由IBM全球信息科技服務部(GTS)為大全集團提供的信息安全咨詢服務項目圓滿完成。該項目基於IBM“企業信息安全框架(ESF, Enterprise Security Framework V5.0)”解決方案,為大全集團建立起壹套嚴謹而完備的信息安全策略體系,從IT設備、網絡基礎架構、應用系統及IT運維等方面進行優化改進,從而滿足了大全集團快速發展所必需的高標準信息安全要求,同時大幅度提升了大全集團在信息安全保護方面的整體能力,這也是IBM全球信息科技服務部通過強化IT基礎架構、***建智慧地球戰略的又壹成功典範。
集團是從事高低壓成套電氣、元器件、環保、高速鐵路設備、新能源(多晶矽及太陽能電池)等產業的國家級大型企業集團,現有 23 家子公司,是國家重點高新技術企業、國家科技部 863 計劃成果產業化基地、國家 863 計劃 CIMS 示範企業、中國機械工業 100 強企業和中國電氣工業領軍企業,其低壓成套電器生產規模居於世界前列。
大全集團經過多年的積累,在業務不斷做強做大、迅猛發展的同時,對IT部門從管理能力、技術水平以及人員素質,都提出了更高的要求。為此,集團高層領導迫切希望借助IBM在全球領先的信息安全服務經驗,進壹步為大全提供全面的信息安全診斷和咨詢服務,確保其信息安全工作萬無壹失,以推進自身業務的高速發展、並向國際化接軌。
針對大全集團的現狀及戰略需求,IBM GTS在“企業信息安全框架(ESF)”基礎上,通過清晰的目標定位、深入理解客戶需求、成熟的產品解決方案及卓越的執行力,在三個月的時間裏為大全集團規劃並架構出壹套完備的信息安全體系。
構建企業信息安全框架 保障業務長遠發展
整個項目應用了IBM “企業信息安全框架(ESF, Enterprise Security Framework V5.0)”――全球領先的信息安全整體解決方案――作為項目建設的總體思路。該架構從上到下由三個主要層次組成:
安全治理、風險管理與合規層
信息安全運維層
基礎架構安全和服務層
其中“安全治理、風險管理與合規層”是後兩者的理論依據,“信息安全運維層”是對信息安全生命周期全過程的管理,而“基礎架構安全和服務層”則是企業安全建設技術需求和功能的實現者。
現狀評估、分析差距:通過現場調研、高層訪談、問卷調查等手段,IBM GTS專家組對上述三個層面的相關企業業務和運營風險進行了全方位縝密的評估,並對照國際安全管理標準ISO27001,從安全管理制度、安全管理組織、資產管理、人員安全管理、物理環境安全管理、通訊和操作安全管理、訪問控制、安全事件管理、軟件獲取和開發管理、業務連續性管理、策略符合性管理等11個方面進行評估,了解大全集團與行業標準和最佳實踐之間存在的差距。這些評估包括對大全集團的專線、局域網、廣域網區域等網絡架構,服務器,網絡核心交換機、路由器、防火墻設備以及重要PC終端等IT主機設備系統,對集團關鍵的財務、營銷、研發等業務流程和應用系統等方面的安全評估,以及對集團WEB網站系統進行測試和模擬攻擊等等,並最終提出了信息安全管理差距分析和總體安全評估報告。
立足高遠 科學規劃:項目組從壹開始就清醒的認識到,為了大全集團的長遠發展,不能將其信息安全目標僅定位於通過上市審計,而是要立足企業的國際化發展戰略,向國際標準看齊。結合IBM“企業信息安全框架”和ISO27001標準,根據相關技術標準、行業最佳實踐和同類項目經驗,IBM GTS幫助大全集團制定了整體的信息安全體系架構規劃和方案設計,編寫了具體的信息安全管理指導方針、標準,以及壹系列安全優化的建議,確定了大全的信息安全戰略和風險治理框架。在明確了信息資產對象的基礎上,從機密性、完整性、可用性等方面分析資產的安全需求,並采取等級化的安全評估方法,給大全的信息數據劃分安全等級。
掌控變革、應用落地:IBM GTS專家組認為,該項目的難點不完全是技術標準和體系制度,還包括如何確保新的信息安全體系乃至壹種安全文化和意識能夠在企業內部的成功落地。為此,項目組設計並開展了全員培訓和立體宣傳,使大全集團內相關人員個個成為安全衛士,徹底改變以往四處救火的被動局面。從提高全體人員信息安全意識、信息安全執行能力著手,將制度深入到企業文化當中,逐步形成企業思想與文化。
作為此次項目的領導者,大全集團總裁徐翔先生表示:“面對日益復雜的市場環境,信息安全可能帶來的嚴重後果是無法想象的,高標準地做好信息安全已經成為大全集團持續穩定、做大做強的必經之路。感謝IBM公司為大全集團做出的貢獻,將IBM的先進經驗結合到大全集團的環境之中,最終的結果呈現以及實施效果都相當令人滿意。我們將繼續與IBM公司深入合作,不斷提升我們的安全管理水平。”
IBM全球信息科技服務部(GTS)大中華區總經理易博納(Bernard Elharrar)先生表示:“大全集團領導對此項目的重視和積極參與,是其信息安全工作迅速見效的關鍵。我們也期待與更多對信息安全要求高的企業合作,分享我們在《信息安全戰:企業信息安全建設之道》壹書中所倡導的‘企業信息安全框架’思想與實踐經驗,並通過IBM全面的IT服務解決方案和國際壹流的項目實施能力,切實提升各行業信息安全保障服務能力,並進壹步保障客戶業務的穩定發展。