由IBM全球信息科技服务部(GTS)为大全集团提供的信息安全咨询服务项目圆满完成。该项目基于IBM“企业信息安全框架(ESF, Enterprise Security Framework V5.0)”解决方案,为大全集团建立起一套严谨而完备的信息安全策略体系,从IT设备、网络基础架构、应用系统及IT运维等方面进行优化改进,从而满足了大全集团快速发展所必需的高标准信息安全要求,同时大幅度提升了大全集团在信息安全保护方面的整体能力,这也是IBM全球信息科技服务部通过强化IT基础架构、共建智慧地球战略的又一成功典范。
集团是从事高低压成套电气、元器件、环保、高速铁路设备、新能源(多晶硅及太阳能电池)等产业的国家级大型企业集团,现有 23 家子公司,是国家重点高新技术企业、国家科技部 863 计划成果产业化基地、国家 863 计划 CIMS 示范企业、中国机械工业 100 强企业和中国电气工业领军企业,其低压成套电器生产规模居于世界前列。
大全集团经过多年的积累,在业务不断做强做大、迅猛发展的同时,对IT部门从管理能力、技术水平以及人员素质,都提出了更高的要求。为此,集团高层领导迫切希望借助IBM在全球领先的信息安全服务经验,进一步为大全提供全面的信息安全诊断和咨询服务,确保其信息安全工作万无一失,以推进自身业务的高速发展、并向国际化接轨。
针对大全集团的现状及战略需求,IBM GTS在“企业信息安全框架(ESF)”基础上,通过清晰的目标定位、深入理解客户需求、成熟的产品解决方案及卓越的执行力,在三个月的时间里为大全集团规划并架构出一套完备的信息安全体系。
构建企业信息安全框架 保障业务长远发展
整个项目应用了IBM “企业信息安全框架(ESF, Enterprise Security Framework V5.0)”――全球领先的信息安全整体解决方案――作为项目建设的总体思路。该架构从上到下由三个主要层次组成:
安全治理、风险管理与合规层
信息安全运维层
基础架构安全和服务层
其中“安全治理、风险管理与合规层”是后两者的理论依据,“信息安全运维层”是对信息安全生命周期全过程的管理,而“基础架构安全和服务层”则是企业安全建设技术需求和功能的实现者。
现状评估、分析差距:通过现场调研、高层访谈、问卷调查等手段,IBM GTS专家组对上述三个层面的相关企业业务和运营风险进行了全方位缜密的评估,并对照国际安全管理标准ISO27001,从安全管理制度、安全管理组织、资产管理、人员安全管理、物理环境安全管理、通讯和操作安全管理、访问控制、安全事件管理、软件获取和开发管理、业务连续性管理、策略符合性管理等11个方面进行评估,了解大全集团与行业标准和最佳实践之间存在的差距。这些评估包括对大全集团的专线、局域网、广域网区域等网络架构,服务器,网络核心交换机、路由器、防火墙设备以及重要PC终端等IT主机设备系统,对集团关键的财务、营销、研发等业务流程和应用系统等方面的安全评估,以及对集团WEB网站系统进行测试和模拟攻击等等,并最终提出了信息安全管理差距分析和总体安全评估报告。
立足高远 科学规划:项目组从一开始就清醒的认识到,为了大全集团的长远发展,不能将其信息安全目标仅定位于通过上市审计,而是要立足企业的国际化发展战略,向国际标准看齐。结合IBM“企业信息安全框架”和ISO27001标准,根据相关技术标准、行业最佳实践和同类项目经验,IBM GTS帮助大全集团制定了整体的信息安全体系架构规划和方案设计,编写了具体的信息安全管理指导方针、标准,以及一系列安全优化的建议,确定了大全的信息安全战略和风险治理框架。在明确了信息资产对象的基础上,从机密性、完整性、可用性等方面分析资产的安全需求,并采取等级化的安全评估方法,给大全的信息数据划分安全等级。
掌控变革、应用落地:IBM GTS专家组认为,该项目的难点不完全是技术标准和体系制度,还包括如何确保新的信息安全体系乃至一种安全文化和意识能够在企业内部的成功落地。为此,项目组设计并开展了全员培训和立体宣传,使大全集团内相关人员个个成为安全卫士,彻底改变以往四处救火的被动局面。从提高全体人员信息安全意识、信息安全执行能力着手,将制度深入到企业文化当中,逐步形成企业思想与文化。
作为此次项目的领导者,大全集团总裁徐翔先生表示:“面对日益复杂的市场环境,信息安全可能带来的严重后果是无法想象的,高标准地做好信息安全已经成为大全集团持续稳定、做大做强的必经之路。感谢IBM公司为大全集团做出的贡献,将IBM的先进经验结合到大全集团的环境之中,最终的结果呈现以及实施效果都相当令人满意。我们将继续与IBM公司深入合作,不断提升我们的安全管理水平。”
IBM全球信息科技服务部(GTS)大中华区总经理易博纳(Bernard Elharrar)先生表示:“大全集团领导对此项目的重视和积极参与,是其信息安全工作迅速见效的关键。我们也期待与更多对信息安全要求高的企业合作,分享我们在《信息安全战:企业信息安全建设之道》一书中所倡导的‘企业信息安全框架’思想与实践经验,并通过IBM全面的IT服务解决方案和国际一流的项目实施能力,切实提升各行业信息安全保障服务能力,并进一步保障客户业务的稳定发展。”