【毕业学位论文】（Word原稿）商业酒店M公司在建设信息安全管理体系中存在的问题，制定了现有信息安全管理改良方案，并对实施过程中的重点因素进行了分析

一 、绪论 （一）研究背景与意义 1、研究背景 随着这些年来企业信息化的蓬勃发展，信息安全问题不断凸显，但是这些信息安全问题却没有得到企业的足够重视。在日益激烈的市场开发和竞争中，只有通过采用先进的信息技术手段来不断提高信息管理能力，企业才能有效提升自身核心竞争力、树立行业地位，而加强企业信息安全管理、保证数据安全成了企业当前信息化建设的重要内容之一。 近年来，信息安全事故屡见发生、不绝于耳，拿刚刚过去的 2012 年来说： 1月，美国电子商务站点 到网络黑客攻击， 2000 余万用户的电子邮件地址和密 码等信息被非法窃取； 3 月，东软集团有 20 名员工因泄露公司商业秘密被警方拘留，东软公司因此遭受高达 4000 余万元的经济损失； 3 月，招商银行等三家商业银行的员工被指以十分低廉的价格向外兜售储户银行卡信息，导致部分个人银行卡账号被盗； 7 月，京东、雅虎等四家网站有超过 800 万用户信息被泄露，并且发现被泄露出去的部分用户名和密码以明码方式存储，这些未加密的信息可以被任何人所利用；同月，三星电子员工私自向 司泄露 示技术而被起诉； 8 月，江苏银行被曝 1 个月内卖出上千份客户资料，上海市卫生局数据库外包维护 人员将数十万条新生儿信息倒卖， 包成泄密重灾区； 9月，据美国媒体报道，黑客组织攻入并破解了联邦调查局主管的个人笔记本电脑，从中获得了 1200 万苹果用户的包括所使用苹果设备 型以及用户账户信息在内的重要信息； 11 月，包括申通、圆通、中通和韵达在内的多家快递公司的用户信息、快递单号等信息被大面积泄露。 从以上案例能够看出，在社会经济生活信息化程度和不断提高的同时，我们面临的各种信息安全威胁也越来越多样化，各类信息安全事件的发生也越来越频繁。从我国企业目前的信息安全现状来看，不管是软硬件系统、组织结构还 是信息管理方面，均有不同程度的安全隐患存在。信息安全事故引发的系统宕机、网络中断、数据丢失、业务停顿等现象时有发生，种种信息安全事件无一不说明现行的信息安全监管制度的欠缺、内部管理以及技术措施的缺失，还有个人信息安全意识的淡薄等问题。 信息化作为我国国家发展的重要战略之一，是我国进行现代化建设的重要内容 1。早在 2001 年，我国的“十五”发展规划就已经明确将信息安全保障体系建设的相关内容纳入其中 2，各行各业也已将提高信息安全防范能力作为自身建设的重要目标。日趋严重的信息安全形势以及各国在信息安全方面的 经验教训，对我们来说是理论和实践上的巨大挑战。信息安全问题要得到有效的解决，就需要我们采用更加科学的方法，仔细了解和分析信息安全问题特点和实质，建立起适合我国实际的科学的信息安全保障体系，加快我国经济社会的发展。 2、研究意义 随着我国中小企业信息化程度的进一步提高，切切实实带来了优质的管理效益和丰厚的利润回报，为中小企业在市场中的立足和进一步发展壮大提供了坚实的保障基础。但信息化程度不断提高的同时信息安全问题也日渐凸显。中小企业规模较小、经济实力差，企业领导者普遍缺乏信息安全意识和相关领域知识，造成中小 企业信息安全方面面临着比大型企业更大的风险，随着我国中小企业已普遍进入信息化阶段，如何有效地解决我国中小企业的信息安全问题成了摆在我们面前的一道重要的课题。 作为中小企业的代表行业 酒店业，信息安全问题更是不容忽视。伴随国家经济高速增长和青海省旅游业兴起，青海省年接待旅客数已逾千万人次，各类星级酒店、经济型酒店和家庭旅馆数量快速增长、规模不断扩大、服务质量不断提高。随着信息化的发展，信息化水平的高低逐渐成为影响酒店服务质量和服务效率的关键因素，现代酒店也已开始改变以往的经营理念和竞争模式，客房数量装璜、房 间设施等质量竞争和价格竞争已退居其次，取而代之的则是酒店信息化的竞争。如果信息安全管理不到位致使酒店入住客人个人信息丢失、管理信息系统故障、内外网络中断等各种信息安全事故频繁发生，将会直接导致企业形象破坏、市场竞争力下降，所以信息安全问题已经成为制约酒店业进一步发展的重要瓶颈。所以，信息安全管理的规范化有助于酒店企业有效解决信息化发展过程中遇到的安全问题，摆脱信息安全问题带来的诸多不利影响，进一步提升企业管理水平，创造更高价值。 