博士公司信息安全管理体系研究

博士公司信息安全管理体系研究时间：2015-02-05来源：学术堂所属分类：mba毕业论文摘要信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息，尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业资产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到重视和保护。本文首先对信息安全的基本概念、国际上公认最佳信息安全管理ISO27001模型体系进行了综合描述。然后以博士公司①这家国内领先的第三方理财机构为例，通过与各业务职能部门的访谈，并结合ISO27001模型体系要求设计调查问卷以及评估工具来诊断博士公司目前所暴露出来的信息安全问题。另外，根据原因诊断结果并结合博士公司自身业务发展需求，制定了一系列的解决方案。最后，本文希望通过国际上通用的ISO27001安全管理体系在博士公司的实践，着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析，找出若干风险控制节点，并结合组织的自身情况，针对每个风险控制节点一一拟定了解决方案。本研究不但能够丰富信息安全管理的相关理论，而且研究成果也可以为同行业提高信息安全水平提供借鉴。关键词:信息安全；信息安全诊断；ISO27001模型；信息安全治理；PDCA目录致谢摘要Abstract第1章绪论1.1信息安全概述1.2第三方理财行业信息安全现状以及研究意义1.3研究方法、技术路线及基本内容1.3.1研究方法1.3.2技术路线1.3.3基本内容第2章相关理论综述2.1ISO27001简介2.2PDCA简介2.3信息系统审计简介第3章博士公司问题现状3.1博士公司简介3.1.1公司历史3.1.2博士公司经营状况3.1.3公司组织构架3.2博士公司企业信息安全诊断工作过程描述3.3博士公司信息安全的若干问题3.3.1企业整体缺乏体系化的安全管理机制3.3.2信息安全人力资源匮乏，信息安全组织架构不够完善3.3.3尚未建立信息资产清单3.3.4员工安全意识薄弱3.3.5未将信息安全有效融入第三方外包服务管理3.3.6系统开发和运维人员职责不明确3.3.7尚未对信息安全实施内部审计3.3.8访问控制机制尚不健全3.3.9业务连续性方面建设比较初级第4章博士公司基于ISO27001体系的信息安全管理问题诊断4.1信息安全策略4.2信息安全组织4.3资产管理4.4人力资源安全4.5物理和环境安全4.6访问控制4.7业务连续性管理4.8通讯与操作管理4.9信息系统的获取开发和维护4.10信息安全事故管理4.11符合性4.12防信息泄露第5章博士公司基于ISO27001体系的信息安全管理改进方案5.1建立体系化的信息安全管理机制5.2完善企业信息安全组织结构5.3识别各类信息资产重要等级进行分级保护5.4加强员工安全意识培训5.5规范外包人员管理5.6明确各类人员的职责并设定严格的访问控制机制5.7制定业务持续性计划5.8引入内部审计机制5.9建立PDCA有效循环机制，不断完善企业信息安全体系第6章结论和展望6.1结论6.2展望参考文献致谢承蒙上海外国语大学赵衍老师指导本人关于论文提纲和正文的修订和完稿，感谢赵衍老师付出的辛勤劳动。同时也感谢博士公司为本人写作提供了研究课题，为本文提供了第一手的真实资料，感谢他们的大力支持。第1章绪论从人类社会诞生开始，信息的传递始终是彼此相互交流的一个重要的途径。先前，由于信息技术欠发达，人们主要依靠口述、书写、电话等的方式来进行彼此之间的交流，但进入21世纪后，随着信息技术的高速发展，微博、微信、办公软件、社交平台等一大批先进的电子化工具走进了人们的日常工作和生活，这些工具给我们带来了便利的同时，其背后所隐藏的信息安全问题也不容忽视。据IBM统计，全球每天约有130亿个信息安全事件发生，更有统计表明，世界上每过一分钟就有2家企业因为信息安全问题而倒闭，目前信息安全问题成为社会各层和各类型的组织所关注的焦点。各国也为之出台了一系列信息保护的法律法规。1.1信息安全概述信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业资产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到适当的保护。但是，目前我们的信息安全环境不容乐观，每天我们的企业可能要面对数以万计的黑客试探性入侵、木马病毒以及恶意代码的威胁、或者承受那种损人不利己的拒绝服务攻击。当然，现在大多数企业对这样外部的安全威胁做了一定的防御措施。在整个信息系统中基本上都有部署防火墙、身份认证甚至入侵防御系统。但我们发现即使投入了那么多资源来抵御外部的各种威胁，对入侵仍然反映迟钝，我们的信息还是在不断地泄露。根据国家互联网应急响应中的统计有将近50%的黑客入侵实际上是通过正常的途径，利用合法的凭证，进行机密资料的窃取。组织的内部人员可能由于安全意识不强或误操作，把一些敏感信息无意中泄露出去，甚至也有些极端分子靠出卖这样信息来获取私利的情况的出现。因此，组织的信息安全问题不容忽视，一套严密的信息安全管理体系更是许多组织正常运作的基础。1.2第三方理财行业信息安全现状以及研究意义目前绝大多数行业都有自身的行业信息安全体系标准，如适用于支付卡行业的《PCI/DSS》标准（支付卡行业数据信息安全标准）、银监会和证监会所颁布的适用于各自监管条线的《信息系统安全等级保护规范》、制造行业所推崇的基于信息安全管理体系ISO27001在制造业的最佳实践标准。随着经济的发展，目前国内涌现出大量的第三方理财机构为高净值客户提供理财服务，由于这个行业属于新兴行业，虽然其业务领域属于金融，但暂时还没有设立此行业的监管机构。