閱讀 :596

　　從人類社會誕生開始，信息的傳遞始終是彼此相互交流的一個重要的途徑，下面是小編搜集整理的一篇探究博士公司信息安全管理體系的論文范文，歡迎閱讀查看。

　　摘要：信息安全這個概念本身包括的范圍非常廣泛。從國家的軍事、政治、經(jīng)濟(jì)政策等機(jī)密安全，到防范青少年對不良信息的瀏覽以及個人信息的泄露等都屬于信息安全的范疇。如今，在這個信息傳播高度發(fā)達(dá)的時代，對于一個企業(yè)來說，信息，尤其是敏感信息很大程度上決定了企業(yè)的興衰甚至是生死存亡，它已經(jīng)悄然地變?yōu)榱艘豁椘髽I(yè)資產(chǎn)。它和其它資產(chǎn)一樣重要，對企業(yè)具有重要的價值，因此理應(yīng)需要受到重視和保護(hù)。

　　本文首先對信息安全的基本概念、國際上公認(rèn)最佳信息安全管理ISO27001模型體系進(jìn)行了綜合描述。然后以博士公司①這家國內(nèi)領(lǐng)先的第三方理財機(jī)構(gòu)為例，通過與各業(yè)務(wù)職能部門的訪談，并結(jié)合ISO27001模型體系要求設(shè)計調(diào)查問卷以及評估工具來診斷博士公司目前所暴露出來的信息安全問題。另外，根據(jù)原因診斷結(jié)果并結(jié)合博士公司自身業(yè)務(wù)發(fā)展需求，制定了一系列的解決方案。

　　最后，本文希望通過國際上通用的ISO27001安全管理體系在博士公司的實(shí)踐，著重分析博士公司在信息安全管理上所存在的諸多問題。通過系統(tǒng)的診斷分析，找出若干風(fēng)險控制節(jié)點(diǎn)，并結(jié)合組織的自身情況，針對每個風(fēng)險控制節(jié)點(diǎn)一一擬定了解決方案。本研究不但能夠豐富信息安全管理的相關(guān)理論，而且研究成果也可以為同行業(yè)提高信息安全水平提供借鑒。

　　關(guān)鍵詞:信息安全;信息安全診斷;ISO27001模型;信息安全治理;PDCA

　　第1章緒論

　　從人類社會誕生開始，信息的傳遞始終是彼此相互交流的一個重要的途徑。先前，由于信息技術(shù)欠發(fā)達(dá)，人們主要依靠口述、書寫、電話等的方式來進(jìn)行彼此之間的交流，但進(jìn)入21世紀(jì)后，隨著信息技術(shù)的高速發(fā)展，微博、微信、辦公軟件、社交平臺等一大批先進(jìn)的電子化工具走進(jìn)了人們的日常工作和生活，這些工具給我們帶來了便利的同時，其背后所隱藏的信息安全問題也不容忽視。據(jù)IBM統(tǒng)計，全球每天約有130億個信息安全事件發(fā)生，更有統(tǒng)計表明，世界上每過一分鐘就有2家企業(yè)因?yàn)樾畔踩珕栴}而倒閉，目前信息安全問題成為社會各層和各類型的組織所關(guān)注的焦點(diǎn)。各國也為之出臺了一系列信息保護(hù)的法律法規(guī)。

　　1.1信息安全概述

　　信息安全這個概念本身包括的范圍非常廣泛。從國家的軍事、政治、經(jīng)濟(jì)政策等機(jī)密安全，到防范青少年對不良信息的瀏覽以及個人信息的泄露等都屬于信息安全的范疇。如今，在這個信息傳播高度發(fā)達(dá)的時代，對于一個企業(yè)來說，信息尤其是敏感信息很大程度上決定了企業(yè)的興衰甚至是生死存亡，它已經(jīng)悄然地變?yōu)榱艘豁椘髽I(yè)資產(chǎn)。它和其它資產(chǎn)一樣重要，對企業(yè)具有重要的價值，因此理應(yīng)需要受到適當(dāng)?shù)谋Ｗo(hù)。

　　但是，目前我們的信息安全環(huán)境不容樂觀，每天我們的企業(yè)可能要面對數(shù)以萬計的黑客試探性入侵、木馬病毒以及惡意代碼的威脅、或者承受那種損人不利己的拒絕服務(wù)攻擊。當(dāng)然，現(xiàn)在大多數(shù)企業(yè)對這樣外部的安全威脅做了一定的防御措施。在整個信息系統(tǒng)中基本上都有部署防火墻、身份認(rèn)證甚至入侵防御系統(tǒng)。但我們發(fā)現(xiàn)即使投入了那么多資源來抵御外部的各種威脅，對入侵仍然反映遲鈍，我們的信息還是在不斷地泄露。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中的統(tǒng)計有將近50%的黑客入侵實(shí)際上是通過正常的途徑，利用合法的憑證，進(jìn)行機(jī)密資料的竊取。組織的內(nèi)部人員可能由于安全意識不強(qiáng)或誤操作，把一些敏感信息無意中泄露出去，甚至也有些極端分子靠出賣這樣信息來獲取私利的情況的出現(xiàn)。因此，組織的信息安全問題不容忽視，一套嚴(yán)密的信息安全管理體系更是許多組織正常運(yùn)作的基礎(chǔ)。