本文旨在通过在以 M 公司为代表的酒店型企业建立和实施信息安全管理体系，改善现有的 信息安全管理现状，可以有效规范企业员工行为，确保各种安全技术手段得以顺利实施，统筹管理各类信息资产，有效预防和避免信息安全事件的发生，在信息安全事件发生后能够及时采取应急措施保护企业资产不受重大损失，使信息安全协同工作获得更高效率、更加有序和更为经济。 （二）研究的主要内容 1、内容概述 本文对酒店企业 M 公司信息安全管理过程中存在的问题进行详细研究，并针对其在“组织、管理、运行、技术、监督”五个方面的信息安全管理提出优化方案 ,使其建立起一套系统的、动态的、高效的信息安全管理体系，以保障公司经营管理的信息 安全，提升公司防范信息风险的能力，增强企业核心竞争力。 论文主体由 6 个部分组成，各部分的主要内容如下： 第一部分：简单介绍了信息化背景下的酒店企业所遭遇的信息安全问题，探讨了开展这项研究的初衷和意义。 第二部分：详细阐述了现今国内外信息安全管理的现状及发展趋势；讨论了我国通过建立专门组织、制定相关法律法规、出台技术标准来提升我国信息安全管理水平，并简单分析了我国信息安全管理发展过程中中存在的问题；介绍了国外在信息安全管理领域所取得的理论成果，并对主流的管理标准进行了详细介绍。 第三部分：介绍了 M 公司基本情况和 信息化发展现状，并以此为依据探讨了M 公司信息安全问题以及信息安全管理过程中存在的不足，并且从管理、人员、资金等方面客观地分析了问题产生的原因 第四部分： M 公司信息安全管理优化方案设计。首先 根据 M 公司实际运营状况，结合 息安全管理体系标准，从组织、管理、运行、技术和监督这 5 个方面入手，对原有的信息安全管理框架进行改善 ，围绕管理框架提出包括组织结构、风险管理、内审制度、技术体系在内的 8 个方面的优化方案，并对具体方案进行了详细描述。 第五部分：对优化方案在实施过程中所遇到的重点问题和难点问题进行了 描述，提出解决方案和注意事项。对方案的实施步骤以及保障措施进行了具体叙述。 第六部分：结论。简单说明了论文中的创新点和不足点，并对论文整体内容作简单总结。 本论文主要运用了理论与实际相结合的方法，将信息安全管理体系建设和风险管理、 理论应用于 M 公司信息安全管理方案的优化，从 M 公司的信息安全管理优化方案设计到最后的顺利实施，为以酒店企业为代表的中小型企业的信息安全管理提供了重要的理论参考和实践指导意义。 2、技术路线图 安全意识淡薄 资金投入不足 相关理论 M 公司信息安全现状分析 技术平台建设组织结构调整 运行流程优化管理模式变更 提出信息安全管理优化方案 优化方案的重点、难点分析 术人员匮乏 得出研究结论 管理模式不合理 7001 标准 续改进 问题提出 监督机制建立管理框架改良 二、 信息安全领域相关理论及经验 （一）国内外信息安全管理状 况介绍 1、国外信息安全管理现状 在以美国为代表的信息化程度较高的发达国家，历来十分重视信息安全管理。在最近几年，这些国家都已经开始着手制订本国信息安全发展战略规划，以保证信息安全向着正确和既定的方向发展。美国国土安全局是负责美国信息安全管理工作的最高权力机构，而国家安全局、国防部等部门作为信息安全管理和执行机构，主要任务是根据相应的方针政策，结合自己部门的具体情况实施信息安全保障工作。 2000 年初，为了加强关键基础设施以及计算机网络免受威胁的防御能力，美国出台了电脑空间安全计划。同年 7 月，日本信息技术战略 部制定了信息安全指导方针。随后，俄罗斯也批准了国家信息安全构想，提出了保护信息安全的措施。 为了更加有效地实施各类信息安全措施，美、俄、日三国均将信息安全工作以法律的形式作出了明确的规定和规范。 2000 年 10 月，美国电子签名法案正式生效， 4 天后参议院通过了互联网网络完备性及关键设备保护法案。 2000 年7 月日本出台了信息安全政策指导方针，确保重要信息和网络信息的安全可靠性。俄罗斯国家杜马 2006 年 7 月颁布的信息、信息技术和信息保护法则被认为是讨论信息安全问题的基本法，成为俄罗斯信息安全立法的基 础。 国际信息安全管理逐渐朝向标准化与系统化的方向发展。随着 量管理体系标准的广泛应用，系统化管理的思想在其他管理领域也被不断借鉴与采用。进入 21 世纪，信息安全不再仅仅依靠安全技术手段与各种不成体系的管理规章来实现，信息安全管理也逐步进入了标准化与系统化的时代。英国早在 1995年率先提出并制定完成了信息安全管理标准 于 1999 年对该标准进行了重新修订。