《2020(管理知识)博士公司信息安全管理体系研究》由会员分享,可在线阅读,更多相关《2020(管理知识)博士公司信息安全管理体系研究(54页珍藏版)》请在金锄头文库上搜索。
1、博士公司信息安全管理体系研究时间:2015-02-05 来源:学术堂 所属分类:mba毕业论文摘要信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全,到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今,在这个信息传播高度发达的时代,对于一个企业来说,信息,尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡,它已经悄然地变为了一项企业资产。它和其它资产一样重要,对企业具有重要的价值,因此理应需要受到重视和保护。本文首先对信息安全的基本概念、国际上公认最佳信息安全管理 ISO27001 模型体系进行了综合描述。然后以博士公司这家国内领先的第三
2、方理财机构为例,通过与各业务职能部门的访谈,并结合 ISO27001 模型体系要求设计调查问卷以及评估工具来诊断博士公司目前所暴露出来的信息安全问题。另外,根据原因诊断结果并结合博士公司自身业务发展需求,制定了一系列的解决方案。最后,本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践,着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析,找出若干风险控制节点,并结合组织的自身情况,针对每个风险控制节点一一拟定了解决方案。本研究不但能够丰富信息安全管理的相关理论,而且研究成果也可以为同行业提高信息安全水平提供借鉴。关键词: 信息安全;信息安全诊断;ISO27
3、001 模型;信息安全治理;PDCA目录致谢摘要Abstract第 1 章 绪论1.1 信息安全概述1.2 第三方理财行业信息安全现状以及研究意义1.3 研究方法、技术路线及基本内容1.3.1 研究方法1.3.2 技术路线1.3.3 基本内容第 2 章 相关理论综述2.1 ISO27001 简介2.2 PDCA 简介2.3 信息系统审计简介第 3 章 博士公司问题现状3.1 博士公司简介3.1.1 公司历史3.1.2 博士公司经营状况3.1.3 公司组织构架3.2 博士公司企业信息安全诊断工作过程描述3.3 博士公司信息安全的若干问题3.3.1 企业整体缺乏体系化的安全管理机制3.3.2 信息
4、安全人力资源匮乏,信息安全组织架构不够完善3.3.3 尚未建立信息资产清单3.3.4 员工安全意识薄弱3.3.5 未将信息安全有效融入第三方外包服务管理3.3.6 系统开发和运维人员职责不明确3.3.7 尚未对信息安全实施内部审计3.3.8 访问控制机制尚不健全3.3.9 业务连续性方面建设比较初级第 4 章 博士公司基于 ISO27001 体系的信息安全管理问题诊断4.1 信息安全策略4.2 信息安全组织4.3 资产管理4.4 人力资源安全4.5 物理和环境安全4.6 访问控制4.7 业务连续性管理4.8 通讯与操作管理4.9 信息系统的获取开发和维护4.10 信息安全事故管理4.11 符合
5、性4.12 防信息泄露第 5 章 博士公司基于 ISO27001 体系的信息安全管理改进方案5.1 建立体系化的信息安全管理机制5.2 完善企业信息安全组织结构5.3 识别各类信息资产重要等级进行分级保护5.4 加强员工安全意识培训5.5 规范外包人员管理5.6 明确各类人员的职责并设定严格的访问控制机制5.7 制定业务持续性计划5.8 引入内部审计机制5.9 建立 PDCA 有效循环机制,不断完善企业信息安全体系第 6 章 结论和展望6.1 结论6.2 展望参考文献致谢承蒙上海外国语大学赵衍老师指导本人关于论文提纲和正文的修订和完稿,感谢赵衍老师付出的辛勤劳动。同时也感谢博士公司为本人写作提
6、供了研究课题,为本文提供了第一手的真实资料,感谢他们的大力支持。第1章 绪论从人类社会诞生开始,信息的传递始终是彼此相互交流的一个重要的途径。先前,由于信息技术欠发达,人们主要依靠口述、书写、电话等的方式来进行彼此之间的交流,但进入 21 世纪后,随着信息技术的高速发展,微博、微信、办公软件、社交平台等一大批先进的电子化工具走进了人们的日常工作和生活,这些工具给我们带来了便利的同时,其背后所隐藏的信息安全问题也不容忽视。据 IBM 统计,全球每天约有 130 亿个信息安全事件发生,更有统计表明,世界上每过一分钟就有 2 家企业因为信息安全问题而倒闭,目前信息安全问题成为社会各层和各类型的组织所
7、关注的焦点。各国也为之出台了一系列信息保护的法律法规。1.1 信息安全概述信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全,到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今,在这个信息传播高度发达的时代,对于一个企业来说,信息尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡,它已经悄然地变为了一项企业资产。它和其它资产一样重要,对企业具有重要的价值,因此理应需要受到适当的保护。但是,目前我们的信息安全环境不容乐观,每天我们的企业可能要面对数以万计的黑客试探性入侵、木马病毒以及恶意代码的威胁、或者承受那种损人不利己的拒绝服务攻击。当然
