根据作者经验,就制造业研发流程而言,信息安全体系大致会从研发人员、研发流程、敏感性数据、研发信息系统以及研发协同商务等五个构面予以发展。在此先简单说明其中的两个构面:
1、项目流程安全性
在建构研发项目信息安全体系时,首先必须考虑研发相关人员在参与新产品开发活动时,可能引发资产安全问题,包括不小心看到自己不应接触的机密数据、故意将重要研发数据销毁、不小心改动研发数据导致设计文件版本错误等。
在分析项目流程安全性时,除了流程本身问题外,也需要管理制度配合,例如企业至少必须将机密研发资料区分出来,规定各类人员可以接触到数据的机密等级以及机密数据处理原则。
2、PLM系统安全性
企业通常会通过电子化来提高研发项目效能,此时最常看到的就是导入“产品生命周期管理信息系统(Product Litecycle Management,PLM)”协助管理研发数据及工作流程,因而PLM系统及外围信息设施,往往是研发信息安全体系的核心。为了保护研发数据,避免研发项目遭到无心或恶意破坏而中断,大部分PLM系统都会设计相关安控功能。然而由于导入顾问及公司内部人员对信息安全管理的观念及方法不熟悉,这些安控功能往往未能设定启用,造成PLM系统如同不设防的机密保库,任由外部黑客来去自如。根据作者的查核经验,目前没有任何一家公司的应用软件的安控功能已适当启用,而且只要运用基本扫描工具,就可以从因特网扫出大量制造业研发机密数据,老实说,企业自己根本不知道已有多少网络黑客成功入侵PLM或其他研发管理系统,取走了哪些机密数据。所以对制造业而言,PLM系统安全性,是另一个研发安全的重要目标。
3、整体系统架构与网络架构的安全性
除了PLM系统本身的安全性之外,还须考虑PLM系统与其他应用系统(例如ERP系统)的系统架构及网络架构是否适当划分。尽管企业的PLM系统可能已启动了适当安控功能,网络黑客还是有可能从其他地方入侵(例如从ERP系统漏洞),取得PLM中的机密数据,所以PLM系统及其数据库在企业网络架构中的位置以及与ERP整合部分的系统架构,也是研发信息安全体系管理的重点。
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html