修订后的 为两个部分 :信息安全管理实施规则）和 信息安全管理体系规范），其中 999 于 2000 年12月通过了国际标准化组织和国际电工联合技术委员会的认可 ,正式成为国际标准 000（信息技术 ，这是通过 决最快的一个标准 ,可见世界各国对该标准的关注和接受程度。许多国家与地区对 000 十分重视，甚至在一些国家已经开始全面推广与应用该标准。信息安全风险可以在该标准的实施下实现有效的管理，实现组织信息安全。 2、国内信息安全管理现状 为了应对日趋严重的信息安全问题，中央及各省市相继成立了网 络与信息安全领导小组，全面负责信息安全工作。 2001 年国家信息化领导小组重组，网络与信息安全协调小组成立，标志着我国信息安全保障工作正式启动，国家信息安全组织保障体系初步建成。 1999 年，国家互联网应急中心（ C）成立，致力于建设国家级的网络安全监测中心、预警中心、应急中心，以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，支持基础信息网络的安全防护和安全运行，支援重要信息系统的网络安全监测、预警和处置。 2001 年，成立了中国信息安全测评中心，是我国专门从事信息技术安全测试和风险评估 的权威职能机构，负责信息技术产品和系统的安全漏洞分析与信息通报，负责党政机关信息网络、重要信息系统的安全风险评估，开展信息技术产品、系统和工程建设的安全性测试与评估，开展信息安全服务和专业人员的能力评估与资质审核，从事信息安全测试评估的理论研究、技术研发、标准研制等。 2003 年，国家信息化领导小组根据国家信息化发展的客观需求和网络与信息安全工作的现实需要，制定颁布了关于加强信息安全保障工作的意见（中办发 200327 号），明确了“积极防御、综合防范”的国家安全保障工作方针 3，提出了加强信息安全保障 工作的总体要求和主要原则，以及进一步提高信息安全保障工作能力和水平、维护公众利益和国家安全、促进信息化建设健康发展的具体意见。 27 号文件的颁布标志着我国全面启动了信息安全保障体系的建设，并以中央文件的形式将信息安全工作提上到“保障”信息化发展的高度 4。 我国信息安全管理标准的制定实施工作比起国外较为落后。各部门行业在其实践工作的基础上，分别制定了一些部门或行业内信息安全管理规范，对各自的信息安全管理工作起到了一定的指导作用，但缺乏对安全管理整体性上的认识和研究，没有统一的规划，使得我国信息安全管理国家 标准在较长的一段时间内成为空白领域，直到 2002 年，全国信安标委信息安全管理工作组 (成立。在国务院信息化工作办公室和国家标准化管理委员会的指导下， 定了多项信息安全管理基础和重要标准，并且对国际上重要的信息安全管理体系相关标准进行研究。截止目前， 式发布了 9 项信息安全管理国家标准：信息技术 信息技术安全管理指南 第 1部分：信息技术安全概念和模型 ( ,信息技术 信息技术安全管理指南 第 2 部分：管理和规划信息技术安全（ 信息技术 信息安全管理实用规则（ 19716信息安全技术 信息系统安全管理要求（ 20269信息安全技术 信息系统安全工程管理要求（ 20282信息安全技术 信息安全风险评估规范（ 20984信息技术 安全技术 信息安全事件管理指南（ 20985信息安全技术 信息安全事件分类分级指南（ 20986信息安全技术 信息系统灾难恢复规范（ 20988其中 19716 20985由国际先进标准转化而来的， 20269 20282吸收原有行业标准的精华上升为国家标准的， 20984 20986 20988是根据国家关于信息安全风险评估、重要信息系统灾难备份，以及应急处理制度和网络与信息安全信息通报制度等有关文件的精神 和要求，自主研究制定的国家标准。 信息安全管理的相关法律法规不断制定出台。为加强信息安全管理工作，国家各相关部门、行业和地方政府相继颁布实施了计算机信息网络国际联网安全保护管理办法（公安部）、计算机信息系统安全专用产品检测和销售许可证管理办法（公安部）、计算机信息系统保密管理暂行规定（国家保密局）、商用密码管理条例、互联网信息服务管理办法、计算机信息系统国际联网保密管理规定（国家保密局）、计算机病毒防治管理办法（公安部）、计算机信息系统国际联网保密管理规定（国家保密局）、 计算机病毒防治管理办法（公安部）、电子签名法、电子认证服务管理办法、广东省电子政务信息安全管理暂行办法、上海市信息系统安全测评管理办法等有关信息安全管理的法律法规文件。 我国信息安全管理尚存在许多的问题： （ 1）信息安全管理还比较混乱。