某公司信息安全管理體系研究課程

1、博士公司信息安全管理體系研究時間：2015-02-05 來源：學術堂 所屬分類： HYPERLINK mba畢業(yè)論文摘要信息安全這個概念本身包括的范圍非常廣泛。從國家的軍事、政治、經(jīng)濟政策等機密安全，到防范青少年對不良信息的瀏覽以及個人信息的泄露等都屬于信息安全的范疇。如今，在這個信息傳播高度發(fā)達的時代，對于一個企業(yè)來說，信息，尤其是敏感信息很大程度上決定了企業(yè)的興衰甚至是生死存亡，它已經(jīng)悄然地變?yōu)榱艘豁椘髽I(yè)資產(chǎn)。它和其它資產(chǎn)一樣重要，對企業(yè)具有重要的價值，因此理應需要受到重視和保護。本文首首先對信信息安全全的基本本概念、國國際上公公認最佳佳信息安安全管理理 ISSO2770011 模型型體系

2、進進行了綜綜合描述述。然后后以博士士公司這家國國內(nèi)領先先的第三三方理財財機構為為例，通通過與各各業(yè)務職職能部門門的訪談談，并結結合 IISO2270001 模模型體系系要求設設計調(diào)查查問卷以以及評估估工具來來診斷博博士公司司目前所所暴露出出來的信信息安全全問題。另另外，根根據(jù)原因因診斷結結果并結結合博士士公司自自身業(yè)務務發(fā)展需需求，制制定了一一系列的的解決方方案。最后，本本文希望望通過國國際上通通用的 ISOO270001 安全管管理體系系在博士士公司的的實踐，著著重分析析博士公公司在信信息安全全管理上上所存在在的諸多多問題。通通過系統(tǒng)統(tǒng)的診斷斷分析，找找出若干干風險控控制節(jié)點點，并結結合組織

3、織的自身身情況，針針對每個個風險控控制節(jié)點點一一擬擬定了解解決方案案。本研研究不但但能夠豐豐富信息息安全管管理的相相關理論論，而且且研究成成果也可可以為同同行業(yè)提提高信息息安全水水平提供供借鑒。關鍵詞詞: 信信息安全全；信息息安全診診斷；IISO2270001 模模型；信信息安全全治理；PDCCA目錄致謝謝摘摘要Absstraact第 11 章 緒論1.1 信信息安全全概述1.2 第第三方理理財行業(yè)業(yè)信息安安全現(xiàn)狀狀以及研研究意義義11.3 研究方方法、技技術路線線及基本本內(nèi)容1.3.11 研究究方法1.3.22 技術術路線1.3.33 基本本內(nèi)容第 22 章 相關理理論綜述述22.1 ISO

4、O270001 簡介2.2 PPDCAA 簡介介22.3 信息系系統(tǒng)審計計簡介第 33 章 博士公公司問題題現(xiàn)狀3.1 博博士公司司簡介3.1.11 公司司歷史3.1.22 博士士公司經(jīng)經(jīng)營狀況況33.1.3 公公司組織織構架3.2 博博士公司司企業(yè)信信息安全全診斷工工作過程程描述3.3 博博士公司司信息安安全的若若干問題題33.3.1 企企業(yè)整體體缺乏體體系化的的安全管管理機制制33.3.2 信信息安全全人力資資源匱乏乏，信息息安全組組織架構構不夠完完善3.33.3 尚未建建立信息息資產(chǎn)清清單3.33.4 員工安安全意識識薄弱3.3.55 未將將信息安安全有效效融入第第三方外外包服務務管理3

5、.3.66 系統(tǒng)統(tǒng)開發(fā)和和運維人人員職責責不明確確33.3.7 尚尚未對信信息安全全實施內(nèi)內(nèi)部審計計33.3.8 訪訪問控制制機制尚尚不健全全33.3.9 業(yè)業(yè)務連續(xù)續(xù)性方面面建設比比較初級級第 44 章 博士公公司基于于 ISSO2770011 體系系的信息息安全管管理問題題診斷4.1 信信息安全全策略4.2 信信息安全全組織4.3 資資產(chǎn)管理理44.4 人力資資源安全全44.5 物理和和環(huán)境安安全4.66 訪問問控制4.7 業(yè)業(yè)務連續(xù)續(xù)性管理理44.8 通訊與與操作管管理4.99 信息息系統(tǒng)的的獲取開開發(fā)和維維護4.110 信信息安全全事故管管理4.111 符符合性4.12 防信息息泄露第

6、 55 章 博士公公司基于于 ISSO2770011 體系系的信息息安全管管理改進進方案5.1 建建立體系系化的信信息安全全管理機機制5.22 完善善企業(yè)信信息安全全組織結結構5.33 識別別各類信信息資產(chǎn)產(chǎn)重要等等級進行行分級保保護5.44 加強強員工安安全意識識培訓5.5 規(guī)規(guī)范外包包人員管管理5.66 明確確各類人人員的職職責并設設定嚴格格的訪問問控制機機制5.77 制定定業(yè)務持持續(xù)性計計劃5.88 引入入內(nèi)部審審計機制制55.9 建立 PDCCA 有有效循環(huán)環(huán)機制，不不斷完善善企業(yè)信信息安全全體系第 66 章 結論和和展望6.1 結結論6.22 展望望參參考文獻獻致謝承蒙上上海外國國語

7、大學學趙衍老老師指導導本人關關于論文文提綱和和正文的的修訂和和完稿，感感謝趙衍衍老師付付出的辛辛勤勞動動。同時時也感謝謝博士公公司為本本人寫作作提供了了研究課課題，為為本文提提供了第第一手的的真實資資料，感感謝他們們的大力力支持。第1章 緒緒論從人類類社會誕誕生開始始，信息息的傳遞遞始終是是彼此相相互交流流的一個個重要的的途徑。先先前，由由于信息息技術欠欠發(fā)達，人人們主要要依靠口口述、書書寫、電電話等的的方式來來進行彼彼此之間間的交流流，但進進入 221 世世紀后，隨隨著信息息技術的的高速發(fā)發(fā)展，微微博、微微信、辦辦公軟件件、社交交平臺等等一大批批先進的的電子化化工具走走進了人人們的日日常工作

8、作和生活活，這些些工具給給我們帶帶來了便便利的同同時，其其背后所所隱藏的的信息安安全問題題也不容容忽視。據(jù)據(jù) IBBM 統(tǒng)統(tǒng)計，全全球每天天約有 1300 億個個信息安安全事件件發(fā)生，更更有統(tǒng)計計表明，世世界上每每過一分分鐘就有有 2 家企業(yè)業(yè)因為信信息安全全問題而而倒閉，目目前信息息安全問問題成為為社會各各層和各各類型的的組織所所關注的的焦點。各各國也為為之出臺臺了一系系列信息息保護的的法律法法規(guī)。1.11 信息息安全概概述信息安安全這個個概念本本身包括括的范圍圍非常廣廣泛。從從國家的的軍事、政政治、經(jīng)經(jīng)濟政策策等機密密安全，到到防范青青少年對對不良信信息的瀏瀏覽以及及個人信信息的泄泄露等都

