【畢業(yè)學(xué)位論文】（Word原稿）M公司的發(fā)展規(guī)劃、信息化水平及信息安全改良方案

一 、緒論 （一）研究背景與意義 1、研究背景 隨著這些年來企業(yè)信息化的蓬勃發(fā)展，信息安全問題不斷凸顯，但是這些信息安全問題卻沒有得到企業(yè)的足夠重視。在日益激烈的市場開發(fā)和競爭中，只有通過采用先進(jìn)的信息技術(shù)手段來不斷提高信息管理能力，企業(yè)才能有效提升自身核心競爭力、樹立行業(yè)地位，而加強(qiáng)企業(yè)信息安全管理、保證數(shù)據(jù)安全成了企業(yè)當(dāng)前信息化建設(shè)的重要內(nèi)容之一。 近年來，信息安全事故屢見發(fā)生、不絕于耳，拿剛剛過去的 2012 年來說： 1月，美國電子商務(wù)站點(diǎn) 到網(wǎng)絡(luò)黑客攻擊， 2000 余萬用戶的電子郵件地址和密 碼等信息被非法竊??； 3 月，東軟集團(tuán)有 20 名員工因泄露公司商業(yè)秘密被警方拘留，東軟公司因此遭受高達(dá) 4000 余萬元的經(jīng)濟(jì)損失； 3 月，招商銀行等三家商業(yè)銀行的員工被指以十分低廉的價(jià)格向外兜售儲戶銀行卡信息，導(dǎo)致部分個(gè)人銀行卡賬號被盜； 7 月，京東、雅虎等四家網(wǎng)站有超過 800 萬用戶信息被泄露，并且發(fā)現(xiàn)被泄露出去的部分用戶名和密碼以明碼方式存儲，這些未加密的信息可以被任何人所利用；同月，三星電子員工私自向 司泄露 示技術(shù)而被起訴； 8 月，江蘇銀行被曝 1 個(gè)月內(nèi)賣出上千份客戶資料，上海市衛(wèi)生局?jǐn)?shù)據(jù)庫外包維護(hù) 人員將數(shù)十萬條新生兒信息倒賣， 包成泄密重災(zāi)區(qū)； 9月，據(jù)美國媒體報(bào)道，黑客組織攻入并破解了聯(lián)邦調(diào)查局主管的個(gè)人筆記本電腦，從中獲得了 1200 萬蘋果用戶的包括所使用蘋果設(shè)備 型以及用戶賬戶信息在內(nèi)的重要信息； 11 月，包括申通、圓通、中通和韻達(dá)在內(nèi)的多家快遞公司的用戶信息、快遞單號等信息被大面積泄露。 從以上案例能夠看出，在社會經(jīng)濟(jì)生活信息化程度和不斷提高的同時(shí)，我們面臨的各種信息安全威脅也越來越多樣化，各類信息安全事件的發(fā)生也越來越頻繁。從我國企業(yè)目前的信息安全現(xiàn)狀來看，不管是軟硬件系統(tǒng)、組織結(jié)構(gòu)還 是信息管理方面，均有不同程度的安全隱患存在。信息安全事故引發(fā)的系統(tǒng)宕機(jī)、網(wǎng)絡(luò)中斷、數(shù)據(jù)丟失、業(yè)務(wù)停頓等現(xiàn)象時(shí)有發(fā)生，種種信息安全事件無一不說明現(xiàn)行的信息安全監(jiān)管制度的欠缺、內(nèi)部管理以及技術(shù)措施的缺失，還有個(gè)人信息安全意識的淡薄等問題。 信息化作為我國國家發(fā)展的重要戰(zhàn)略之一，是我國進(jìn)行現(xiàn)代化建設(shè)的重要內(nèi)容 1。早在 2001 年，我國的“十五”發(fā)展規(guī)劃就已經(jīng)明確將信息安全保障體系建設(shè)的相關(guān)內(nèi)容納入其中 2，各行各業(yè)也已將提高信息安全防范能力作為自身建設(shè)的重要目標(biāo)。日趨嚴(yán)重的信息安全形勢以及各國在信息安全方面的 經(jīng)驗(yàn)教訓(xùn)，對我們來說是理論和實(shí)踐上的巨大挑戰(zhàn)。信息安全問題要得到有效的解決，就需要我們采用更加科學(xué)的方法，仔細(xì)了解和分析信息安全問題特點(diǎn)和實(shí)質(zhì)，建立起適合我國實(shí)際的科學(xué)的信息安全保障體系，加快我國經(jīng)濟(jì)社會的發(fā)展。 2、研究意義 隨著我國中小企業(yè)信息化程度的進(jìn)一步提高，切切實(shí)實(shí)帶來了優(yōu)質(zhì)的管理效益和豐厚的利潤回報(bào)，為中小企業(yè)在市場中的立足和進(jìn)一步發(fā)展壯大提供了堅(jiān)實(shí)的保障基礎(chǔ)。但信息化程度不斷提高的同時(shí)信息安全問題也日漸凸顯。中小企業(yè)規(guī)模較小、經(jīng)濟(jì)實(shí)力差，企業(yè)領(lǐng)導(dǎo)者普遍缺乏信息安全意識和相關(guān)領(lǐng)域知識，造成中小 企業(yè)信息安全方面面臨著比大型企業(yè)更大的風(fēng)險(xiǎn)，隨著我國中小企業(yè)已普遍進(jìn)入信息化階段，如何有效地解決我國中小企業(yè)的信息安全問題成了擺在我們面前的一道重要的課題。 作為中小企業(yè)的代表行業(yè) 酒店業(yè)，信息安全問題更是不容忽視。伴隨國家經(jīng)濟(jì)高速增長和青海省旅游業(yè)興起，青海省年接待旅客數(shù)已逾千萬人次，各類星級酒店、經(jīng)濟(jì)型酒店和家庭旅館數(shù)量快速增長、規(guī)模不斷擴(kuò)大、服務(wù)質(zhì)量不斷提高。隨著信息化的發(fā)展，信息化水平的高低逐漸成為影響酒店服務(wù)質(zhì)量和服務(wù)效率的關(guān)鍵因素，現(xiàn)代酒店也已開始改變以往的經(jīng)營理念和競爭模式，客房數(shù)量裝璜、房 間設(shè)施等質(zhì)量競爭和價(jià)格競爭已退居其次，取而代之的則是酒店信息化的競爭。如果信息安全管理不到位致使酒店入住客人個(gè)人信息丟失、管理信息系統(tǒng)故障、內(nèi)外網(wǎng)絡(luò)中斷等各種信息安全事故頻繁發(fā)生，將會直接導(dǎo)致企業(yè)形象破壞、市場競爭力下降，所以信息安全問題已經(jīng)成為制約酒店業(yè)進(jìn)一步發(fā)展的重要瓶頸。所以，信息安全管理的規(guī)范化有助于酒店企業(yè)有效解決信息化發(fā)展過程中遇到的安全問題，擺脫信息安全問題帶來的諸多不利影響，進(jìn)一步提升企業(yè)管理水平，創(chuàng)造更高價(jià)值。 本文旨在通過在以 M 公司為代表的酒店型企業(yè)建立和實(shí)施信息安全管理體系，改善現(xiàn)有的 信息安全管理現(xiàn)狀，可以有效規(guī)范企業(yè)員工行為，確保各種安全技術(shù)手段得以順利實(shí)施，統(tǒng)籌管理各類信息資產(chǎn)，有效預(yù)防和避免信息安全事件的發(fā)生，在信息安全事件發(fā)生后能夠及時(shí)采取應(yīng)急措施保護(hù)企業(yè)資產(chǎn)不受重大損失，使信息安全協(xié)同工作獲得更高效率、更加有序和更為經(jīng)濟(jì)。 （二）研究的主要內(nèi)容 1、內(nèi)容概述 本文對酒店企業(yè) M 公司信息安全管理過程中存在的問題進(jìn)行詳細(xì)研究，并針對其在“組織、管理、運(yùn)行、技術(shù)、監(jiān)督”五個(gè)方面的信息安全管理提出優(yōu)化方案 ,使其建立起一套系統(tǒng)的、動態(tài)的、高效的信息安全管理體系，以保障公司經(jīng)營管理的信息 安全，提升公司防范信息風(fēng)險(xiǎn)的能力，增強(qiáng)企業(yè)核心競爭力。 論文主體由 6 個(gè)部分組成，各部分的主要內(nèi)容如下： 第一部分：簡單介紹了信息化背景下的酒店企業(yè)所遭遇的信息安全問題，探討了開展這項(xiàng)研究的初衷和意義。 