8、,现在大多数企业对这样外部的安全威胁做了一定的防御措施。在整个信息系统中基本上都有部署防火墙、身份认证甚至入侵防御系统。但我们发现即使投入了那么多资源来抵御外部的各种威胁,对入侵仍然反映迟钝,我们的信息还是在不断地泄露。根据国家互联网应急响应中的统计有将近 50%的黑客入侵实际上是通过正常的途径,利用合法的凭证,进行机密资料的窃取。组织的内部人员可能由于安全意识不强或误操作,把一些敏感信息无意中泄露出去,甚至也有些极端分子靠出卖这样信息来获取私利的情况的出现。因此,组织的信息安全问题不容忽视,一套严密的信息安全管理体系更是许多组织正常运作的基础。1.2 第三方理财行业信息安全现状以及研究意义目
9、前绝大多数行业都有自身的行业信息安全体系标准,如适用于支付卡行业的PCI/DSS标准(支付卡行业数据信息安全标准)、银监会和证监会所颁布的适用于各自监管条线的信息系统安全等级保护规范、制造行业所推崇的基于信息安全管理体系 ISO27001 在制造业的最佳实践标准。随着经济的发展,目前国内涌现出大量的第三方理财机构为高净值客户提供理财服务,由于这个行业属于新兴行业,虽然其业务领域属于金融,但暂时还没有设立此行业的监管机构。此外,第三方理财行业的业务结构还未系统化、结构化,因此,信息安全在这个行业(领域)中研究还处于空白,也没有监管机构的政策性标准和相关指引以及前人的实践经验作为参考。本文希望通过
10、国际上通用的 ISO27001 安全管理体系在博士公司的实践,着重分析博士公司在信息安全管理上所存在的诸多问题。本研究不但能够丰富信息安全管理的相关理论,而且研究成果也可以为同行业提高信息安全水平提供借鉴。1.3 研究方法、技术路线及基本内容1.3.1 研究方法本文的研究方法有如下四种:文献研究法:根据研究内容与需要解决的问题,搜集各类前人对此领域内所研究的相关的理论、模型和资料,在对这些资料进行归纳和提取,并最终应用到实际研究中。问卷调查法:通过事先设计好的问卷,向被访者收集研究所需要的相关信息,并对回收的问卷进行统计和分析,以求最大限度的还原被研究对象的真实现状。模型分析法:采用研究领域内
11、相对成熟的模型,来分析研究过程中对象所存在的各类问题。本文通过借鉴信息安全业内公认的最佳标准模型来诊断目前所暴露出的问题,并找出问题产生和根源,设计出相应的解决方案。跨学科研究法:由于研究对象为信息安全管理,其领域本身就是包含计算机、管理、统计、质量管理、审计等多方面学科。因此,不可避免地需要用到各学科的知识,来综合分析和解决相应的问题。1.3.2 技术路线本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状,结合 ISO27001 信息安全管理模型来找出企业目前所存在的信息安全管理问题,着重分析这些问题所形成的背景和原因,并根据此类问题
12、的风险等级,选出博士公司目前迫切所需要解决的一系列问题并提出基于 ISO27001 模型所提出的解决方案或改善措施。【1】1.3.3 基本内容整篇论文由绪论和正文所构成,总共分为六章。第一章绪论主要描述了论文的选题背景、研究意义和目的、研究方法和技术路线以及基本内容。第二章至第五章为本文最重要的四个组成部分。第二章是整篇论文的第一个重要的组成部分,其主要阐述了信息安全相关理论基础,为整个博士公司信息安全管理诊断模型的建立构建了理论出发点。具体包括诊断模型的选择、以及对信息安全和信息安全管理的相关理论进行了阐述。第三章是本文的第二个重要的组成部分,也是本文的研究实践基础,本章的主要内容中除了对博
13、士公司的日常运营和业务介绍外,还有通过与各业务职能部门的访谈,结合 ISO27001 模型体系要求设计调查问卷以及评估工具等方法,揭示博士公司在日常运营和管理上存在的若干信息安全风险。第四章为本文的研究核心所在,是本文的第三个重要组成部分和研究结果,凭借 ISO27001 体系模型的诊断方法寻找到目前博士公司所暴露出的诸多信息安全问题的原因。第五章是本文的第四个重要组成部分,即依托 ISO27001 的最佳实践给予就博士公司目前的信息安全现状和原因给予解决方案和实施建议。第六章为本文的结论与展望部分,揭示了博士公司所暴露出来的问题在第三方理财行业是普遍存在的,并且随着时间的推移,信息安全问题也
14、会发生不断的变化,需要组织去不断的完善信息安全建设。另外,信息安全与组织业务效率的平衡关系在今后的发展中免不了成为天平的两端,如何平衡好两者之间目前ISO27001 体系并没有做出相应的解决方案,这将是今后相关领域研究所要解决的一个课题,对于如何减少组织对于信息安全建设的成本或更有效率地进行信息安全建设本文也做了相应展望。信息安全管理相关理论综述时间:2015-02-05 来源:学术堂 所属分类:mba毕业论文第2章 相关理论综述在信息安全管理研究领域,国内外有很多成熟的体系模型和研究成果,这些前期体系模型和研究的成果,为本文的撰写提供了丰富的理论基础和资料素材,在本章中将对部分理论研究成果和
15、行业标准进行归纳和提炼。2.1 ISO27001 简介ISO27000 是信息安全方面国际国内公认的最佳的管理体系集。目前 ISO27000 系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有 ISO27002 安全管理使用守则、IS027003 实施指南这样的子标准还包括 ISO27011、ISO27012 这样的通信业和金融保险业的行业标准。然而在整个体系中,不管是子标准的建立还是行业标准的颁布,无一例外的都是参照整个 ISO27000 的主体系 IS027001 来制定,它的前生BS7799 由英国标准化系协会 BSI 在 1992 首次在英国作为行业标准发布,经过数次修改在 2005 年正式更名为 ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了 ISO27001 来制定。【1】I
