一、煙草行業 ISMS 概述

（一）ISMS 的定義及重要性

ISMS（Information Security Management System）即信息安全管理體系，在煙草行業中起著至關重要的作用。它是一種管理組織信息安全實踐的結構化、系統化方法，為煙草行業提供識別、評估和管理信息安全風險的框架。

對于煙草行業而言，確保敏感數據和關鍵信息得到充分保護至關重要。煙草企業通常擁有大量的商業機密、客戶信息、生產工藝數據等敏感信息，這些信息一旦泄露，可能會給企業帶來巨大的經濟損失和聲譽損害。ISMS 通過建立一套完善的信息安全管理體系，包括制定信息安全政策、進行風險評估、實施安全控制措施等，能夠有效地保護這些敏感信息，確保企業的信息安全。

（二）國際標準與認證

國際公認的 ISMS 標準是 ISO/IEC 27001，認證可證實組織實施了 ISMS 且符合標準要求。對于煙草行業來說，獲得 ISO/IEC 27001 認證具有重要意義。

首先，認證有助于提升組織形象和競爭力。在當今競爭激烈的市場環境中，企業的信息安全管理水平已成為客戶、合作伙伴和投資者考量的重要因素之一。獲得 ISO/IEC 27001 認證，表明煙草企業在信息安全管理方面達到了國際標準，能夠增強客戶和合作伙伴對企業的信任，提升企業的市場競爭力。

其次，認證可以保護信息資產。煙草行業的信息資產包括生產配方、銷售數據、客戶信息等，這些資產對企業的生存和發展至關重要。ISO/IEC 27001 認證要求企業建立完善的信息安全管理體系，實施有效的安全控制措施，從而保護信息資產的保密性、完整性和可用性。

二、煙草行業 ISMS 案例分析

（一）威士頓與華為合作案例

威士頓與華為共同發布煙草行業 MES 聯合解決方案，打造 “華為云 + 威士頓 MES” 的方案，可賦能行業客戶的數字化和智能化轉型。這一合作充分發揮了雙方在各自領域的優勢，為煙草行業的發展帶來了新的機遇。

（二）寶蘭德商業系統案例

無侵入、方法級別的性能監控

寶蘭德商業系統的 IT 監控與管理系統探針采用完全無侵入式的、字節碼級別修改的方式來提取應用的性能指標。被監控應用無需做任何更改即可輕松實現被監控，且監控粒度深入至方法級別，自動跟蹤方法的執行鏈，并計算方法的執行時間和提取各類參數，幫助運維人員快速定位應用性能瓶頸的真實所在。

分布式、大規模實施監控

該系統在設計上遵循分布式、去中心化及核心組件無狀態化等原則，所有組件均可按需任意水平擴展，探針代理和數據采集器之間支持自動發現、動態負載均衡和自動故障轉移，使得構建于以上設計和技術之上的性能監控可輕松實現對上萬級別實例的實施監控。

基于大數據存儲、實時流式分析

對監控數據的存儲和分析基于 Hadoop 生態圈的相關技術，數據存儲采用分布式、列式數據庫 HBase，實時分析采用基于內存計算的集群計算引擎 Spark，使得系統具備海量監控數據的存儲和分析能力。

以 AMDB 為核心的 “監、管、控”

以應用資源配置管理庫（AMDB）為核心實現對軟、硬件生命周期管理的需求。本質上是以 AMDB 為核心融合的架構，AMDB 是銜接技術與管理的關鍵數據整合層。通過更加先進的配置管理自動化，建立跨系統的數據管理關聯，進行跨功能的運維業務整合，幫助用戶實現實時管理、閉環管理、精益管理、戰略管理的主動提升。

事件降噪和統一管理

提供一系列規則，支持通過規則的界面擴展，實現各類告警事件的收集、解析、壓縮、歸并、豐富、定位、關聯，實時的分析出當前的有效告警，提前發現故障預警，通過多種方式通知和提醒，及早推進處理工作，防患于未然。幫助信息部門實現從被動化運維到主動化運維的轉變。

大數據架構的可視化技術

采用大數據架構的可視化技術，基于統一管理的數據，既可快速響應大屏需求，為企業定制符合實際業務大屏；也可為業務人員提供交互式的即席分析體驗，使業務人員可與數據對話，發現數據規律，輔助管理人員掌握業務動態，為用戶的業務決策及問題解決提供依據。提供通用場景的標準化大屏模板，以及大屏定制化功能，會根據客戶的實際場景，通過二次代碼注入，快速定制滿足省局煙草客戶需求的大屏。資源使用全景圖，從 IaaS、PaaS、SaaS 三種維度，集中展現 IT 資源的運行狀況。