第二部分：詳細(xì)闡述了現(xiàn)今國內(nèi)外信息安全管理的現(xiàn)狀及發(fā)展趨勢；討論了我國通過建立專門組織、制定相關(guān)法律法規(guī)、出臺技術(shù)標(biāo)準(zhǔn)來提升我國信息安全管理水平，并簡單分析了我國信息安全管理發(fā)展過程中中存在的問題；介紹了國外在信息安全管理領(lǐng)域所取得的理論成果，并對主流的管理標(biāo)準(zhǔn)進(jìn)行了詳細(xì)介紹。 第三部分：介紹了 M 公司基本情況和 信息化發(fā)展現(xiàn)狀，并以此為依據(jù)探討了M 公司信息安全問題以及信息安全管理過程中存在的不足，并且從管理、人員、資金等方面客觀地分析了問題產(chǎn)生的原因 第四部分： M 公司信息安全管理優(yōu)化方案設(shè)計(jì)。首先 根據(jù) M 公司實(shí)際運(yùn)營狀況，結(jié)合 息安全管理體系標(biāo)準(zhǔn)，從組織、管理、運(yùn)行、技術(shù)和監(jiān)督這 5 個(gè)方面入手，對原有的信息安全管理框架進(jìn)行改善 ，圍繞管理框架提出包括組織結(jié)構(gòu)、風(fēng)險(xiǎn)管理、內(nèi)審制度、技術(shù)體系在內(nèi)的 8 個(gè)方面的優(yōu)化方案，并對具體方案進(jìn)行了詳細(xì)描述。 第五部分：對優(yōu)化方案在實(shí)施過程中所遇到的重點(diǎn)問題和難點(diǎn)問題進(jìn)行了 描述，提出解決方案和注意事項(xiàng)。對方案的實(shí)施步驟以及保障措施進(jìn)行了具體敘述。 第六部分：結(jié)論。簡單說明了論文中的創(chuàng)新點(diǎn)和不足點(diǎn)，并對論文整體內(nèi)容作簡單總結(jié)。 本論文主要運(yùn)用了理論與實(shí)際相結(jié)合的方法，將信息安全管理體系建設(shè)和風(fēng)險(xiǎn)管理、 理論應(yīng)用于 M 公司信息安全管理方案的優(yōu)化，從 M 公司的信息安全管理優(yōu)化方案設(shè)計(jì)到最后的順利實(shí)施，為以酒店企業(yè)為代表的中小型企業(yè)的信息安全管理提供了重要的理論參考和實(shí)踐指導(dǎo)意義。 2、技術(shù)路線圖 安全意識淡薄 資金投入不足 相關(guān)理論 M 公司信息安全現(xiàn)狀分析 技術(shù)平臺建設(shè)組織結(jié)構(gòu)調(diào)整 運(yùn)行流程優(yōu)化管理模式變更 提出信息安全管理優(yōu)化方案 優(yōu)化方案的重點(diǎn)、難點(diǎn)分析 術(shù)人員匱乏 得出研究結(jié)論 管理模式不合理 7001 標(biāo)準(zhǔn) 續(xù)改進(jìn) 問題提出 監(jiān)督機(jī)制建立管理框架改良 二、 信息安全領(lǐng)域相關(guān)理論及經(jīng)驗(yàn) （一）國內(nèi)外信息安全管理狀 況介紹 1、國外信息安全管理現(xiàn)狀 在以美國為代表的信息化程度較高的發(fā)達(dá)國家，歷來十分重視信息安全管理。在最近幾年，這些國家都已經(jīng)開始著手制訂本國信息安全發(fā)展戰(zhàn)略規(guī)劃，以保證信息安全向著正確和既定的方向發(fā)展。美國國土安全局是負(fù)責(zé)美國信息安全管理工作的最高權(quán)力機(jī)構(gòu)，而國家安全局、國防部等部門作為信息安全管理和執(zhí)行機(jī)構(gòu)，主要任務(wù)是根據(jù)相應(yīng)的方針政策，結(jié)合自己部門的具體情況實(shí)施信息安全保障工作。 2000 年初，為了加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施以及計(jì)算機(jī)網(wǎng)絡(luò)免受威脅的防御能力，美國出臺了電腦空間安全計(jì)劃。同年 7 月，日本信息技術(shù)戰(zhàn)略 部制定了信息安全指導(dǎo)方針。隨后，俄羅斯也批準(zhǔn)了國家信息安全構(gòu)想，提出了保護(hù)信息安全的措施。 為了更加有效地實(shí)施各類信息安全措施，美、俄、日三國均將信息安全工作以法律的形式作出了明確的規(guī)定和規(guī)范。 2000 年 10 月，美國電子簽名法案正式生效， 4 天后參議院通過了互聯(lián)網(wǎng)網(wǎng)絡(luò)完備性及關(guān)鍵設(shè)備保護(hù)法案。 2000 年7 月日本出臺了信息安全政策指導(dǎo)方針，確保重要信息和網(wǎng)絡(luò)信息的安全可靠性。俄羅斯國家杜馬 2006 年 7 月頒布的信息、信息技術(shù)和信息保護(hù)法則被認(rèn)為是討論信息安全問題的基本法，成為俄羅斯信息安全立法的基 礎(chǔ)。 國際信息安全管理逐漸朝向標(biāo)準(zhǔn)化與系統(tǒng)化的方向發(fā)展。隨著 量管理體系標(biāo)準(zhǔn)的廣泛應(yīng)用，系統(tǒng)化管理的思想在其他管理領(lǐng)域也被不斷借鑒與采用。進(jìn)入 21 世紀(jì)，信息安全不再僅僅依靠安全技術(shù)手段與各種不成體系的管理規(guī)章來實(shí)現(xiàn)，信息安全管理也逐步進(jìn)入了標(biāo)準(zhǔn)化與系統(tǒng)化的時(shí)代。英國早在 1995年率先提出并制定完成了信息安全管理標(biāo)準(zhǔn) 于 1999 年對該標(biāo)準(zhǔn)進(jìn)行了重新修訂。修訂后的 為兩個(gè)部分 :信息安全管理實(shí)施規(guī)則）和 信息安全管理體系規(guī)范），其中 999 于 2000 年12月通過了國際標(biāo)準(zhǔn)化組織和國際電工聯(lián)合技術(shù)委員會的認(rèn)可 ,正式成為國際標(biāo)準(zhǔn) 000（信息技術(shù) ，這是通過 決最快的一個(gè)標(biāo)準(zhǔn) ,可見世界各國對該標(biāo)準(zhǔn)的關(guān)注和接受程度。許多國家與地區(qū)對 000 十分重視，甚至在一些國家已經(jīng)開始全面推廣與應(yīng)用該標(biāo)準(zhǔn)。信息安全風(fēng)險(xiǎn)可以在該標(biāo)準(zhǔn)的實(shí)施下實(shí)現(xiàn)有效的管理，實(shí)現(xiàn)組織信息安全。 2、國內(nèi)信息安全管理現(xiàn)狀 為了應(yīng)對日趨嚴(yán)重的信息安全問題，中央及各省市相繼成立了網(wǎng) 絡(luò)與信息安全領(lǐng)導(dǎo)小組，全面負(fù)責(zé)信息安全工作。 2001 年國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，標(biāo)志著我國信息安全保障工作正式啟動，國家信息安全組織保障體系初步建成。 1999 年，國家互聯(lián)網(wǎng)應(yīng)急中心（ C）成立，致力于建設(shè)國家級的網(wǎng)絡(luò)安全監(jiān)測中心、預(yù)警中心、應(yīng)急中心，以支撐政府主管部門履行網(wǎng)絡(luò)安全相關(guān)的社會管理和公共服務(wù)職能，支持基礎(chǔ)信息網(wǎng)絡(luò)的安全防護(hù)和安全運(yùn)行，支援重要信息系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和處置。 