1.it技术的应用使印刷企业面临新的安全问题

　　安全印务是根据产品的安全保密要求来定义的一类印刷企业或产品，属其他印刷品范畴，一般指票据、证件、涉密文件资料，包括但不限于票据印刷。由于产品的特殊要求，安全印务企业在两方面具有显著特征：较高的防伪技术含量和严密的安保措施。国家在防伪产品生产和涉密产品生产上实行许可制度，即分别取得技术监督部门颁发的《防伪工业产品生产许可证》和《秘密载体复制许可证》后方可进行相关产品的印刷。

　　安全印务企业有完备的安全管理制度和安防措施，特别是在产品的承印手续、生产加工、交付运输、废品废版销毁、工作场所进出等方面非常严格，一般也具备对主要工作区域进行24小时监控的能力，这是其独特优势，也是赢得有安全要求的金融、政府机关等客户信任的重要条件。

　　随着it技术向印刷业的渗透，印刷企业与客户之间的合作已越来越多地依赖it技术和网络平台，印刷产品也越来越多地融入数字化的信息，这时，客户在原有的产品安全要求之外对印刷企业提出了新要求，包括保证重要交换文档的完好、保证合作项目内容的安全等。同时大量有价值信息的泄漏、客户重要文件数据的丢失、信息化网络平台的瘫痪、人员流动所引发的商业信息扩散等现象越来越困扰企业的经营管理。企业必须寻找一种可行的办法保护有价值的商业信息，用科学的方法解决信息安全这一涉及范围广、专业性强的问题，将安全印务的“安全”内涵提升到新的高度。iso/iec27001无疑为企业提供了有效管理该问题的思路和方法。

　　2.信息资产的识别和风险评估、处理是核心

　　保护企业的商业信息即要对信息资产进行识别、评估、保护、改进。信息资产即与信息相关的所有资产，例如信息、信息处理设施、信息处理人等。按此定义，广义上企业内的所有资产和信息都有联系，都可以作为信息资产被识别，在实践过程中，信息处理设施往往属于固定资产范畴，一般已得到良好的管理，而人员的管理有专门的人力资源管理资料可用，且其评估有其他方法，因此信息的识别和评估是这个过程的难点和重点。

　　信息资产一般分为信息资产（实体信息、电子信息）、软件资产、物理资产、无形资产等几类，在识别信息资产的同时，也应识别其类别。

　　信息资产存在于企业的各个环节，如客户服务部会有客户信息、产品台账、销售统计、客户文件等；印前部门会有客户提供资料、产品设计稿、发排文件等。因此，信息资产的识别涉及到各部门。在识别过程中会有过粗和过细两个误区，过粗会遗漏信息资产而导致风险被忽视，过细则会加大对其实施管理和控制的成本。实践中可采取先细后粗的方法，先尽可能找出所有资产，在评价过程中再将风险低的筛选出来，避免遗漏。

　　对信息资产存在的风险程度进行诊断的评估工作，对部门和企业来说也是难点。在定性的评估方法中，会应用资产重要度级别、资产面临威胁、资产暴露程度、风险发生容易度等因素及其相互关系，最终确定所有信息资产的风险大小，列表并据此编写风险评估报告。信息资产评估使企业掌握了本公司信息资产状况，但不能改变其安全现状，只有通过对风险的处理才能达到控制风险的目的。

　　3.以电子数据信息为控制重点

　　印刷企业在享用信息化带来的便利的同时，信息资产的脆弱性也使信息技术面临着很多威胁和困扰，对依托于it平台的电子数据信息的安全性控制是信息资产管理的重点和难点。

　　重要电子数据信息一般包括两个方面，第一来自办公自动化，第二来自产品的电脑设计制作。它们分别存在于服务器和客户端电脑中。

　　服务器中的电子信息一般包括文件备份、用户信息、访问策略、共享文件、邮件备份、最终发排文件等。

　　重要客户端包括存有销售台账、人事资料、财务账目、产品信息、客户信息等终端，以及用于防伪设计、平面设计制作的客户端，储存有产品数据（如可变数据）的客户端。

　　这些电子数据信息面临着很多威胁，一般包括未被授权人员的访问、硬件及软件问题导致数据丢失、随意扩散公司机密等，安全的脆弱性通常包括员工无信息保护意识、it管理部门无数据访问控制手段、废弃移动介质管理混乱未彻底清除信息、无备份文件和系统、信息易受病毒破坏等。

　　上述这些数据资产重要度较高，存在的威胁及其可利用的脆弱性较多，判断出其风险等级后，若风险等级偏高，应制定风险处理方案并组织实施，让其残余风险在规定的时间内降低到可接受范围。

　　例如，针对无健全的备份文件和系统导致发生意外故障时数据丢失无法找回的高风险，制定完善备份策略，并由电脑部检查落实，并对实施后残余风险进行评审，如残余风险为低则可接受。针对关键信息安全岗位人员意识不强导致信息扩散的高风险，则采取对关键信息安全岗位人员根据重要程度进行分级管理，制定关键信息安全岗位人员管理办法、分级管理方法，使风险降至可接受范围。
　　
　　4.通过133项控制措施实施对信息资产的日常管理 

　　以上阐述的是本企业在实施isms过程中认识到的重点和难点问题，但建立isms体系绝不止上述工作。iso/iec27001∶2005附录a中共有11个主章节、39个控制目标、133项控制措施，在建立该体系过程中，利用附录a建立soa文件（适用性声明，为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件）可帮助企业完善对信息资产的管理。

　　表中列举了几项控制目标和控制措施，在实际工作中，应对照133个条款要求的控制目标逐一制定控制措施。企业在相关方面的基础管理若较为完善，则只需对原有的控制措施进行梳理并纳入信息安全管理体系。

　　5.信息安全管理的现实意义

　　建立一个基本的isms体系并不难。风险控制的有效程度，还取决于企业是否持续认真地落实各项要求、持续改善安全管理的硬件环境、持续对安全技术产品进行必要投资。

　　信息安全管理体系的建立，可帮助企业识别信息资产风险所在，并通过对信息资产管理的各项措施的实施，如物理区域的访问管理，对通讯和操作的管理、备份管理、网络安全管理、访问控制等，对信息资产可能的损坏、丢失做好保护和恢复准备，以便意外发生时保持业务的连续性，避免损失。同时，信息安全管理体系的建立还为企业erp的实施做好了安全准备。信息安全管理体系的建立可增加客户合作双方的安全感，排除客户对信息安全问题的担忧，极大地提高客户的信任度，增强竞争力，使企业在招投标中占据主动。它以信息流为着眼点，从一个新的视角帮助企业建立信息安全管理框架，减少信息安全问题的威胁，使企业原有的各项管理得到有益补充。

　　安全印务企业应把信息资产的保护和管理提升到一个新的高度，只有这样，才能取得客户的信任进而产生长期、稳定、深入的合作，同时也保证企业利益不受侵害。
　　（本文作者为北京银牡丹印务有限公司副总经理）

　　【点击查看更多精彩内容】

　　相关新闻:
　　印刷企业信息管理安全初探
　　张琪：RFID识别技术产用结合蕴藏新商机
　　我国正式启动信息安全管理体系认可工作