一、烟草行业 ISMS 概述

（一）ISMS 的定义及重要性

ISMS（Information Security Management System）即信息安全管理体系，在烟草行业中起着至关重要的作用。它是一种管理组织信息安全实践的结构化、系统化方法，为烟草行业提供识别、评估和管理信息安全风险的框架。

对于烟草行业而言，确保敏感数据和关键信息得到充分保护至关重要。烟草企业通常拥有大量的商业机密、客户信息、生产工艺数据等敏感信息，这些信息一旦泄露，可能会给企业带来巨大的经济损失和声誉损害。ISMS 通过建立一套完善的信息安全管理体系，包括制定信息安全政策、进行风险评估、实施安全控制措施等，能够有效地保护这些敏感信息，确保企业的信息安全。

（二）国际标准与认证

国际公认的 ISMS 标准是 ISO/IEC 27001，认证可证实组织实施了 ISMS 且符合标准要求。对于烟草行业来说，获得 ISO/IEC 27001 认证具有重要意义。

首先，认证有助于提升组织形象和竞争力。在当今竞争激烈的市场环境中，企业的信息安全管理水平已成为客户、合作伙伴和投资者考量的重要因素之一。获得 ISO/IEC 27001 认证，表明烟草企业在信息安全管理方面达到了国际标准，能够增强客户和合作伙伴对企业的信任，提升企业的市场竞争力。

其次，认证可以保护信息资产。烟草行业的信息资产包括生产配方、销售数据、客户信息等，这些资产对企业的生存和发展至关重要。ISO/IEC 27001 认证要求企业建立完善的信息安全管理体系，实施有效的安全控制措施，从而保护信息资产的保密性、完整性和可用性。

二、烟草行业 ISMS 案例分析

（一）威士顿与华为合作案例

威士顿与华为共同发布烟草行业 MES 联合解决方案，打造 “华为云 + 威士顿 MES” 的方案，可赋能行业客户的数字化和智能化转型。这一合作充分发挥了双方在各自领域的优势，为烟草行业的发展带来了新的机遇。

（二）宝兰德商业系统案例

无侵入、方法级别的性能监控

宝兰德商业系统的 IT 监控与管理系统探针采用完全无侵入式的、字节码级别修改的方式来提取应用的性能指标。被监控应用无需做任何更改即可轻松实现被监控，且监控粒度深入至方法级别，自动跟踪方法的执行链，并计算方法的执行时间和提取各类参数，帮助运维人员快速定位应用性能瓶颈的真实所在。

分布式、大规模实施监控

该系统在设计上遵循分布式、去中心化及核心组件无状态化等原则，所有组件均可按需任意水平扩展，探针代理和数据采集器之间支持自动发现、动态负载均衡和自动故障转移，使得构建于以上设计和技术之上的性能监控可轻松实现对上万级别实例的实施监控。

基于大数据存储、实时流式分析

对监控数据的存储和分析基于 Hadoop 生态圈的相关技术，数据存储采用分布式、列式数据库 HBase，实时分析采用基于内存计算的集群计算引擎 Spark，使得系统具备海量监控数据的存储和分析能力。

以 AMDB 为核心的 “监、管、控”

以应用资源配置管理库（AMDB）为核心实现对软、硬件生命周期管理的需求。本质上是以 AMDB 为核心融合的架构，AMDB 是衔接技术与管理的关键数据整合层。通过更加先进的配置管理自动化，建立跨系统的数据管理关联，进行跨功能的运维业务整合，帮助用户实现实时管理、闭环管理、精益管理、战略管理的主动提升。

事件降噪和统一管理

提供一系列规则，支持通过规则的界面扩展，实现各类告警事件的收集、解析、压缩、归并、丰富、定位、关联，实时的分析出当前的有效告警，提前发现故障预警，通过多种方式通知和提醒，及早推进处理工作，防患于未然。帮助信息部门实现从被动化运维到主动化运维的转变。

大数据架构的可视化技术

采用大数据架构的可视化技术，基于统一管理的数据，既可快速响应大屏需求，为企业定制符合实际业务大屏；也可为业务人员提供交互式的即席分析体验，使业务人员可与数据对话，发现数据规律，辅助管理人员掌握业务动态，为用户的业务决策及问题解决提供依据。提供通用场景的标准化大屏模板，以及大屏定制化功能，会根据客户的实际场景，通过二次代码注入，快速定制满足省局烟草客户需求的大屏。资源使用全景图，从 IaaS、PaaS、SaaS 三种维度，集中展现 IT 资源的运行状况。

