础上建立信息安全管理委员会—内审小组—管理者代表—执行代表四级机构（如图2所示）。由组织各级成员共同协作承担信息安全体系相关的管理工作，保证信息安全管理体系的有效运行。此外，应与上级部门、地方政府和相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。

第二，构建企业信息安全管理体系。企业应从自身经营管理的要求和对信息安全风险的承受水平出发，做好信息安全管理体系的顶层设计，进行管理目标的逐级分解和管理规范/策略的制定。通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系（如图3所示）。

第三，落实信息安全策略执行监控。构建了管理体系，一定要贯彻执行。一套没有执行和监控的管理体系，势必成为一套制度文件的摆设。常常看到一些企业花费大量人力物力构建完备的信息安全管理体系，投入大量资金建设完善的信息安全技术体系，但信息安全事件频发。事后调查表明，原因不是系统漏洞，也不是缺乏管理手段，而是相关责任人并没有按企业信息安全管理规范的要求严格执行。对信息安全策略的执行监控，应拟定合理的范围、内容和频率，落实到责任岗位，作为日常工作将其固化，并进行定期检查和考核。

第四，健全信息安全风险评估机制。风险评估贯穿了信息安全体系的整个生命周期，是检查信息安全管理体系和管理策略一致性的有效手段。应根据企业实际情况，制定合理的风险评估模板，定期开展风险评估工作，提升信息安全管理体系和技术体系的可信性。定期进行系统数据灾难恢复测试和应急演练，一方面确保企业中信息系统的可用性和业务数据的有效性，另一方面确保信息安全策略对信息安全管理体系和两化融合管理体系基础保障要求的符合性。

第五，提高信息安全事件处理能力。尽管建立了完善的管理体系和管理策略，落实了运行监控和风险评估，信息安全体系在日常运营中还是会不可避免地发生各种各样的问题。应对各种类型的信息安全事件，企业应规范“三个机制”：规范信息安全事件的预警和报警机制，规范信息安全事件的处理和汇报机制，规范信息安全事件的记录、检查和总结机制，确保信息安全体系中出现的问题能够得到妥善处理和解决。

第六，重视全员信息安全意识培养。两化融合离不开人的创造，信息安全更离不开人的影响。大量案例和数据表明，人为因素一直以来都是造成信息安全事件的首要原因。必须认识到，人员信息安全意识的培养无法单单通过制度规定、宣传培训和考核奖惩等方式来达成，这是一个全面、综合的体系和长期的过程，要在管理、技术、文化等各方面并举，真正做到信息安全意识的全员化、深入化。

推进两化深度融合，是企业在新的信息化环境下打造可持续竞争优势的有效途径。企业在推进两化融合建设过程中，应以两化融合管理体系框架为基础，综合推进输入输出、管理要素和管理域的齐头并举。同时应充分重视信息安全的体系建设和执行监控，把信息安全体系的建设和完善作为两化融合管理体系建设中的一项重点工作来做，让信息安全在企业战略层面和管理技战术层面切实发挥基础保障作用，促进两化融合管理体系建设的全面推进和持续优化。