　　1.2第三方理財行業(yè)信息安全現(xiàn)狀以及研究意義

　　目前絕大多數(shù)行業(yè)都有自身的行業(yè)信息安全體系標(biāo)準(zhǔn)，如適用于支付卡行業(yè)的《PCI/DSS》標(biāo)準(zhǔn)(支付卡行業(yè)數(shù)據(jù)信息安全標(biāo)準(zhǔn))、銀監(jiān)會和證監(jiān)會所頒布的適用于各自監(jiān)管條線的《信息系統(tǒng)安全等級保護(hù)規(guī)范》、制造行業(yè)所推崇的基于信息安全管理體系ISO27001在制造業(yè)的最佳實(shí)踐標(biāo)準(zhǔn)。隨著經(jīng)濟(jì)的發(fā)展，目前國內(nèi)涌現(xiàn)出大量的第三方理財機(jī)構(gòu)為高凈值客戶提供理財服務(wù)，由于這個行業(yè)屬于新興行業(yè)，雖然其業(yè)務(wù)領(lǐng)域?qū)儆诮鹑冢珪簳r還沒有設(shè)立此行業(yè)的監(jiān)管機(jī)構(gòu)。此外，第三方理財行業(yè)的業(yè)務(wù)結(jié)構(gòu)還未系統(tǒng)化、結(jié)構(gòu)化，因此，信息安全在這個行業(yè)(領(lǐng)域)中研究還處于空白，也沒有監(jiān)管機(jī)構(gòu)的政策性標(biāo)準(zhǔn)和相關(guān)指引以及前人的實(shí)踐經(jīng)驗(yàn)作為參考。本文希望通過國際上通用的ISO27001安全管理體系在博士公司的實(shí)踐，著重分析博士公司在信息安全管理上所存在的諸多問題。本研究不但能夠豐富信息安全管理的相關(guān)理論，而且研究成果也可以為同行業(yè)提高信息安全水平提供借鑒。

　　1.3研究方法、技術(shù)路線及基本內(nèi)容

　　1.3.1研究方法

　　本文的研究方法有如下四種：

　　文獻(xiàn)研究法：根據(jù)研究內(nèi)容與需要解決的問題，搜集各類前人對此領(lǐng)域內(nèi)所研究的相關(guān)的理論、模型和資料，在對這些資料進(jìn)行歸納和提取，并最終應(yīng)用到實(shí)際研究中。

　　問卷調(diào)查法：通過事先設(shè)計好的問卷，向被訪者收集研究所需要的相關(guān)信息，并對回收的問卷進(jìn)行統(tǒng)計和分析，以求最大限度的還原被研究對象的真實(shí)現(xiàn)狀。

　　模型分析法：采用研究領(lǐng)域內(nèi)相對成熟的模型，來分析研究過程中對象所存在的各類問題。本文通過借鑒信息安全業(yè)內(nèi)公認(rèn)的最佳標(biāo)準(zhǔn)模型來診斷目前所暴露出的問題，并找出問題產(chǎn)生和根源，設(shè)計出相應(yīng)的解決方案。

　　跨學(xué)科研究法：由于研究對象為信息安全管理，其領(lǐng)域本身就是包含計算機(jī)、管理、統(tǒng)計、質(zhì)量管理、審計等多方面學(xué)科。因此，不可避免地需要用到各學(xué)科的知識，來綜合分析和解決相應(yīng)的問題。

　　1.3.2技術(shù)路線

　　本文將從信息安全管理的整體框架、組織結(jié)構(gòu)、資產(chǎn)狀況、流程制度以及技術(shù)力量等方面評估博士公司的信息安全管理現(xiàn)狀，結(jié)合ISO27001信息安全管理模型來找出企業(yè)目前所存在的信息安全管理問題，著重分析這些問題所形成的背景和原因，并根據(jù)此類問題的風(fēng)險等級，選出博士公司目前迫切所需要解決的一系列問題并提出基于ISO27001模型所提出的解決方案或改善措施。【1】

