1.it技術的應用使印刷企業面臨新的安全問題

　　安全印務是根據產品的安全保密要求來定義的一類印刷企業或產品，屬其他印刷品范疇，一般指票據、證件、涉密文件資料，包括但不限于票據印刷。由于產品的特殊要求，安全印務企業在兩方面具有顯著特征：較高的防偽技術含量和嚴密的安保措施。國家在防偽產品生產和涉密產品生產上實行許可制度，即分別取得技術監督部門頒發的《防偽工業產品生產許可證》和《秘密載體復制許可證》后方可進行相關產品的印刷。

　　安全印務企業有完備的安全管理制度和安防措施，特別是在產品的承印手續、生產加工、交付運輸、廢品廢版銷毀、工作場所進出等方面非常嚴格，一般也具備對主要工作區域進行24小時監控的能力，這是其獨特優勢，也是贏得有安全要求的金融、政府機關等客戶信任的重要條件。

　　隨著it技術向印刷業的滲透，印刷企業與客戶之間的合作已越來越多地依賴it技術和網絡平臺，印刷產品也越來越多地融入數字化的信息，這時，客戶在原有的產品安全要求之外對印刷企業提出了新要求，包括保證重要交換文檔的完好、保證合作項目內容的安全等。同時大量有價值信息的泄漏、客戶重要文件數據的丟失、信息化網絡平臺的癱瘓、人員流動所引發的商業信息擴散等現象越來越困擾企業的經營管理。企業必須尋找一種可行的辦法保護有價值的商業信息，用科學的方法解決信息安全這一涉及范圍廣、專業性強的問題，將安全印務的“安全”內涵提升到新的高度。iso/iec27001無疑為企業提供了有效管理該問題的思路和方法。

　　2.信息資產的識別和風險評估、處理是核心

　　保護企業的商業信息即要對信息資產進行識別、評估、保護、改進。信息資產即與信息相關的所有資產，例如信息、信息處理設施、信息處理人等。按此定義，廣義上企業內的所有資產和信息都有聯系，都可以作為信息資產被識別，在實踐過程中，信息處理設施往往屬于固定資產范疇，一般已得到良好的管理，而人員的管理有專門的人力資源管理資料可用，且其評估有其他方法，因此信息的識別和評估是這個過程的難點和重點。

　　信息資產一般分為信息資產（實體信息、電子信息）、軟件資產、物理資產、無形資產等幾類，在識別信息資產的同時，也應識別其類別。

　　信息資產存在于企業的各個環節，如客戶服務部會有客戶信息、產品臺賬、銷售統計、客戶文件等；印前部門會有客戶提供資料、產品設計稿、發排文件等。因此，信息資產的識別涉及到各部門。在識別過程中會有過粗和過細兩個誤區，過粗會遺漏信息資產而導致風險被忽視，過細則會加大對其實施管理和控制的成本。實踐中可采取先細后粗的方法，先盡可能找出所有資產，在評價過程中再將風險低的篩選出來，避免遺漏。

　　對信息資產存在的風險程度進行診斷的評估工作，對部門和企業來說也是難點。在定性的評估方法中，會應用資產重要度級別、資產面臨威脅、資產暴露程度、風險發生容易度等因素及其相互關系，最終確定所有信息資產的風險大小，列表并據此編寫風險評估報告。信息資產評估使企業掌握了本公司信息資產狀況，但不能改變其安全現狀，只有通過對風險的處理才能達到控制風險的目的。

　　3.以電子數據信息為控制重點

　　印刷企業在享用信息化帶來的便利的同時，信息資產的脆弱性也使信息技術面臨著很多威脅和困擾，對依托于it平臺的電子數據信息的安全性控制是信息資產管理的重點和難點。

　　重要電子數據信息一般包括兩個方面，第一來自辦公自動化，第二來自產品的電腦設計制作。它們分別存在于服務器和客戶端電腦中。

　　服務器中的電子信息一般包括文件備份、用戶信息、訪問策略、共享文件、郵件備份、最終發排文件等。

　　重要客戶端包括存有銷售臺賬、人事資料、財務賬目、產品信息、客戶信息等終端，以及用于防偽設計、平面設計制作的客戶端，儲存有產品數據（如可變數據）的客戶端。

　　這些電子數據信息面臨著很多威脅，一般包括未被授權人員的訪問、硬件及軟件問題導致數據丟失、隨意擴散公司機密等，安全的脆弱性通常包括員工無信息保護意識、it管理部門無數據訪問控制手段、廢棄移動介質管理混亂未徹底清除信息、無備份文件和系統、信息易受病毒破壞等。

　　上述這些數據資產重要度較高，存在的威脅及其可利用的脆弱性較多，判斷出其風險等級后，若風險等級偏高，應制定風險處理方案并組織實施，讓其殘余風險在規定的時間內降低到可接受范圍。

　　例如，針對無健全的備份文件和系統導致發生意外故障時數據丟失無法找回的高風險，制定完善備份策略，并由電腦部檢查落實，并對實施后殘余風險進行評審，如殘余風險為低則可接受。針對關鍵信息安全崗位人員意識不強導致信息擴散的高風險，則采取對關鍵信息安全崗位人員根據重要程度進行分級管理，制定關鍵信息安全崗位人員管理辦法、分級管理方法，使風險降至可接受范圍。
　　
　　4.通過133項控制措施實施對信息資產的日常管理 

　　以上闡述的是本企業在實施isms過程中認識到的重點和難點問題，但建立isms體系絕不止上述工作。iso/iec27001∶2005附錄a中共有11個主章節、39個控制目標、133項控制措施，在建立該體系過程中，利用附錄a建立soa文件（適用性聲明，為描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文件）可幫助企業完善對信息資產的管理。

　　表中列舉了幾項控制目標和控制措施，在實際工作中，應對照133個條款要求的控制目標逐一制定控制措施。企業在相關方面的基礎管理若較為完善，則只需對原有的控制措施進行梳理并納入信息安全管理體系。

　　5.信息安全管理的現實意義

　　建立一個基本的isms體系并不難。風險控制的有效程度，還取決于企業是否持續認真地落實各項要求、持續改善安全管理的硬件環境、持續對安全技術產品進行必要投資。

　　信息安全管理體系的建立，可幫助企業識別信息資產風險所在，并通過對信息資產管理的各項措施的實施，如物理區域的訪問管理，對通訊和操作的管理、備份管理、網絡安全管理、訪問控制等，對信息資產可能的損壞、丟失做好保護和恢復準備，以便意外發生時保持業務的連續性，避免損失。同時，信息安全管理體系的建立還為企業erp的實施做好了安全準備。信息安全管理體系的建立可增加客戶合作雙方的安全感，排除客戶對信息安全問題的擔憂，極大地提高客戶的信任度，增強競爭力，使企業在招投標中占據主動。它以信息流為著眼點，從一個新的視角幫助企業建立信息安全管理框架，減少信息安全問題的威脅，使企業原有的各項管理得到有益補充。

　　安全印務企業應把信息資產的保護和管理提升到一個新的高度，只有這樣，才能取得客戶的信任進而產生長期、穩定、深入的合作，同時也保證企業利益不受侵害。
　　（本文作者為北京銀牡丹印務有限公司副總經理）

　　【點擊查看更多精彩內容】

　　相關新聞:
　　印刷企業信息管理安全初探
　　張琪：RFID識別技術產用結合蘊藏新商機
　　我國正式啟動信息安全管理體系認可工作