9、都屬于信信息安全全的范疇疇。如今今，在這這個信息息傳播高高度發(fā)達達的時代代，對于于一個企企業(yè)來說說，信息息尤其是是敏感信信息很大大程度上上決定了了企業(yè)的的興衰甚甚至是生生死存亡亡，它已已經(jīng)悄然然地變?yōu)闉榱艘豁楉椘髽I(yè)資資產(chǎn)。它它和其它它資產(chǎn)一一樣重要要，對企企業(yè)具有有重要的的價值，因因此理應應需要受受到適當當?shù)谋Ｗo護。但是，目目前我們們的信息息安全環(huán)環(huán)境不容容樂觀，每每天我們們的企業(yè)業(yè)可能要要面對數(shù)數(shù)以萬計計的黑客客試探性性入侵、木木馬病毒毒以及惡惡意代碼碼的威脅脅、或者者承受那那種損人人不利己己的拒絕絕服務攻攻擊。當當然，現(xiàn)現(xiàn)在大多多數(shù)企業(yè)業(yè)對這樣樣外部的的安全威威脅做了了一定的的防御措措施。

10、在在整個信信息系統(tǒng)統(tǒng)中基本本上都有有部署防防火墻、身身份認證證甚至入入侵防御御系統(tǒng)。但但我們發(fā)發(fā)現(xiàn)即使使投入了了那么多多資源來來抵御外外部的各各種威脅脅，對入入侵仍然然反映遲遲鈍，我我們的信信息還是是在不斷斷地泄露露。根據(jù)據(jù)國家互互聯(lián)網(wǎng)應應急響應應中的統(tǒng)統(tǒng)計有將將近 550%的的黑客入入侵實際際上是通通過正常常的途徑徑，利用用合法的的憑證，進進行機密密資料的的竊取。組組織的內(nèi)內(nèi)部人員員可能由由于安全全意識不不強或誤誤操作，把把一些敏敏感信息息無意中中泄露出出去，甚甚至也有有些極端端分子靠靠出賣這這樣信息息來獲取取私利的的情況的的出現(xiàn)。因因此，組組織的信信息安全全問題不不容忽視視，一套套嚴密的的

11、信息安安全管理理體系更更是許多多組織正正常運作作的基礎礎。11.2 第三方方理財行行業(yè)信息息安全現(xiàn)現(xiàn)狀以及及研究意意義目前絕絕大多數(shù)數(shù)行業(yè)都都有自身身的行業(yè)業(yè)信息安安全體系系標準，如如適用于于支付卡卡行業(yè)的的PCCI/DDSS標標準（支支付卡行行業(yè)數(shù)據(jù)據(jù)信息安安全標準準）、銀銀監(jiān)會和和證監(jiān)會會所頒布布的適用用于各自自監(jiān)管條條線的信信息系統(tǒng)統(tǒng)安全等等級保護護規(guī)范、制制造行業(yè)業(yè)所推崇崇的基于于信息安安全管理理體系 ISOO270001 在制造造業(yè)的最最佳實踐踐標準。隨隨著經(jīng)濟濟的發(fā)展展，目前前國內(nèi)涌涌現(xiàn)出大大量的第第三方理理財機構構為高凈凈值客戶戶提供理理財服務務，由于于這個行行業(yè)屬于于新興行行業(yè)

12、，雖雖然其業(yè)業(yè)務領域域?qū)儆诮鸾鹑冢珪簳r還還沒有設設立此行行業(yè)的監(jiān)監(jiān)管機構構。此外外，第三三方理財財行業(yè)的的業(yè)務結結構還未未系統(tǒng)化化、結構構化，因因此，信信息安全全在這個個行業(yè)（領領域）中中研究還還處于空空白，也也沒有監(jiān)監(jiān)管機構構的政策策性標準準和相關關指引以以及前人人的實踐踐經(jīng)驗作作為參考考。本文文希望通通過國際際上通用用的 IISO2270001 安安全管理理體系在在博士公公司的實實踐，著著重分析析博士公公司在信信息安全全管理上上所存在在的諸多多問題。本本研究不不但能夠夠豐富信信息安全全管理的的相關理理論，而而且研究究成果也也可以為為同行業(yè)業(yè)提高信信息安全全水平提提供借鑒鑒。1.33 研

13、究究方法、技技術路線線及基本本內(nèi)容1.33.1 研究方方法本文的的研究方方法有如如下四種種：文獻研研究法：根據(jù)研研究內(nèi)容容與需要要解決的的問題，搜搜集各類類前人對對此領域域內(nèi)所研研究的相相關的理理論、模模型和資資料，在在對這些些資料進進行歸納納和提取取，并最最終應用用到實際際研究中中。問卷調(diào)調(diào)查法：通過事事先設計計好的問問卷，向向被訪者者收集研研究所需需要的相相關信息息，并對對回收的的問卷進進行統(tǒng)計計和分析析，以求求最大限限度的還還原被研研究對象象的真實實現(xiàn)狀。模型分分析法：采用研研究領域域內(nèi)相對對成熟的的模型，來來分析研研究過程程中對象象所存在在的各類類問題。本本文通過過借鑒信信息安全全業(yè)內(nèi)

14、公公認的最最佳標準準模型來來診斷目目前所暴暴露出的的問題，并并找出問問題產(chǎn)生生和根源源，設計計出相應應的解決決方案?？鐚W科科研究法法：由于于研究對對象為信信息安全全管理，其其領域本本身就是是包含計計算機、管管理、統(tǒng)統(tǒng)計、質(zhì)質(zhì)量管理理、審計計等多方方面學科科。因此此，不可可避免地地需要用用到各學學科的知知識，來來綜合分分析和解解決相應應的問題題。11.3.2 技技術路線線本文將將從信息息安全管管理的整整體框架架、組織織結構、資資產(chǎn)狀況況、流程程制度以以及技術術力量等等方面評評估博士士公司的的信息安安全管理理現(xiàn)狀，結結合 IISO2270001 信信息安全全管理模模型來找找出企業(yè)業(yè)目前所所存在的的

15、信息安安全管理理問題，著著重分析析這些問問題所形形成的背背景和原原因，并并根據(jù)此此類問題題的風險險等級，選選出博士士公司目目前迫切切所需要要解決的的一系列列問題并并提出基基于 IISO2270001 模模型所提提出的解解決方案案或改善善措施?！?1】11.3.3 基基本內(nèi)容容整篇論論文由緒緒論和正正文所構構成，總總共分為為六章。第第一章緒緒論主要要描述了了論文的的選題背背景、研研究意義義和目的的、研究究方法和和技術路路線以及及基本內(nèi)內(nèi)容。第第二章至至第五章章為本文文最重要要的四個個組成部部分。第第二章是是整篇論論文的第第一個重重要的組組成部分分，其主主要闡述述了信息息安全相相關理論論基礎，為為

