——某國(guó)有大型汽車制造企業(yè)IT風(fēng)險(xiǎn)評(píng)估案例

客戶面臨的挑戰(zhàn)

某國(guó)有大型汽車制造企業(yè)，迎來(lái)了汽車市場(chǎng)的井噴發(fā)展，生產(chǎn)和銷售都需要大規(guī)模高速擴(kuò)展。從設(shè)計(jì)到生產(chǎn)，從采購(gòu)到銷售，各流程、各環(huán)節(jié)對(duì)信息技術(shù)的需求也越來(lái)越高，越來(lái)越復(fù)雜。利用信息技術(shù)來(lái)強(qiáng)化流程管理、降低成本、提高效率、促進(jìn)企業(yè)內(nèi)外信息交流，信息化給企業(yè)帶來(lái)了徹底的管理變革。

但是，隨著信息系統(tǒng)復(fù)雜度越來(lái)越高，對(duì)外聯(lián)系越來(lái)越緊密，企業(yè)目前的信息安全總體管理水平遠(yuǎn)不能夠滿足安全標(biāo)準(zhǔn)和最佳實(shí)踐的要求，嚴(yán)重影響了企業(yè)的業(yè)務(wù)發(fā)展，主要表現(xiàn)在：

1、  安全問(wèn)題頻繁出現(xiàn)，導(dǎo)致信息系統(tǒng)效率低下，服務(wù)中斷，由于不能提供有力的業(yè)務(wù)支持，各業(yè)務(wù)部門對(duì)信息部門抱怨很大；

2、  信息部門對(duì)出現(xiàn)的問(wèn)題，沒(méi)有深入完整的評(píng)估和認(rèn)識(shí)，也沒(méi)有整體的問(wèn)題和風(fēng)險(xiǎn)處置措施，基本只能做到“頭痛醫(yī)頭，腳痛醫(yī)腳”；

3、  對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)，信息部門的人員從技能到意識(shí)上，都沒(méi)有分等級(jí)、標(biāo)準(zhǔn)化、流程化處置的能力，現(xiàn)有的一些安全措施也不能完全做到對(duì)癥下藥。

快速發(fā)展的業(yè)務(wù)與相對(duì)不完善的IT安全防護(hù)之間，形成了一定的差距，企業(yè)迫切需要IT風(fēng)險(xiǎn)分析來(lái)對(duì)信息系統(tǒng)進(jìn)行有效評(píng)估。

 

君思科技把脈信息安全風(fēng)險(xiǎn)，促進(jìn)信息安全建設(shè)

為了摸清企業(yè)當(dāng)前的信息系統(tǒng)安全現(xiàn)狀，提出今后信息系統(tǒng)安全建設(shè)的方向，進(jìn)一步提升信息系統(tǒng)的安全性，君思科技為企業(yè)提供了全面深入的IT風(fēng)險(xiǎn)評(píng)估服務(wù)。

IT風(fēng)險(xiǎn)評(píng)估服務(wù)，以“三縱三橫”為范圍，“三縱”是指以企業(yè)的IT物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)和安全管理評(píng)估為基礎(chǔ)，“三橫”是指以企業(yè)的ERP系統(tǒng)、MES系統(tǒng)和FMS系統(tǒng)為代表。

君思科技依據(jù)ISO標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐，在管理和技術(shù)兩個(gè)方面，通過(guò)現(xiàn)場(chǎng)訪談、問(wèn)卷調(diào)查、物理勘查、安全掃描、在線分析、人工審計(jì)等多種方法，發(fā)現(xiàn)了上千條信息系統(tǒng)面臨的中等以上風(fēng)險(xiǎn)，并提出了：

◆         28項(xiàng)管理改進(jìn)建議

◆         138項(xiàng)技術(shù)改進(jìn)建議

◆        14項(xiàng)信息安全建設(shè)項(xiàng)目

 

客戶收益

通過(guò)此次信息安全風(fēng)險(xiǎn)評(píng)估，企業(yè)主要獲得以下收益

1、通過(guò)對(duì)IT物理環(huán)境、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)和信息、管理等六個(gè)方面的評(píng)估，得出了ERP、MES、FMS三個(gè)系統(tǒng)的安全現(xiàn)狀，分析系統(tǒng)所面臨的威脅及其存在的脆弱性，發(fā)現(xiàn)已經(jīng)或是將要對(duì)業(yè)務(wù)及業(yè)務(wù)系統(tǒng)產(chǎn)生影響的安全問(wèn)題及隱患，評(píng)估了安全事件一旦發(fā)生可能造成的危害程度，并提出了有針對(duì)性的對(duì)策和措施。

2、通過(guò)本次項(xiàng)目的實(shí)施，提升了安全技術(shù)人員和管理人員的評(píng)估技能及風(fēng)險(xiǎn)意識(shí)，鞏固了信息安全建設(shè)的已有成效，進(jìn)一步提升信息安全保障水平，落實(shí)信息安全體系規(guī)劃。

3、本次安全評(píng)估的結(jié)果將作為今后信息化建設(shè)及規(guī)劃的參考。