　　1.3.3基本內(nèi)容

　　整篇論文由緒論和正文所構(gòu)成，總共分為六章。第一章緒論主要描述了論文的選題背景、研究意義和目的、研究方法和技術(shù)路線以及基本內(nèi)容。第二章至第五章為本文最重要的四個組成部分。第二章是整篇論文的第一個重要的組成部分，其主要闡述了信息安全相關(guān)理論基礎(chǔ)，為整個博士公司信息安全管理診斷模型的建立構(gòu)建了理論出發(fā)點(diǎn)。具體包括診斷模型的選擇、以及對信息安全和信息安全管理的相關(guān)理論進(jìn)行了闡述。第三章是本文的第二個重要的組成部分，也是本文的研究實(shí)踐基礎(chǔ)，本章的主要內(nèi)容中除了對博士公司的日常運(yùn)營和業(yè)務(wù)介紹外，還有通過與各業(yè)務(wù)職能部門的訪談，結(jié)合ISO27001模型體系要求設(shè)計調(diào)查問卷以及評估工具等方法，揭示博士公司在日常運(yùn)營和管理上存在的若干信息安全風(fēng)險。第四章為本文的研究核心所在，是本文的第三個重要組成部分和研究結(jié)果，憑借ISO27001體系模型的診斷方法尋找到目前博士公司所暴露出的諸多信息安全問題的原因。第五章是本文的第四個重要組成部分，即依托ISO27001的最佳實(shí)踐給予就博士公司目前的信息安全現(xiàn)狀和原因給予解決方案和實(shí)施建議。第六章為本文的結(jié)論與展望部分，揭示了博士公司所暴露出來的問題在第三方理財行業(yè)是普遍存在的，并且隨著時間的推移，信息安全問題也會發(fā)生不斷的變化，需要組織去不斷的完善信息安全建設(shè)。另外，信息安全與組織業(yè)務(wù)效率的平衡關(guān)系在今后的發(fā)展中免不了成為天平的兩端，如何平衡好兩者之間目前ISO27001體系并沒有做出相應(yīng)的解決方案，這將是今后相關(guān)領(lǐng)域研究所要解決的一個課題，對于如何減少組織對于信息安全建設(shè)的成本或更有效率地進(jìn)行信息安全建設(shè)本文也做了相應(yīng)展望。

　　第2章相關(guān)理論綜述

　　在信息安全管理研究領(lǐng)域，國內(nèi)外有很多成熟的體系模型和研究成果，這些前期體系模型和研究的成果，為本文的撰寫提供了豐富的理論基礎(chǔ)和資料素材，在本章中將對部分理論研究成果和行業(yè)標(biāo)準(zhǔn)進(jìn)行歸納和提煉。

　　2.1ISO27001簡介

　　ISO27000是信息安全方面國際國內(nèi)公認(rèn)的最佳的管理體系集。目前ISO27000系列標(biāo)準(zhǔn)已經(jīng)基本清晰,其框架也于日益完善。整個體系集中不僅擁有ISO27002安全管理使用守則、IS027003實(shí)施指南這樣的子標(biāo)準(zhǔn)還包括ISO27011、ISO27012這樣的通信業(yè)和金融保險業(yè)的行業(yè)標(biāo)準(zhǔn)。然而在整個體系中，不管是子標(biāo)準(zhǔn)的建立還是行業(yè)標(biāo)準(zhǔn)的頒布，無一例外的都是參照整個ISO27000的主體系IS027001來制定，它的前生BS7799由英國標(biāo)準(zhǔn)化系協(xié)會BSI在1992首次在英國作為行業(yè)標(biāo)準(zhǔn)發(fā)布，經(jīng)過數(shù)次修改在2005年正式更名為ISO27001。國內(nèi)的一些安全標(biāo)準(zhǔn)如等級保護(hù)、GB/T、以及一系列行業(yè)標(biāo)準(zhǔn)也大都參照了ISO27001來制定。【1】

　　ISO27001是一套非常復(fù)雜的管理標(biāo)準(zhǔn)，其擁有11個控制領(lǐng)域：信息安全方針、組織構(gòu)架、資產(chǎn)管理、人力資源安全管理、物理和環(huán)境安全管理、通信與操作管理、訪問控制管理、系統(tǒng)的獲取、開發(fā)和維護(hù)管理、信息安全事件管理、業(yè)務(wù)持續(xù)性管理和符合性。在這全部11個領(lǐng)域中控制深度也有所加強(qiáng)，達(dá)到39個控制目標(biāo)和133個風(fēng)險控制措施來保障企業(yè)的信息安全。【2】

　　國內(nèi)相關(guān)研究人員把支撐信息安全體系建設(shè)和保障企業(yè)信息安全總結(jié)為3個要素：人員(組織)、技術(shù)以及管理。在控制維度上基本涵蓋了ISO27001所涉及的11個安全控制領(lǐng)域。【3】

　　(1)人員(組織)

