mba毕业论文：博士公司基于ISO27001体系的信息安全管理问题诊断

摘要
　　
　　信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息，尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业资产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到重视和保护。

　　本文首先对信息安全的基本概念、国际上公认最佳信息安全管理 ISO27001 模型体系进行了综合描述。然后以博士公司①这家国内领先的第三方理财机构为例，通过与各业务职能部门的访谈，并结合 ISO27001 模型体系要求设计调查问卷以及评估工具来诊断博士公司目前所暴露出来的信息安全问题。另外，根据原因诊断结果并结合博士公司自身业务发展需求，制定了一系列的解决方案。

　　最后，本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践，着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析，找出若干风险控制节点，并结合组织的自身情况，针对每个风险控制节点一一拟定了解决方案。本研究不但能够丰富信息安全管理的相关理论，而且研究成果也可以为同行业提高信息安全水平提供借鉴。

　　关键词: 信息安全；信息安全诊断；ISO27001 模型；信息安全治理；PDCA　　
 

第1章 绪论

　　从人类社会诞生开始，信息的传递始终是彼此相互交流的一个重要的途径。先前，由于信息技术欠发达，人们主要依靠口述、书写、电话等的方式来进行彼此之间的交流，但进入 21 世纪后，随着信息技术的高速发展，微博、微信、办公软件、社交平台等一大批先进的电子化工具走进了人们的日常工作和生活，这些工具给我们带来了便利的同时，其背后所隐藏的信息安全问题也不容忽视。据 IBM 统计，全球每天约有 130 亿个信息安全事件发生，更有统计表明，世界上每过一分钟就有 2 家企业因为信息安全问题而倒闭，目前信息安全问题成为社会各层和各类型的组织所关注的焦点。各国也为之出台了一系列信息保护的法律法规。

　　1.1 信息安全概述

　　信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业资产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到适当的保护。

　　但是，目前我们的信息安全环境不容乐观，每天我们的企业可能要面对数以万计的黑客试探性入侵、木马病毒以及恶意代码的威胁、或者承受那种损人不利己的拒绝服务攻击。当然，现在大多数企业对这样外部的安全威胁做了一定的防御措施。在整个信息系统中基本上都有部署防火墙、身份认证甚至入侵防御系统。但我们发现即使投入了那么多资源来抵御外部的各种威胁，对入侵仍然反映迟钝，我们的信息还是在不断地泄露。根据国家互联网应急响应中的统计有将近 50%的黑客入侵实际上是通过正常的途径，利用合法的凭证，进行机密资料的窃取。组织的内部人员可能由于安全意识不强或误操作，把一些敏感信息无意中泄露出去，甚至也有些极端分子靠出卖这样信息来获取私利的情况的出现。因此，组织的信息安全问题不容忽视，一套严密的信息安全管理体系更是许多组织正常运作的基础。
　　
　　1.2 第三方理财行业信息安全现状以及研究意义

　　目前绝大多数行业都有自身的行业信息安全体系标准，如适用于支付卡行业的《PCI/DSS》标准（支付卡行业数据信息安全标准）、银监会和证监会所颁布的适用于各自监管条线的《信息系统安全等级保护规范》、制造行业所推崇的基于信息安全管理体系 ISO27001 在制造业的最佳实践标准。随着经济的发展，目前国内涌现出大量的第三方理财机构为高净值客户提供理财服务，由于这个行业属于新兴行业，虽然其业务领域属于金融，但暂时还没有设立此行业的监管机构。此外，第三方理财行业的业务结构还未系统化、结构化，因此，信息安全在这个行业（领域）中研究还处于空白，也没有监管机构的政策性标准和相关指引以及前人的实践经验作为参考。本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践，着重分析博士公司在信息安全管理上所存在的诸多问题。本研究不但能够丰富信息安全管理的相关理论，而且研究成果也可以为同行业提高信息安全水平提供借鉴。