16、整個博博士公司司信息安安全管理理診斷模模型的建建立構建建了理論論出發(fā)點點。具體體包括診診斷模型型的選擇擇、以及及對信息息安全和和信息安安全管理理的相關關理論進進行了闡闡述。第第三章是是本文的的第二個個重要的的組成部部分，也也是本文文的研究究實踐基基礎，本本章的主主要內(nèi)容容中除了了對博士士公司的的日常運運營和業(yè)業(yè)務介紹紹外，還還有通過過與各業(yè)業(yè)務職能能部門的的訪談，結結合 IISO2270001 模模型體系系要求設設計調(diào)查查問卷以以及評估估工具等等方法，揭揭示博士士公司在在日常運運營和管管理上存存在的若若干信息息安全風風險。第第四章為為本文的的研究核核心所在在，是本本文的第第三個重重要組成成部分

17、和和研究結結果，憑憑借 IISO2270001 體體系模型型的診斷斷方法尋尋找到目目前博士士公司所所暴露出出的諸多多信息安安全問題題的原因因。第五五章是本本文的第第四個重重要組成成部分，即即依托 ISOO270001 的最佳佳實踐給給予就博博士公司司目前的的信息安安全現(xiàn)狀狀和原因因給予解解決方案案和實施施建議。第第六章為為本文的的結論與與展望部部分，揭揭示了博博士公司司所暴露露出來的的問題在在第三方方理財行行業(yè)是普普遍存在在的，并并且隨著著時間的的推移，信信息安全全問題也也會發(fā)生生不斷的的變化，需需要組織織去不斷斷的完善善信息安安全建設設。另外外，信息息安全與與組織業(yè)業(yè)務效率率的平衡衡關系在在

18、今后的的發(fā)展中中免不了了成為天天平的兩兩端，如如何平衡衡好兩者者之間目目前ISSO2770011 體系系并沒有有做出相相應的解解決方案案，這將將是今后后相關領領域研究究所要解解決的一一個課題題，對于于如何減減少組織織對于信信息安全全建設的的成本或或更有效效率地進進行信息息安全建建設本文文也做了了相應展展望。信息安全管管理相關關理論綜綜述時間：20015-02-05 來源：學術堂堂 所屬屬分類： HYPERLINK aby/ mbaa畢業(yè)論論文第2章章 相關關理論綜綜述在信息息安全管管理研究究領域，國國內(nèi)外有有很多成成熟的體體系模型型和研究究成果，這這些前期期體系模模型和研研究的成成果，為為本文

19、的的撰寫提提供了豐豐富的理理論基礎礎和資料料素材，在在本章中中將對部部分理論論研究成成果和行行業(yè)標準準進行歸歸納和提提煉。2.11 ISSO2770011 簡介介ISOO270000 是信息息安全方方面國際際國內(nèi)公公認的最最佳的管管理體系系集。目目前 IISO2270000 系系列標準準已經(jīng)基基本清晰晰,其框框架也于于日益完完善。整整個體系系集中不不僅擁有有 ISSO2770022 安全全管理使使用守則則、ISS02770033 實施施指南這這樣的子子標準還還包括 ISOO270011、IISO2270112 這這樣的通通信業(yè)和和金融保保險業(yè)的的行業(yè)標標準。然然而在整整個體系系中，不不管是子子

20、標準的的建立還還是行業(yè)業(yè)標準的的頒布，無無一例外外的都是是參照整整個 IISO2270000 的的主體系系 ISS02770011 來制制定，它它的前生生BS777999 由英英國標準準化系協(xié)協(xié)會 BBSI 在 119922 首次次在英國國作為行行業(yè)標準準發(fā)布，經(jīng)經(jīng)過數(shù)次次修改在在 20005 年正式式更名為為 ISSO2770011。國內(nèi)內(nèi)的一些些安全標標準如等等級保護護、GBB/T、以以及一系系列行業(yè)業(yè)標準也也大都參參照了 ISOO270001 來制定定?！?1】IISO2270001 是是一套非非常復雜雜的管理理標準，其其擁有 11 個控制制領域：信息安安全方針針、組織織構架、資資產(chǎn)管理

21、理、人力力資源安安全管理理、物理理和環(huán)境境安全管管理、通通信與操操作管理理、訪問問控制管管理、系系統(tǒng)的獲獲取、開開發(fā)和維維護管理理、信息息安全事事件管理理、業(yè)務務持續(xù)性性管理和和符合性性。在這這全部 11 個領域域中控制制深度也也有所加加強，達達到 339 個個控制目目標和 1333個風險險控制措措施來保保障企業(yè)業(yè)的信息息安全?！?2】國國內(nèi)相關關研究人人員把支支撐信息息安全體體系建設設和保障障企業(yè)信信息安全全總結為為 3 個要素素：人員員（組織織）、技技術以及及管理。 在控制制維度上上基本涵涵蓋了 ISOO270001 所涉及及的 111個安安全控制制領域。【33】（11）人員員（組織織）在

22、整個個 ISSO2770011 體系系中人員員定義和和組織管管理是最最重要的的領域之之一，在在建設企企業(yè)信息息安全框框架和制制定信息息安全方方針時必必須明確確定義了了企業(yè)內(nèi)內(nèi)部的人人員的組組織架構構、職責責權利。特特別是在在企業(yè)中中與各信信息系統(tǒng)統(tǒng)和業(yè)務務系統(tǒng)有有關的資資產(chǎn)和安安全程序序（流程程）要加加以明確確辨別和和定義，此此外負責責上述各各資產(chǎn)和和安全程程序（流流程）的的責任人人的任命命要經(jīng)過過批準，其其權責要要記錄在在案，授授權級別別和權限限范圍也也要清晰晰定義并并記錄在在案以便便日常審審計符合合并在出出現(xiàn)信息息安全事事件后能能快速定定位到責責任人并并追溯具具體原因因。同時時，在信信息安

23、全全管理體體系中必必須首先先必須要要建立信信息安全全管理委委員會，其其成員至至少需要要包含一一名企業(yè)業(yè)高管，以以便體現(xiàn)現(xiàn)企業(yè)對對信息安安全的重重視程度度并把信信息安全全建設作作為企業(yè)業(yè)整體戰(zhàn)戰(zhàn)略的一一部分。信信息安全全管理委委員會定定期對信信息安全全政策進進行審批批，對安安全權力力與職責責進行分分配，并并協(xié)調(diào)企企業(yè)內(nèi)部部各部門門對安全全策略和和流程規(guī)規(guī)章的實實施。另另外，在在企業(yè)內(nèi)內(nèi)部必須須設立專專職的信信息安全全顧問，信信息安全全顧問的的編制和和組織結結構隸屬屬必須是是非信息息技術部部人員，建建議隸屬屬于 CCFO 所管轄轄的管理理部門，以以便保證證對整個個企業(yè)的的業(yè)務發(fā)發(fā)展有第第一時間間的