（三）卷煙廠案例

卷煙廠用 MIS 提高管理水平，圍繞企業發展戰略目標，建立信息處理和反饋系統，以成本核算和控制為中心環節，提高企業管理水平和市場競爭力。在計算機網絡和數據庫系統的支持下，將全廠煙葉及輔料的采購、結算、倉儲管理、調配等信息進行全面的計算機網絡化管理，優化煙葉和原輔材料等庫存結構，降低成本，縮短產品生產周期。以成本為中心對經營決策、經營活動、生產過程等進行全方位控制，提高產品產量、質量，增強企業市場應變能力。

三、完善煙草行業 ISMS 的策略

（一）煙草行業 mes 系統優化

數據采集

對煙草行業生產全過程中的數據進行全面采集和分類，涵蓋制絲及儲絲設備、卷接包設備、裝封箱設備、質量檢測設備、物流系統設備等各個環節的數據。通過準確的數據采集，為 MES 提供全面、實時、準確的信息，從而在控制系統與管理信息系統之間建立起有效的信息紐帶。

生產過程實時監控與報警

以工廠數據采集為基礎，對生產中產生的各種關鍵數據進行實時監視，包括制絲數采、卷接包數采、動力能源數采、自動化物流系統數據反饋、質檢儀器數采等。通過實時監控，了解生產工單執行的最新進展，對比生產計劃，實現對生產的有效控制。同時，對設備故障、工藝質量問題、設備運行情況、質量狀況、能源供應等異常情況及時報警，以便盡早進行控制與處理。

生產計劃調度

根據產銷計劃制定適合生產能力的生產任務，是 ERP 中生產計劃的延伸和發展。具體包括制絲段作業任務的自動編制調整、人工調整和下達，以及卷包作業計劃的自動生成和下達，確保生產計劃按時、按進度實施。

設備維護管理

根據企業對生產設備維修保養工作的規定，制定項修、輪保、點檢、日常維修等設備維護計劃。對于最終的檢修實施以檢修任務單的形式發布并進行實施管理。以設備實際運行數據為基礎，對設備效率進行全局設備效率分析，幫助管理者定位影響設備效率的瓶頸因素。

過程工藝質量控制

具備質量標準管理、在線質量控制、質量數據采集、質量統計分析、質量追蹤等功能。通過對質量標準的參數化、程序化，為生產過程嚴格執行質量標準和工藝標準提供保障。以實時的質量數據采集為基礎，實現全面的在線實時質量監控，提高質量的在線控制水平，穩定產品質量。

基礎數據和文檔管理

對產品、工藝規程、設計等有關信息進行管理和分發，同時收集與工作和環境有關的標準信息。包括質量標準、產品配方、維護項目、物料基本信息以及其它基礎數據的維護與查詢，為 MES 運行提供基礎與前提。

車間成本管理

以采集數據為基礎，對生產過程中的物料、能源消耗、設備運行時間、員工工時進行歸集、整理、分析、存儲與報告，從而對企業生產成本進行管理和控制。

物料管理

包括提供物料基礎數據的管理和維護功能，對生產過程的物料變化進行記錄，以及通過對生產過程中的數據采集，按批次收集生產過程物料數據，建立物料跟蹤系統，實現從原料投料到成品入庫的全生產過程物料跟蹤。

（二）遵循 MIS 設計原則及開發要求

適應性原則

保證工程各行程序系統與任務各部分分工的協調性，充分發揮計算機的優勢，減少數據的輸入與輸出。確保 MIS 能夠適應煙草行業的實際需求，提高工作效率。

系統原則

利用最優的方式設計系統，使其符合既定準則和目標。在設計 MIS 的過程中，結合相關管理制度及其職能，確保數據庫建立與管理部門的實際需求相符，有效滿足信息系統的總體結構，便于管理、維護與建庫。同時，煙草企業應從當前計算機技術水平出發，積極引進先進技術和管理經驗，保證信息系統與自身計算機技術相融，提高管理水平及質量。

保密及安全

系統安全保護應涉及信息的傳輸、存儲、處理和收集等過程。合理應用安全管理制度和加密技術，優化計算機網絡結構，保證系統的保密與安全與其設計同步。確保煙草行業的信息安全，防止敏感信息泄露。

