本文是一篇管理学论文,本论文以Y公司信息安全管理为主要研究对象,在总结了国内外研究成果的基础上,围绕Y公司当前信息安全管理现状,采用信息安全管理有效性测量的方式进行问题调研。
一、绪论
(一)研究背景和意义
1.研究背景
近年来,随着互联网信息技术的蓬勃发展,全球的社会经济组织结构正由能源与物质为重心向以知识与信息技术为重心转变,信息系统在企业中得到广泛应用,信息的重要性已得到广泛的认可。现代化企业的运营数据、营销方案、客户信息等重要资料普遍存储于网络数据中心,此外,在财务报告、人员薪资、人事档案等方面的数据存储也不可避免地依赖于各种信息系统,由此可见,信息技术的应用已经融入到公司经营管理的各个方面,信息本身已成为企业重要的无形资产。
企业在享受信息科技带来的各项红利的同时,也面临着来自信息安全方面的威胁与挑战。近年来,国内外企业网络安全事件的频繁发生,包括常见的DDoS拒绝服务攻击、远程命令执行、敏感信息泄露、网页篡改、木马病毒等,像2017年波及全球的“WannaCry”勒索病毒,造成世界各地的十几万台主机感染,海量数据资料永久性丢失,带来的损失无法预估[1]。据国家工业信息安全战略发展研究中心数据统计显示,在2020年数据泄露事件中,企业信息安全事件的占比为35.6%,近三年呈现持续增长的态势。图1-1为2018至2020年全球涉及数据泄露的企业信息安全事件占比:
(二)国内外研究综述
1.国外研究现状
从目前世界各国信息安全管理的发展状况来看,在不同国家、组织及研究学者在信息安全管理方面都进行了诸多探索,目前已经取得了丰富的研究成果,信息安全管理标准及模式仍在持续完善。在信息安全管理方法及体系模式上有不同的观点和理解。国外与信息安全管理相关的研究成果可归结为如下几方面:制定信息安全管理标准,促进信息安全法律法规落地;研究信息安全管理的影响因素,提出解决方案;制定信息安全管理相关的规划和发展战略,完善信息安全系统化管理体系。
在信息安全管理标准方面,面对日益复杂的信息安全形势,为确保信息系统资产的机密性、完整性以及可用性,欧美各国根据自身国情,先后设计出满足自身需求的信息安全管理标准。ISO7498-2在二十世纪九十年代首次明确提出了安全体系的定义,预示着信息安全管理体系的诞生[2]。随着信息系统安全概念不断发展完善,信息安全从早期的通信安全逐步演进为信息安全保障[3]。1998年美国国家安全局发布了业界最具代表性的《信息保障技术框架》(IATF),对各类信息安全保障系统的建设和发展起到了很好的指导作用[4]。国际标准化组织于2013年10月颁布了ISO/IEC 27001:2013,该标准是当前世界各国普遍认可的信息安全管理体系通用标准[5]。
二、信息安全管理理论基础
(一)信息安全管理相关概念
1.信息安全
信息安全就是强调信息本身的安全,其任务是保护信息系统资产,避免信息被无意或未经授权的更改、损毁和恶意泄露,造成信息无法处理或不可信[29]。对于现代信息系统而言,信息安全的概念是保护信息系统的软硬件设施和相关数据不因偶然或恶意的原因遭到泄露、变更和损毁,并确保信息系统的安全可靠和持续正常运行[30]。 信息安全可通过实施一套涵盖方针政策、程序、过程和软硬件功能等相关控制措施方式来实现。上述控制措施需要建立、实施、评审以及改善,以保障业务目标的完成,维护组织的安全 [31]。
2.信息安全管理
信息安全管理是通过保持信息系统的可用性、完整性与保密性来有效维护和管理信息资产的一套机制,是对信息安全保障工作实施规范、引导和管理的一系列活动及流程。信息安全管理作为信息安全保障体系构建的关键组成部分,在保护信息系统资产安全、减少信息系统风险、指导信息安全的体系建设方面起关键作用[31]。
3.信息安全管理体系
信息安全管理体系(Information Security Management Systems,ISMS)是由企业在总体上或特定范围内确立的信息安全目标和方针,以及达到这些方针目标所使用的手段及措施所构成的管理体系[32]。信息安全管理体系一般包括构建严格的操作流程、建立信息安全策略、执行安全风险评估、开展人员安全意识培训等一系列管理工作,通过在信息安全方针策略、信息资产管理、系统开发管理、人员信息安全等诸多领域中构建管理与控制措施,以确保公司内部信息资产的安全与业务的顺利开展[33]。
(二)理论基础
1.ISO27001信息安全管理标准
信息安全管理发展的一个关键方面是迈向系统化和规范化管理时代,ISO27000标准族是国际标准化组织为信息安全管理体系预留的一套规范的统称,ISO27001规范是一套建立信息安全管理体系的标准,其全称《信息技术-安全技术-信息安全管理-要求》[35],其对企业如何构建、执行、维持和改善信息安全管理体系的要求进行了详尽的描述。ISO27001作为一套管理规范,指导相关管理人员如中运用信息安全管理体系,其目标在于构建符合公司实际需求的信息安全管理体系[36]。