　　在整個ISO27001體系中人員定義和組織管理是最重要的領(lǐng)域之一，在建設(shè)企業(yè)信息安全框架和制定信息安全方針時必須明確定義了企業(yè)內(nèi)部的人員的組織架構(gòu)、職責(zé)權(quán)利。特別是在企業(yè)中與各信息系統(tǒng)和業(yè)務(wù)系統(tǒng)有關(guān)的資產(chǎn)和安全程序(流程)要加以明確辨別和定義，此外負(fù)責(zé)上述各資產(chǎn)和安全程序(流程)的責(zé)任人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案，授權(quán)級別和權(quán)限范圍也要清晰定義并記錄在案以便日常審計符合并在出現(xiàn)信息安全事件后能快速定位到責(zé)任人并追溯具體原因。同時，在信息安全管理體系中必須首先必須要建立信息安全管理委員會，其成員至少需要包含一名企業(yè)高管，以便體現(xiàn)企業(yè)對信息安全的重視程度并把信息安全建設(shè)作為企業(yè)整體戰(zhàn)略的一部分。信息安全管理委員會定期對信息安全政策進(jìn)行審批，對安全權(quán)力與職責(zé)進(jìn)行分配，并協(xié)調(diào)企業(yè)內(nèi)部各部門對安全策略和流程規(guī)章的實(shí)施。另外，在企業(yè)內(nèi)部必須設(shè)立專職的信息安全顧問，信息安全顧問的編制和組織結(jié)構(gòu)隸屬必須是非信息技術(shù)部人員，建議隸屬于CFO所管轄的管理部門，以便保證對整個企業(yè)的業(yè)務(wù)發(fā)展有第一時間的了解和對信息技術(shù)部門(信息安全管理體系中涉及最重要的部門之一)的工作有一個客觀的審計和判斷。在企業(yè)外部最好也應(yīng)設(shè)置信息安全顧問，可以是“外腦”(信息安全方面的獨(dú)立董事)、咨詢機(jī)構(gòu)(麥肯錫)、或是專業(yè)提供風(fēng)險控制和外部審計服務(wù)商(四大會計事務(wù)所)，以便及時跟蹤行業(yè)的最新走向，為企業(yè)的管理層解讀最新的行業(yè)信息安全監(jiān)管標(biāo)準(zhǔn)和相應(yīng)的評估手段，并在發(fā)生信息安全事故時建立適當(dāng)?shù)穆?lián)絡(luò)渠道，協(xié)調(diào)外部的有效資源來幫助企業(yè)來平息和處理信息安全事故。

　　(2)技術(shù)

　　隨著信息技術(shù)的發(fā)展，企業(yè)的日常辦公逐步走入了電子化時代，今日企業(yè)的ERP、財務(wù)、CRM等核心的業(yè)務(wù)系統(tǒng)無一不是依托信息技術(shù)來實(shí)現(xiàn)的。但新興技術(shù)發(fā)展的背后，伴隨著的安全問題卻不能忽視。有這么些人，他們利用自身所具備的技術(shù)能力來破壞或盜取這些核心業(yè)務(wù)系統(tǒng)中的敏感信息。我們稱之這類特殊群體的人為黑客。今天，黑客已經(jīng)發(fā)展成的一個獨(dú)特的群體，一些“志同道合”的人在網(wǎng)絡(luò)上建立了黑客組織。為了謀取巨額利益甚至形成了黑客的地下產(chǎn)業(yè)鏈，他們受托使目標(biāo)系統(tǒng)癱瘓、感染病毒、惡意修改網(wǎng)頁，甚至通過自己的技術(shù)手段入侵企業(yè)內(nèi)部的系統(tǒng)，盜取企業(yè)內(nèi)部重要資料，變賣給企業(yè)的競爭對手。誠然道高一尺魔高一丈，進(jìn)攻永遠(yuǎn)是有主動權(quán)的。由于信息技術(shù)的不斷發(fā)展，未來的手機(jī)移動領(lǐng)域的安全技術(shù)、以云計算為基礎(chǔ)結(jié)構(gòu)的核心業(yè)務(wù)系統(tǒng)、物聯(lián)網(wǎng)安全等都將面臨巨大的信息安全挑戰(zhàn)。企業(yè)的在面對黑客以及一些其他惡意破壞者的時候必須具有與之抗衡的防御技術(shù)，這需要企業(yè)不斷加強(qiáng)在信息安全防御技上的投入和重視以及提高對新的未知威脅的抵御能力。

