工商管理畢業(yè)論文大學工商管理畢業(yè)論文范文

1、大學工商管理畢業(yè)論文范文管理好與外包商之間的關(guān)系，意味著企業(yè)應致力于和外包商建立長期合作關(guān)系，這將有助于安全服務的外包商更多地了解企業(yè)文化，從而提供更好的服務。以下是為您搜集整理提供到的大學工商管理畢業(yè)論文內(nèi)容，希望對您有所幫助！歡迎閱讀參考學習！大學工商管理畢業(yè)論文范文信息安全外包的風險論文關(guān)鍵詞 : 信息安全外包 風險 管理論文摘要 : 文章首先分析了信息安全外包存在的風險，根據(jù)風險提出信息安全外包的管理框架，并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制，并獲得與外包商合作的最大收益。1 信息安全外包的風險1.1 信任風險企業(yè)是否能與信息

2、安全服務的外包商建立良好的工作和信任關(guān)系，仍是決定時候?qū)踩胀獍囊粋€重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對外包商提供一些關(guān)鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導致某些環(huán)節(jié)的失效，這也會對服務質(zhì)量造成影響。因此，信任是雙方合作的基礎，也是很大程度上風險規(guī)避的重點內(nèi)容。1.2 依賴風險企業(yè)很容易對某個信息安全服務的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當?shù)娘L險緩釋方法是將安全服務外包給多個

3、服務外包商，但相應地會加大支出并造成管理上的困難，企業(yè)將失去三種靈活性 : 第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應變能力; 第二種是適應能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù) ; 第三種靈活性就是進化性，其本質(zhì)是中期到長期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設施以利用新技術(shù)的時期。進化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準確預測和確保雙方建立最佳聯(lián)盟的能力。1.3 所有權(quán)風險不管外包商提供服務的范圍如何，企業(yè)都對基礎設施的安全操作和關(guān)鍵資產(chǎn)的保護持有所有權(quán)和責任。企業(yè)必須確定服務外包

4、商有足夠的能力承擔職責，并且其服務級別協(xié)議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到，應該將信息安全作為其首要責任，并進行安全培訓課程，增強常規(guī)企業(yè)的安全意識。1.4 共享環(huán)境風臉信息安全服務的外包商使用的向多個企業(yè)提供服務的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸( 如公共網(wǎng)絡 ) 或處理( 如通用服務器 ) ，這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風險。1.5 實施過程風險啟動一個可管理的安全服務關(guān)系可能引起企業(yè)到服務外包商，或者一個服務外包商到另一個外包商之間

5、的人員、過程、硬件、軟件或其他資產(chǎn)的復雜過渡，這一切都可能引起新的風險。企業(yè)應該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。1.6 合作關(guān)系失敗將導致的風險如果企業(yè)和服務商的合作關(guān)系失敗，企業(yè)將面臨極大的風險。合作關(guān)系失敗帶來的經(jīng)濟損失、時間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時還需要合作關(guān)系雙方進行頻繁的溝通。2 信息安全外包的管理框架要進行成功的信息安全

6、外包活動，就要建立起一個完善的管理框架，這對于企業(yè)實施和管理外包活動，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標準，然后是對企業(yè)遭受的風險進行系統(tǒng)的評估 . 并根據(jù)方針和風險程度 . 決定風險管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時加強管理與外包商的關(guān)系。3 信息安全外包風險管理的實施3.1 制定信息安全方針信息安全方針在很多時候又稱為信息安全策

7、略，信息安全方針指的是在一個企業(yè)內(nèi)，指導如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括 :(1) 信息安全的定義，定義的內(nèi)容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性 ;(2) 管理層的目的的相關(guān)闡述 ;(3) 信息安全的原則和標準的簡要說明，以及遵守這些原則和標準對企業(yè)的重要性;(4) 信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責任細節(jié)將留至服務標準的部分來闡明。3.2 選擇信息安全管理的標準信息安全管理體系標準BS7799與信息安全管