无论对于国家、行业还是企业来说都缺乏一个战略层面的指导体系。实际管理力度和政策的执行、监督力度均显不足。 （ 2）完备的信息安全管理体系规范尚未建立。 （ 3）信息安全风险评估标准体系依然有待完善。 （ 4）信息安全意识淡薄，普遍存在重产品轻服务，重技术轻管理的思 想。 （ 5）信息安全专项经费投入不足，信息安全管理人才极度缺乏。 （ 6）信息安全技术创新不够，没有高质量的信息安全产品。 （ 7）没有一个权威、专门的立法管理机构来履行信息安全相关的组织协调工作。 （ 8）我国自己的信息安全管理标准太少，很多都是沿用国际标准。 （二）国内外信息安全领域的理论研究成果 1、 准 准由美国国防科学委员会于 1970 年正式提出，是第一个计算机系统安全评估的正式标准，它的提出具有划时代的意义。该准则在 1985 年 12 月由美国国防部作为军用标准公布，后来才延至民用领域。 美国国防部在 准中按信息的等级和应用采用的响应措施，将计算机安全从高到低分为： A、 B、 C、D 四类八个级别，共 27 条评估准则。其中 D 为无保护级， C 为自主保护级， B 为强制保护级， A 为验证保护级。 （ 1） D 类安全等级只有 个级别，它的安全等级最低。 统只提供文件和用户的安全保护，其最普通的形式就是本地操作系统，或是一个没有采取任何保护措施的网络。 （ 2） C 类安全等级可以为系统提供审慎的保护，并且提供用户行为和责任的审计。 C 类安全等级可以分成 类。 统通过将用户和数据分开，建立可信任 的运算基础体制，从而达到安全的目的。所有的用户都认为 统中的文档具有同样的机密性，即用户以相同的灵敏度来处理数据。 统包含统中全部的安全性特征，而且在 统的基础上增加了可以调节的审慎控制，其通过登录过程、安全事件以及资源隔离来加强强这种控制。 统的用户在连接到网络中时可以分别对各自的行为负责。 （ 3） B 类安全等级 可以 分为 个 类 别。 统 具有强制性保护功能 ，这就意味着 用户如果没有与 之相连的 安全等级，就 无法被许可 存取对象。了 满足 外， 还要求其 管 理员必须 采用 一个明确的、文档化的策略模式 为 系统 提供一个 可信任 的 运算基础体制。 统 在 统 的安全基础上有所增强，它 具有 十分 强的监视委托管理访问能力 以及 抗干扰能力。统 中 必须设有安全管理员。 （ 4） A 类安全等级级别最高，只包含 个安全类别。 统有个显著的特征：系统的设计者必须按正式的设计规范来分析系统，在对系统进行分析后，设计者须采用核对技术来保证系统符合设计规范。同 相似， 统对系统的结构以及策略不作特别的要求。 2、 5408 标准 在信息安全保障阶段，英、法、德、荷四国提出 了评价满足保密性、完整性、可用性要求的信息技术安全评价准则（ ，美国又联合以上四国和加拿大，以及国际标准化组织（ 同提出信息技术安全评价的通用准则（ 目前， 经被部分技术发达的国家承认为代替 评价安全信息系统的标准，并且被采纳为信息技术安全评估准则国家标准 5408。 5408 由三部分组成：一、介绍以及一般模型；二、安全功能需求；三、安全认证需求。这项准则比以往的其它信息技术安全评估准则更加规范，分别采用类别、认证族、认证部件和认证元件的方式定义准则 。类别中有若干族，族中又有若干部件，部件中还有若干元件。 5408 准则规定了三种测评类别：安全防护结构、安全目标和认证级别测评 ；八个认证类别：开发类、配置管理类、生命周期支持类、分发和操作类、测试类、指导性文档类、保证维护类和脆弱性评定类；七个评估认证级别类别：功能测试、结构测试、方法测试和检查、方法设计测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试；十一个安全功能类别：通信类、安全审计类、密码支持类、标识和鉴别类、用户数据保护类、隐秘类、安全管理类、 护类、 问类、资源利用类、可信路径 /信道类。 3、 准 准最初由英国贸易工业部于 1993 年立项。 1995 年， 1995信息安全管理实施细则在英国首次出版，它提供了一套由信息安全最佳惯例组成的综合性实施规则，确定了信息系统在大多数情况下所需要控制范围的参考标准，而且适用于各类规模的组织。 准的第二部分 1998信息安全管理体系规范于 1998 年在英国公布，它规定了信息安全管理体系的要求和信息安全控制的要求。这项标准是评估一个组织信息安全管理体 系的基础，可以将其作为一个正式认证方案的依据。 