　　(3)管理

　　①資產(chǎn)管理：明確定義所保護(hù)信息資產(chǎn)和用戶存放信息資產(chǎn)的物理資產(chǎn)在整個ISO27001體系建設(shè)中是一個必須的前提。只有明確所保護(hù)的對象，才能開始制定相關(guān)確實(shí)有效的安全策略、管理流程和規(guī)章制度。信息資產(chǎn)的定義一般通過兩種方式,第一種方式是把企業(yè)信息資產(chǎn)統(tǒng)一轉(zhuǎn)換為物理形式，如存儲數(shù)據(jù)的服務(wù)器，承載數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)，甚至員工也包含在這個“資產(chǎn)”的范疇中，并對每項資產(chǎn)定義明確的所有人或責(zé)任人。另一種定義方式為按照企業(yè)的日常業(yè)務(wù)流轉(zhuǎn)來定義信息資產(chǎn)，通過梳理企業(yè)各部門的日常業(yè)務(wù)流程的分析，可以把一類涉及到此業(yè)務(wù)的物理資產(chǎn)(計算機(jī)、人員、服務(wù)器、紙質(zhì)文檔等)歸為一類資產(chǎn)。但無論哪種分類方式都必須給信息資產(chǎn)定義一系列的最終價值。一般按照數(shù)據(jù)信息的三個屬性，即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)這個三個指標(biāo)來衡量信息資產(chǎn)的重要度，每個屬性根據(jù)安全等級也有相應(yīng)賦值標(biāo)準(zhǔn)。資產(chǎn)的最終價值可按照之前所定義的賦值標(biāo)準(zhǔn)進(jìn)行加權(quán)求和，根據(jù)所得出的結(jié)果區(qū)分企業(yè)的一般資產(chǎn)和重要資產(chǎn)。其中重要資產(chǎn)無疑是要被企業(yè)管理層所重點(diǎn)關(guān)注的，安全防護(hù)或信息安全體系建設(shè)也理應(yīng)圍繞企業(yè)的重要資產(chǎn)展開。

　　②流程制度管理：目前外部整個信息安全的大環(huán)境呈現(xiàn)日益惡化之虞，外部的攻擊成本越來越小，內(nèi)部的防御成本反而越來越大。企業(yè)的任何一個員工的個人疏漏或者管理漏洞，都會給企業(yè)安全帶來威脅，而企業(yè)安全防御水平往往取決于最弱或者說是最容易忽視的一環(huán)(人員的安全意識、規(guī)范的流程制度)，而不是最強(qiáng)的地方(部署對應(yīng)的信息安全設(shè)備，采取相應(yīng)的防御技術(shù)手段)。因此規(guī)范化的流程和規(guī)章制度建設(shè)是整個ISO27001信息安全管理體系的根本。它是指通過對企業(yè)的核心業(yè)務(wù)、商業(yè)模式、以及日常運(yùn)營的系統(tǒng)性梳理，在企業(yè)內(nèi)部形成一系列圍繞信息安全的每個人都必須遵守的規(guī)章制度和流程。但是，在一些特殊行業(yè)(特別是金融行業(yè))，其業(yè)務(wù)開展和日常運(yùn)營很大程度上要依賴于企業(yè)自身的信息系統(tǒng)。因此，在制定過程中除了考慮日常的流程制度(企業(yè)的信息安全方針、IT終端設(shè)備使用管理規(guī)范、移動辦公守則、信息保密管理辦法等)以外，還應(yīng)該重點(diǎn)考慮其企業(yè)的業(yè)務(wù)連續(xù)性計劃(BusinessContinuityPlan)，從流程和制度層面保證和防止業(yè)務(wù)活動的終端，以及使在進(jìn)行關(guān)鍵業(yè)務(wù)過程中免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響，并保證他們的及時恢復(fù)。另外，定期對企業(yè)員工信息安全意識的培訓(xùn)和內(nèi)部相關(guān)安全制度的宣導(dǎo)也是必不可少的，根據(jù)國內(nèi)著名的信息安全咨詢機(jī)構(gòu)谷安天下的一項調(diào)查研究表面，現(xiàn)在企業(yè)所面臨的70-80%的安全威脅都是來自于企業(yè)內(nèi)部員工的有意識或者無意識的行為。在走訪一些責(zé)任人時，絕大多數(shù)人并不沒有意識到自己已經(jīng)違反了企業(yè)內(nèi)的相應(yīng)信息安全制度，甚至已經(jīng)觸犯到了法律。因此，制度和流程的建立不能簡單的停留在“紙”上，企業(yè)需要不斷根據(jù)外部和內(nèi)部環(huán)境定期修訂相應(yīng)的信息安全制度，并把這些制度和流程清晰的傳達(dá)到每位員工，甚至可以考慮將企業(yè)員工信息安全意識納入到企業(yè)文化中。

　　2.2PDCA簡介

　　由于信息安全管理體系是在不斷發(fā)展變化中逐步完善的，因此需要一套制度和標(biāo)準(zhǔn)來使信息安全管理體系自身變的可學(xué)習(xí)化，通過不斷的完善自身來達(dá)到企業(yè)對于信息安全管理的要求。1950年W.EdwardsDeming提出PDCA流程，即計劃(Plan)-執(zhí)行(Do)-檢查(Check)-改進(jìn)(Act)過程，意在說明流程和控制應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得管理者可以識別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個流程以及流程的改進(jìn)，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運(yùn)行結(jié)果進(jìn)行評估，緊接著按照計劃的具體要求對該評估進(jìn)行復(fù)查，而后尋找到任何與計劃不符的結(jié)果偏差，通過不斷地PDCA，使組織的信息安全水平以一個螺旋型的方式上升的，最終達(dá)到我們的既定目標(biāo)。【4】