8、理標準IS013335 是目前通用的信息安全管理的標準:(1)BS7799:BS7799 標準是由英國標準協(xié)會指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分 :BS7799-1;1999 信息安全管理實施細則 ;BS7799-2:1999( 信息安全管理體系規(guī)范。(2)IS013335:IS013335IT 安全管理方針主要是給出如何有效地實施 IT 安全管理的建議和指南。該標準目前分為 5 個部分，分別是信息技術(shù)安全的概念和模型部分 ; 信息技術(shù)安全的管理和計劃部分 ; 信息技術(shù)安全的技術(shù)管理部分 ; 防護和選擇部分以及外部連接的防護部分。3.3 確定信

9、息安全外包的流程企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面 :(1) 需要保護的信息系統(tǒng)、資產(chǎn)、技術(shù);(2) 實物場所 ( 地理位置、部門等 ) 。信息安全的外包商應該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風險。企業(yè)可以定期的選擇對服務外包商的站點和服務進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業(yè)獨立評估

10、方評估權(quán)限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進一步消息和細節(jié)，以減少任何對可用性，服務程度，客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和 / 或開發(fā)計劃程序以應對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務績效進行考核。評估結(jié)束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應的文件中，以便今后雙方在服務和信息安全管理上進行改進。3.4 制定信息安全外包服務的控制規(guī)則依照信息安全外包服務的控制規(guī)則，主要分為三部分

11、內(nèi)容 : 第一部分定義了服務規(guī)則的框架，主要闡明信息安全服務要如何執(zhí)行，執(zhí)行的通用標準和量度，服務外包商以及各方的任務和職責 ; 第二部分是信息安全服務的相關(guān)要求，這個部分具體分為高層服務需求 ; 服務可用性 ; 服務體系結(jié)構(gòu) ; 服務硬件和服務軟件 ; 服務度量 ; 服務級別 ; 報告要求，服務范圍等方面的內(nèi)容 ; 第三部分是安全要求，包括安全策略、程序和規(guī)章制度 ; 連續(xù)計劃 ; 可操作性和災難恢復 ; 物理安全 ; 數(shù)據(jù)控制 ; 鑒定和認證 ; 訪問控制 ; 軟件完整性; 安全資產(chǎn)配置 ; 備份 ; 監(jiān)控和審計 ; 事故管理等內(nèi)容。3.5 信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:(

12、1) 首席安全官 :CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進行工作匯報，主要包括 : 首席執(zhí)行官、首席運營官、首席財務官、主要管理部門的領(lǐng)導、首席法律顧問。 CSO需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況，并確定安全工作的標準和主動性，包括信息技術(shù)、人力資源、通信、法律、設備管理等部門。(2) 安全小組 : 安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部 IT 人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業(yè)簽訂的服務控制規(guī)則來進行信息安全的技術(shù)性服務。(3) 管理委員會 : 這是信息安全服務外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包

13、括雙方的首席執(zhí)行官，客戶企業(yè)的 CIO 和 CSO，外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務水平、企業(yè)的適應性、評估結(jié)果、關(guān)系變化等內(nèi)容。(4) 咨詢委員會 : 咨詢委員會的會議主要解決計劃性問題。如服務水平的變更，新的技術(shù)手段的應用，服務優(yōu)先等級的更換以及服務的財政問題等，咨詢委員會的成員包括企業(yè)內(nèi)部的 TI 人員和安全專員，還有財務部門、人力資源部門、業(yè)務部門的相關(guān)人員，以及外包商的具體項目的負責人。(6) 安全工作組 : 安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務外包商和企業(yè)雙方。工作組與服務交換中心密切

14、聯(lián)系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。(7) 服務交換中心 : 服務交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個業(yè)務部門中與信息安全相關(guān)的人員。他們負責聯(lián)絡各個業(yè)務部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。(8) 指令問題管理小組 : 這個小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個業(yè)務部門的負責人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后，或者，是當 CSO發(fā)布了關(guān)于信息安全的企業(yè)改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經(jīng)過學習討論后，繼而將其發(fā)布到各個業(yè)務部門。(9) 監(jiān)督委員會 : 這個委員會全部由企業(yè)內(nèi)部人員組成。負責對外包商的服務過程的監(jiān)督。3.6 管理與外包商的關(guān)系管理好與外包商之間的關(guān)系，意味著企業(yè)應致力于和外包商建立長期合作關(guān)系，這將有助于安全服務的外包商更多地了解企業(yè)文化，從而提供更好的服務。在管理與外包商關(guān)系