24、了解解和對信信息技術術部門（信信息安全全管理體體系中涉涉及最重重要的部部門之一一）的工工作有一一個客觀觀的審計計和判斷斷。在企企業(yè)外部部最好也也應設置置信息安安全顧問問，可以以是“外外腦”（信信息安全全方面的的獨立董董事）、咨咨詢機構構（麥肯肯錫）、或或是專業(yè)業(yè)提供風風險控制制和外部部審計服服務商（四四大會計計事務所所），以以便及時時跟蹤行行業(yè)的最最新走向向，為企企業(yè)的管管理層解解讀最新新的行業(yè)業(yè)信息安安全監(jiān)管管標準和和相應的的評估手手段，并并在發(fā)生生信息安安全事故故時建立立適當?shù)牡穆?lián)絡渠渠道，協(xié)協(xié)調(diào)外部部的有效效資源來來幫助企企業(yè)來平平息和處處理信息息安全事事故。（2）技技術隨著信信息技術術

25、的發(fā)展展，企業(yè)業(yè)的日常常辦公逐逐步走入入了電子子化時代代，今日日企業(yè)的的 ERRP、財財務、CCRM 等核心心的業(yè)務務系統(tǒng)無無一不是是依托信信息技術術來實現(xiàn)現(xiàn)的。但但新興技技術發(fā)展展的背后后，伴隨隨著的安安全問題題卻不能能忽視。有有這么些些人，他他們利用用自身所所具備的的技術能能力來破破壞或盜盜取這些些核心業(yè)業(yè)務系統(tǒng)統(tǒng)中的敏敏感信息息。我們們稱之這這類特殊殊群體的的人為黑黑客。今今天，黑黑客已經(jīng)經(jīng)發(fā)展成成的一個個獨特的的群體，一一些“志志同道合合”的人人在網(wǎng)絡絡上建立立了黑客客組織。為為了謀取取巨額利利益甚至至形成了了黑客的的地下產(chǎn)產(chǎn)業(yè)鏈，他他們受托托使目標標系統(tǒng)癱癱瘓、感感染病毒毒、惡意意修

26、改網(wǎng)網(wǎng)頁，甚甚至通過過自己的的技術手手段入侵侵企業(yè)內(nèi)內(nèi)部的系系統(tǒng)，盜盜取企業(yè)業(yè)內(nèi)部重重要資料料，變賣賣給企業(yè)業(yè)的競爭爭對手。誠誠然道高高一尺魔魔高一丈丈，進攻攻永遠是是有主動動權的。由由于信息息技術的的不斷發(fā)發(fā)展，未未來的手手機移動動領域的的安全技技術、以以云計算算為基礎礎結構的的核心業(yè)業(yè)務系統(tǒng)統(tǒng)、物聯(lián)聯(lián)網(wǎng)安全全等都將將面臨巨巨大的信信息安全全挑戰(zhàn)。企企業(yè)的在在面對黑黑客以及及一些其其他惡意意破壞者者的時候候必須具具有與之之抗衡的的防御技技術，這這需要企企業(yè)不斷斷加強在在信息安安全防御御技上的的投入和和重視以以及提高高對新的的未知威威脅的抵抵御能力力。（3）管管理資產(chǎn)產(chǎn)管理：明確定定義所保保護

27、信息息資產(chǎn)和和用戶存存放信息息資產(chǎn)的的物理資資產(chǎn)在整整個ISSO2770011 體系系建設中中是一個個必須的的前提。只只有明確確所保護護的對象象，才能能開始制制定相關關確實有有效的安安全策略略、管理理流程和和規(guī)章制制度。信信息資產(chǎn)產(chǎn)的定義義一般通通過兩種種方式,第一種種方式是是把企業(yè)業(yè)信息資資產(chǎn)統(tǒng)一一轉(zhuǎn)換為為物理形形式，如如存儲數(shù)數(shù)據(jù)的服服務器，承承載數(shù)據(jù)據(jù)傳輸?shù)牡木W(wǎng)絡，甚甚至員工工也包含含在這個個“資產(chǎn)產(chǎn)”的范范疇中，并并對每項項資產(chǎn)定定義明確確的所有有人或責責任人。另另一種定定義方式式為按照照企業(yè)的的日常業(yè)業(yè)務流轉(zhuǎn)轉(zhuǎn)來定義義信息資資產(chǎn)，通通過梳理理企業(yè)各各部門的的日常業(yè)業(yè)務流程程的分析析，

28、可以以把一類類涉及到到此業(yè)務務的物理理資產(chǎn)（計計算機、人人員、服服務器、紙紙質(zhì)文檔檔等）歸歸為一類類資產(chǎn)。但但無論哪哪種分類類方式都都必須給給信息資資產(chǎn)定 義 一一 系 列 的的 最 終 價價 值 。 一一 般 按 照照 數(shù) 據(jù) 信信 息 的 三三 個 屬 性性 ， 即 保保 密 性（CConffideentiialiity）、完完整性（IInteegriity）、可可用性（AAvaiilabbiliity）這這個三個個指標來來衡量信信息資產(chǎn)產(chǎn)的重要要度，每每個屬性性根據(jù)安安全等級級也有相相應賦值值標準。資資產(chǎn)的最最終價值值可按照照之前所所定義的的賦值標標準進行行加權求求和，根根據(jù)所得得出的結

29、結果區(qū)分分企業(yè)的的一般資資產(chǎn)和重重要資產(chǎn)產(chǎn)。其中中重要資資產(chǎn)無疑疑是要被被企業(yè)管管理層所所重點關關注的，安安全防護護或信息息安全體體系建設設也理應應圍繞企企業(yè)的重重要資產(chǎn)產(chǎn)展開。流程程制度管管理：目目前外部部整個信信息安全全的大環(huán)環(huán)境呈現(xiàn)現(xiàn)日益惡惡化之虞虞，外部部的攻擊擊成本越越來越小小，內(nèi)部部的防御御成本反反而越來來越大。企企業(yè)的任任何一個個員工的的個人疏疏漏或者者管理漏漏洞，都都會給企企業(yè)安全全帶來威威脅，而而企業(yè)安安全防御御水平往往往取決決于最弱弱或者說說是最容容易忽視視的一環(huán)環(huán)（人員員的安全全意識、規(guī)規(guī)范的流流程制度度），而而不是最最強的地地方（部部署對應應的信息息安全設設備，采采取相

30、應應的防御御技術手手段）。因因此規(guī)范范化的流流程和規(guī)規(guī)章制度度建設是是整個 ISOO270001 信息安安全管理理體系的的根本。它它是指通通過對企企業(yè)的核核心業(yè)務務、商業(yè)業(yè)模式、以以及日常常運營的的系統(tǒng)性性梳理，在在企業(yè)內(nèi)內(nèi)部形成成一系列列圍繞信信息安全全的每個個人都必必須遵守守的規(guī)章章制度和和流程。但但是，在在一些特特殊行業(yè)業(yè)（特別別是金融融行業(yè)），其其業(yè)務開開展和日日常運營營很大程程度上要要依賴于于企業(yè)自自身的信信息系統(tǒng)統(tǒng)。因此此，在制制定過程程中除了了考慮日日常的流流程制度度（企業(yè)業(yè)的信息息安全方方針、IIT 終終端設備備使用管管理規(guī)范范、移動動辦公守守則、信信息保密密管理辦辦法等）以以