　　1.3 研究方法、技术路线及基本内容

　　1.3.1 研究方法

　　本文的研究方法有如下四种：

　　文献研究法：根据研究内容与需要解决的问题，搜集各类前人对此领域内所研究的相关的理论、模型和资料，在对这些资料进行归纳和提取，并最终应用到实际研究中。

　　问卷调查法：通过事先设计好的问卷，向被访者收集研究所需要的相关信息，并对回收的问卷进行统计和分析，以求最大限度的还原被研究对象的真实现状。

　　模型分析法：采用研究领域内相对成熟的模型，来分析研究过程中对象所存在的各类问题。本文通过借鉴信息安全业内公认的最佳标准模型来诊断目前所暴露出的问题，并找出问题产生和根源，设计出相应的解决方案。

　　跨学科研究法：由于研究对象为信息安全管理，其领域本身就是包含计算机、管理、统计、质量管理、审计等多方面学科。因此，不可避免地需要用到各学科的知识，来综合分析和解决相应的问题。
　　
　　1.3.2 技术路线

　　本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状，结合 ISO27001 信息安全管理模型来找出企业目前所存在的信息安全管理问题，着重分析这些问题所形成的背景和原因，并根据此类问题的风险等级，选出博士公司目前迫切所需要解决的一系列问题并提出基于 ISO27001 模型所提出的解决方案或改善措施。【1】

　　
　　1.3.3 基本内容

　　整篇论文由绪论和正文所构成，总共分为六章。第一章绪论主要描述了论文的选题背景、研究意义和目的、研究方法和技术路线以及基本内容。第二章至第五章为本文最重要的四个组成部分。第二章是整篇论文的第一个重要的组成部分，其主要阐述了信息安全相关理论基础，为整个博士公司信息安全管理诊断模型的建立构建了理论出发点。具体包括诊断模型的选择、以及对信息安全和信息安全管理的相关理论进行了阐述。第三章是本文的第二个重要的组成部分，也是本文的研究实践基础，本章的主要内容中除了对博士公司的日常运营和业务介绍外，还有通过与各业务职能部门的访谈，结合 ISO27001 模型体系要求设计调查问卷以及评估工具等方法，揭示博士公司在日常运营和管理上存在的若干信息安全风险。第四章为本文的研究核心所在，是本文的第三个重要组成部分和研究结果，凭借 ISO27001 体系模型的诊断方法寻找到目前博士公司所暴露出的诸多信息安全问题的原因。第五章是本文的第四个重要组成部分，即依托 ISO27001 的最佳实践给予就博士公司目前的信息安全现状和原因给予解决方案和实施建议。第六章为本文的结论与展望部分，揭示了博士公司所暴露出来的问题在第三方理财行业是普遍存在的，并且随着时间的推移，信息安全问题也会发生不断的变化，需要组织去不断的完善信息安全建设。另外，信息安全与组织业务效率的平衡关系在今后的发展中免不了成为天平的两端，如何平衡好两者之间目前ISO27001 体系并没有做出相应的解决方案，这将是今后相关领域研究所要解决的一个课题，对于如何减少组织对于信息安全建设的成本或更有效率地进行信息安全建设本文也做了相应展望。
 

第2章 相关理论综述

　　在信息安全管理研究领域，国内外有很多成熟的体系模型和研究成果，这些前期体系模型和研究的成果，为本文的撰写提供了丰富的理论基础和资料素材，在本章中将对部分理论研究成果和行业标准进行归纳和提炼。

　　2.1 ISO27001 简介

　　ISO27000 是信息安全方面国际国内公认的最佳的管理体系集。目前 ISO27000 系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有 ISO27002 安全管理使用守则、IS027003 实施指南这样的子标准还包括 ISO27011、ISO27012 这样的通信业和金融保险业的行业标准。然而在整个体系中，不管是子标准的建立还是行业标准的颁布，无一例外的都是参照整个 ISO27000 的主体系 IS027001 来制定，它的前生BS7799 由英国标准化系协会 BSI 在 1992 首次在英国作为行业标准发布，经过数次修改在 2005 年正式更名为 ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了 ISO27001 来制定。【1】