信息安全标准是国内外优秀企业实践经验总结的精华,是企业信息安全管理工作开展的理论依据,因此,在充分理解这些信息安全管理理论和标准的基础上,结合企业的实际情况加于运用,对Y公司信息安全管理问题的研究和优化方案的设计工作具有重要的指导意义。
2.PDCA循环模型
PDCA循环是管理学中常见的过程模型,简称戴明环,常使用于持续改进产品质量的过程[42]。PDCA持续性改进的管理模型分为P-规划、D-实施、C-检查和A-处理等四个阶段,要求把项目管理中的任务按照制定规划、实施规划、检验实施效果,并把成功部分纳入规范,待改进部分将在下个迭代周期解决。
三、Y公司信息安全管理的现状............................ 15
(一)Y公司概况 ...................................... 15
(二)Y公司信息安全技术防护能力 ....................................... 15
(三)Y公司信息安全管理现状 .................................... 16
四、Y公司信息安全管理的问题及成因分析 .................................. 22
(一)问题调研...................................... 22
1.信息安全管理测量指标构建 .......................... 22
2.信息安全管理指标权重确定 ...................................... 22
五、Y公司信息安全管理的优化方案 ................................ 48
(一)优化的目标和原则 ................................ 48
1.优化的目标 .................................. 48
2.优化的原则 ........................... 48
五、Y公司信息安全管理的优化方案
(一)优化的目标和原则
1.优化的目标
运用信息安全管理理论和PDCA循环方法指导,按照ISO27001的相关要求,结合Y公司实际状况,从管理角度提出优化方案,优化目标如下:
(1)提高信息安全防范能力
通过对Y公司信息安全的有效性测量和存在问题的分析,已找到公司信息安全管理方面的不足之处,需通过制定具体可施的优化方案,降低或消除已有的安全风险,规范工作流程和技术标准,将安全开发流程融入至系统开发建设的生命周期,降低业务系统中的风险和威胁,提高公司的信息安全防护能力。
(2)提升信息安全管理水平
针对Y公司在信息安全策略、信息资产管理、系统开发管理等方面的不足之处,需通过建立切实可行的流程和标准,健全管理制度策略,明晰安全职责,落实监督评审机制,从而持续提高公司的信息安全管理水平。
(3)提升全员安全意识水平
人的因素由于其复杂性常常成为企业信息安全防线中相对薄弱的一环,容易作为入侵突破口,每位员工的内部活动都可能给公司带来信息安全威胁,优化的其中一个目标就是提升公司全员的信息安全意识,通过对信息安全风险的知识和意识的培训来减少人为风险,确保每位员工都理解自身的信息安全责任;制定必要的纪律制度和考核机制,将信息安全责任落实到个人。
六、总结与展望
(一)研究结论
本论文以Y公司信息安全管理为主要研究对象,在总结了国内外研究成果的基础上,围绕Y公司当前信息安全管理现状,采用信息安全管理有效性测量的方式进行问题调研,构建二级三层的测量指标,采用层次分析法确定一级与二级指标权重,通过资料调阅,技术调研,人员访谈和问卷调查等方法收集测量原始数据,通过专家评分的方法度量出信息安全管理各控制领域的有效性,对比控制领域与合格基准线的差距,找到Y公司信息安全管理方面存在的问题,在此基础上全面剖析了Y公司信息安全管理中存在问题的原因,给出对应的优化方案,并提出方案执行的保障措施,确保方案可以有效落实。针对Y公司信息安全管理优化的研究成果如下:
1.以ISO27001信息安全管理标准为理论依据,得到信息安全管理整体水平的量化指标,并利用层次分析法得到指标权重,结合专家评分等方法实现对Y公司信息安全管理有效性的测量,在公司内部的可操作性较强。
2.通过对Y公司信息安全管理有效性的测量和现状的分析,发现其面临的主要问题是:信息安全策略未有效落实,人员信息安全意识薄弱,信息资产管理不规范,系统开发管理中未能识别安全风险。
3.以ISO27001标准为实践准则和框架,在分析问题成因的基础上,从管理角度提出了适用性较强的优化方案,着重在信息安全策略、人员信息安全、信息资产管理、系统开发管理方面进行优化,并提出相应的优化保障措施,达成整体提升Y公司信息安全管理水平的目标。
信息安全管理是一个动态持续的管理过程,随着公司内外部环境的变化及业务的持续发展,需在发展变化中针对公司的实际状况及时调整相应的信息安全管理策略,持续改进信息安全管理措施,保持和提升公司的信息安全管理水平,才能实现长久的信息安全。
参考文献(略)