　　國內(nèi)專家楊輝在2006年《中國公共安全(學(xué)術(shù)版)》中發(fā)表的《運(yùn)用PDCA循環(huán)法完善信息安全管理體系》文章中對PDCA的各個階段有了更加細(xì)化的定義，他指出在P(計劃)階段應(yīng)該建立信息安全管理體系換進(jìn)和對風(fēng)險進(jìn)行評估，其主要工作包括確定建設(shè)和管理的范圍和大致的信息安全管理方針、定義風(fēng)險評估的系統(tǒng)性方法論、識別可預(yù)見的各類系統(tǒng)性和非系統(tǒng)性的風(fēng)險，對所預(yù)見的風(fēng)險進(jìn)行評估以及確立評價風(fēng)險的處理方法，以及為風(fēng)險的處理選擇控制目標(biāo)與控制的方式，并將這些工作成果匯報給最高管理層并取授權(quán)批準(zhǔn)。在D階段主要強(qiáng)調(diào)的是在實(shí)施和運(yùn)行信息安全管理體系，這個階段的任務(wù)是以適當(dāng)?shù)膬?yōu)先權(quán)進(jìn)行管理運(yùn)作，對于那些被評估認(rèn)為是可接受的風(fēng)險，不需要采取進(jìn)一步的措施。對于不可接受風(fēng)險，需要實(shí)施所選擇的控制。本階段還需要分配適當(dāng)?shù)馁Y源(人員、時間和資金)運(yùn)行信息安全管理體系以及所有的安全控制。這包括將所有已實(shí)施控制的文件化，以及信息安全管理體系文件的積極維護(hù)。提高信息安全意識的目的就是產(chǎn)生適當(dāng)?shù)娘L(fēng)險和安全文化，保證意識和控制活動的同步，還必須安排針對信息安全意識的培訓(xùn)，并檢查意識培訓(xùn)的效果，以確保其持續(xù)有效和實(shí)時性。如有必要應(yīng)對相關(guān)方事實(shí)有針對性的安全培訓(xùn)，以支持組織的意識程序，保證所有相關(guān)方能按照要求完成安全任務(wù)。此外，還應(yīng)該實(shí)施并保持策劃了的探測和響應(yīng)機(jī)制。C(檢查)階段又稱為學(xué)習(xí)階段，其目的是監(jiān)視并評審信息安全管理體系，是PDCA循環(huán)的關(guān)鍵階段，即信息安全管理體系要分析運(yùn)行效果改進(jìn)機(jī)會的階段。

　　①它是由一系列管理過程所組成，如執(zhí)行程序和其他控制以快速檢測處理結(jié)果中的錯誤;快速識別安全體系中失敗的和成功的破壞;能使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果;按照商業(yè)優(yōu)先權(quán)確定解決安全破壞所要采取的措施;接受其他組織和組織自身的安全經(jīng)驗(yàn);常規(guī)評審信息安全管理體系的有效性;收集安全審核的結(jié)果、事故、以及來自所有股東和其他相關(guān)方的建議和反饋，定期對信息安全管理體系有效性進(jìn)行評審。評審剩余風(fēng)險和可以接受風(fēng)險的等級;注意組織、技術(shù)、商業(yè)目標(biāo)和過程的內(nèi)部變化，以及已識別的威脅和社會風(fēng)尚的外部變化，定期評審剩余風(fēng)險和可以接受風(fēng)險等級的合理性。

　　②審核執(zhí)行管理程序、以確定規(guī)定的安全程序是否適當(dāng)、是否符合標(biāo)準(zhǔn)、以及是否按照預(yù)期的目的進(jìn)行工作。為確保范圍保持充分性，以及信息安全管理體系過程的持續(xù)改進(jìn)得到識別和實(shí)施，組織應(yīng)定期對信息安全管理體系進(jìn)行正式的評審。最后記錄并報告能影響信息安全管理體系有效性或業(yè)績的所有活動、事件。經(jīng)過了策劃、實(shí)施、檢查之后，組織在A階段必須對所策劃的方案給以結(jié)論，是應(yīng)該繼續(xù)執(zhí)行，還是應(yīng)該放棄重新進(jìn)行新的策劃?當(dāng)然該循環(huán)給管理體系帶來明顯的業(yè)績提升，組織可以考慮是否將成果擴(kuò)大到其他的部門或領(lǐng)域，從而開始了新一輪的PDCA循環(huán)。③【5】