2001 年，成立了中國信息安全測評中心，是我國專門從事信息技術(shù)安全測試和風(fēng)險(xiǎn)評估 的權(quán)威職能機(jī)構(gòu)，負(fù)責(zé)信息技術(shù)產(chǎn)品和系統(tǒng)的安全漏洞分析與信息通報(bào)，負(fù)責(zé)黨政機(jī)關(guān)信息網(wǎng)絡(luò)、重要信息系統(tǒng)的安全風(fēng)險(xiǎn)評估，開展信息技術(shù)產(chǎn)品、系統(tǒng)和工程建設(shè)的安全性測試與評估，開展信息安全服務(wù)和專業(yè)人員的能力評估與資質(zhì)審核，從事信息安全測試評估的理論研究、技術(shù)研發(fā)、標(biāo)準(zhǔn)研制等。 2003 年，國家信息化領(lǐng)導(dǎo)小組根據(jù)國家信息化發(fā)展的客觀需求和網(wǎng)絡(luò)與信息安全工作的現(xiàn)實(shí)需要，制定頒布了關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā) 200327 號），明確了“積極防御、綜合防范”的國家安全保障工作方針 3，提出了加強(qiáng)信息安全保障 工作的總體要求和主要原則，以及進(jìn)一步提高信息安全保障工作能力和水平、維護(hù)公眾利益和國家安全、促進(jìn)信息化建設(shè)健康發(fā)展的具體意見。 27 號文件的頒布標(biāo)志著我國全面啟動了信息安全保障體系的建設(shè)，并以中央文件的形式將信息安全工作提上到“保障”信息化發(fā)展的高度 4。 我國信息安全管理標(biāo)準(zhǔn)的制定實(shí)施工作比起國外較為落后。各部門行業(yè)在其實(shí)踐工作的基礎(chǔ)上，分別制定了一些部門或行業(yè)內(nèi)信息安全管理規(guī)范，對各自的信息安全管理工作起到了一定的指導(dǎo)作用，但缺乏對安全管理整體性上的認(rèn)識和研究，沒有統(tǒng)一的規(guī)劃，使得我國信息安全管理國家 標(biāo)準(zhǔn)在較長的一段時(shí)間內(nèi)成為空白領(lǐng)域，直到 2002 年，全國信安標(biāo)委信息安全管理工作組 (成立。在國務(wù)院信息化工作辦公室和國家標(biāo)準(zhǔn)化管理委員會的指導(dǎo)下， 定了多項(xiàng)信息安全管理基礎(chǔ)和重要標(biāo)準(zhǔn)，并且對國際上重要的信息安全管理體系相關(guān)標(biāo)準(zhǔn)進(jìn)行研究。截止目前， 式發(fā)布了 9 項(xiàng)信息安全管理國家標(biāo)準(zhǔn)：信息技術(shù) 信息技術(shù)安全管理指南 第 1部分：信息技術(shù)安全概念和模型 ( ,信息技術(shù) 信息技術(shù)安全管理指南 第 2 部分：管理和規(guī)劃信息技術(shù)安全（ 信息技術(shù) 信息安全管理實(shí)用規(guī)則（ 19716信息安全技術(shù) 信息系統(tǒng)安全管理要求（ 20269信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（ 20282信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范（ 20984信息技術(shù) 安全技術(shù) 信息安全事件管理指南（ 20985信息安全技術(shù) 信息安全事件分類分級指南（ 20986信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（ 20988其中 19716 20985由國際先進(jìn)標(biāo)準(zhǔn)轉(zhuǎn)化而來的， 20269 20282吸收原有行業(yè)標(biāo)準(zhǔn)的精華上升為國家標(biāo)準(zhǔn)的， 20984 20986 20988是根據(jù)國家關(guān)于信息安全風(fēng)險(xiǎn)評估、重要信息系統(tǒng)災(zāi)難備份，以及應(yīng)急處理制度和網(wǎng)絡(luò)與信息安全信息通報(bào)制度等有關(guān)文件的精神 和要求，自主研究制定的國家標(biāo)準(zhǔn)。 信息安全管理的相關(guān)法律法規(guī)不斷制定出臺。為加強(qiáng)信息安全管理工作，國家各相關(guān)部門、行業(yè)和地方政府相繼頒布實(shí)施了計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法（公安部）、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法（公安部）、計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國家保密局）、商用密碼管理?xiàng)l例、互聯(lián)網(wǎng)信息服務(wù)管理辦法、計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定（國家保密局）、計(jì)算機(jī)病毒防治管理辦法（公安部）、計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定（國家保密局）、 計(jì)算機(jī)病毒防治管理辦法（公安部）、電子簽名法、電子認(rèn)證服務(wù)管理辦法、廣東省電子政務(wù)信息安全管理暫行辦法、上海市信息系統(tǒng)安全測評管理辦法等有關(guān)信息安全管理的法律法規(guī)文件。 我國信息安全管理尚存在許多的問題： （ 1）信息安全管理還比較混亂。無論對于國家、行業(yè)還是企業(yè)來說都缺乏一個(gè)戰(zhàn)略層面的指導(dǎo)體系。實(shí)際管理力度和政策的執(zhí)行、監(jiān)督力度均顯不足。 （ 2）完備的信息安全管理體系規(guī)范尚未建立。 （ 3）信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)體系依然有待完善。 （ 4）信息安全意識淡薄，普遍存在重產(chǎn)品輕服務(wù)，重技術(shù)輕管理的思 想。 （ 5）信息安全專項(xiàng)經(jīng)費(fèi)投入不足，信息安全管理人才極度缺乏。 （ 6）信息安全技術(shù)創(chuàng)新不夠，沒有高質(zhì)量的信息安全產(chǎn)品。 （ 7）沒有一個(gè)權(quán)威、專門的立法管理機(jī)構(gòu)來履行信息安全相關(guān)的組織協(xié)調(diào)工作。 （ 8）我國自己的信息安全管理標(biāo)準(zhǔn)太少，很多都是沿用國際標(biāo)準(zhǔn)。 （二）國內(nèi)外信息安全領(lǐng)域的理論研究成果 1、 準(zhǔn) 準(zhǔn)由美國國防科學(xué)委員會于 1970 年正式提出，是第一個(gè)計(jì)算機(jī)系統(tǒng)安全評估的正式標(biāo)準(zhǔn)，它的提出具有劃時(shí)代的意義。該準(zhǔn)則在 1985 年 12 月由美國國防部作為軍用標(biāo)準(zhǔn)公布，后來才延至民用領(lǐng)域。 美國國防部在 準(zhǔn)中按信息的等級和應(yīng)用采用的響應(yīng)措施，將計(jì)算機(jī)安全從高到低分為： A、 B、 C、D 四類八個(gè)級別，共 27 條評估準(zhǔn)則。其中 D 為無保護(hù)級， C 為自主保護(hù)級， B 為強(qiáng)制保護(hù)級， A 為驗(yàn)證保護(hù)級。 （ 1） D 類安全等級只有 個(gè)級別，它的安全等級最低。 統(tǒng)只提供文件和用戶的安全保護(hù)，其最普通的形式就是本地操作系統(tǒng)，或是一個(gè)沒有采取任何保護(hù)措施的網(wǎng)絡(luò)。 （ 2） C 類安全等級可以為系統(tǒng)提供審慎的保護(hù)，并且提供用戶行為和責(zé)任的審計(jì)。 C 類安全等級可以分成 類。 