第1章 绪论
从人类社会诞生开始,信息的传递始终是彼此相互交流的一个重要的途径。先前,由于信息技术欠发达,人们主要依靠口述、书写、电话等的方式来进行彼此之间的交流,但进入 21 世纪后,随着信息技术的高速发展,微博、微信、办公软件、社交平台等一大批先进的电子化工具走进了人们的日常工作和生活,这些工具给我们带来了便利的同时,其背后所隐藏的信息安全问题也不容忽视。据 IBM 统计,全球每天约有 130 亿个信息安全事件发生,更有统计表明,世界上每过一分钟就有 2 家企业因为信息安全问题而倒闭,目前信息安全问题成为社会各层和各类型的组织所关注的焦点。各国也为之出台了一系列信息保护的法律法规。
1.1 信息安全概述
信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全,到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今,在这个信息传播高度发达的时代,对于一个企业来说,信息尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡,它已经悄然地变为了一项企业资产。它和其它资产一样重要,对企业具有重要的价值,因此理应需要受到适当的保护。
但是,目前我们的信息安全环境不容乐观,每天我们的企业可能要面对数以万计的黑客试探性入侵、木马病毒以及恶意代码的威胁、或者承受那种损人不利己的拒绝服务攻击。当然,现在大多数企业对这样外部的安全威胁做了一定的防御措施。在整个信息系统中基本上都有部署防火墙、身份认证甚至入侵防御系统。但我们发现即使投入了那么多资源来抵御外部的各种威胁,对入侵仍然反映迟钝,我们的信息还是在不断地泄露。根据国家互联网应急响应中的统计有将近 50%的黑客入侵实际上是通过正常的途径,利用合法的凭证,进行机密资料的窃取。组织的内部人员可能由于安全意识不强或误操作,把一些敏感信息无意中泄露出去,甚至也有些极端分子靠出卖这样信息来获取私利的情况的出现。因此,组织的信息安全问题不容忽视,一套严密的信息安全管理体系更是许多组织正常运作的基础。
1.2 第三方理财行业信息安全现状以及研究意义
目前绝大多数行业都有自身的行业信息安全体系标准,如适用于支付卡行业的《PCI/DSS》标准(支付卡行业数据信息安全标准)、银监会和证监会所颁布的适用于各自监管条线的《信息系统安全等级保护规范》、制造行业所推崇的基于信息安全管理体系 ISO27001 在制造业的最佳实践标准。随着经济的发展,目前国内涌现出大量的第三方理财机构为高净值客户提供理财服务,由于这个行业属于新兴行业,虽然其业务领域属于金融,但暂时还没有设立此行业的监管机构。此外,第三方理财行业的业务结构还未系统化、结构化,因此,信息安全在这个行业(领域)中研究还处于空白,也没有监管机构的政策性标准和相关指引以及前人的实践经验作为参考。本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践,着重分析博士公司在信息安全管理上所存在的诸多问题。本研究不但能够丰富信息安全管理的相关理论,而且研究成果也可以为同行业提高信息安全水平提供借鉴。
1.3 研究方法、技术路线及基本内容
1.3.1 研究方法
本文的研究方法有如下四种:
文献研究法:根据研究内容与需要解决的问题,搜集各类前人对此领域内所研究的相关的理论、模型和资料,在对这些资料进行归纳和提取,并最终应用到实际研究中。
问卷调查法:通过事先设计好的问卷,向被访者收集研究所需要的相关信息,并对回收的问卷进行统计和分析,以求最大限度的还原被研究对象的真实现状。
模型分析法:采用研究领域内相对成熟的模型,来分析研究过程中对象所存在的各类问题。本文通过借鉴信息安全业内公认的最佳标准模型来诊断目前所暴露出的问题,并找出问题产生和根源,设计出相应的解决方案。
跨学科研究法:由于研究对象为信息安全管理,其领域本身就是包含计算机、管理、统计、质量管理、审计等多方面学科。因此,不可避免地需要用到各学科的知识,来综合分析和解决相应的问题。
1.3.2 技术路线
本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状,结合 ISO27001 信息安全管理模型来找出企业目前所存在的信息安全管理问题,着重分析这些问题所形成的背景和原因,并根据此类问题的风险等级,选出博士公司目前迫切所需要解决的一系列问题并提出基于 ISO27001 模型所提出的解决方案或改善措施。【1】