31、外，還還應該重重點考慮慮其企業(yè)業(yè)的業(yè)務務連續(xù)性性計劃（BBusiinesss CConttinuuityy Pllan），從從流程和和制度層層面保證證和防止止業(yè)務活活動的終終端，以以及使在在進行關關鍵業(yè)務務過程中中免受信信息系統(tǒng)統(tǒng)重大失失誤或災災難的影影響，并并保證他他們的及及時恢復復。另外外，定期期對企業(yè)業(yè)員工信信息安全全意識的的培訓和和內(nèi)部相相關安全全制度的的宣導也也是必不不可少的的，根據(jù)據(jù)國內(nèi)著著名的信信息安全全咨詢機機構谷安安天下的的一項調(diào)調(diào)查研究究表面，現(xiàn)現(xiàn)在企業(yè)業(yè)所面臨臨的 770-880%的的安全威威脅都是是來自于于企業(yè)內(nèi)內(nèi)部員工工的有意意識或者者無意識識的行為為。在走走訪一些些

32、責任人人時，絕絕大多數(shù)數(shù)人并不不沒有意意識到自自己已經(jīng)經(jīng)違反了了企業(yè)內(nèi)內(nèi)的相應應信息安安全制度度，甚至至已經(jīng)觸觸犯到了了法律。因因此，制制度和流流程的建建立不能能簡單的的停留在在“紙”上上，企業(yè)業(yè)需要不不斷根據(jù)據(jù)外部和和內(nèi)部環(huán)環(huán)境定期期修訂相相應的信信息安全全制度，并并把這些些制度和和流程清清晰的傳傳達到每每位員工工，甚至至可以考考慮將企企業(yè)員工工信息安安全意識識納入到到企業(yè)文文化中。2.22 PDDCA 簡介由于信信息安全全管理體體系是在在不斷發(fā)發(fā)展變化化中逐步步完善的的，因此此需要一一套制度度和標準準來使信信息安全全管理體體系自身身變的可可學習化化，通過過不斷的的完善自自身來達達到企業(yè)業(yè)對

33、于信信息安全全管理的的要求。119500 年 W. Edwwardds DDemiing 提出 PDCCA 流流程，即即計劃（PPlann）執(zhí)執(zhí)行（DDo）檢查（CChecck）改進（AAct）過過程，意意在說明明流程和和控制應應當是不不斷改進進的，該該方法使使得管理理者可以以識別出出那些需需要修正正的環(huán)節(jié)節(jié)并進行行修正。這這個流程程以及流流程的改改進，都都必須遵遵循這樣樣一個過過程：先先計劃，再再執(zhí)行，而而后對其其運行結結果進行行評估，緊緊接著按按照計劃劃的具體體要求對對該評估估進行復復查，而而后尋找找到任何何與計劃劃不符的的結果偏偏差，通通過不斷斷地 PPDCAA，使組組織的信信息安全全水

34、平以以一個螺螺旋型的的方式上上升的，最最終達到到我們的的既定目目標。【44】國內(nèi)專專家楊輝輝在 220066 年中中國公共共安全(學術版版)中中發(fā)表的的運用用 PDDCA 循環(huán)法法完善信信息安全全管理體體系文文章中對對 PDDCA 的各個個階段有有了更加加細化的的定義，他他指出在在P(計計劃)階階段應該該建立信信息安全全管理體體系換進進和對風風險進行行評估，其其主要工工作包括括確定建建設和管管理的范范圍和大大致的信信息安全全管理方方針、定定義風險險評估的的系統(tǒng)性性方法論論、識別別可預見見的各類類系統(tǒng)性性和非系系統(tǒng)性的的風險，對對所預見見的風險險進行評評估以及及確立評評價風險險的處理理方法，以以

35、及為風風險的處處理選擇擇控制目目標與控控制的方方式，并并將這些些工作成成果匯報報給最高高管理層層并取授授權批準準。在 D 階階段主要要強調(diào)的的是在實實施和運運行信息息安全管管理體系系，這個個階段的的任務是是以適當當?shù)膬?yōu)先先權進行行管理運運作，對對于那些些被評估估認為是是可接受受的風險險，不需需要采取取進一步步的措施施。對于于不可接接受風險險，需要要實施所所選擇的的控制。本本階段還還需要分分配適當當?shù)馁Y源源（人員員、時間間和資金金）運行行信息安安全管理理體系以以及所有有的安全全控制。這這包括將將所有已已實施控控制的文文件化，以以及信息息安全管管理體系系文件的的積極維維護。提提高信息息安全意意識的

36、目目的就是是產(chǎn)生適適當?shù)娘L風險和安安全文化化，保證證意識和和控制活活動的同同步，還還必須安安排針對對信息安安全意識識的培訓訓，并檢檢查意識識培訓的的效果，以以確保其其持續(xù)有有效和實實時性。如如有必要要應對相相關方事事實有針針對性的的安全培培訓，以以支持組組織的意意識程序序，保證證所有相相關方能能按照要要求完成成安全任任務。此此外，還還應該實實施并保保持策劃劃了的探探測和響響應機制制。C（檢檢查）階階段又稱稱為學習習階段，其其目的是是監(jiān)視并并評審信信息安全全管理體體系，是是 P D CC A 循環(huán)的的關鍵階階段，即即信息安安全管理理體系要要分析運運行效果果改進機機會的階階段。它是是由一系系列管理

37、理過程所所組成，如如執(zhí)行程程序和其其他控制制以快速速檢測處處理結果果中的錯錯誤；快快速識別別安全體體系中失失敗的和和成功的的破壞；能使管管理者確確認人工工或自動動執(zhí)行的的安全活活動達到到預期的的結果；按照商商業(yè)優(yōu)先先權確定定解決安安全破壞壞所要采采取的措措施；接接受其他他組織和和組織自自身的安安全經(jīng)驗驗；常規(guī)規(guī)評審信信息安全全管理體體系的有有效性；收集安安全審核核的結果果、事故故、以及及來自所所有股東東和其他他相關方方的建議議和反饋饋，定期期對信息息安全管管理體系系有效性性進行評評審。評評審剩余余風險和和可以接接受風險險的等級級；注意意組織、技技術、商商業(yè)目標標和過程程的內(nèi)部部變化，以以及已識

38、識別的威威脅和社社會風尚尚的外部部變化，定定期評審審剩余風風險和可可以接受受風險等等級的合合理性。審核核執(zhí)行管管理程序序、以確確定規(guī)定定的安全全程序是是否適當當、是否否符合標標準、以以及是否否按照預預期的目目的進行行工作。為為確保范范圍保持持充分性性，以及及信息安安全管理理體系過過程的持持續(xù)改進進得到識識別和實實施，組組織應定定期對信信息安全全管理體體系進行行正式的的評審。最最后記錄錄并報告告能影響響信息安安全管理理體系有有效性或或業(yè)績的的所有活活動、事事件。經(jīng)經(jīng)過了策策劃、實實施、檢檢查之后后，組織織在 AA 階段段必須對對所策劃劃的方案案給以結結論，是是應該繼繼續(xù)執(zhí)行行，還是是應該放放棄重