（三）卷烟厂案例

卷烟厂用 MIS 提高管理水平，围绕企业发展战略目标，建立信息处理和反馈系统，以成本核算和控制为中心环节，提高企业管理水平和市场竞争力。在计算机网络和数据库系统的支持下，将全厂烟叶及辅料的采购、结算、仓储管理、调配等信息进行全面的计算机网络化管理，优化烟叶和原辅材料等库存结构，降低成本，缩短产品生产周期。以成本为中心对经营决策、经营活动、生产过程等进行全方位控制，提高产品产量、质量，增强企业市场应变能力。

三、完善烟草行业 ISMS 的策略

（一）烟草行业 mes 系统优化

数据采集

对烟草行业生产全过程中的数据进行全面采集和分类，涵盖制丝及储丝设备、卷接包设备、装封箱设备、质量检测设备、物流系统设备等各个环节的数据。通过准确的数据采集，为 MES 提供全面、实时、准确的信息，从而在控制系统与管理信息系统之间建立起有效的信息纽带。

生产过程实时监控与报警

以工厂数据采集为基础，对生产中产生的各种关键数据进行实时监视，包括制丝数采、卷接包数采、动力能源数采、自动化物流系统数据反馈、质检仪器数采等。通过实时监控，了解生产工单执行的最新进展，对比生产计划，实现对生产的有效控制。同时，对设备故障、工艺质量问题、设备运行情况、质量状况、能源供应等异常情况及时报警，以便尽早进行控制与处理。

生产计划调度

根据产销计划制定适合生产能力的生产任务，是 ERP 中生产计划的延伸和发展。具体包括制丝段作业任务的自动编制调整、人工调整和下达，以及卷包作业计划的自动生成和下达，确保生产计划按时、按进度实施。

设备维护管理

根据企业对生产设备维修保养工作的规定，制定项修、轮保、点检、日常维修等设备维护计划。对于最终的检修实施以检修任务单的形式发布并进行实施管理。以设备实际运行数据为基础，对设备效率进行全局设备效率分析，帮助管理者定位影响设备效率的瓶颈因素。

过程工艺质量控制

具备质量标准管理、在线质量控制、质量数据采集、质量统计分析、质量追踪等功能。通过对质量标准的参数化、程序化，为生产过程严格执行质量标准和工艺标准提供保障。以实时的质量数据采集为基础，实现全面的在线实时质量监控，提高质量的在线控制水平，稳定产品质量。

基础数据和文档管理

对产品、工艺规程、设计等有关信息进行管理和分发，同时收集与工作和环境有关的标准信息。包括质量标准、产品配方、维护项目、物料基本信息以及其它基础数据的维护与查询，为 MES 运行提供基础与前提。

车间成本管理

以采集数据为基础，对生产过程中的物料、能源消耗、设备运行时间、员工工时进行归集、整理、分析、存储与报告，从而对企业生产成本进行管理和控制。

物料管理

包括提供物料基础数据的管理和维护功能，对生产过程的物料变化进行记录，以及通过对生产过程中的数据采集，按批次收集生产过程物料数据，建立物料跟踪系统，实现从原料投料到成品入库的全生产过程物料跟踪。

（二）遵循 MIS 设计原则及开发要求

适应性原则

保证工程各行程序系统与任务各部分分工的协调性，充分发挥计算机的优势，减少数据的输入与输出。确保 MIS 能够适应烟草行业的实际需求，提高工作效率。

系统原则

利用最优的方式设计系统，使其符合既定准则和目标。在设计 MIS 的过程中，结合相关管理制度及其职能，确保数据库建立与管理部门的实际需求相符，有效满足信息系统的总体结构，便于管理、维护与建库。同时，烟草企业应从当前计算机技术水平出发，积极引进先进技术和管理经验，保证信息系统与自身计算机技术相融，提高管理水平及质量。

保密及安全

系统安全保护应涉及信息的传输、存储、处理和收集等过程。合理应用安全管理制度和加密技术，优化计算机网络结构，保证系统的保密与安全与其设计同步。确保烟草行业的信息安全，防止敏感信息泄露。