維護與管理

制定科學的制度來維護與管理計算機軟硬件，保證系統的安全高效運行。由于煙草行業的管理信息系統應具備跨地域與分層次的特征，因此在實際設計開發過程中，應結合行業標準和國家規定的要求，確保系統的穩定運行。

（三）建設 ISO9000 質量管理體系

體系建設前期準備

明確指導思想與基本原則、建設目標與總體要求等。以科學發展觀為指導，圍繞 “兩個至上” 的行業共同價值觀及建設 “嚴格規范、富有效率、充滿活力” 的中國煙草總要求，以全面貫徹實施 ISO9000 質量管理體系為抓手，構建高效順暢、協調運轉的基礎管理平臺。

培訓動員

提高員工對質量管理體系的認識和參與度。通過舉辦培訓、宣傳等活動，讓員工了解質量管理體系的重要性和實施方法，為體系的建設和運行奠定基礎。

體系策劃

確定質量方針、目標，進行過程識別和確認。根據煙草企業的實際情況，制定明確的質量方針和目標，識別和確認各個業務流程，確保質量管理體系的有效性和系統性。

文件編寫與評審

編寫質量管理體系文件，并進行評審和改進。包括質量手冊、程序文件、作業指導書等，確保文件的規范性和可操作性。通過評審，及時發現問題并進行改進。

體系運行和持續改進

通過宣貫培訓、內部審核、管理評審等方式，持續改進體系。不斷提高質量管理體系的運行效率和效果，為煙草企業的發展提供有力保障。

五、煙草行業實施 ISMS 的意義

（一）預防信息安全事故

在煙草行業中，實施 ISMS 對于預防信息安全事故具有重要意義。煙草企業通常擁有大量的商業秘密信息和關鍵信息系統，如生產配方、銷售數據、客戶信息等。這些信息一旦發生泄漏、丟失、篡改或中斷等情況，將會給企業帶來巨大的經濟損失和聲譽損害。

通過實施 ISMS，煙草企業可以建立完善的信息安全管理體系，制定嚴格的信息安全政策和流程，加強對信息資產的保護。例如，對重要的商業秘密信息進行加密存儲，設置嚴格的訪問權限，防止未經授權的人員訪問和泄露。同時，對關鍵信息系統進行定期的安全評估和漏洞掃描，及時發現和修復潛在的安全隱患，確保信息系統的穩定運行。

此外，實施 ISMS 還可以提高煙草企業對信息安全事故的應急響應能力。在發生信息安全事故時，企業能夠迅速啟動應急預案，采取有效的措施進行控制和處理，最大限度地減少事故對企業造成的影響。

（二）節省成本

合理籌劃信息安全費用支出是煙草行業實施 ISMS 的重要目標之一。通過實施 ISMS，煙草企業可以依據風險級別安排安全控制措施投資優先級，避免不必要的投資。

在實施 ISMS 之前，煙草企業可能會在信息安全方面進行盲目投資，購買大量的安全設備和軟件，但這些投資并不一定能夠有效地降低信息安全風險。而實施 ISMS 后，企業可以通過風險評估，確定信息資產的風險級別，根據風險級別制定相應的安全控制措施，將有限的資金投入到最需要的地方，提高投資的效益。

例如，對于風險較高的信息資產，企業可以采取更加嚴格的安全控制措施，如加密存儲、雙因素認證等；對于風險較低的信息資產，則可以采取相對簡單的安全控制措施，如設置訪問密碼、定期備份等。這樣既可以保證信息資產的安全，又可以避免不必要的投資，節省企業的成本。

（三）提升競爭力和形象

在當今競爭激烈的市場環境中，信息安全已經成為企業競爭力的重要組成部分。煙草行業實施 ISMS 可以保持良好的競爭力和成功運作狀態，提高公眾形象和聲譽，增強客戶、合作伙伴等相關方的信任和信心。

首先，實施 ISMS 可以提高煙草企業的信息安全管理水平，保護客戶的個人信息和商業秘密，增強客戶對企業的信任。在現代社會，客戶越來越關注企業的信息安全管理水平，對于那些能夠保護客戶信息安全的企業，客戶更愿意與其合作。

其次，實施 ISMS 可以提高煙草企業的市場競爭力。在市場競爭中，企業的信息安全管理水平已經成為客戶、合作伙伴和投資者考量的重要因素之一。那些實施了 ISMS 的企業，能夠向市場傳遞出其對信息安全的重視和承諾，提高企業的市場競爭力。

最后，實施 ISMS 可以提高煙草企業的公眾形象和聲譽。