第 6 章 结论和展望
6.1 结论
博士公司通过引入 ISO27001 信息安全管理体系以及采取了上文中所阐述的解决方案很大程度上提高了公司的信息安全水平,目前信息安全工作已经被纳入企业未来发展的战略中,以下是本次诊断所得出的一些主要结论供同行业企业借鉴。
(1)建立一套逻辑清晰并且适合于企业的信息安全管理框架是开展企业信息安全建设工作的前提,在建立过程中必须以企业的战略和业务目标为指导要求,把信息安全的相关标准层层渗透到企业管理的各个层面,务必使信息安全功能工作从企业的战略管理到执行落地一致统一。
(2)搭建一套实用且经济的信息安全组织构架可以有力的支撑企业的信息安全管理框架。把信息安全要求纳入全员的 KPI 考核指标可以提升信息安全制度执行力,解决信息安全相关制度和流程执行无法及时有效得到落实的问题。
(3)任何管理制度的建设和执行都离不开人,其在信息安全建设中起着举足轻重的作用。加强人员的信息安全意识教育,可以让企业有效的防范未知的风险,在信息安全威胁面前建立起第一道“防火墙”。
(4)由于企业的内部和外部风险在不断的变化,信息安全建设工作需要不断持续有效的改进才能使企业高枕无忧。
6.2 展望
管理信息的目标是为了更好的使用信息,而不是更多的限制信息。信息安全工作从最初的黑客入侵、病毒防范,到现在的数据防泄漏保护。企业采取了各种措施来防止数据泄漏,有些甚至非常极端,如内外网隔离,USB 封锁,Internet 封锁,甚至给计算机主机机箱加锁等等,这些安全措施降低了 IT 技术为企业带来的便利与高效,在信息安全建设过程中不可避免的与业务效率造成矛盾。如何既作到信息开放,同时又能保护企业的信息资产,做好信息安全与业务效率之间平衡,目前在业界中对此类研究的相关的理论和研究成果较少,需要在实际工作中总结相关经验。
参考文献
中文文献
[1] 陈嘉辉. A 企业信息安全管理的研究与改善[D]. 兰州:兰州大学,2011.
[2] 陈旭群. X 银行企业架构管理研究与实践[D]. 厦门:厦门大学,2009.
[3] 陈婉玲,杨文杰.ISACA 信息系统审计准则及其启示[J].审计研究,2006,(S1):108-112.
[4] 陈慧勤. 企业信息安全风险管理的框架研究[D]. 上海:同济大学,2006.
[5] 陈光. 信息系统信息安全风险管理方法研究[D]. 长沙:国防科学技术大学,2006.
[6] 陈恒. 基于业务流程的信息安全风险评估方法研究[D]. 西安:陕西师范大学,2012.
[7] 春增军. 基于 ISO 27001 的企业信息安全保障体系的构建设想[J]. 情报杂志,2009,28(5):155-158,162.
[8] 杜国栋 .企业内部控制及风险管理解析[J]. 经济研究迂刊,2010,(2):154-155.
[9] 黄水清,朱晓欢. 基于 ISO27001 的数字图书馆信息资产风险评估[J]. 2006,50(11):81,82,120.
[10]胡灵娟. 大型数据中心 ISO27001 信息安全管理体系贯标认证实践[J]. 中国金融电脑,2012,(5):33-37.
[11]李韬. 浅谈 IT 审计和 SOX 审计[EB/OL]. 北京:CIO 时代网,2008[2013-06-18].
[12]刘 霞 . 基 于 ISO27001 的 信 息 安 全 管 理 体 系 规 划 [J]. 电 脑 知 识 与 技术,2010,6(10):2337-2339.
[13]陆预林. 如何进行企业信息安全目标管理设定[J]. 企业科技与发展,2010,(14):187-189.
[14]吕玉伟. 遵循 SOX 法案中的 IT 系统和 IT 审计[J]. 中国内部审计,2008,(5):24-26.
[15]孙建庆. 信息系统运维综合监管平台设计[J]. ELEC TR IC POWER IT,2009,7(3):87-90.
[16]徐黎源. 基于 ISO_IEC27001 体系的中小企业信息安全管理机制研究[D]. 宁 t波:宁波大学,2009.
[17]吴辉. 浅谈企业信息安全管理方案[J].科技情报开发与经济,2010,20(25):109-111.