第一、第二部分在 1999 年经过修订重新予以发布，修订版增加了信息处理技术相关内容，特别是在网络和数据通信领域应用的最新发展，另外，标准还十分强调了商务领域涉及到的信息安全以及信息安全责任。 2000 年底， 1999信息安全管理实施细则终于通过国际标准化组织（ 认可，并且正式成为国际标准 77992000信息技术 信息安全管理实施细则。 2002年 9月， 002草案在经历了广 泛的讨论之后，最终发布成为了正式标准，与此同时999 被废止。 2004 年 9 月， 002 正式发布，一年后，该标准被 织所采纳为 7001:2005。 2005 年 6 月， 7799:2000经过改版，形成了新的 7799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升，并在 2007 年 7 月正式发布为 7002:2005。 999 标准详细介绍了 “ 什么是信息安全、为什么 需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则 ” 等内容 ,定义了信息安全的保密性、完整性和可用性。保密性是指确保被授权的人才能获取到信息；完整性是指保护信息以及信息的处理方法，使其保持准确及完整；可用性是指保障被授权的使用人在必要的时候能够获取到信息，而且可以使用相关资产。该标准的正文规定了 127 个安全控制措施，帮助组织识别对信息安全有影响的不利元素 ,组织可以按照适用的法律法规加以选择和使用 ,或增加其他附加控制。这 127 个安全控制措施被分成了 10 个方面 ,是组织实施信息安全管理的指南 ,这 10 个方面分别是 :（ 1）安全方针 :制定信息安全方针 ,以提供管理指导及支持；（ 2）组织安全 :通过建立信息安全基础设施 ,来有效地管理组织范围内的信息安全；（ 3）资产分类和控制 :审核所有的信息资产 ,将其进行分类 ,保证信息资产能够受到适当程度的保护；（ 4）人员安全 :进行工作职责定义，注意人力资源中的安全 ,以减少人为差错，防止设施因人为因素造成破坏的风险 ; （ 5）物理和环境的安全 :定义安全区域 ,保护设备的安全 ,防止未授权的信息访问、信息资产的流失和信息处理设备的损坏；（ 6）通信和操作 管理 :订立操作规程，明确职责 , 建立系统规划和验收准则，防范恶意软件，建立内务规程，确保将系统发生故障的风险减到最小 ,保持信息的完整性；（ 7）访问控制 : 建立全面的用户访问管理 ,划分访问职责，实现信息访问的可控性，从而确保信息安全；（ 8）系统开发和维护 : 使用密码等工具控制应用系统的在开发、支持和使用过程中的安全 ,确保安全被构建在信息系统内 ;（ 9）业务持续性管理 :目的是为了减少业务活动的中断 ,从而防止关键业务受主要故障或者天灾的影响；（ 10）符合性 :信息系统的管理和设计使用必须符合法律的要求 ,以防违背法律规 章、合约义务和其他安全要求。 002 标准详细说明了建立、实施和维护信息安全管理系统 (要求 ,提出了建立信息安全管理体系的具体步骤 :（ 1）定义信息安全策略。根据组织内各个部门的实际情况 ,分别制订不同的信息安全策略，并以书面形式发放给组织内成员，实施信息安全策略培训，严格落实在工作实际中；（ 2）定义范围。根据组织实际情况，划分不同的信息安全领域，确定需要重点进行信息安全管理的领域 ,以此可以对具有不同安全需求的领域进行恰当的信息安全管理。（ 3）开展信息安全风险评估。按照组织 对信息资产风险的保护需求，对信息资产进行鉴定和估价 ,对各种威胁和脆弱性进行评估 ,同时对安全管制措施进行鉴定； (4)信息安全风险管理。根据风险评估结果进行有针对性的风险管理，主要包括降低风险、避免风险、转嫁风险和接受风险 4 种措施； (5)明确管控目标及管控措施。在费用低于风险所造成的损失的前提下，组织应该实时对所选的管控措施和管控目标进行校验或调整 ,适应变化的情况，使信息资产可以得到及时有效、经济合理的保护； (6)预备信息安全适用性声明。信息安全适用性声明中记录了风险管控目标和控制措施，说明组织对组织内的信息安 全系统已经进行了全面的审视 ,并且有效地将需要管控的风险控制在可以被接受的范围内 2。 现在，由 准发展而来的 005 标准已经得到了许多国家的接受认可，成为具有代表性的国际信息安全管理体系标准。该标准发布以来，获得许多国家和组织的认可，有相当数量的组织按照该标准进行了信息安全管理体系的认证 3。