統(tǒng)通過將用戶和數(shù)據(jù)分開，建立可信任 的運(yùn)算基礎(chǔ)體制，從而達(dá)到安全的目的。所有的用戶都認(rèn)為 統(tǒng)中的文檔具有同樣的機(jī)密性，即用戶以相同的靈敏度來處理數(shù)據(jù)。 統(tǒng)包含統(tǒng)中全部的安全性特征，而且在 統(tǒng)的基礎(chǔ)上增加了可以調(diào)節(jié)的審慎控制，其通過登錄過程、安全事件以及資源隔離來加強(qiáng)強(qiáng)這種控制。 統(tǒng)的用戶在連接到網(wǎng)絡(luò)中時(shí)可以分別對各自的行為負(fù)責(zé)。 （ 3） B 類安全等級 可以 分為 個(gè) 類 別。 統(tǒng) 具有強(qiáng)制性保護(hù)功能 ，這就意味著 用戶如果沒有與 之相連的 安全等級，就 無法被許可 存取對象。了 滿足 外， 還要求其 管 理員必須 采用 一個(gè)明確的、文檔化的策略模式 為 系統(tǒng) 提供一個(gè) 可信任 的 運(yùn)算基礎(chǔ)體制。 統(tǒng) 在 統(tǒng) 的安全基礎(chǔ)上有所增強(qiáng)，它 具有 十分 強(qiáng)的監(jiān)視委托管理訪問能力 以及 抗干擾能力。統(tǒng) 中 必須設(shè)有安全管理員。 （ 4） A 類安全等級級別最高，只包含 個(gè)安全類別。 統(tǒng)有個(gè)顯著的特征：系統(tǒng)的設(shè)計(jì)者必須按正式的設(shè)計(jì)規(guī)范來分析系統(tǒng)，在對系統(tǒng)進(jìn)行分析后，設(shè)計(jì)者須采用核對技術(shù)來保證系統(tǒng)符合設(shè)計(jì)規(guī)范。同 相似， 統(tǒng)對系統(tǒng)的結(jié)構(gòu)以及策略不作特別的要求。 2、 5408 標(biāo)準(zhǔn) 在信息安全保障階段，英、法、德、荷四國提出 了評價(jià)滿足保密性、完整性、可用性要求的信息技術(shù)安全評價(jià)準(zhǔn)則（ ，美國又聯(lián)合以上四國和加拿大，以及國際標(biāo)準(zhǔn)化組織（ 同提出信息技術(shù)安全評價(jià)的通用準(zhǔn)則（ 目前， 經(jīng)被部分技術(shù)發(fā)達(dá)的國家承認(rèn)為代替 評價(jià)安全信息系統(tǒng)的標(biāo)準(zhǔn)，并且被采納為信息技術(shù)安全評估準(zhǔn)則國家標(biāo)準(zhǔn) 5408。 5408 由三部分組成：一、介紹以及一般模型；二、安全功能需求；三、安全認(rèn)證需求。這項(xiàng)準(zhǔn)則比以往的其它信息技術(shù)安全評估準(zhǔn)則更加規(guī)范，分別采用類別、認(rèn)證族、認(rèn)證部件和認(rèn)證元件的方式定義準(zhǔn)則 。類別中有若干族，族中又有若干部件，部件中還有若干元件。 5408 準(zhǔn)則規(guī)定了三種測評類別：安全防護(hù)結(jié)構(gòu)、安全目標(biāo)和認(rèn)證級別測評 ；八個(gè)認(rèn)證類別：開發(fā)類、配置管理類、生命周期支持類、分發(fā)和操作類、測試類、指導(dǎo)性文檔類、保證維護(hù)類和脆弱性評定類；七個(gè)評估認(rèn)證級別類別：功能測試、結(jié)構(gòu)測試、方法測試和檢查、方法設(shè)計(jì)測試和檢查、半形式設(shè)計(jì)和測試、半形式驗(yàn)證設(shè)計(jì)和測試、形式驗(yàn)證設(shè)計(jì)和測試；十一個(gè)安全功能類別：通信類、安全審計(jì)類、密碼支持類、標(biāo)識和鑒別類、用戶數(shù)據(jù)保護(hù)類、隱秘類、安全管理類、 護(hù)類、 問類、資源利用類、可信路徑 /信道類。 3、 準(zhǔn) 準(zhǔn)最初由英國貿(mào)易工業(yè)部于 1993 年立項(xiàng)。 1995 年， 1995信息安全管理實(shí)施細(xì)則在英國首次出版，它提供了一套由信息安全最佳慣例組成的綜合性實(shí)施規(guī)則，確定了信息系統(tǒng)在大多數(shù)情況下所需要控制范圍的參考標(biāo)準(zhǔn)，而且適用于各類規(guī)模的組織。 準(zhǔn)的第二部分 1998信息安全管理體系規(guī)范于 1998 年在英國公布，它規(guī)定了信息安全管理體系的要求和信息安全控制的要求。這項(xiàng)標(biāo)準(zhǔn)是評估一個(gè)組織信息安全管理體 系的基礎(chǔ)，可以將其作為一個(gè)正式認(rèn)證方案的依據(jù)。 第一、第二部分在 1999 年經(jīng)過修訂重新予以發(fā)布，修訂版增加了信息處理技術(shù)相關(guān)內(nèi)容，特別是在網(wǎng)絡(luò)和數(shù)據(jù)通信領(lǐng)域應(yīng)用的最新發(fā)展，另外，標(biāo)準(zhǔn)還十分強(qiáng)調(diào)了商務(wù)領(lǐng)域涉及到的信息安全以及信息安全責(zé)任。 2000 年底， 1999信息安全管理實(shí)施細(xì)則終于通過國際標(biāo)準(zhǔn)化組織（ 認(rèn)可，并且正式成為國際標(biāo)準(zhǔn) 77992000信息技術(shù) 信息安全管理實(shí)施細(xì)則。 2002年 9月， 002草案在經(jīng)歷了廣 泛的討論之后，最終發(fā)布成為了正式標(biāo)準(zhǔn)，與此同時(shí)999 被廢止。 2004 年 9 月， 002 正式發(fā)布，一年后，該標(biāo)準(zhǔn)被 織所采納為 7001:2005。 2005 年 6 月， 7799:2000經(jīng)過改版，形成了新的 7799:2005，新版本較老版本無論是組織編排還是內(nèi)容完整性上都有了很大增強(qiáng)和提升，并在 2007 年 7 月正式發(fā)布為 7002:2005。 999 標(biāo)準(zhǔn)詳細(xì)介紹了 “ 什么是信息安全、為什么 需要信息安全、如何確定安全需要、評估安全風(fēng)險(xiǎn)、選擇控制措施、信息安全起點(diǎn)、關(guān)鍵的成功因素、制定自己的準(zhǔn)則 ” 等內(nèi)容 ,定義了信息安全的保密性、完整性和可用性。保密性是指確保被授權(quán)的人才能獲取到信息；完整性是指保護(hù)信息以及信息的處理方法，使其保持準(zhǔn)確及完整；可用性是指保障被授權(quán)的使用人在必要的時(shí)候能夠獲取到信息，而且可以使用相關(guān)資產(chǎn)。該標(biāo)準(zhǔn)的正文規(guī)定了 127 個(gè)安全控制措施，幫助組織識別對信息安全有影響的不利元素 ,組織可以按照適用的法律法規(guī)加以選擇和使用 ,或增加其他附加控制。