　　
　　ISO27001 是一套非常复杂的管理标准，其拥有 11 个控制领域：信息安全方针、组织构架、资产管理、人力资源安全管理、物理和环境安全管理、通信与操作管理、访问控制管理、系统的获取、开发和维护管理、信息安全事件管理、业务持续性管理和符合性。在这全部 11 个领域中控制深度也有所加强，达到 39 个控制目标和 133个风险控制措施来保障企业的信息安全。【2】

　　
　　国内相关研究人员把支撑信息安全体系建设和保障企业信息安全总结为 3 个要素：人员（组织）、技术以及管理。 在控制维度上基本涵盖了 ISO27001 所涉及的 11个安全控制领域。【3】

　　
　　（1）人员（组织）

　　在整个 ISO27001 体系中人员定义和组织管理是最重要的领域之一，在建设企业信息安全框架和制定信息安全方针时必须明确定义了企业内部的人员的组织架构、职责权利。特别是在企业中与各信息系统和业务系统有关的资产和安全程序（流程）要加以明确辨别和定义，此外负责上述各资产和安全程序（流程）的责任人的任命要经过批准，其权责要记录在案，授权级别和权限范围也要清晰定义并记录在案以便日常审计符合并在出现信息安全事件后能快速定位到责任人并追溯具体原因。同时，在信息安全管理体系中必须首先必须要建立信息安全管理委员会，其成员至少需要包含一名企业高管，以便体现企业对信息安全的重视程度并把信息安全建设作为企业整体战略的一部分。信息安全管理委员会定期对信息安全政策进行审批，对安全权力与职责进行分配，并协调企业内部各部门对安全策略和流程规章的实施。另外，在企业内部必须设立专职的信息安全顾问，信息安全顾问的编制和组织结构隶属必须是非信息技术部人员，建议隶属于 CFO 所管辖的管理部门，以便保证对整个企业的业务发展有第一时间的了解和对信息技术部门（信息安全管理体系中涉及最重要的部门之一）的工作有一个客观的审计和判断。在企业外部最好也应设置信息安全顾问，可以是“外脑”（信息安全方面的独立董事）、咨询机构（麦肯锡）、或是专业提供风险控制和外部审计服务商（四大会计事务所），以便及时跟踪行业的最新走向，为企业的管理层解读最新的行业信息安全监管标准和相应的评估手段，并在发生信息安全事故时建立适当的联络渠道，协调外部的有效资源来帮助企业来平息和处理信息安全事故。

　　（2）技术

　　随着信息技术的发展，企业的日常办公逐步走入了电子化时代，今日企业的 ERP、财务、CRM 等核心的业务系统无一不是依托信息技术来实现的。但新兴技术发展的背后，伴随着的安全问题却不能忽视。有这么些人，他们利用自身所具备的技术能力来破坏或盗取这些核心业务系统中的敏感信息。我们称之这类特殊群体的人为黑客。今天，黑客已经发展成的一个独特的群体，一些“志同道合”的人在网络上建立了黑客组织。为了谋取巨额利益甚至形成了黑客的地下产业链，他们受托使目标系统瘫痪、感染病毒、恶意修改网页，甚至通过自己的技术手段入侵企业内部的系统，盗取企业内部重要资料，变卖给企业的竞争对手。诚然道高一尺魔高一丈，进攻永远是有主动权的。由于信息技术的不断发展，未来的手机移动领域的安全技术、以云计算为基础结构的核心业务系统、物联网安全等都将面临巨大的信息安全挑战。企业的在面对黑客以及一些其他恶意破坏者的时候必须具有与之抗衡的防御技术，这需要企业不断加强在信息安全防御技上的投入和重视以及提高对新的未知威胁的抵御能力。