　　2.3信息系統(tǒng)審計簡介

　　隨著信息技術(shù)在企業(yè)業(yè)務(wù)領(lǐng)域和日常運(yùn)營中廣泛的應(yīng)用，給企業(yè)帶來效率和高收益的。但同時也產(chǎn)生了利用信息系統(tǒng)進(jìn)行信息泄露、舞弊、隱瞞甚至欺詐的事件發(fā)生。

　　早在上個世紀(jì)中期，美國已經(jīng)在研究關(guān)于信息安全審計領(lǐng)域的相關(guān)課題，1967年國際信息系統(tǒng)審計協(xié)會(ISACA)正式在美國成立，國際信息系統(tǒng)審計協(xié)會(ISACA)明確定義信息系統(tǒng)審計主要內(nèi)容：

　　(1)信息系統(tǒng)審計程序。依據(jù)信息系統(tǒng)審計標(biāo)準(zhǔn)、準(zhǔn)則和最佳實(shí)務(wù)等提供信息系統(tǒng)審計服務(wù)，以幫助組織確保其信息技術(shù)和運(yùn)營系統(tǒng)得到保護(hù)并受控;(2)信息技術(shù)治理。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對信息系統(tǒng)方面的要求;(3)系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理。系統(tǒng)的開發(fā)、采購、測試、實(shí)施(交付)、維護(hù)和(配置)使用，與基礎(chǔ)框架，確保實(shí)現(xiàn)組織的目標(biāo);(4)IT服務(wù)的交付與支持。IT服務(wù)管理實(shí)務(wù)可確保提供所要求的等級、類別的服務(wù)，來滿足組織的目標(biāo);(5)信息資產(chǎn)的保護(hù)。通過適當(dāng)?shù)陌踩w系(如，安全政策、標(biāo)準(zhǔn)和控制)，保證信息資產(chǎn)的機(jī)密性、完整性和有效性;(6)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃。一旦連續(xù)的業(yè)務(wù)被(意外)中斷(或破環(huán))，災(zāi)難恢復(fù)計劃確保(災(zāi)難)對業(yè)務(wù)影響最小化的同時，及時恢復(fù)(中斷的)IT服務(wù)。

　　為了及時動態(tài)跟蹤企業(yè)信息系統(tǒng)的穩(wěn)定性和安全性，信息系統(tǒng)審計在企業(yè)的日常運(yùn)營工作中必不可少，對于企業(yè)來說甚至其重要性已經(jīng)和傳統(tǒng)的財務(wù)審計相當(dāng)。相比傳統(tǒng)的財務(wù)審計，兩者既有一定聯(lián)系又有一定差別。兩者的聯(lián)系是：信息系統(tǒng)審計繼承了傳統(tǒng)審計的基本理論與方法，與傳統(tǒng)的審計一樣。在立場上，要求信息系統(tǒng)審計師站在獨(dú)立的立場上，通過選擇特定的審計對象，采用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據(jù)，來判斷其與既定標(biāo)準(zhǔn)的符合程度。在程序上，信息系統(tǒng)審計一般也要經(jīng)過審計計劃、符合性測試與實(shí)質(zhì)性測試、審計報告等主要階段來進(jìn)行審計工作，實(shí)現(xiàn)審計目標(biāo);兩者的區(qū)別也比較明顯，主要表現(xiàn)在：首先，信息系統(tǒng)的審計對象不同于傳統(tǒng)審計的財務(wù)領(lǐng)域，而是信息系統(tǒng)，包括基礎(chǔ)設(shè)施，軟硬件管理，信息安全，網(wǎng)絡(luò)管理合通信等;其次，信息系統(tǒng)審計提出了更多的審計法與審計程序，這都是傳統(tǒng)審計所不具備的，比如對某軟件進(jìn)行審計時，要采用技術(shù)含量相當(dāng)高的測試，對網(wǎng)絡(luò)安全審計時要采用穿透性測試(模擬成黑客進(jìn)行各種攻擊以驗(yàn)證其安全性);第三，信息系統(tǒng)審計不僅是事后審計，主要關(guān)注系統(tǒng)的運(yùn)行現(xiàn)狀，在某種情況下，直接參與項目的開發(fā)或變更過程，以保證足夠的控制得以順利實(shí)施;最后，信息系統(tǒng)審計的咨詢價值顯得更高，信息化的風(fēng)險很高，信息系統(tǒng)審計師可憑借其專門知識和實(shí)踐經(jīng)驗(yàn)，受托或主動服務(wù)于被審計單位的管理者或其業(yè)務(wù)人員，在企業(yè)信息化過程中，幫助企業(yè)建立健全內(nèi)部控制制度，進(jìn)行系統(tǒng)診斷，根據(jù)企業(yè)需求，確定信息化的目標(biāo)和內(nèi)容，選擇合適的信息系統(tǒng)。