這 127 個(gè)安全控制措施被分成了 10 個(gè)方面 ,是組織實(shí)施信息安全管理的指南 ,這 10 個(gè)方面分別是 :（ 1）安全方針 :制定信息安全方針 ,以提供管理指導(dǎo)及支持；（ 2）組織安全 :通過建立信息安全基礎(chǔ)設(shè)施 ,來有效地管理組織范圍內(nèi)的信息安全；（ 3）資產(chǎn)分類和控制 :審核所有的信息資產(chǎn) ,將其進(jìn)行分類 ,保證信息資產(chǎn)能夠受到適當(dāng)程度的保護(hù)；（ 4）人員安全 :進(jìn)行工作職責(zé)定義，注意人力資源中的安全 ,以減少人為差錯，防止設(shè)施因人為因素造成破壞的風(fēng)險(xiǎn) ; （ 5）物理和環(huán)境的安全 :定義安全區(qū)域 ,保護(hù)設(shè)備的安全 ,防止未授權(quán)的信息訪問、信息資產(chǎn)的流失和信息處理設(shè)備的損壞；（ 6）通信和操作 管理 :訂立操作規(guī)程，明確職責(zé) , 建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，防范惡意軟件，建立內(nèi)務(wù)規(guī)程，確保將系統(tǒng)發(fā)生故障的風(fēng)險(xiǎn)減到最小 ,保持信息的完整性；（ 7）訪問控制 : 建立全面的用戶訪問管理 ,劃分訪問職責(zé)，實(shí)現(xiàn)信息訪問的可控性，從而確保信息安全；（ 8）系統(tǒng)開發(fā)和維護(hù) : 使用密碼等工具控制應(yīng)用系統(tǒng)的在開發(fā)、支持和使用過程中的安全 ,確保安全被構(gòu)建在信息系統(tǒng)內(nèi) ;（ 9）業(yè)務(wù)持續(xù)性管理 :目的是為了減少業(yè)務(wù)活動的中斷 ,從而防止關(guān)鍵業(yè)務(wù)受主要故障或者天災(zāi)的影響；（ 10）符合性 :信息系統(tǒng)的管理和設(shè)計(jì)使用必須符合法律的要求 ,以防違背法律規(guī) 章、合約義務(wù)和其他安全要求。 002 標(biāo)準(zhǔn)詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng) (要求 ,提出了建立信息安全管理體系的具體步驟 :（ 1）定義信息安全策略。根據(jù)組織內(nèi)各個(gè)部門的實(shí)際情況 ,分別制訂不同的信息安全策略，并以書面形式發(fā)放給組織內(nèi)成員，實(shí)施信息安全策略培訓(xùn)，嚴(yán)格落實(shí)在工作實(shí)際中；（ 2）定義范圍。根據(jù)組織實(shí)際情況，劃分不同的信息安全領(lǐng)域，確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域 ,以此可以對具有不同安全需求的領(lǐng)域進(jìn)行恰當(dāng)?shù)男畔踩芾怼＃?3）開展信息安全風(fēng)險(xiǎn)評估。按照組織 對信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求，對信息資產(chǎn)進(jìn)行鑒定和估價(jià) ,對各種威脅和脆弱性進(jìn)行評估 ,同時(shí)對安全管制措施進(jìn)行鑒定； (4)信息安全風(fēng)險(xiǎn)管理。根據(jù)風(fēng)險(xiǎn)評估結(jié)果進(jìn)行有針對性的風(fēng)險(xiǎn)管理，主要包括降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn) 4 種措施； (5)明確管控目標(biāo)及管控措施。在費(fèi)用低于風(fēng)險(xiǎn)所造成的損失的前提下，組織應(yīng)該實(shí)時(shí)對所選的管控措施和管控目標(biāo)進(jìn)行校驗(yàn)或調(diào)整 ,適應(yīng)變化的情況，使信息資產(chǎn)可以得到及時(shí)有效、經(jīng)濟(jì)合理的保護(hù)； (6)預(yù)備信息安全適用性聲明。信息安全適用性聲明中記錄了風(fēng)險(xiǎn)管控目標(biāo)和控制措施，說明組織對組織內(nèi)的信息安 全系統(tǒng)已經(jīng)進(jìn)行了全面的審視 ,并且有效地將需要管控的風(fēng)險(xiǎn)控制在可以被接受的范圍內(nèi) 2。 現(xiàn)在，由 準(zhǔn)發(fā)展而來的 005 標(biāo)準(zhǔn)已經(jīng)得到了許多國家的接受認(rèn)可，成為具有代表性的國際信息安全管理體系標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)發(fā)布以來，獲得許多國家和組織的認(rèn)可，有相當(dāng)數(shù)量的組織按照該標(biāo)準(zhǔn)進(jìn)行了信息安全管理體系的認(rèn)證 3。截止到 2011 年底，頒發(fā)的 證證書總數(shù)約有 15625 張。我國自從 2008 年將 005 轉(zhuǎn)化為國家標(biāo)準(zhǔn) 22080:2008 以來，信息安全管理體系 認(rèn)證在我國國內(nèi)獲得了進(jìn)一步的推廣應(yīng)用，截止到 2011 年底，國內(nèi)頒發(fā)認(rèn)證證書數(shù)量是 1107 張。隨著移動互聯(lián)網(wǎng)的興起、云計(jì)算技術(shù)的快速發(fā)展，帶來了全新的信息安全風(fēng)險(xiǎn)，使得越來越多的組織認(rèn)識到信息安全的重要性，將信息安全管理當(dāng)做基礎(chǔ)的管理工作之一進(jìn)行開展。如今除英國之外，荷蘭、丹麥、澳大利亞等國已經(jīng)表示同意使用此標(biāo)準(zhǔn)；瑞士、日本、盧森堡等國家也均表現(xiàn)出對 005 標(biāo)準(zhǔn)的興趣。有很多國家的政府機(jī)構(gòu)、金融企業(yè)、電信運(yùn)營商以及很多跨國企業(yè)都已采用此標(biāo)準(zhǔn)對自己的信息安全進(jìn)行系統(tǒng)的管理，到2010 年 3 月底， 國際國內(nèi)共有 6385 家企業(yè)已通過 證 。 三、 M 公司信息化建設(shè)和信息安全現(xiàn)狀 （一） M 公司信息化發(fā)展概述 M 公司是附屬于西部機(jī)場集團(tuán)青海分公司的一家 3 星級涉外酒店。酒店距離西寧曹家堡機(jī)場僅 2 公里，集會議、餐飲、住宿、購物、娛樂等功能為一體，主要針對來青海旅游、開會、培訓(xùn)的游客提供優(yōu)質(zhì)服務(wù)。 2011 年經(jīng)過重新裝修改造，加強(qiáng)了各種軟硬件設(shè)施的配備，使得酒店整體環(huán)境煥然一新。 M 公司重視人才隊(duì)伍的培養(yǎng)和引入，要求企業(yè)員工具有現(xiàn)代化的服務(wù)意識，加強(qiáng)企業(yè)管理創(chuàng) 新能力，注重提升企業(yè)文化，是青海省內(nèi)星級酒店的優(yōu)秀代表。作為 2011 年酒店所進(jìn)行的裝修改造項(xiàng)目中的重點(diǎn)內(nèi)容，公司對信息化建設(shè)進(jìn)行了全面的部署和開展。建設(shè)完成的信息化項(xiàng)目基本覆蓋了酒店全部的業(yè)務(wù)范圍，其中包括客房管理、辦公自動化、會計(jì)電算化、采購及物流管理等基礎(chǔ)業(yè)務(wù)內(nèi)容，利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)將酒店在運(yùn)營過程中所涉及到的人員、資金以及數(shù)據(jù)等信息進(jìn)行采集，并加以分析，為管理層提供決策基礎(chǔ)。整體的信息化框架結(jié)構(gòu)搭建比較完整，信息化建設(shè)水平比較高。通過與該公司管理層、信息系統(tǒng)用戶、信息管理人員等進(jìn)行充分接觸和討論，對調(diào) 研結(jié)果進(jìn)行深入分析，發(fā)現(xiàn)該公司近年來信息化建設(shè)取得了較快的發(fā)展，但其中也存在著不少問題。 M 公司目前現(xiàn)主要的信息化應(yīng)用包括辦公自動化（ 會計(jì)電算化和酒店餐飲住宿管理信息系統(tǒng)等。通過調(diào)查獲知， M 公司日常經(jīng)營中使用微軟 要用于文件報(bào)表的編輯和打印。