　　（3）管理

　　①资产管理：明确定义所保护信息资产和用户存放信息资产的物理资产在整个ISO27001 体系建设中是一个必须的前提。只有明确所保护的对象，才能开始制定相关确实有效的安全策略、管理流程和规章制度。信息资产的定义一般通过两种方式,第一种方式是把企业信息资产统一转换为物理形式，如存储数据的服务器，承载数据传输的网络，甚至员工也包含在这个“资产”的范畴中，并对每项资产定义明确的所有人或责任人。另一种定义方式为按照企业的日常业务流转来定义信息资产，通过梳理企业各部门的日常业务流程的分析，可以把一类涉及到此业务的物理资产（计算机、人员、服务器、纸质文档等）归为一类资产。但无论哪种分类方式都必须给信息资产定 义 一 系 列 的 最 终 价 值 。 一 般 按 照 数 据 信 息 的 三 个 属 性 ， 即 保 密 性（Confidentiality）、完整性（Integrity）、可用性（Availability）这个三个指标来衡量信息资产的重要度，每个属性根据安全等级也有相应赋值标准。资产的最终价值可按照之前所定义的赋值标准进行加权求和，根据所得出的结果区分企业的一般资产和重要资产。其中重要资产无疑是要被企业管理层所重点关注的，安全防护或信息安全体系建设也理应围绕企业的重要资产展开。

　　②流程制度管理：目前外部整个信息安全的大环境呈现日益恶化之虞，外部的攻击成本越来越小，内部的防御成本反而越来越大。企业的任何一个员工的个人疏漏或者管理漏洞，都会给企业安全带来威胁，而企业安全防御水平往往取决于最弱或者说是最容易忽视的一环（人员的安全意识、规范的流程制度），而不是最强的地方（部署对应的信息安全设备，采取相应的防御技术手段）。因此规范化的流程和规章制度建设是整个 ISO27001 信息安全管理体系的根本。它是指通过对企业的核心业务、商业模式、以及日常运营的系统性梳理，在企业内部形成一系列围绕信息安全的每个人都必须遵守的规章制度和流程。但是，在一些特殊行业（特别是金融行业），其业务开展和日常运营很大程度上要依赖于企业自身的信息系统。因此，在制定过程中除了考虑日常的流程制度（企业的信息安全方针、IT 终端设备使用管理规范、移动办公守则、信息保密管理办法等）以外，还应该重点考虑其企业的业务连续性计划（Business Continuity Plan），从流程和制度层面保证和防止业务活动的终端，以及使在进行关键业务过程中免受信息系统重大失误或灾难的影响，并保证他们的及时恢复。另外，定期对企业员工信息安全意识的培训和内部相关安全制度的宣导也是必不可少的，根据国内着名的信息安全咨询机构谷安天下的一项调查研究表面，现在企业所面临的 70-80%的安全威胁都是来自于企业内部员工的有意识或者无意识的行为。在走访一些责任人时，绝大多数人并不没有意识到自己已经违反了企业内的相应信息安全制度，甚至已经触犯到了法律。因此，制度和流程的建立不能简单的停留在“纸”上，企业需要不断根据外部和内部环境定期修订相应的信息安全制度，并把这些制度和流程清晰的传达到每位员工，甚至可以考虑将企业员工信息安全意识纳入到企业文化中。

　　2.2 PDCA 简介

　　由于信息安全管理体系是在不断发展变化中逐步完善的，因此需要一套制度和标准来使信息安全管理体系自身变的可学习化，通过不断的完善自身来达到企业对于信息安全管理的要求。1950 年 W. Edwards Deming 提出 PDCA 流程，即计划（Plan）－执行（Do）－检查（Check）－改进（Act）过程，意在说明流程和控制应当是不断改进的，该方法使得管理者可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进，都必须遵循这样一个过程：先计划，再执行，而后对其运行结果进行评估，紧接着按照计划的具体要求对该评估进行复查，而后寻找到任何与计划不符的结果偏差，通过不断地 PDCA，使组织的信息安全水平以一个螺旋型的方式上升的，最终达到我们的既定目标。【4】
　　

