博士公司信息安全管理系统探究绪论

　　第1章 绪论

　　从人类社会诞生开始，信息的传递始终是彼此相互交流的一个重要的途径。先前，由于信息技术欠发达，人们主要依靠口述、书写、电话等的方式来进行彼此之间的交流，但进入 21 世纪后，随着信息技术的高速发展，微博、微信、办公软件、社交平台等一大批先进的电子化工具走进了人们的日常工作和生活，这些工具给我们带来了便利的同时，其背后所隐藏的信息安全问题也不容忽视。据 IBM 统计，全球每天约有 130 亿个信息安全事件发生，更有统计表明，世界上每过一分钟就有 2 家企业因为信息安全问题而倒闭，目前信息安全问题成为社会各层和各类型的组织所关注的焦点。各国也为之出台了一系列信息保护的法律法规。

　　1.1 信息安全概述

　　信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业资产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到适当的保护。

　　但是，目前我们的信息安全环境不容乐观，每天我们的企业可能要面对数以万计的黑客试探性入侵、木马病毒以及恶意代码的威胁、或者承受那种损人不利己的拒绝服务攻击。当然，现在大多数企业对这样外部的安全威胁做了一定的防御措施。在整个信息系统中基本上都有部署防火墙、身份认证甚至入侵防御系统。但我们发现即使投入了那么多资源来抵御外部的各种威胁，对入侵仍然反映迟钝，我们的信息还是在不断地泄露。根据国家互联网应急响应中的统计有将近 50%的黑客入侵实际上是通过正常的途径，利用合法的凭证，进行机密资料的窃取。组织的内部人员可能由于安全意识不强或误操作，把一些敏感信息无意中泄露出去，甚至也有些极端分子靠出卖这样信息来获取私利的情况的出现。因此，组织的信息安全问题不容忽视，一套严密的信息安全管理体系更是许多组织正常运作的基础。
　　
　　1.2 第三方理财行业信息安全现状以及研究意义

　　目前绝大多数行业都有自身的行业信息安全体系标准，如适用于支付卡行业的《PCI/DSS》标准（支付卡行业数据信息安全标准）、银监会和证监会所颁布的适用于各自监管条线的《信息系统安全等级保护规范》、制造行业所推崇的基于信息安全管理体系 ISO27001 在制造业的最佳实践标准。随着经济的发展，目前国内涌现出大量的第三方理财机构为高净值客户提供理财服务，由于这个行业属于新兴行业，虽然其业务领域属于金融，但暂时还没有设立此行业的监管机构。此外，第三方理财行业的业务结构还未系统化、结构化，因此，信息安全在这个行业（领域）中研究还处于空白，也没有监管机构的政策性标准和相关指引以及前人的实践经验作为参考。本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践，着重分析博士公司在信息安全管理上所存在的诸多问题。本研究不但能够丰富信息安全管理的相关理论，而且研究成果也可以为同行业提高信息安全水平提供借鉴。

　　1.3 研究方法、技术路线及基本内容

　　1.3.1 研究方法

　　本文的研究方法有如下四种：

　　文献研究法：根据研究内容与需要解决的问题，搜集各类前人对此领域内所研究的相关的理论、模型和资料，在对这些资料进行归纳和提取，并最终应用到实际研究中。

　　问卷调查法：通过事先设计好的问卷，向被访者收集研究所需要的相关信息，并对回收的问卷进行统计和分析，以求最大限度的还原被研究对象的真实现状。

　　模型分析法：采用研究领域内相对成熟的模型，来分析研究过程中对象所存在的各类问题。本文通过借鉴信息安全业内公认的最佳标准模型来诊断目前所暴露出的问题，并找出问题产生和根源，设计出相应的解决方案。

　　跨学科研究法：由于研究对象为信息安全管理，其领域本身就是包含计算机、管理、统计、质量管理、审计等多方面学科。因此，不可避免地需要用到各学科的知识，来综合分析和解决相应的问题。
　　
　　1.3.2 技术路线

　　本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状，结合 ISO27001 信息安全管理模型来找出企业目前所存在的信息安全管理问题，着重分析这些问题所形成的背景和原因，并根据此类问题的风险等级，选出博士公司目前迫切所需要解决的一系列问题并提出基于 ISO27001 模型所提出的解决方案或改善措施。【1】

　　
　　1.3.3 基本内容

　　整篇论文由绪论和正文所构成，总共分为六章。第一章绪论主要描述了论文的选题背景、研究意义和目的、研究方法和技术路线以及基本内容。第二章至第五章为本文最重要的四个组成部分。第二章是整篇论文的第一个重要的组成部分，其主要阐述了信息安全相关理论基础，为整个博士公司信息安全管理诊断模型的建立构建了理论出发点。具体包括诊断模型的选择、以及对信息安全和信息安全管理的相关理论进行了阐述。第三章是本文的第二个重要的组成部分，也是本文的研究实践基础，本章的主要内容中除了对博士公司的日常运营和业务介绍外，还有通过与各业务职能部门的访谈，结合 ISO27001 模型体系要求设计调查问卷以及评估工具等方法，揭示博士公司在日常运营和管理上存在的若干信息安全风险。第四章为本文的研究核心所在，是本文的第三个重要组成部分和研究结果，凭借 ISO27001 体系模型的诊断方法寻找到目前博士公司所暴露出的诸多信息安全问题的原因。第五章是本文的第四个重要组成部分，即依托 ISO27001 的最佳实践给予就博士公司目前的信息安全现状和原因给予解决方案和实施建议。第六章为本文的结论与展望部分，揭示了博士公司所暴露出来的问题在第三方理财行业是普遍存在的，并且随着时间的推移，信息安全问题也会发生不断的变化，需要组织去不断的完善信息安全建设。另外，信息安全与组织业务效率的平衡关系在今后的发展中免不了成为天平的两端，如何平衡好两者之间目前ISO27001 体系并没有做出相应的解决方案，这将是今后相关领域研究所要解决的一个课题，对于如何减少组织对于信息安全建设的成本或更有效率地进行信息安全建设本文也做了相应展望。