博士公司信息安全管理体系研究

　　摘要
　　
　　信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息，尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业资产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到重视和保护。

　　本文首先对信息安全的基本概念、国际上公认最佳信息安全管理 ISO27001 模型体系进行了综合描述。然后以博士公司①这家国内领先的第三方理财机构为例，通过与各业务职能部门的访谈，并结合 ISO27001 模型体系要求设计调查问卷以及评估工具来诊断博士公司目前所暴露出来的信息安全问题。另外，根据原因诊断结果并结合博士公司自身业务发展需求，制定了一系列的解决方案。

　　最后，本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践，着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析，找出若干风险控制节点，并结合组织的自身情况，针对每个风险控制节点一一拟定了解决方案。本研究不但能够丰富信息安全管理的相关理论，而且研究成果也可以为同行业提高信息安全水平提供借鉴。

　　关键词: 信息安全；信息安全诊断；ISO27001 模型；信息安全治理；PDCA　　
　　
　　目录
　　致谢
　　摘要
　　Abstract
　　
　　第 1 章 绪论
　　1.1 信息安全概述
　　1.2 第三方理财行业信息安全现状以及研究意义
　　1.3 研究方法、技术路线及基本内容
　　1.3.1 研究方法
　　1.3.2 技术路线
　　1.3.3 基本内容
　　
　　第 2 章 相关理论综述
　　2.1 ISO27001 简介
　　2.2 PDCA 简介
　　2.3 信息系统审计简介
　　
　　第 3 章 博士公司问题现状
　　3.1 博士公司简介
　　3.1.1 公司历史
　　3.1.2 博士公司经营状况
　　3.1.3 公司组织构架
　　3.2 博士公司企业信息安全诊断工作过程描述
　　3.3 博士公司信息安全的若干问题
　　3.3.1 企业整体缺乏体系化的安全管理机制
　　3.3.2 信息安全人力资源匮乏，信息安全组织架构不够完善
　　3.3.3 尚未建立信息资产清单
　　3.3.4 员工安全意识薄弱
　　3.3.5 未将信息安全有效融入第三方外包服务管理
　　3.3.6 系统开发和运维人员职责不明确
　　3.3.7 尚未对信息安全实施内部审计
　　3.3.8 访问控制机制尚不健全
　　3.3.9 业务连续性方面建设比较初级
　　
　　第 4 章 博士公司基于 ISO27001 体系的信息安全管理问题诊断
　　4.1 信息安全策略
　　4.2 信息安全组织
　　4.3 资产管理
　　4.4 人力资源安全
　　4.5 物理和环境安全
　　4.6 访问控制
　　4.7 业务连续性管理
　　4.8 通讯与操作管理
　　4.9 信息系统的获取开发和维护
　　4.10 信息安全事故管理
　　4.11 符合性
　　4.12 防信息泄露
　　
　　第 5 章 博士公司基于 ISO27001 体系的信息安全管理改进方案
　　5.1 建立体系化的信息安全管理机制
　　5.2 完善企业信息安全组织结构
　　5.3 识别各类信息资产重要等级进行分级保护
　　5.4 加强员工安全意识培训
　　5.5 规范外包人员管理
　　5.6 明确各类人员的职责并设定严格的访问控制机制
　　5.7 制定业务持续性计划
　　5.8 引入内部审计机制
　　5.9 建立 PDCA 有效循环机制，不断完善企业信息安全体系
　　
　　第 6 章 结论和展望
　　6.1 结论
　　6.2 展望
　　参考文献
　　
　　致谢

　　承蒙上海外国语大学赵衍老师指导本人关于论文提纲和正文的修订和完稿，感谢赵衍老师付出的辛勤劳动。同时也感谢博士公司为本人写作提供了研究课题，为本文提供了第一手的真实资料，感谢他们的大力支持。