截止到 2011 年底，颁发的 证证书总数约有 15625 张。我国自从 2008 年将 005 转化为国家标准 22080:2008 以来，信息安全管理体系 认证在我国国内获得了进一步的推广应用，截止到 2011 年底，国内颁发认证证书数量是 1107 张。随着移动互联网的兴起、云计算技术的快速发展，带来了全新的信息安全风险，使得越来越多的组织认识到信息安全的重要性，将信息安全管理当做基础的管理工作之一进行开展。如今除英国之外，荷兰、丹麦、澳大利亚等国已经表示同意使用此标准；瑞士、日本、卢森堡等国家也均表现出对 005 标准的兴趣。有很多国家的政府机构、金融企业、电信运营商以及很多跨国企业都已采用此标准对自己的信息安全进行系统的管理，到2010 年 3 月底， 国际国内共有 6385 家企业已通过 证 。 三、 M 公司信息化建设和信息安全现状 （一） M 公司信息化发展概述 M 公司是附属于西部机场集团青海分公司的一家 3 星级涉外酒店。酒店距离西宁曹家堡机场仅 2 公里，集会议、餐饮、住宿、购物、娱乐等功能为一体，主要针对来青海旅游、开会、培训的游客提供优质服务。 2011 年经过重新装修改造，加强了各种软硬件设施的配备，使得酒店整体环境焕然一新。 M 公司重视人才队伍的培养和引入，要求企业员工具有现代化的服务意识，加强企业管理创 新能力，注重提升企业文化，是青海省内星级酒店的优秀代表。作为 2011 年酒店所进行的装修改造项目中的重点内容，公司对信息化建设进行了全面的部署和开展。建设完成的信息化项目基本覆盖了酒店全部的业务范围，其中包括客房管理、办公自动化、会计电算化、采购及物流管理等基础业务内容，利用计算机网络技术将酒店在运营过程中所涉及到的人员、资金以及数据等信息进行采集，并加以分析，为管理层提供决策基础。整体的信息化框架结构搭建比较完整，信息化建设水平比较高。通过与该公司管理层、信息系统用户、信息管理人员等进行充分接触和讨论，对调 研结果进行深入分析，发现该公司近年来信息化建设取得了较快的发展，但其中也存在着不少问题。 M 公司目前现主要的信息化应用包括办公自动化（ 会计电算化和酒店餐饮住宿管理信息系统等。通过调查获知， M 公司日常经营中使用微软 要用于文件报表的编辑和打印。另外，该公司还建有内部网络，应用一套大型的、基于 B/S 结构的 统。酒店员工均可使用自己的账号和密码登录该 统查看、处理各类公文，办理请销假、考勤、日程管理、会议安排等事务。会计电算化方面，主要以财务部门使用的用友 务管理软件为主，包括总账、应收（付）款管理、固定资产、报表、票据、现金流、公司对账、财务分析等功能模块，实现了 M 公司的基础财务管理控制。该酒店在人力资源管理、供应链管理、客户关系管理等方面的应用信息化较少，没有专用软件，主要使用 表格处理软件进行简单管理。 因为随着信息化网络的快速发展，对于酒店企业而言，为了对各类信息系统进行有效的统一管理、为企业带来更高经济收益、提升企业对外形象、打响社会知名度，电子商务的建设必不可少。酒店企业的电子商务建设主要包括：内部局域网建设、互联网接入、企业门户网站建 设等方面。经过调查分析， M 公司已经建成了内部局域网，用于内部信息传输和处理，并且实现和青海机场公司内部网络对接；各部门和酒店客房均接入互联网，可以随时上网查资料、发邮件；公司门户网站尚未建立，没有开展网上营销活动。 M 公司已经具备了基本的电子商务条件，可以充分利用现代信息技术为酒店经营服务。但是，由于信息系统应用的缺乏，还不能使已建成的网络发挥实际的效用。特别是互联网的接入仅仅为了查资料方便，没有考虑信息双向交流、实现酒店网络化管理的目的，加之门户网站还未建立，不但无法对外进行企业形象宣传展示，更加无法通过互 联网进行服务预定、客户交流、网络销售等业务。 由于近年来计算机网络技术发展迅速，信息知识更新换代速度加快。因此，信息化人才的培养教育显得尤为重要。从 M 公司实际情况来看，公司对于信息化人才的重视程度依然不足，仅仅实现对部分职工进行对应岗位的信息化培训，比如对财务部门人员只培训其会计电算化相关技能方面的知识、对酒店前台人员只培训其掌握客房管理及收银开票系统的使用。公司采取的教育形式通常是短期、集中、一次性的培训，为了熟练掌握各岗位所需的计算机技能，公司大多数职工只能通过自学的方式进行学习。为了节约人力成本， M 公 司没有专门的计算机网络及信息系统维护人员，一旦系统出了故障，在本单位兼职信息管理人员无法解决的情况下，往往是临时请软件公司或者网络公司的技术人员来维护。