[18]王玫. 建设银行信息安全管理体系建设研究[D]. 济南:山东大学,2008.
[19]闫兵.企业信息安全概述及防范[J]. 科技咨询,2010,(4):154-156.
[20]杨庆广. 人、技术、管理有机结合保障信息安全[N]. 中国电子报,2006,8:A04.
[21]杨辉. 运用 PDCA 循环法完善信息安全管理体系[J]. 中国公共安全:学术版,2006,(2):78-81.
[22]张定松. 商业银行基于 ITIL 的运维管理和实施规划研究[D]. 北京:首都经济贸易大学,2009.
[23]张少林,陈帮慧. 建立整体安全架构,保障企业信息安全[J]. 中国公共安全:学术版,2009,16(3):94-98.
[24]朱璇. 基于 IOS27001 的信息安全管理体系的研究和实现[D]. 上海:交通大学,2009.
[25]中国信息安全产品测评认证中心.信息安全理论与技术[M]. 人民邮电出版社,2003.
英文文献
[1] ISASA. Cobit5.0[S]. USA,2012.
[2] ISO/IEC. ISO27001[S]. UK,2005.
[3] ISO/IEC. ISO27002[S]. UK,2005.
[4] Yusuf Bhaiji. Network Security Technologies and Solutions[M]. USA:Cisco Press,2008.
[5] John R. Vacca. Managing Information Security[M]..USA:2010.
3AB公司存货内部f空制存在的问题描述3.1AB公司背景简介AB公司起步于1908年,经过近百年的风霜洗礼如今在国内的小曲白酒行业已然排在第一位,350多亩的厂区面积,价值3.5亿的固定资产,公司在职人员达八百余人;重庆市仅有的一位国家级白酒评委都就职于此...
摘要随着我国电信行业的迅猛发展,电信市场不断成熟,电信企业所面临的竞争也日趋激烈。中国电信、中国移动、中国联通三家公司都开展了固网、移动网和宽带的全业务运营,在各块业务市场展开了白热化的拼抢,市场日趋饱和,可利润空间不断缩...
第2章理论基础经过几十年的发展,我国二手车市场发展已经极具规模,尤其是近几年来,随着新车市场的发展,二手车开始了新的发展过程。在我国二手车市场的发展过程中存在着一定的规律,这些规律往往要通过理论来进行总结,本章内容主要分析了对我国二手车...
第3章指点江山餐饮公司品牌建设现况及存在问题3.1指点江山餐饮公司简介指点江山餐饮有限公司(以下简称指点江山)是笔者创办的一家一所中型餐厅以湘菜为主,粤菜为辅的湘派新概念的餐饮企业。该公司始建于2007年,原为指点江山湘菜食府民治店,采用当代...
通过开展强化管理提升活动,推进标准化质量体系建设,鼓励技术创新和管理创新,加强人力资源体系建设,加快质量、安全、消防、保卫等综合管理能力提升,通过大力开展党建及企业文化建设,共同营造协调高效的管理环境。...
第四章吉林银行信息系统运行过程中风险管理的对策探讨根据《商业银行信息科技风险管理指引》第二十七条商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。4.1信息系统运行风险管理采用的应对策略...
4AB公司健全存货内部控制的具体对策针对以上提出的AB公司存货内部控制存在的问题分析,本文从内部控制环境、存货周转流程、存货内部控制环节、风险评估建设以及内部监督制度等方面提出具体的完善对策,如图4-1所示。【1】4.1建立良好的内部控制环境,优化...
摘要从上个世纪80年代末到90年代末,我国银行业开始在全国范围内建立起网络系统,开启了信息技术的联机网络新时代。随之而来的经济全球化和日益激烈的市场竞争环境,在银行业务种类繁多、信息技术不断革新的新局面下,商业银行已经对信息化技术产生高度依赖...
第4章指点江山餐饮公司品牌建设方案设计4.1品牌建设的环境分析4.1.1人口环境深圳第六次全国人口普查工作会议上获悉,2009年深圳市每平方公里居住人口高达4564人,远高于全...
4C公司期货中间介绍业务的管理问题成因分析C公司从事的中间介绍业务贯穿于投资者适当性管理、期货账户开立、交易风险控制、投诉处理等多个业务环节中,这几方面都是中间介绍业务的风险点,因此在开展业务过程中应特别予以关注.以下针对3.4中简述的C公司在业...