大学工商管理毕业论文范文.doc

大学工商管理毕业论文范文 管理好与外包商之间的关系意味着企业应致力于和外包商建立长期合作关系这将有助于安全服务的外包商更多地了解企业文化从而提供更好的服务以下是小编为您搜集整理提供到的大学工商管理毕业论文内容希望对您有所帮助！欢迎阅读参考学习！ 大学工商管理毕业论文范文 信息安全外包的风险 论文关键词:信息安全外包风险管理 论文摘要:文章首先分析了信息安全外包存在的风险根据风险提出信息安全外包的管理框架并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施文章以期时信息安全外包的风险进行控制并获得与外包商合作的最大收益 1信息安全外包的风险 1.1信任风险 企业是否能与信息安全服务的外包商建立良好的工作和信任关系仍是决定时候将安全服务外包的一个重要因素因为信息安全的外包商可以访问到企业的敏感信息并全面了解其企业和系统的安全状况而这些重要的信息如果被有意或无意地对公众散播出去则会对企业造成巨大的损害并且如若企业无法信任外包商不对外包商提供一些关键信息的话则会造成外包商在运作过程中的信息不完全从而导致某些环节的失效这也会对服务质量造成影响因此信任是双方合作的基础也是很大程度上风险规避的重点内容 1.2依赖风险 企业很容易对某个信息安全服务的外包商产生依赖性并受其商业变化、商业伙伴和其他企业的影响恰当的风险缓释方法是将安全服务外包给多个服务外包商但相应地会加大支出并造成管理上的困难企业将失去三种灵活性:第一种是短期灵活性即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力即在短期到中期的事件范围内所需的灵活性这是一种以新的方式处理变革而再造业务流程和战略的能力再造能力即包括了信息技术;第三种灵活性就是进化性其本质是中期到长期的灵活性它产生于企业改造技术基本设施以利用新技术的时期进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力 1.3所有权风险 不管外包商提供服务的范围如何企业都对基础设施的安全操作和关键资产的保护持有所有权和责任企业必须确定服务外包商有足够的能力承担职责并且其服务级别协议条款支持这一职责的履行正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到应该将信息安全作为其首要责任并进行安全培训课程增强常规企业的安全意识 1.4共享环境风脸 信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器)这将会增加一个企业访问另一企业敏感信息的可能性这对企业而言也是一种风险 1.5实施过程风险 启动一个可管理的安全服务关系可能引起企业到服务外包商或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡这一切都可能引起新的风险企业应该要求外包商说明其高级实施计划并注明完成日期和所用时间这样在某种程度上就对实施过程中风险的时间期限做出了限制 1.6合作关系失败将导致的风险 如果企业和服务商的合作关系失败企业将面临极大的风险合作关系失败带来的经济损失、时间损失都是不言而喻的而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁这种合作关系在任何阶段都有可能失败如同其他商业关系一样它需要给予足够的重视、关注同时还需要合作关系双方进行频繁的沟通 2信息安全外包的管理框架 要进行成功的信息安全外包活动就要建立起一个完善的管理框架这对于企业实施和管理外包活动协调与外包商的关系最大可能降低外包风险从而达到外包的目的是十分重要的信息安全外包的管理框架的内容分为几个主体部分分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程之后双方共同制定适合企业的信息安全外包的控制方法协调优化企业的信息安全相关部门的企业结构同时加强管理与外包商的关系 3信息安全外包风险管理的实施 3.1制定信息安全方针 信息安全方针在很多时候又称为信息安全策略信息安全方针指的是在一个企业内指导如何对资产包括敏感性信息进行管理、保护和分配的指导或者指示信息安全的方针定义应该包括:(1)信息安全的定义定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义而具体的信息安全保护的责任细节将留至服务标准的部分来阐明 3.2选择信息安全管理的标准 信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准: (1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准是国际上具有代表性的信息安全管理体系标准标准包括如下两部分:BS77991;1999信息安全管理实施细则;BS77992:1999(信息安全管理体系规范 (2)IS013335:IS013335IT安全管理方针主要是给出如何有效地实施IT安全管理的建议和指南该标准目前分为5个部分分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分 3.3确定信息安全外包的流程 企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度识别所有需要管理和控制的风险的内容企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案然后进行合乎规范的评估识别目前面临的风险企业可以定期的选择对服务外包商的站点和服务进行独立评估或者在年度检查中进行评估选择和使用的独立评估的方案要双方都要能够接受在达成书面一致后外包商授予企业独立评估方评估权限并具体指出评估者不能泄露外包商或客户的任何敏感信息给外包商提供关于检查范围的进一步消息和细节以减少任何对可用性服务程度客户满意度等的影响在评估执行后的一段特殊时间内与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化评估所需要的相关材料和文档在控制过程中都应该予以建立和保存企业将这些文档作为评估的重要工具对外包商的服务绩效进行考核评估结束后对事件解决方案和优先级的检查都将记录在相应的文件中以便今后双方在服务和信息安全管理上进行改进 3.4制定信息安全外包服务的控制规则 依照信息安全外包服务的控制规则主要分为三部分内容:第一部分定义了服务规则的框架主要阐明信息安全服务要如何执行执行的通用标准和量度服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求服务范围等方面的内容;第三部分是安全要求包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容 3.5信息安全外包的企业结构管理具体的优化方案如下: (1)首席安全官:CSO是公司的高层安全执行者他需要直接向高层执行者进行工作汇报主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问CSO需要监督和协调各项安全措施在公司的执行情况并确定安全工作的标准和主动性包括信息技术、人力资源、通信、法律、设备管理等部门 (2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务 (3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构组成人员包括双方的首席执行官客户企业的CIO和CSO外包商的项目经理等相关的高层决策人员这个委员会每年召开一次会议负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容 (4)咨询委员会:咨询委员会的会议主要解决计划性问题如服务水平的变更新的技术手段的应用服务优先等级的更换以及服务的财政问题等咨询委员会的成员包括企业内部的TI人员和安全专员还有财务部门、人力资源部门、业务部门的相关人员以及外包商的具体项目的负责人 (6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题工作组的人员组成也是来自服务外包商和企业双方工作组与服务交换中心密切联系将突出的问题组建成项目进行解决并将无法解决的问题提交给咨询委员会 (7)服务交换中心:服务交换中心由双方人员组成其中主要人员是企业内部的各个业务部门中与信息安全相关的人员他们负责联络各个业务部门发掘出企业中潜在的信息安全的问题和漏洞并将这些问题报告给安全工作组 (8)指令问题管理小组:这个小组的人员组成全部为企业内部人员包括信息安全专员以及各个业务部门的负责人在安全小组的技术人员解决了企业中的安全性技术问题之后或者是当CSO发布了关于信息安全的企业改进方案之后这些解决方案都将传送给指令问题管理小组这个小组的人员经过学习讨论后继而将其发布到各个业务部门 (9)监督委员会:这个委员会全部由企业内部人员组成负责对外包商的服务过程的监督 3.6管理与外包商的关系 管理好与外包商之间的关系意味着企业应致力于和外包商建立长期合作关系这将有助于安全服务的外包商更多地了解企业文化从而提供更好的服务在管理与外包商关系的过