39、新新進行新新的策劃劃？當然然該循環(huán)環(huán)給管理理體系帶帶來明顯顯的業(yè)績績提升，組組織可以以考慮是是否將成成果擴大大到其他他的部門門或領域域，從而而開始了了新一輪輪的 PPDCAA 循環(huán)環(huán)?！?】22.3 信息系系統(tǒng)審計計簡介隨著信信息技術術在企業(yè)業(yè)業(yè)務領領域和日日常運營營中廣泛泛的應用用，給企企業(yè)帶來來效率和和高收益益的。但但同時也也產(chǎn)生了了利用信信息系統(tǒng)統(tǒng)進行信信息泄露露、舞弊弊、隱瞞瞞甚至欺欺詐的事事件發(fā)生生。早在上上個世紀紀中期，美美國已經(jīng)經(jīng)在研究究關于信信息安全全審計領領域的相相關課題題，19967 年國際際信息系系統(tǒng)審計計協(xié)會（IISACCA）正正式在美美國成立立，國際際信息系系統(tǒng)審計計

40、協(xié)會（IISACCA）明明確定義義信息系系統(tǒng)審計計主要內(nèi)內(nèi)容：（1）信信息系統(tǒng)統(tǒng)審計程程序。依依據(jù)信息息系統(tǒng)審審計標準準、準則則和最佳佳實務等等提供信信息系統(tǒng)統(tǒng)審計服服務，以以幫助組組織確保保其信息息技術和和運營系系統(tǒng)得到到保護并并受控；（2）信信息技術術治理。確確保組織織擁有適適當?shù)慕Y結構、政政策、工工作職責責、運營營管理機機制和監(jiān)監(jiān)督實務務，以達達到公司司治理中中對信息息系統(tǒng)方方面的要要求；（33）系統(tǒng)統(tǒng)和基礎礎建設生生命周期期管理。系系統(tǒng)的開開發(fā)、采采購、測測試、實實施（交交付）、維維護和（配配置）使使用，與與基礎框框架，確確保實現(xiàn)現(xiàn)組織的的目標；（4）IIT 服服務的交交付與支支持。I

41、IT 服服務管理理實務可可確保提提供所要要求的等等級、類類別的服服務，來來滿足組組織的目目標；（55）信息息資產(chǎn)的的保護。通通過適當當?shù)陌踩w系（如如，安全全政策、標標準和控控制），保保證信息息資產(chǎn)的的機密性性、完整整性和有有效性；（6）災災難恢復復和業(yè)務務連續(xù)性性計劃。一一旦連續(xù)續(xù)的業(yè)務務被（意意外）中中斷（或或破環(huán)），災災難恢復復計劃確確保（災災難）對對業(yè)務影影響最小小化的同同時，及及時恢復復（中斷斷的）IIT 服服務。為了及及時動態(tài)態(tài)跟蹤企企業(yè)信息息系統(tǒng)的的穩(wěn)定性性和安全全性，信信息系統(tǒng)統(tǒng)審計在在企業(yè)的的日常運運營工作作中必不不可少，對對于企業(yè)業(yè)來說甚甚至其重重要性已已經(jīng)和傳傳統(tǒng)的財財

42、務審計計相當。相相比傳統(tǒng)統(tǒng)的財務務審計，兩兩者既有有一定聯(lián)聯(lián)系又有有一定差差別。兩兩者的聯(lián)聯(lián)系是：信息系系統(tǒng)審計計繼承了了傳統(tǒng)審審計的基基本理論論與方法法，與傳傳統(tǒng)的審審計一樣樣。在立立場上，要要求信息息系統(tǒng)審審計師站站在獨立立的立場場上，通通過選擇擇特定的的審計對對象，采采用詢問問、檢查查、分析析、模擬擬、測試試等方法法獲得客客觀的審審計證據(jù)據(jù)，來判判斷其與與既定標標準的符符合程度度。在程程序上，信信息系統(tǒng)統(tǒng)審計一一般也要要經(jīng)過審審計計劃劃、符合合性測試試與實質(zhì)質(zhì)性測試試、審計計報告等等主要階階段來進進行審計計工作，實實現(xiàn)審計計目標；兩者的的區(qū)別也也比較明明顯，主主要表現(xiàn)現(xiàn)在：首首先，信信息

43、系統(tǒng)統(tǒng)的審計計對象不不同于傳傳統(tǒng)審計計的財務務領域，而而是信息息系統(tǒng)，包包括基礎礎設施，軟軟硬件管管理，信信息安全全，網(wǎng)絡絡管理合合通信等等；其次次，信息息系統(tǒng)審審計提出出了更多多的審計計法與審審計程序序，這都都是傳統(tǒng)統(tǒng)審計所所不具備備的，比比如對某某軟件進進行審計計時，要要采用技技術含量量相當高高的測試試，對網(wǎng)網(wǎng)絡安全全審計時時要采用用穿透性性測試（模模擬成黑黑客進行行各種攻攻擊以驗驗證其安安全性）；第三，信信息系統(tǒng)統(tǒng)審計不不僅是事事后審計計，主要要關注系系統(tǒng)的運運行現(xiàn)狀狀，在某某種情況況下，直直接參與與項目的的開發(fā)或或變更過過程，以以保證足足夠的控控制得以以順利實實施；最最后，信信息系統(tǒng)統(tǒng)

44、審計的的咨詢價價值顯得得更高，信信息化的的風險很很高，信信息系統(tǒng)統(tǒng)審計師師可憑借借其專門門知識和和實踐經(jīng)經(jīng)驗，受受托或主主動服務務于被審審計單位位的管理理者或其其業(yè)務人人員，在在企業(yè)信信息化過過程中，幫幫助企業(yè)業(yè)建立健健全內(nèi)部部控制制制度，進進行系統(tǒng)統(tǒng)診斷，根根據(jù)企業(yè)業(yè)需求，確確定信息息化的目目標和內(nèi)內(nèi)容，選選擇合適適的信息息系統(tǒng)。第3章 博博士公司司問題現(xiàn)現(xiàn)狀目前，第第三方理理財行業(yè)業(yè)在國內(nèi)內(nèi)正處于于發(fā)展萌萌芽階段段，其本本身目前前沒有明明確的監(jiān)監(jiān)管機構構來規(guī)范范和約束束對企業(yè)業(yè)的內(nèi)部部控制管管理。由由于業(yè)務務性質(zhì)，第第三方理理財企業(yè)業(yè)中收集集并保存存了大量量的高凈凈值客戶戶的敏感感信息，如

45、如姓名、電電話號碼碼、住址址甚至是是家庭存存款和理理財規(guī)模模。這些些信息的的泄露輕輕則可能能會被競競爭對手手利用來來騷擾和和推銷產(chǎn)產(chǎn)品給博博士公司司客戶，重重則這些些信息如如果落入入了別有有用心的的人或犯犯罪分子子手中，可可能會用用來在客客戶面前前詆毀博博士公司司甚至是是造成綁綁架、勒勒索、恐恐嚇客戶戶的惡意意刑事案案件。因因此對于于博士公公司而言言保護客客戶的隱隱私和敏敏感的客客戶信息息顯得尤尤為重要要。3.11 博士士公司簡簡介3.11.1 公司歷歷史博士公公司于 20005 年年成立于于上海，其其前身是是某知名名證券服服務公司司私人銀銀行部門門，由于于原公司司業(yè)務結結構化調(diào)調(diào)整而導導致私