从 M 公司计算机专业人员的构成上来看，公司共有 80 人（包括管理层和服务人员），其中计算机专业本科生仅有 2 人，分别担任总经理助理和餐饮部经理，兼公司的信息管理及维护工作；计算机相关专业专科生 3 人，都是客房服务人员，不具有信息管理能力。可以看出，在 M 公司中，信息管理高层次从业人才很少，对单位信息化建设及发展十分不利，信息化人才已经成为制约公司信息化发展的主要因素。因此， M 公司应当着力培养信息化人才的培养，以适应当前的信息化建设。 （二） M 公司存在的信息安全问题及其分析 1、 M 公司现阶段面临的主要信息安全问题 （ 1）病毒。在调查过程中，当问及最令人困扰的信息安全问题时，公司中有近一半的人认为是病毒问题，并且大部分人表示自己的计算机曾经中过病毒，以至于影响计算机正常运行，造成资料数据的丢失和工作的拖延。 （ 2）非法访问。有 40%的被访问者表示，非法访问仍然是存在于企业内部的重要问题。许多员工为了工作方便，往往没有为个人电脑设置密码，或者设置的密码很简单，没有被授权的人 能够随意访问、使用自己的电脑，以至于个人工作秘密被泄露、个人资料被删除等情况时有发生。 （ 3）网络攻击。随着互联网的接入，公司网络不断受到来自互联网的各种网络攻击。特别是 拒绝服务）为代表的网络攻击常常造成公司大量网络带宽被无端占用，使得网络设备宕机，无法响应客户请求，甚至造成数据包丢失，严重影响信息管理技术力量本来就比较弱的 M 公司各项业务的正常开展。 （ 4） 垃圾邮件。 M 公司没有建立自己的邮件服务器，对于公司职员说，使用各大网站提供的免费邮箱更为快捷方便。但是这种公共邮箱受到垃圾邮件攻击的概率十 分高，垃圾邮件中包含的有害信息和各种木马病毒严重降低了公司运转的效率，使运营成本大大提高。 （ 5） 恶意软件。 M 公司的普通员工经常利用闲暇时间上网浏览网站，或者是下载一些自己感兴趣的图片、文章和软件，不知不觉中面临着恶意软件的威胁。据统计，互联网上有 10%的网站在不知情的情况下被恶意挂了木马病毒，上网者在浏览该网站时浏览器就会自动下载运行该木马，从而遭受不必要的损失。另一方面，还有许多上网电脑在未经许可的情况下“被”安装了各种流氓软件、广告软件、浏览器劫持或者间谍软件等恶意程序，这些程序能够在用户不知情的情 况下，偷偷收集用户信息，打开后门端口，为黑客入侵大开方便之门，为公司信息安全埋下严重隐患。 （ 6）信息管理失控。由于 M 公司员工普遍缺乏信息资产的保护意识和防范能力，底层员工流动性大，信息管控容易出现问题，比较容易因员工的流失而导致重要信息的泄露。 以上问题，都可能会严重威胁到 M 公司信息安全机密性、完整性和可用性，如果不进行预防和改进，轻则给公司造成重大损失，重则会影响到公司的生存和发展。 2、 M 公司现阶段存在的信息安全管理方面的问题 （ 1）信息安全管理框架覆盖不全 M 公司管理层对信息安全管理框架没有具体的概念和 定义，经过梳理发现，该公司在安全管理方面一直以来围绕着“组织、技术、制度”三个方面开展，并且主要使用技术手段来构建信息安全防护体系，其暴露出管理上的不足，从而造成人员风险和运行风险的增加、制度的僵化和执行不力，以及由于监督反馈环节的缺失而导致无法准确评估和改进管理手段。 （ 2）信息安全教育不到位，员工信息安全认知度低 由于缺乏专业规范的指导， M 公司的信息安全教育仅仅停留在单纯的信息安全知识宣传和计算机安全防护技术的简单教授层面，对如何提高信息安全认知度没有具体的认识和措施，在教育培训方面也存在敷衍了事的对待 态度，无论是具体的培训计划还是专业信息安全管理人员的培养上都没有相关的实施方案，从而造成员工们对信息安全管理的认识不足，引入人员安全风险。 为了检验公司员工信息安全认知度的水平，特设计了一套有关信息安全基础知识方面的试卷（满分 100），并从公司随即抽选 30 人进行闭卷答题，考试成绩分布如图 3 图 3M 公司信息安全基础知识考试成绩 可见，有 60%的员工在此次考试中成绩不合格 （低于 60 分）， M 公司员工信息安全认知度整体偏低。 （ 3）信息安全管理组织结构不合理 M 公司在 2011 年建立了以主管信息化的副总经理为组长的信息化工作领导小组，办公室设在公司信息科。该领导小组负责公司信息化建设方面的一切事务，包括信息安全管理。