　　第3章博士公司問題現(xiàn)狀

　　目前，第三方理財行業(yè)在國內(nèi)正處于發(fā)展萌芽階段，其本身目前沒有明確的監(jiān)管機(jī)構(gòu)來規(guī)范和約束對企業(yè)的內(nèi)部控制管理。由于業(yè)務(wù)性質(zhì)，第三方理財企業(yè)中收集并保存了大量的高凈值客戶的敏感信息，如姓名、電話號碼、住址甚至是家庭存款和理財規(guī)模。這些信息的泄露輕則可能會被競爭對手利用來騷擾和推銷產(chǎn)品給博士公司客戶，重則這些信息如果落入了別有用心的人或犯罪分子手中，可能會用來在客戶面前詆毀博士公司甚至是造成綁架、勒索、恐嚇客戶的惡意刑事案件。因此對于博士公司而言保護(hù)客戶的隱私和敏感的客戶信息顯得尤為重要。

　　3.1博士公司簡介

　　3.1.1公司歷史

　　博士公司于2005年成立于上海，其前身是某知名證券服務(wù)公司私人銀行部門，由于原公司業(yè)務(wù)結(jié)構(gòu)化調(diào)整而導(dǎo)致私人銀行部被迫從主要業(yè)務(wù)體系中剝離，后獨(dú)立出來成立如今的博士公司。短短三年時間，博士公司由最初的僅有1家分公司930名客戶發(fā)展為擁有16家分公司10000名高凈值客戶以及200名專業(yè)的理財服務(wù)顧問。博士公司2010年11月登陸美國紐約交易所順利進(jìn)行了IPO，成為在美上市的首家(目前為止也是唯一一家)國內(nèi)第三方理財機(jī)構(gòu)。上市后的博士公司，憑借著“成熟的品牌”、“客觀的產(chǎn)品篩選體系”、“個性化的客戶服務(wù)”、“全國網(wǎng)絡(luò)和優(yōu)秀的理財師隊伍”、“卓越的客戶管理系統(tǒng)”為其核心價值。迅速成為國內(nèi)第三方理財行業(yè)的絕對卻權(quán)威。目前博士公司在坐擁數(shù)萬名高凈值客戶的基礎(chǔ)上，博士公司開始強(qiáng)勢介入產(chǎn)品設(shè)計，包括自身成立投資銀行部門自行尋找項目和標(biāo)的物、成立以資產(chǎn)管理為導(dǎo)向以及利用小信托公司為“過道”等一系列措施，介入整個業(yè)務(wù)價值鏈的上下游，不斷提升自身的核心價值。【1】

　　博士公司自成立至今，總共抓住了三次重大的機(jī)會，從而奠定了在國內(nèi)第三方理財行業(yè)中的龍頭老大地位，現(xiàn)有的規(guī)模和實(shí)力積累也將為將來的創(chuàng)新業(yè)務(wù)發(fā)展打下建設(shè)的基礎(chǔ)。博士公司長期專注于為國內(nèi)高凈值客戶提供財富管理和理財業(yè)務(wù)，重視客戶體驗(yàn)和金融產(chǎn)品風(fēng)險控制，這是成為行業(yè)領(lǐng)先者和有別與其他理財公司的重要原因。2007年通過引入紅杉(中國)投資以及其他風(fēng)險投資，迅速將原先的商業(yè)模式由上海復(fù)制到全國，依托風(fēng)險投資機(jī)構(gòu)強(qiáng)大的財務(wù)能力，通過規(guī)模效應(yīng)，博士公司在當(dāng)年末(2007年末)，其收入相較年初增長了300%。正是由于看好博士公司未來的發(fā)展，紅杉(中國)和其他投資人決定，把博士公司帶向另一個高度----赴美上市。2010年11月，在博士公司和其他戰(zhàn)略投資人的共同努力下，成功在美國證券交易所主板上市，是中國內(nèi)地首家上市的獨(dú)立財富管理機(jī)構(gòu)(也是迄今為止唯一一家)。其先后多次被福布斯、德勤、清科集團(tuán)等權(quán)威評估機(jī)構(gòu)評為中國最具發(fā)展?jié)摿?0強(qiáng)以及最具有投資價值50強(qiáng)企業(yè)。經(jīng)過多年的發(fā)展，博士公司現(xiàn)在有一個能力優(yōu)秀、經(jīng)驗(yàn)豐富的管理團(tuán)隊，以及一支批在財富管理領(lǐng)域內(nèi)為客戶服務(wù)多年的理財師隊伍。為博士公司未來的發(fā)展打下了堅實(shí)的基礎(chǔ)。

下一篇:在高中語文教學(xué)中滲透傳統(tǒng)文化研究 下一篇 【方向鍵 ( → )下一篇】

上一篇:新課程改革背景下中小學(xué)教師專業(yè)化的現(xiàn)狀與發(fā)展 上一篇 【方向鍵 ( ← )上一篇】