——某國有大型汽車制造企業(yè)IT風(fēng)險(xiǎn)評估案例

客戶面臨的挑戰(zhàn)

某國有大型汽車制造企業(yè)，迎來了汽車市場的井噴發(fā)展，生產(chǎn)和銷售都需要大規(guī)模高速擴(kuò)展。從設(shè)計(jì)到生產(chǎn)，從采購到銷售，各流程、各環(huán)節(jié)對信息技術(shù)的需求也越來越高，越來越復(fù)雜。利用信息技術(shù)來強(qiáng)化流程管理、降低成本、提高效率、促進(jìn)企業(yè)內(nèi)外信息交流，信息化給企業(yè)帶來了徹底的管理變革。

但是，隨著信息系統(tǒng)復(fù)雜度越來越高，對外聯(lián)系越來越緊密，企業(yè)目前的信息安全總體管理水平遠(yuǎn)不能夠滿足安全標(biāo)準(zhǔn)和最佳實(shí)踐的要求，嚴(yán)重影響了企業(yè)的業(yè)務(wù)發(fā)展，主要表現(xiàn)在：

1、  安全問題頻繁出現(xiàn)，導(dǎo)致信息系統(tǒng)效率低下，服務(wù)中斷，由于不能提供有力的業(yè)務(wù)支持，各業(yè)務(wù)部門對信息部門抱怨很大；

2、  信息部門對出現(xiàn)的問題，沒有深入完整的評估和認(rèn)識，也沒有整體的問題和風(fēng)險(xiǎn)處置措施，基本只能做到“頭痛醫(yī)頭，腳痛醫(yī)腳”；

3、  對信息系統(tǒng)的安全風(fēng)險(xiǎn)，信息部門的人員從技能到意識上，都沒有分等級、標(biāo)準(zhǔn)化、流程化處置的能力，現(xiàn)有的一些安全措施也不能完全做到對癥下藥。

快速發(fā)展的業(yè)務(wù)與相對不完善的IT安全防護(hù)之間，形成了一定的差距，企業(yè)迫切需要IT風(fēng)險(xiǎn)分析來對信息系統(tǒng)進(jìn)行有效評估。

 

君思科技把脈信息安全風(fēng)險(xiǎn)，促進(jìn)信息安全建設(shè)

為了摸清企業(yè)當(dāng)前的信息系統(tǒng)安全現(xiàn)狀，提出今后信息系統(tǒng)安全建設(shè)的方向，進(jìn)一步提升信息系統(tǒng)的安全性，君思科技為企業(yè)提供了全面深入的IT風(fēng)險(xiǎn)評估服務(wù)。

IT風(fēng)險(xiǎn)評估服務(wù)，以“三縱三橫”為范圍，“三縱”是指以企業(yè)的IT物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)和安全管理評估為基礎(chǔ)，“三橫”是指以企業(yè)的ERP系統(tǒng)、MES系統(tǒng)和FMS系統(tǒng)為代表。

君思科技依據(jù)ISO標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐，在管理和技術(shù)兩個(gè)方面，通過現(xiàn)場訪談、問卷調(diào)查、物理勘查、安全掃描、在線分析、人工審計(jì)等多種方法，發(fā)現(xiàn)了上千條信息系統(tǒng)面臨的中等以上風(fēng)險(xiǎn)，并提出了：

◆         28項(xiàng)管理改進(jìn)建議

◆         138項(xiàng)技術(shù)改進(jìn)建議

◆        14項(xiàng)信息安全建設(shè)項(xiàng)目

 

客戶收益

通過此次信息安全風(fēng)險(xiǎn)評估，企業(yè)主要獲得以下收益

1、通過對IT物理環(huán)境、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)和信息、管理等六個(gè)方面的評估，得出了ERP、MES、FMS三個(gè)系統(tǒng)的安全現(xiàn)狀，分析系統(tǒng)所面臨的威脅及其存在的脆弱性，發(fā)現(xiàn)已經(jīng)或是將要對業(yè)務(wù)及業(yè)務(wù)系統(tǒng)產(chǎn)生影響的安全問題及隱患，評估了安全事件一旦發(fā)生可能造成的危害程度，并提出了有針對性的對策和措施。

2、通過本次項(xiàng)目的實(shí)施，提升了安全技術(shù)人員和管理人員的評估技能及風(fēng)險(xiǎn)意識，鞏固了信息安全建設(shè)的已有成效，進(jìn)一步提升信息安全保障水平，落實(shí)信息安全體系規(guī)劃。

3、本次安全評估的結(jié)果將作為今后信息化建設(shè)及規(guī)劃的參考。