1.3.3 基本内容
整篇论文由绪论和正文所构成,总共分为六章。第一章绪论主要描述了论文的选题背景、研究意义和目的、研究方法和技术路线以及基本内容。第二章至第五章为本文最重要的四个组成部分。第二章是整篇论文的第一个重要的组成部分,其主要阐述了信息安全相关理论基础,为整个博士公司信息安全管理诊断模型的建立构建了理论出发点。具体包括诊断模型的选择、以及对信息安全和信息安全管理的相关理论进行了阐述。第三章是本文的第二个重要的组成部分,也是本文的研究实践基础,本章的主要内容中除了对博士公司的日常运营和业务介绍外,还有通过与各业务职能部门的访谈,结合 ISO27001 模型体系要求设计调查问卷以及评估工具等方法,揭示博士公司在日常运营和管理上存在的若干信息安全风险。第四章为本文的研究核心所在,是本文的第三个重要组成部分和研究结果,凭借 ISO27001 体系模型的诊断方法寻找到目前博士公司所暴露出的诸多信息安全问题的原因。第五章是本文的第四个重要组成部分,即依托 ISO27001 的最佳实践给予就博士公司目前的信息安全现状和原因给予解决方案和实施建议。第六章为本文的结论与展望部分,揭示了博士公司所暴露出来的问题在第三方理财行业是普遍存在的,并且随着时间的推移,信息安全问题也会发生不断的变化,需要组织去不断的完善信息安全建设。另外,信息安全与组织业务效率的平衡关系在今后的发展中免不了成为天平的两端,如何平衡好两者之间目前ISO27001 体系并没有做出相应的解决方案,这将是今后相关领域研究所要解决的一个课题,对于如何减少组织对于信息安全建设的成本或更有效率地进行信息安全建设本文也做了相应展望。
3AB公司存货内部f空制存在的问题描述3.1AB公司背景简介AB公司起步于1908年,经过近百年的风霜洗礼如今在国内的小曲白酒行业已然排在第一位,350多亩的厂区面积,价值3.5亿的固定资产,公司在职人员达八百余人;重庆市仅有的一位国家级白酒评委都就职于此...
摘要随着我国电信行业的迅猛发展,电信市场不断成熟,电信企业所面临的竞争也日趋激烈。中国电信、中国移动、中国联通三家公司都开展了固网、移动网和宽带的全业务运营,在各块业务市场展开了白热化的拼抢,市场日趋饱和,可利润空间不断缩...
第2章理论基础经过几十年的发展,我国二手车市场发展已经极具规模,尤其是近几年来,随着新车市场的发展,二手车开始了新的发展过程。在我国二手车市场的发展过程中存在着一定的规律,这些规律往往要通过理论来进行总结,本章内容主要分析了对我国二手车...
第3章指点江山餐饮公司品牌建设现况及存在问题3.1指点江山餐饮公司简介指点江山餐饮有限公司(以下简称指点江山)是笔者创办的一家一所中型餐厅以湘菜为主,粤菜为辅的湘派新概念的餐饮企业。该公司始建于2007年,原为指点江山湘菜食府民治店,采用当代...
通过开展强化管理提升活动,推进标准化质量体系建设,鼓励技术创新和管理创新,加强人力资源体系建设,加快质量、安全、消防、保卫等综合管理能力提升,通过大力开展党建及企业文化建设,共同营造协调高效的管理环境。...
第四章吉林银行信息系统运行过程中风险管理的对策探讨根据《商业银行信息科技风险管理指引》第二十七条商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。4.1信息系统运行风险管理采用的应对策略...
4AB公司健全存货内部控制的具体对策针对以上提出的AB公司存货内部控制存在的问题分析,本文从内部控制环境、存货周转流程、存货内部控制环节、风险评估建设以及内部监督制度等方面提出具体的完善对策,如图4-1所示。【1】4.1建立良好的内部控制环境,优化...
摘要从上个世纪80年代末到90年代末,我国银行业开始在全国范围内建立起网络系统,开启了信息技术的联机网络新时代。随之而来的经济全球化和日益激烈的市场竞争环境,在银行业务种类繁多、信息技术不断革新的新局面下,商业银行已经对信息化技术产生高度依赖...
第4章指点江山餐饮公司品牌建设方案设计4.1品牌建设的环境分析4.1.1人口环境深圳第六次全国人口普查工作会议上获悉,2009年深圳市每平方公里居住人口高达4564人,远高于全...
4C公司期货中间介绍业务的管理问题成因分析C公司从事的中间介绍业务贯穿于投资者适当性管理、期货账户开立、交易风险控制、投诉处理等多个业务环节中,这几方面都是中间介绍业务的风险点,因此在开展业务过程中应特别予以关注.以下针对3.4中简述的C公司在业...