另外，該公司還建有內(nèi)部網(wǎng)絡(luò)，應(yīng)用一套大型的、基于 B/S 結(jié)構(gòu)的 統(tǒng)。酒店員工均可使用自己的賬號和密碼登錄該 統(tǒng)查看、處理各類公文，辦理請銷假、考勤、日程管理、會議安排等事務(wù)。會計(jì)電算化方面，主要以財(cái)務(wù)部門使用的用友 務(wù)管理軟件為主，包括總賬、應(yīng)收（付）款管理、固定資產(chǎn)、報(bào)表、票據(jù)、現(xiàn)金流、公司對賬、財(cái)務(wù)分析等功能模塊，實(shí)現(xiàn)了 M 公司的基礎(chǔ)財(cái)務(wù)管理控制。該酒店在人力資源管理、供應(yīng)鏈管理、客戶關(guān)系管理等方面的應(yīng)用信息化較少，沒有專用軟件，主要使用 表格處理軟件進(jìn)行簡單管理。 因?yàn)殡S著信息化網(wǎng)絡(luò)的快速發(fā)展，對于酒店企業(yè)而言，為了對各類信息系統(tǒng)進(jìn)行有效的統(tǒng)一管理、為企業(yè)帶來更高經(jīng)濟(jì)收益、提升企業(yè)對外形象、打響社會知名度，電子商務(wù)的建設(shè)必不可少。酒店企業(yè)的電子商務(wù)建設(shè)主要包括：內(nèi)部局域網(wǎng)建設(shè)、互聯(lián)網(wǎng)接入、企業(yè)門戶網(wǎng)站建 設(shè)等方面。經(jīng)過調(diào)查分析， M 公司已經(jīng)建成了內(nèi)部局域網(wǎng)，用于內(nèi)部信息傳輸和處理，并且實(shí)現(xiàn)和青海機(jī)場公司內(nèi)部網(wǎng)絡(luò)對接；各部門和酒店客房均接入互聯(lián)網(wǎng)，可以隨時(shí)上網(wǎng)查資料、發(fā)郵件；公司門戶網(wǎng)站尚未建立，沒有開展網(wǎng)上營銷活動。 M 公司已經(jīng)具備了基本的電子商務(wù)條件，可以充分利用現(xiàn)代信息技術(shù)為酒店經(jīng)營服務(wù)。但是，由于信息系統(tǒng)應(yīng)用的缺乏，還不能使已建成的網(wǎng)絡(luò)發(fā)揮實(shí)際的效用。特別是互聯(lián)網(wǎng)的接入僅僅為了查資料方便，沒有考慮信息雙向交流、實(shí)現(xiàn)酒店網(wǎng)絡(luò)化管理的目的，加之門戶網(wǎng)站還未建立，不但無法對外進(jìn)行企業(yè)形象宣傳展示，更加無法通過互 聯(lián)網(wǎng)進(jìn)行服務(wù)預(yù)定、客戶交流、網(wǎng)絡(luò)銷售等業(yè)務(wù)。 由于近年來計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅速，信息知識更新?lián)Q代速度加快。因此，信息化人才的培養(yǎng)教育顯得尤為重要。從 M 公司實(shí)際情況來看，公司對于信息化人才的重視程度依然不足，僅僅實(shí)現(xiàn)對部分職工進(jìn)行對應(yīng)崗位的信息化培訓(xùn)，比如對財(cái)務(wù)部門人員只培訓(xùn)其會計(jì)電算化相關(guān)技能方面的知識、對酒店前臺人員只培訓(xùn)其掌握客房管理及收銀開票系統(tǒng)的使用。公司采取的教育形式通常是短期、集中、一次性的培訓(xùn)，為了熟練掌握各崗位所需的計(jì)算機(jī)技能，公司大多數(shù)職工只能通過自學(xué)的方式進(jìn)行學(xué)習(xí)。為了節(jié)約人力成本， M 公 司沒有專門的計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)維護(hù)人員，一旦系統(tǒng)出了故障，在本單位兼職信息管理人員無法解決的情況下，往往是臨時(shí)請軟件公司或者網(wǎng)絡(luò)公司的技術(shù)人員來維護(hù)。從 M 公司計(jì)算機(jī)專業(yè)人員的構(gòu)成上來看，公司共有 80 人（包括管理層和服務(wù)人員），其中計(jì)算機(jī)專業(yè)本科生僅有 2 人，分別擔(dān)任總經(jīng)理助理和餐飲部經(jīng)理，兼公司的信息管理及維護(hù)工作；計(jì)算機(jī)相關(guān)專業(yè)?？粕?3 人，都是客房服務(wù)人員，不具有信息管理能力?？梢钥闯?，在 M 公司中，信息管理高層次從業(yè)人才很少，對單位信息化建設(shè)及發(fā)展十分不利，信息化人才已經(jīng)成為制約公司信息化發(fā)展的主要因素。因此， M 公司應(yīng)當(dāng)著力培養(yǎng)信息化人才的培養(yǎng)，以適應(yīng)當(dāng)前的信息化建設(shè)。 （二） M 公司存在的信息安全問題及其分析 1、 M 公司現(xiàn)階段面臨的主要信息安全問題 （ 1）病毒。在調(diào)查過程中，當(dāng)問及最令人困擾的信息安全問題時(shí)，公司中有近一半的人認(rèn)為是病毒問題，并且大部分人表示自己的計(jì)算機(jī)曾經(jīng)中過病毒，以至于影響計(jì)算機(jī)正常運(yùn)行，造成資料數(shù)據(jù)的丟失和工作的拖延。 （ 2）非法訪問。有 40%的被訪問者表示，非法訪問仍然是存在于企業(yè)內(nèi)部的重要問題。許多員工為了工作方便，往往沒有為個(gè)人電腦設(shè)置密碼，或者設(shè)置的密碼很簡單，沒有被授權(quán)的人 能夠隨意訪問、使用自己的電腦，以至于個(gè)人工作秘密被泄露、個(gè)人資料被刪除等情況時(shí)有發(fā)生。 （ 3）網(wǎng)絡(luò)攻擊。隨著互聯(lián)網(wǎng)的接入，公司網(wǎng)絡(luò)不斷受到來自互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)攻擊。特別是 拒絕服務(wù)）為代表的網(wǎng)絡(luò)攻擊常常造成公司大量網(wǎng)絡(luò)帶寬被無端占用，使得網(wǎng)絡(luò)設(shè)備宕機(jī)，無法響應(yīng)客戶請求，甚至造成數(shù)據(jù)包丟失，嚴(yán)重影響信息管理技術(shù)力量本來就比較弱的 M 公司各項(xiàng)業(yè)務(wù)的正常開展。 （ 4） 垃圾郵件。 M 公司沒有建立自己的郵件服務(wù)器，對于公司職員說，使用各大網(wǎng)站提供的免費(fèi)郵箱更為快捷方便。但是這種公共郵箱受到垃圾郵件攻擊的概率十 分高，垃圾郵件中包含的有害信息和各種木馬病毒嚴(yán)重降低了公司運(yùn)轉(zhuǎn)的效率，使運(yùn)營成本大大提高。 （ 5） 惡意軟件。 M 公司的普通員工經(jīng)常利用閑暇時(shí)間上網(wǎng)瀏覽網(wǎng)站，或者是下載一些自己感興趣的圖片、文章和軟件，不知不覺中面臨著惡意軟件的威脅。據(jù)統(tǒng)計(jì)，互聯(lián)網(wǎng)上有 10%的網(wǎng)站在不知情的情況下被惡意掛了木馬病毒，上網(wǎng)者在瀏覽該網(wǎng)站時(shí)瀏覽器就會自動下載運(yùn)行該木馬，從而遭受不必要的損失。另一方面，還有許多上網(wǎng)電腦在未經(jīng)許可的情況下“被”安裝了各種流氓軟件、廣告軟件、瀏覽器劫持或者間諜軟件等惡意程序，這些程序能夠在用戶不知情的情 況下，偷偷收集用戶信息，打開后門端口，為黑客入侵大開方便之門，為公司信息安全埋下嚴(yán)重隱患。 （ 6）信息管理失控。由于 M 公司員工普遍缺乏信息資產(chǎn)的保護(hù)意識和防范能力，底層員工流動性大，信息管控容易出現(xiàn)問題，比較容易因員工的流失而導(dǎo)致重要信息的泄露。 