46、人人銀行部部被迫從從主要業(yè)業(yè)務體系系中剝離離，后獨獨立出來來成立如如今的博博士公司司。短短短三年時時間，博博士公司司由最初初的僅有有 1 家分公公司 9930 名客戶戶發(fā)展為為擁有 16 家分公公司 1100000 名名高凈值值客戶以以及 2200 名專業(yè)業(yè)的理財財服務顧顧問。博博士公司司 20010 年 111 月月登陸美美國紐約約交易所所順利進進行了 IPOO，成為為在美上上市的首首家（目目前為止止也是唯唯一一家家）國內(nèi)內(nèi)第三方方理財機機構。上上市后的的博士公公司，憑憑借著“成成熟的品品牌”、“客客觀的產(chǎn)產(chǎn)品篩選選體系”、“個個性化的的客戶服服務”、“全全國網(wǎng)絡絡和優(yōu)秀秀的理財財師隊伍伍”

47、、“卓卓越的客客戶管理理系統(tǒng)”為為其核心心價值。迅迅速成為為國內(nèi)第第三方理理財行業(yè)業(yè)的絕對對卻權威威。目前前博士公公司在坐坐擁數(shù)萬萬名高凈凈值客戶戶的基礎礎上，博博士公司司開始強強勢介入入產(chǎn)品設設計，包包括自身身成立投投資銀行行部門自自行尋找找項目和和標的物物、成立立以資產(chǎn)產(chǎn)管理為為導向以以及利用用小信托托公司為為“過道道”等一一系列措措施，介介入整個個業(yè)務價價值鏈的的上下游游，不斷斷提升自自身的核核心價值值。【11】 博博士公司司自成立立至今，總總共抓住住了三次次重大的的機會，從從而奠定定了在國國內(nèi)第三三方理財財行業(yè)中中的龍頭頭老大地地位，現(xiàn)現(xiàn)有的規(guī)規(guī)模和實實力積累累也將為為將來的的創(chuàng)新業(yè)業(yè)

48、務發(fā)展展打下建建設的基基礎。博博士公司司長期專專注于為為國內(nèi)高高凈值客客戶提供供財富管管理和理理財業(yè)務務，重視視客戶體體驗和金金融產(chǎn)品品風險控控制，這這是成為為行業(yè)領領先者和和有別與與其他理理財公司司的重要要原因。220077 年通通過引入入紅杉（中中國）投投資以及及其他風風險投資資，迅速速將原先先的商業(yè)業(yè)模式由由上海復復制到全全國，依依托風險險投資機機構強大大的財務務能力，通通過規(guī)模模效應，博博士公司司在當年年末（220077 年末末），其其收入相相較年初初增長了了 3000%。正正是由于于看好博博士公司司未來的的發(fā)展，紅紅杉（中中國）和和其他投投資人決決定，把把博士公公司帶向向另一個個高度

49、-赴美上上市。220100年 111 月月，在博博士公司司和其他他戰(zhàn)略投投資人的的共同努努力下，成成功在美美國證券券交易所所主板上上市，是是中國內(nèi)內(nèi)地首家家上市的的獨立財財富管理理機構（也也是迄今今為止唯唯一一家家）。其其先后多多次被福福布斯、德德勤、清清科集團團等權威威評估機機構評為為中國最最具發(fā)展展?jié)摿?50 強以及及最具有有投資價價值 550 強強企業(yè)。經(jīng)經(jīng)過多年年的發(fā)展展，博士士公司現(xiàn)現(xiàn)在有一一個能力力優(yōu)秀、經(jīng)經(jīng)驗豐富富的管理理團隊，以以及一支支批在財財富管理理領域內(nèi)內(nèi)為客戶戶服務多多年的理理財師隊隊伍。為為博士公公司未來來的發(fā)展展打下了了堅實的的基礎。3.11.2 博士公公司經(jīng)營營狀

50、況博士公公司從 20110 年年上市以以來，其其營業(yè)收收入持續(xù)續(xù)攀升，220111 年全全年的凈凈收益相相較20010 年上市市初有超超過 990%的的增長，凈凈利潤更更是同比比超過了了 1000%。如如圖 33.1 所示：【2】除除了專注注于主業(yè)業(yè)（為國國內(nèi)高凈凈值客戶戶提供財財富管理理和理財財服務）之之外，220122 年開開始，博博士公司司積極拓拓展產(chǎn)業(yè)業(yè)鏈的上上下游，分分別成立立了多個個全資子子公司，業(yè)業(yè)務覆蓋蓋金融保保險、小小額信用用貸款、二二級市場場融資、TTOP550 地地產(chǎn)母基基金等領領域。博博士公司司管理層層通過多多元化的的業(yè)務發(fā)發(fā)展使博博士公司司從單一一的財富富管理機機構向

51、著著多元化化業(yè)務的的金融集集團邁進進。3.11.3 公司組組織構架架博士公公司現(xiàn)有有員工約約 15500 人，現(xiàn)現(xiàn)有的組組織結構構除了按按照美國國證監(jiān)會會要求的的上市公公司治理理體系以以外，在在日常的的運營過過程中主主要區(qū)分分業(yè)務部部門（前前臺）和和運營管管理部門門（后臺臺）。組組織結構構示意圖圖見圖 3.22：【33】如如圖 33.2 所示，博博士公司司的組織織結構還還是偏向向于傳統(tǒng)統(tǒng)的職能能型結構構，其中中區(qū)域、產(chǎn)產(chǎn)品中心心、業(yè)務務資源中中心、客客戶經(jīng)營營中心屬屬于前臺臺部門，主主要負責責公司業(yè)業(yè)務上的的相關事事宜，目目前博士士公司前前臺部門門約有 9000 名左左右的員員工，制制約比 6

52、0%。其余余職能部部門都隸隸屬于后后臺部門門，主要要負責公公司的日日常運作作和管理理，目前前全國約約有 6600 名左右右的員工工，占約約比 440%，此此次診斷斷的主要要訪談對對象大都都為博士士的后臺臺部門員員工。3.22 博士士公司企企業(yè)信息息安全診診斷工作作過程描描述博博士公司司作為國國內(nèi)領先先的第三三方理財財機構，自自 20003 年成立立以來一一直高速速發(fā)展，并并在 220100 年 11 月成功功在美國國紐約交交易所上上市，迄迄今為止止是國內(nèi)內(nèi)唯一在在海外上上市的第第三方理理財機構構。由于于受到海海外投資資人的高高度關注注和青睞睞，近年年來博士士公司業(yè)業(yè)務擴張張過于快快速，以以至于