维护与管理

制定科学的制度来维护与管理计算机软硬件，保证系统的安全高效运行。由于烟草行业的管理信息系统应具备跨地域与分层次的特征，因此在实际设计开发过程中，应结合行业标准和国家规定的要求，确保系统的稳定运行。

（三）建设 ISO9000 质量管理体系

体系建设前期准备

明确指导思想与基本原则、建设目标与总体要求等。以科学发展观为指导，围绕 “两个至上” 的行业共同价值观及建设 “严格规范、富有效率、充满活力” 的中国烟草总要求，以全面贯彻实施 ISO9000 质量管理体系为抓手，构建高效顺畅、协调运转的基础管理平台。

培训动员

提高员工对质量管理体系的认识和参与度。通过举办培训、宣传等活动，让员工了解质量管理体系的重要性和实施方法，为体系的建设和运行奠定基础。

体系策划

确定质量方针、目标，进行过程识别和确认。根据烟草企业的实际情况，制定明确的质量方针和目标，识别和确认各个业务流程，确保质量管理体系的有效性和系统性。

文件编写与评审

编写质量管理体系文件，并进行评审和改进。包括质量手册、程序文件、作业指导书等，确保文件的规范性和可操作性。通过评审，及时发现问题并进行改进。

体系运行和持续改进

通过宣贯培训、内部审核、管理评审等方式，持续改进体系。不断提高质量管理体系的运行效率和效果，为烟草企业的发展提供有力保障。

五、烟草行业实施 ISMS 的意义

（一）预防信息安全事故

在烟草行业中，实施 ISMS 对于预防信息安全事故具有重要意义。烟草企业通常拥有大量的商业秘密信息和关键信息系统，如生产配方、销售数据、客户信息等。这些信息一旦发生泄漏、丢失、篡改或中断等情况，将会给企业带来巨大的经济损失和声誉损害。

通过实施 ISMS，烟草企业可以建立完善的信息安全管理体系，制定严格的信息安全政策和流程，加强对信息资产的保护。例如，对重要的商业秘密信息进行加密存储，设置严格的访问权限，防止未经授权的人员访问和泄露。同时，对关键信息系统进行定期的安全评估和漏洞扫描，及时发现和修复潜在的安全隐患，确保信息系统的稳定运行。

此外，实施 ISMS 还可以提高烟草企业对信息安全事故的应急响应能力。在发生信息安全事故时，企业能够迅速启动应急预案，采取有效的措施进行控制和处理，最大限度地减少事故对企业造成的影响。

（二）节省成本

合理筹划信息安全费用支出是烟草行业实施 ISMS 的重要目标之一。通过实施 ISMS，烟草企业可以依据风险级别安排安全控制措施投资优先级，避免不必要的投资。

在实施 ISMS 之前，烟草企业可能会在信息安全方面进行盲目投资，购买大量的安全设备和软件，但这些投资并不一定能够有效地降低信息安全风险。而实施 ISMS 后，企业可以通过风险评估，确定信息资产的风险级别，根据风险级别制定相应的安全控制措施，将有限的资金投入到最需要的地方，提高投资的效益。

例如，对于风险较高的信息资产，企业可以采取更加严格的安全控制措施，如加密存储、双因素认证等；对于风险较低的信息资产，则可以采取相对简单的安全控制措施，如设置访问密码、定期备份等。这样既可以保证信息资产的安全，又可以避免不必要的投资，节省企业的成本。

（三）提升竞争力和形象

在当今竞争激烈的市场环境中，信息安全已经成为企业竞争力的重要组成部分。烟草行业实施 ISMS 可以保持良好的竞争力和成功运作状态，提高公众形象和声誉，增强客户、合作伙伴等相关方的信任和信心。

首先，实施 ISMS 可以提高烟草企业的信息安全管理水平，保护客户的个人信息和商业秘密，增强客户对企业的信任。在现代社会，客户越来越关注企业的信息安全管理水平，对于那些能够保护客户信息安全的企业，客户更愿意与其合作。

其次，实施 ISMS 可以提高烟草企业的市场竞争力。在市场竞争中，企业的信息安全管理水平已经成为客户、合作伙伴和投资者考量的重要因素之一。那些实施了 ISMS 的企业，能够向市场传递出其对信息安全的重视和承诺，提高企业的市场竞争力。

最后，实施 ISMS 可以提高烟草企业的公众形象和声誉。