此外，第三方理财行业的业务结构还未系统化、结构化，因此，信息安全在这个行业（领域）中研究还处于空白，也没有监管机构的政策性标准和相关指引以及前人的实践经验作为参考。本文希望通过国际上通用的ISO27001安全管理体系在博士公司的实践，着重分析博士公司在信息安全管理上所存在的诸多问题。本研究不但能够丰富信息安全管理的相关理论，而且研究成果也可以为同行业提高信息安全水平提供借鉴。1.3研究方法、技术路线及基本内容1.3.1研究方法本文的研究方法有如下四种：文献研究法：根据研究内容与需要解决的问题，搜集各类前人对此领域内所研究的相关的理论、模型和资料，在对这些资料进行归纳和提取，并最终应用到实际研究中。问卷调查法：通过事先设计好的问卷，向被访者收集研究所需要的相关信息，并对回收的问卷进行统计和分析，以求最大限度的还原被研究对象的真实现状。模型分析法：采用研究领域内相对成熟的模型，来分析研究过程中对象所存在的各类问题。本文通过借鉴信息安全业内公认的最佳标准模型来诊断目前所暴露出的问题，并找出问题产生和根源，设计出相应的解决方案。跨学科研究法：由于研究对象为信息安全管理，其领域本身就是包含计算机、管理、统计、质量管理、审计等多方面学科。因此，不可避免地需要用到各学科的知识，来综合分析和解决相应的问题。1.3.2技术路线本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状，结合ISO27001信息安全管理模型来找出企业目前所存在的信息安全管理问题，着重分析这些问题所形成的背景和原因，并根据此类问题的风险等级，选出博士公司目前迫切所需要解决的一系列问题并提出基于ISO27001模型所提出的解决方案或改善措施。【1】1.3.3基本内容整篇论文由绪论和正文所构成，总共分为六章。第一章绪论主要描述了论文的选题背景、研究意义和目的、研究方法和技术路线以及基本内容。第二章至第五章为本文最重要的四个组成部分。第二章是整篇论文的第一个重要的组成部分，其主要阐述了信息安全相关理论基础，为整个博士公司信息安全管理诊断模型的建立构建了理论出发点。具体包括诊断模型的选择、以及对信息安全和信息安全管理的相关理论进行了阐述。第三章是本文的第二个重要的组成部分，也是本文的研究实践基础，本章的主要内容中除了对博士公司的日常运营和业务介绍外，还有通过与各业务职能部门的访谈，结合ISO27001模型体系要求设计调查问卷以及评估工具等方法，揭示博士公司在日常运营和管理上存在的若干信息安全风险。第四章为本文的研究核心所在，是本文的第三个重要组成部分和研究结果，凭借ISO27001体系模型的诊断方法寻找到目前博士公司所暴露出的诸多信息安全问题的原因。第五章是本文的第四个重要组成部分，即依托ISO27001的最佳实践给予就博士公司目前的信息安全现状和原因给予解决方案和实施建议。第六章为本文的结论与展望部分，揭示了博士公司所暴露出来的问题在第三方理财行业是普遍存在的，并且随着时间的推移，信息安全问题也会发生不断的变化，需要组织去不断的完善信息安全建设。另外，信息安全与组织业务效率的平衡关系在今后的发展中免不了成为天平的两端，如何平衡好两者之间目前ISO27001体系并没有做出相应的解决方案，这将是今后相关领域研究所要解决的一个课题，对于如何减少组织对于信息安全建设的成本或更有效率地进行信息安全建设本文也做了相应展望。信息安全管理相关理论综述时间：2015-02-05来源：学术堂所属分类：mba毕业论文第2章相关理论综述在信息安全管理研究领域，国内外有很多成熟的体系模型和研究成果，这些前期体系模型和研究的成果，为本文的撰写提供了丰富的理论基础和资料素材，在本章中将对部分理论研究成果和行业标准进行归纳和提炼。2.1ISO27001简介ISO27000是信息安全方面国际国内公认的最佳的管理体系集。目前ISO27000系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有ISO27002安全管理使用守则、IS027003实施指南这样的子标准还包括ISO27011、ISO27012这样的通信业和金融保险业的行业标准。然而在整个体系中，不管是子标准的建立还是行业标准的颁布，无一例外的都是参照整个ISO27000的主体系IS027001来制定，它的前生BS7799由英国标准化系协会BSI在1992首次在英国作为行业标准发布，经过数次修改在2005年正式更名为ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了ISO27001来制定。【1】ISO27001是一套非常复杂的管理标准，其拥有11个控制领域：信息安全方针、组织构架、资产管理、人力资源安全管理、物理和环境安全管理、通信与操作管理、访问控制管理、系统的获取、开发和维护管理、信息安全事件管理、业务持续性管理和符合性。在这全部11个领域中控制深度也有所加强，达到39个控制目标和133个风险控制措施来保障企业的信息安全。【2】国内相关研究人员把支撑信息安全体系建设和保障企业信息安全总结为3个要素：人员（组织）、技术以及管理。在控制维度上基本涵盖了ISO27001所涉及的11个安全控制领域。【3】（1）人员（组织）在整个ISO27001体系中人员定义和组织管理是最重要的领域之一，在建设企业信息安全框架和制定信息安全方针时必须明确定义了企业内部的人员的组织架构、职责权利。特别是在企业中与各信息系统和业务系统有关的资产和安全程序（流程）要加以明确辨别和定义，此外负责上述各资产和安全程序（流程）的责任人的任命要经过批准，其权责要记录在案，授权级别和权限范围也要清晰定义并记录在案以便日常审计符合并在出现信息安全事件后能快速定位到责任人并追溯具体原因。同时，在信息安全管理体系中必须首先必须要建立信息安全管理委员会，其成员至少需要包含一名企业高管，以便体现企业对信息安全的重视程度并把信息安全建设作为企业整