53、帶帶來了很很多管理理問題，其其中信息息安全問問題更是是成為嚴嚴重阻礙礙公司發(fā)發(fā)展的最最大問題題之一，受受到了管管理層的的高度關關注，管管理層亦亦希望通通過一次次科學的的全面診診斷來揭揭示存在在和潛在在的信息息安全風風險，本本次基于于 ISSO2770011 的企企業(yè)信息息安全診診斷也由由此而產(chǎn)產(chǎn)生，下下面對本本次的診診斷過程程做簡要要的回顧顧。（1）初初期對博博士公司司的內(nèi)外外部資料料進行了了收集，主主要包括括：了解解支持業(yè)業(yè)務運作作的信息息系統(tǒng)情情況。數(shù)據(jù)從從產(chǎn)生、錄錄入、交交互、存存儲以及及回收的的過程排排摸。掌握握按照業(yè)業(yè)務價值值劃分數(shù)數(shù)據(jù)（信信息）的的安全等等級和受受眾范圍圍。了解解是

54、否存存在體外外（非常常規(guī)）的的業(yè)務流流程。（2）之之后進行行了大規(guī)規(guī)模的訪訪談，涉涉及到公公司的各各個職能能部門的的絕大多多數(shù)高層層（各中中心負責責人以上上級別）以以及部分分中層（部部門經(jīng)理理和主管管）和員員工。訪訪談人數(shù)數(shù)統(tǒng)計見見表2（外外部訪談談未計入入）。【44】（33）根據(jù)據(jù)對公司司業(yè)務流流程的梳梳理情況況以及 ISOO270001 信息安安全體系系構架的的實踐經(jīng)經(jīng)驗，進進行了文文件涉及及和實地地訪談。根根據(jù) IISO2270001 的的各項風風險控制制領域，對對于五類類不同的的部門和和訪談對對象，分分別設計計了五種種調(diào)查問問卷。調(diào)調(diào)查文件件統(tǒng)計情情況見表表 3：【5】（44）對于于回

55、收的的問卷數(shù)數(shù)據(jù)進行行數(shù)據(jù)錄錄入，同同類問卷卷根據(jù)不不同層級級進行比比較。（5）在在上述基基礎上，補補充了外外部訪談談和外部部資料搜搜集工作作。（6）對對于診斷斷情況和和輸出的的診斷結結果進行行綜合的的匯總。3.33 博士士公司信信息安全全的若干干問題經(jīng)過實實地走訪訪各關鍵鍵崗位的的負責人人和員工工以及對對回收的的調(diào)查問問卷進行行整理分分析（問問卷中每每一題根根據(jù)輕重重原則分分為 11-5 分，分分析的結結果采用用加權平平均的方方式統(tǒng)計計），根根據(jù) IISO2270001 安安全體系系模型所所得出的的信息安安全風險險雷達圖圖見（圖圖 3.3）?！?6】目目前博士士公司在在信息安安全建設設方面主

56、主要存在在著 99 個比比較嚴重重的問題題，他們們分別為為是企業(yè)業(yè)整體缺缺乏體系系化的安安全管理理機制、信信息安全全人力資資源匱乏乏，信息息安全組組織架構構不夠完完善、尚尚未建立立信息資資產(chǎn)清單單、員工工安全意意識薄弱弱、未將將信息安安全有效效融入第第三方外外包服務務管理、系系統(tǒng)開發(fā)發(fā)和運維維人員職職責不明明確、尚尚未對信信息安全全實施內(nèi)內(nèi)部審計計、訪問問控制機機制尚不不健全、業(yè)業(yè)務連續(xù)續(xù)性方面面建設比比較初級級。在本本節(jié)中將將對這 9 個個問題做做詳細闡闡述。3.33.1 企企業(yè)整體體缺乏體體系化的的安全管管理機制制在與博博士公司司的管理理層訪談談中了解解到，管管理層沒沒有把信信息安全全列入

57、企企業(yè)整體體戰(zhàn)略考考慮，沒沒有意識識到信息息安全對對博士公公司這樣樣的第三三方理財財機構的的重要性性，普遍遍認為信信息安全全是 IIT 部部門所應應該考慮慮的，和和主營業(yè)業(yè)務和業(yè)業(yè)績沒有有多大關關系。但但由于 IT 部門在在企業(yè)中中的影響響力有限限，實際際上管理理層對信信息安全全工作提提供一個個明確的的指導方方向，除除了現(xiàn)有有的 IIT 部部門，博博士公司司也沒有有在公司司層面上上明確各各部門相相關負責責人員的的職責以以及投入入必要的的人力和和物力資資源。而而在日常常的實際際工作中中，管理理層對信信息安全全的期望望和目標標比較抽抽象，沒沒有明確確的達成成標準。同同時也缺缺乏一套套方法論論來識別

58、別和確認認信息安安全建設設效果。目目前在信信息安全全方面博博士公司司從整體體方針策策略、組組織結構構、規(guī)章章制度、管管理過程程以及投投入資源源方面缺缺少一套套有效的的管理框框架和指指引來規(guī)規(guī)范和實實施 。因因此，引引入一套套科學完完善的信信息安全全管理體體系是博博士公司司目前需需要緊迫迫解決的的問題。3.33.2 信息安安全人力力資源匱匱乏，信信息安全全組織架架構不夠夠完善在與博博士公司司 COOO 的的訪談中中了解到到，目前前博士公公司全職職負責信信息安全全工作的的人員只只有一名名，其隸隸屬于信信息技術術中心負負責人（CCIO）領領導，職職位名稱稱為信息息安全專專員，其其主要工工作為使使用和

59、維維護系統(tǒng)統(tǒng)中的各各類信息息安全設設備，并并沒有實實質(zhì)上主主持或執(zhí)執(zhí)行信息息公司安安全管理理和體系系建設工工作。由由于，博博士公司司由于沒沒有設立立信息安安全委員員會，也也沒有設設立專門門的首席席信息官官（CIISO），導導致至今今都沒有有出臺如如公司信信息安全全方針和和一系列列支撐信信息安全全方針的的流程文文檔以及及規(guī)章制制度。信信息安全全專員由由于職級級較低，無無法參與與到公司司層面規(guī)規(guī)章制度度的制定定，同時時無法直直接將第第一線的的信息安安全狀況況和現(xiàn)狀狀傳達到到公司管管理層。另另外，各各個業(yè)務務部門中中亦沒有有專人負負責對接接信息安安全相關關工作，即即便頒布布上述的的方針政政策以及及一

60、系列列配套的的流程制制度，信信息安全全實施和和建設依依舊無法法落實到到具體的的業(yè)務部部門。因因此，博博士公司司在信息息安全方方面的人人力和物物力投入入不足以以支撐整整個公司司對信息息安全工工作的期期望。同同時，在在信息安安全組織織構架中中也存在在諸多問問題。3.33.3 尚未建建立信息息資產(chǎn)清清單明確什什么是對對企業(yè)最最重要的的信息資資產(chǎn)是企企業(yè)信息息安全建建設的前前提，在在整個訪訪談中，博博士公司司的信息息技術中中心負責責人給提提供了一一份信息息資產(chǎn)清清單，其其內(nèi)容主主要是信信息技術術部所管管轄的固固定資產(chǎn)產(chǎn)，包括括服務器器、路由由器、交交換機、防防火墻等等。但并并為對一一些如數(shù)數(shù)據(jù)庫帳帳號