以上問題，都可能會嚴(yán)重威脅到 M 公司信息安全機(jī)密性、完整性和可用性，如果不進(jìn)行預(yù)防和改進(jìn)，輕則給公司造成重大損失，重則會影響到公司的生存和發(fā)展。 2、 M 公司現(xiàn)階段存在的信息安全管理方面的問題 （ 1）信息安全管理框架覆蓋不全 M 公司管理層對信息安全管理框架沒有具體的概念和 定義，經(jīng)過梳理發(fā)現(xiàn)，該公司在安全管理方面一直以來圍繞著“組織、技術(shù)、制度”三個(gè)方面開展，并且主要使用技術(shù)手段來構(gòu)建信息安全防護(hù)體系，其暴露出管理上的不足，從而造成人員風(fēng)險(xiǎn)和運(yùn)行風(fēng)險(xiǎn)的增加、制度的僵化和執(zhí)行不力，以及由于監(jiān)督反饋環(huán)節(jié)的缺失而導(dǎo)致無法準(zhǔn)確評估和改進(jìn)管理手段。 （ 2）信息安全教育不到位，員工信息安全認(rèn)知度低 由于缺乏專業(yè)規(guī)范的指導(dǎo)， M 公司的信息安全教育僅僅停留在單純的信息安全知識宣傳和計(jì)算機(jī)安全防護(hù)技術(shù)的簡單教授層面，對如何提高信息安全認(rèn)知度沒有具體的認(rèn)識和措施，在教育培訓(xùn)方面也存在敷衍了事的對待 態(tài)度，無論是具體的培訓(xùn)計(jì)劃還是專業(yè)信息安全管理人員的培養(yǎng)上都沒有相關(guān)的實(shí)施方案，從而造成員工們對信息安全管理的認(rèn)識不足，引入人員安全風(fēng)險(xiǎn)。 為了檢驗(yàn)公司員工信息安全認(rèn)知度的水平，特設(shè)計(jì)了一套有關(guān)信息安全基礎(chǔ)知識方面的試卷（滿分 100），并從公司隨即抽選 30 人進(jìn)行閉卷答題，考試成績分布如圖 3 圖 3M 公司信息安全基礎(chǔ)知識考試成績 可見，有 60%的員工在此次考試中成績不合格 （低于 60 分）， M 公司員工信息安全認(rèn)知度整體偏低。 （ 3）信息安全管理組織結(jié)構(gòu)不合理 M 公司在 2011 年建立了以主管信息化的副總經(jīng)理為組長的信息化工作領(lǐng)導(dǎo)小組，辦公室設(shè)在公司信息科。該領(lǐng)導(dǎo)小組負(fù)責(zé)公司信息化建設(shè)方面的一切事務(wù)，包括信息安全管理。信息化工作領(lǐng)導(dǎo)小組是一個(gè)虛擬組織，其成員分布在各個(gè)部門，日常信息安全管理問題交由信息科具體負(fù)責(zé)辦理。這樣的組織結(jié)構(gòu)沒有突出信息安全的重要性，成員的單一化使得職責(zé)分工不明確，最后導(dǎo)致以技術(shù)為主、管理為輔的管理模式，不能很好的履行建立和實(shí)施信息安全管理體系所要求的職責(zé)。 （ 4）信息安全審計(jì)制度不健全 M 公司會定期組織人員對本單位的信息安全進(jìn)行內(nèi)部審計(jì)，但是由于沒有設(shè)置安全審計(jì)員的崗位，信息安全管理和審計(jì)工作都由信息科完成，違背了審計(jì)工作的回避原則，審計(jì)工作不能達(dá)到預(yù)期效果；另一方面，由于公司審計(jì)人員對信息安全審計(jì)工作的認(rèn)識有限，流程不規(guī)范，使得潛在的問題可能無法被及時(shí)發(fā)現(xiàn)。 （ 5）信息安全風(fēng)險(xiǎn)管理不科學(xué) M 公司在風(fēng)險(xiǎn)管理過程中沒有參考通行的國內(nèi)外標(biāo)準(zhǔn)，通過信息管理員簡單分?jǐn)?shù)段 30分以下 3060708090分以上 人數(shù) 5 13 7 4 1 0 的采用風(fēng)險(xiǎn)點(diǎn)分析的方法來進(jìn)行風(fēng)險(xiǎn)管理。由于缺乏對現(xiàn)有信息資產(chǎn)的有效識別，使得信息管理員在分析風(fēng)險(xiǎn)點(diǎn)（安全薄 弱點(diǎn)）時(shí)，僅僅靠實(shí)際工作經(jīng)驗(yàn)來判斷，對各種威脅和薄弱點(diǎn)的評估偏離實(shí)際安全管理需求，無法提出合理的控制措施，造成風(fēng)險(xiǎn)管理不到位，不能起到應(yīng)有的作用。 （ 6）信息安全監(jiān)控報(bào)警及響應(yīng)恢復(fù)機(jī)制操作性差 M 公司現(xiàn)有的監(jiān)視報(bào)警系統(tǒng)只應(yīng)對個(gè)別的信息系統(tǒng)進(jìn)，不能提供全面的、集中的監(jiān)視報(bào)警管理。另外，沒有建立值班制度，使得報(bào)警信息不能及時(shí)被獲知和處理，加大了信息資產(chǎn)遭受破壞的可能性增大。 M 公司制定了信息安全應(yīng)急響應(yīng)預(yù)案，其中對發(fā)生信息安全事件時(shí)信息安全管理相關(guān)人員和部門的職責(zé)作了規(guī)定，但是沒有考慮自身實(shí)際，制訂的預(yù)案適合 大型企業(yè)應(yīng)用，對現(xiàn)實(shí)指導(dǎo)意義不強(qiáng)，不具備很強(qiáng)的操作性，所以需要結(jié)合自身企業(yè)規(guī)模和特點(diǎn)進(jìn)行再完善。 （ 7）技術(shù)保障體系不能滿足實(shí)際安全需求 由于資金投入不足，缺少計(jì)算機(jī)技術(shù)人才， M 公司在技術(shù)平臺建設(shè)上有很多問題和不足。在與機(jī)場公司內(nèi)部網(wǎng)絡(luò)的連接處以及互聯(lián)網(wǎng)入口處部署了防火墻，能夠起到一定的防御作用；其次在所有客戶端計(jì)算機(jī)上安裝了免費(fèi)的 360 殺毒軟件，對外來病毒的防御有一定的查殺作用。但是技術(shù)平臺覆蓋不全，不能提供從客戶端到服務(wù)器，從單機(jī)到網(wǎng)絡(luò)全方位的保護(hù)，使公司技術(shù)保障體系對外來攻擊幾乎沒有抵抗能力。 （ 8） 制度文件管理混亂 M 公司管理層比較重視制度建設(shè)，先后出臺了機(jī)房管理制度、 統(tǒng)操作手冊等一批制度和指南，但是由于缺乏科學(xué)的分類和梳理，造成整個(gè)文件系統(tǒng)雜亂無章，有些制度內(nèi)容陳舊，有些制度照抄照搬其他企業(yè)，有些制度不能很好地符合實(shí)踐所以，建設(shè)一個(gè)完善的信息安全管理體系文件系統(tǒng)是擺在 M 公司面前亟待解決的重要問題。 3、 M 公司信息安全問題的分析 就 M 公司信息安全問題及信息安全管理中存在的問題產(chǎn)生的原因，筆者認(rèn)為主要有以下幾方面： （ 1）管理層對信息安全依然不夠重視。目前， M 公司管理層人員只著眼于如何 經(jīng)營好企業(yè)，對于信息安全的認(rèn)識還不到位。有部分管理人員簡單地認(rèn)為信息安全就是技術(shù)問題，有了病毒、網(wǎng)絡(luò)癱瘓了，只要請技術(shù)人員處理一下就好了，頭痛醫(yī)頭腳痛醫(yī)腳的思想比較嚴(yán)重，而不會從管理體系方面考慮信息安全的問題。 （ 2） 才短缺，特別是信息安全管理人才匱乏。由于企業(yè)的不重視，加上企業(yè)規(guī)模小，難以培養(yǎng)和留住留住信息管理人才，或者僅僅有個(gè)別懂信息管理的人才，還需要兼任其他工作，信息安全缺乏專人管理，造成信息安全隱患。 （ 3）員工安全意識淡薄，防范能力低。未經(jīng)過專門培訓(xùn)的員工，其信息安全意識比較落后。有時(shí)候， 有些員工意識不到自己的某些不經(jīng)意的行為可能令公司的信息資產(chǎn)遭受損失，比如瀏覽一些未經(jīng)過安全認(rèn)證的網(wǎng)站、下載使用來歷不明的軟件、沒有及時(shí)升級殺毒軟件病毒庫、未養(yǎng)成定期殺毒的習(xí)慣、不懂如何及時(shí)修復(fù)系統(tǒng)漏洞等，這些不良行為都會造成信息安全隱患。 （ 4） 資金短缺，無法建立相對完備的信息安全防控體系。公司內(nèi)部資金有限，對信息安全資金的投入不足，迫使 M 公司采用下載免費(fèi)的殺毒軟件等普通的防治辦法，無法保證公司的信息安全；另一方面，公司局域網(wǎng)結(jié)構(gòu)簡單，主機(jī)數(shù)量少，服務(wù)器提供的服務(wù)相對單一，缺少安全防護(hù)專用設(shè)備和軟件，使得 非法訪問和入侵變得簡單容易。 （ 5）服務(wù)人員流動大，管理難度高。由于 M 公司是國有企業(yè)，其管理層人員待遇相對優(yōu)厚，人員比較穩(wěn)定。但服務(wù)人員基本都是臨時(shí)聘用人員，流動性較大，有的服務(wù)人員日常工作有機(jī)會接觸到公司的經(jīng)營管理相關(guān)數(shù)據(jù)資料，如果該員工工作變動，有可能會將這些數(shù)據(jù)或者工作秘密散播到外界，令公司遭受不必要的損失。 （ 6）缺乏完整合理的信息安全管理框架和組織結(jié)構(gòu)。由于缺少信息安全管理專家指導(dǎo)， M 公司管理層還沒有建立起合理科學(xué)的信息安全管理框架，對公司信息安全管理工作缺乏統(tǒng)一的規(guī)劃，致使信息安全工作還停留在重 視技術(shù)防范、輕視組織管理的層面。組織結(jié)構(gòu)的不合理造成崗責(zé)不匹配，使得信息安全管理工作分工不明確，管理流程存在死角，人為造成額外的風(fēng)險(xiǎn)。 （ 7）沒有掌握并實(shí)施科學(xué)、行之有效的信息安全管理方法。對當(dāng)前信息安全隱患存在認(rèn)識不足的情況，不能使用科學(xué)的方法完整識別信息資產(chǎn)，缺少評估安全薄弱點(diǎn)的有效手段，對如何訂立風(fēng)險(xiǎn)管理策略和安全控制措施沒有準(zhǔn)確的定位和規(guī)劃。對信息安全審計(jì)監(jiān)督、應(yīng)急響應(yīng)、持續(xù)改進(jìn)等管理方法不夠了解，沒有建立相應(yīng)的運(yùn)行機(jī)制。 四、 M 公司信息安全管理優(yōu)化方案設(shè)計(jì) 根據(jù)上一章所分析的 M 公司現(xiàn) 階段存在的信息安全管理的問題，結(jié)合 M 公司自身實(shí)際情況，在力爭花費(fèi)最小代價(jià)獲得最大收益的原則下，設(shè)計(jì)并提出以下優(yōu)化方案： 一是建立企業(yè)信息安全管理框架 ，二是 加強(qiáng)信息安全認(rèn)知度 ， 三是改良信息安全管理組織結(jié)構(gòu)與職責(zé) ， 四是建立信息安全審計(jì)制度 ， 五是建立信息安全風(fēng)險(xiǎn)管理機(jī)制 ， 六是建立信息安全監(jiān)控報(bào)警機(jī)制 ， 七是制定信息安全事件響應(yīng)恢復(fù)機(jī)制 ，八是建立可持續(xù)改善的信息安全管理機(jī)制， 九是建立綜合性技術(shù)保障平臺 ， 十是完善信息安全管理體系文件系統(tǒng) 。 （一）建立企業(yè)信息安全管理框架 根據(jù) M 公司實(shí)際運(yùn)營狀況，結(jié)合 息安全管理體系標(biāo)準(zhǔn)，可以從組織、管理、運(yùn)行、技術(shù)和監(jiān)督這五個(gè)方面入手，對原有的信息安全管理框架進(jìn)行改善，增加運(yùn)行和監(jiān)督環(huán)節(jié)，將制度建設(shè)擴(kuò)充并變更為管理模式的建設(shè)，并且不再著重強(qiáng)調(diào)技術(shù)，將“重技術(shù)輕管理”轉(zhuǎn)化為“三分技術(shù)，七分管理”的管理思路，建立一個(gè)貼合實(shí)際情況的閉環(huán)的信息安全管理框架（如圖 2 所示）。根據(jù)這個(gè)管理框架，可以從 5 方面 7 個(gè)環(huán)節(jié)對 M 公司需要重點(diǎn)優(yōu)化的管理內(nèi)容進(jìn)行梳理，建立起 M 公司基礎(chǔ)信息安全保障體系。這些環(huán)節(jié)分別是： a）安全組織：信息安全認(rèn)知度，信息安全管理組織結(jié)構(gòu)； b）運(yùn)行流程：風(fēng)險(xiǎn)管理機(jī)制，監(jiān)控報(bào)警及響應(yīng)恢復(fù)機(jī)制； c）審計(jì)監(jiān)督：審計(jì)制度； d）管理模式：文件系統(tǒng)； e）技術(shù)保障：技術(shù)平臺。另外，為了進(jìn)一步加強(qiáng)管理成效，應(yīng)該對從計(jì)劃到實(shí)施、再到審計(jì)整體流程作一規(guī)范并形成機(jī)制，有利于查找出管理中存在的不足，持續(xù)改善信息安全管理。 圖 4企業(yè)信息安全管理框架 （ 1）建立總分聯(lián)動的信息安全組織 構(gòu)建綜合性的信息安全管理體系的首要任務(wù)就是建立一個(gè)有明確分工、層次清晰的信息安全組織，確立信息安全的決策層、管理層與技術(shù)服務(wù)層 ，科學(xué)配置崗位，規(guī)劃組織和崗位職責(zé)。應(yīng)該采用自上而下的方式建立信息安全組織，頂層設(shè)計(jì)各級安全組織的權(quán)利和職責(zé)范圍。安全組織可以以實(shí)體行政單位的形式設(shè)立，也可以以虛擬組織的形式設(shè)立，并適合采用矩陣式的管理模式對組織關(guān)系和運(yùn)作機(jī)制進(jìn)行管理。必須明確各個(gè)組織和崗位擔(dān)負(fù)的安全工作職責(zé)以及工作內(nèi)容，以保障日常工作能夠順利開展。另外還需要建立情況報(bào)告機(jī)制和協(xié)同工作流程，在發(fā)生緊急安全事件時(shí)可以及時(shí)作出應(yīng)急響應(yīng)。加強(qiáng)人員培養(yǎng)，重點(diǎn)培養(yǎng)信息安全專業(yè)管理人才和技術(shù)人才，為信息安全管理工作提供必要的人才支持。 （ 2）建立強(qiáng)化執(zhí) 行的管理模式 信息安全工作主要以管理為重點(diǎn)內(nèi)容，通過加強(qiáng)制度建設(shè)，從組織策略、運(yùn)行維護(hù)和物理環(huán)境管理等諸多方面進(jìn)行信息安全管理，按照統(tǒng)一的要求和標(biāo)準(zhǔn)建立一套較完整的信息安全制度框架，制定涵蓋本公司信息安全管理各方面的規(guī)章制度，并根據(jù)公司的實(shí)際經(jīng)營情況貫徹落實(shí)各項(xiàng)制度。 （ 3）建立標(biāo)準(zhǔn)化的安全運(yùn)行流程 制度可以固化在信息系統(tǒng)中去執(zhí)行，不但可以降低執(zhí)行成本，而且可以有效減少監(jiān)督成本。在建設(shè)安全運(yùn)行流程時(shí)，應(yīng)當(dāng)參考本行業(yè)最佳實(shí)踐和相關(guān)標(biāo)準(zhǔn)。相關(guān)調(diào)查結(jié)果顯示，由于實(shí)體產(chǎn)品 (包括電力、網(wǎng)絡(luò)、軟硬件等 )方面發(fā)生問題造成 的信息安全事故約有 20%，而由于管理失誤造成信息安全事故的有 40%，由于人員工作疏失造成信息安全事故的占 40%。其中的管理失誤包含無預(yù)防措施、變更管理失誤、沒有測試等問題，而人員工作疏失則包括了疏于防范、操作不合規(guī)、訓(xùn)練不足等，并且人員工作疏失的本質(zhì)依然是管理問題。由此可見，包括