今天陪同来自总部的安全信息官访问了生产工厂,我也试着了解了一下IT基础架构和信息安全的管理与把控。
关键词整理如下:
1.分级:
包括资产分级/应用分级/数据分级,分级的下一步是不同分级的内容需要设定不同的保存方式和保存要求。比如应用:不同应用分级的要求是,最高级别的应用服务器要求存放在数据中心(内设或者外部设置,但有专业的数据中心资格),而较低级别的服务器允许放在厂区的机房或者控制中心。数据分级,通常决定了数据的存储方式,是否加密,传输方式,保存期限和销毁要求
涉及到的应用:DCS/PIMS/CCTV/ /PLC(packagingunits)/Laboratory
2.备份:
万事都要备份,连接外网的服务器,不连接的,数据服务器,CCTV,各种,异地备份为最佳
3.文档:
备份方案/风险文档/资产清单/数据分级清单/网络设计图/业务持续性计划
4.业务持续性计划:
对基地设备的风险分析,预防宕机,以及快速恢复。应向全区域员工开放.
5.设备室管理:
设备室等区域进出权限管理
进出登记(登记表如果是挂在门上签名的,那么需要标准格式,e.g.公司logo,以及页数显示e.g. 1 of 6,审计时可以迅速定位是否有缺页或者伪造情形)
钥匙管理(包括机房设置图,有几个门,而后登记每个门有几把钥匙)。SOP:如何保存钥匙,多久核查钥匙。
6.设备生命周期管理
设备购入期限,剩余可用期间,建立生命周期管理体系(过期不一定要销毁,但至少要清楚认识并记录区域内超使用期限的设备,并考虑相应预算)
7.状态审查:
不止要建立安全体系,还要按周期进行回顾,更新文档,审查问题,定期做全员安全培训
8.其他安全信息官见不得的行为哈哈:
无线鼠标,手机插电脑上充电,碎纸机碎纸程度,USB设备登记,USB口日常封闭,机房的消防和清洁维护,电脑需要有屏保和密码