　　国内专家杨辉在 2006 年《中国公共安全(学术版)》中发表的《运用 PDCA 循环法完善信息安全管理体系》文章中对 PDCA 的各个阶段有了更加细化的定义，他指出在P(计划)阶段应该建立信息安全管理体系换进和对风险进行评估，其主要工作包括确定建设和管理的范围和大致的信息安全管理方针、定义风险评估的系统性方法论、识别可预见的各类系统性和非系统性的风险，对所预见的风险进行评估以及确立评价风险的处理方法，以及为风险的处理选择控制目标与控制的方式，并将这些工作成果汇报给最高管理层并取授权批准。在 D 阶段主要强调的是在实施和运行信息安全管理体系，这个阶段的任务是以适当的优先权进行管理运作，对于那些被评估认为是可接受的风险，不需要采取进一步的措施。对于不可接受风险，需要实施所选择的控制。本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。此外，还应该实施并保持策划了的探测和响应机制。C（检查）阶段又称为学习阶段，其目的是监视并评审信息安全管理体系，是 P D C A 循环的关键阶段，即信息安全管理体系要分析运行效果改进机会的阶段。

　　①它是由一系列管理过程所组成，如执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验；常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。评审剩余风险和可以接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可以接受风险等级的合理性。

　　②审核执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。为确保范围保持充分性，以及信息安全管理体系过程的持续改进得到识别和实施，组织应定期对信息安全管理体系进行正式的评审。最后记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。经过了策划、实施、检查之后，组织在 A 阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，从而开始了新一轮的 PDCA 循环。③【5】

　　
　　2.3 信息系统审计简介

　　随着信息技术在企业业务领域和日常运营中广泛的应用，给企业带来效率和高收益的。但同时也产生了利用信息系统进行信息泄露、舞弊、隐瞒甚至欺诈的事件发生。

　　早在上个世纪中期，美国已经在研究关于信息安全审计领域的相关课题，1967 年国际信息系统审计协会（ISACA）正式在美国成立，国际信息系统审计协会（ISACA）明确定义信息系统审计主要内容：

　　（1）信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务，以帮助组织确保其信息技术和运营系统得到保护并受控；（2）信息技术治理。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对信息系统方面的要求；（3）系统和基础建设生命周期管理。系统的开发、采购、测试、实施（交付）、维护和（配置）使用，与基础框架，确保实现组织的目标；（4）IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务，来满足组织的目标；（5）信息资产的保护。通过适当的安全体系（如，安全政策、标准和控制），保证信息资产的机密性、完整性和有效性；（6）灾难恢复和业务连续性计划。一旦连续的业务被（意外）中断（或破环），灾难恢复计划确保（灾难）对业务影响最小化的同时，及时恢复（中断的）IT 服务。

　　为了及时动态跟踪企业信息系统的稳定性和安全性，信息系统审计在企业的日常运营工作中必不可少，对于企业来说甚至其重要性已经和传统的财务审计相当。相比传统的财务审计，两者既有一定联系又有一定差别。两者的联系是：信息系统审计继承了传统审计的基本理论与方法，与传统的审计一样。在立场上，要求信息系统审计师站在独立的立场上，通过选择特定的审计对象，采用询问、检查、分析、模拟、测试等方法获得客观的审计证据，来判断其与既定标准的符合程度。在程序上，信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作，实现审计目标；两者的区别也比较明显，主要表现在：首先，信息系统的审计对象不同于传统审计的财务领域，而是信息系统，包括基础设施，软硬件管理，信息安全，网络管理合通信等；其次，信息系统审计提出了更多的审计法与审计程序，这都是传统审计所不具备的，比如对某软件进行审计时，要采用技术含量相当高的测试，对网络安全审计时要采用穿透性测试（模拟成黑客进行各种攻击以验证其安全性）；第三，信息系统审计不仅是事后审计，主要关注系统的运行现状，在某种情况下，直接参与项目的开发或变更过程，以保证足够的控制得以顺利实施；最后，信息系统审计的咨询价值显得更高，信息化的风险很高，信息系统审计师可凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在企业信息化过程中，帮助企业建立健全内部控制制度，进行系统诊断，根据企业需求，确定信息化的目标和内容，选择合适的信息系统。