信息化工作领导小组是一个虚拟组织，其成员分布在各个部门，日常信息安全管理问题交由信息科具体负责办理。这样的组织结构没有突出信息安全的重要性，成员的单一化使得职责分工不明确，最后导致以技术为主、管理为辅的管理模式，不能很好的履行建立和实施信息安全管理体系所要求的职责。 （ 4）信息安全审计制度不健全 M 公司会定期组织人员对本单位的信息安全进行内部审计，但是由于没有设置安全审计员的岗位，信息安全管理和审计工作都由信息科完成，违背了审计工作的回避原则，审计工作不能达到预期效果；另一方面，由于公司审计人员对信息安全审计工作的认识有限，流程不规范，使得潜在的问题可能无法被及时发现。 （ 5）信息安全风险管理不科学 M 公司在风险管理过程中没有参考通行的国内外标准，通过信息管理员简单分数段 30分以下 3060708090分以上 人数 5 13 7 4 1 0 的采用风险点分析的方法来进行风险管理。由于缺乏对现有信息资产的有效识别，使得信息管理员在分析风险点（安全薄 弱点）时，仅仅靠实际工作经验来判断，对各种威胁和薄弱点的评估偏离实际安全管理需求，无法提出合理的控制措施，造成风险管理不到位，不能起到应有的作用。 （ 6）信息安全监控报警及响应恢复机制操作性差 M 公司现有的监视报警系统只应对个别的信息系统进，不能提供全面的、集中的监视报警管理。另外，没有建立值班制度，使得报警信息不能及时被获知和处理，加大了信息资产遭受破坏的可能性增大。 M 公司制定了信息安全应急响应预案，其中对发生信息安全事件时信息安全管理相关人员和部门的职责作了规定，但是没有考虑自身实际，制订的预案适合 大型企业应用，对现实指导意义不强，不具备很强的操作性，所以需要结合自身企业规模和特点进行再完善。 （ 7）技术保障体系不能满足实际安全需求 由于资金投入不足，缺少计算机技术人才， M 公司在技术平台建设上有很多问题和不足。在与机场公司内部网络的连接处以及互联网入口处部署了防火墙，能够起到一定的防御作用；其次在所有客户端计算机上安装了免费的 360 杀毒软件，对外来病毒的防御有一定的查杀作用。但是技术平台覆盖不全，不能提供从客户端到服务器，从单机到网络全方位的保护，使公司技术保障体系对外来攻击几乎没有抵抗能力。 （ 8） 制度文件管理混乱 M 公司管理层比较重视制度建设，先后出台了机房管理制度、 统操作手册等一批制度和指南，但是由于缺乏科学的分类和梳理，造成整个文件系统杂乱无章，有些制度内容陈旧，有些制度照抄照搬其他企业，有些制度不能很好地符合实践所以，建设一个完善的信息安全管理体系文件系统是摆在 M 公司面前亟待解决的重要问题。 3、 M 公司信息安全问题的分析 就 M 公司信息安全问题及信息安全管理中存在的问题产生的原因，笔者认为主要有以下几方面： （ 1）管理层对信息安全依然不够重视。目前， M 公司管理层人员只着眼于如何 经营好企业，对于信息安全的认识还不到位。有部分管理人员简单地认为信息安全就是技术问题，有了病毒、网络瘫痪了，只要请技术人员处理一下就好了，头痛医头脚痛医脚的思想比较严重，而不会从管理体系方面考虑信息安全的问题。 （ 2） 才短缺，特别是信息安全管理人才匮乏。由于企业的不重视，加上企业规模小，难以培养和留住留住信息管理人才，或者仅仅有个别懂信息管理的人才，还需要兼任其他工作，信息安全缺乏专人管理，造成信息安全隐患。 （ 3）员工安全意识淡薄，防范能力低。未经过专门培训的员工，其信息安全意识比较落后。有时候， 有些员工意识不到自己的某些不经意的行为可能令公司的信息资产遭受损失，比如浏览一些未经过安全认证的网站、下载使用来历不明的软件、没有及时升级杀毒软件病毒库、未养成定期杀毒的习惯、不懂如何及时修复系统漏洞等，这些不良行为都会造成信息安全隐患。 （ 4） 资金短缺，无法建立相对完备的信息安全防控体系。公司内部资金有限，对信息安全资金的投入不足，迫使 M 公司采用下载免费的杀毒软件等普通的防治办法，无法保证公司的信息安全；另一方面，公司局域网结构简单，主机数量少，服务器提供的服务相对单一，缺少安全防护专用设备和软件，使得 非法访问和入侵变得简单容易。 （ 5）服务人员流动大，管理难度高。由于 M 公司是国有企业，其管理层人员待遇相对优厚，人员比较稳定。但服务人员基本都是临时聘用人员，流动性较大，有的服务人员日常工作有机会接触到公司的经营管理相关数据资料，如果该员工工作变动，有可能会将这些数据或者工作秘密散播到外界，令公司遭受不必要的损失。 （ 6）缺乏完整合理的信息安全管理框架和组织结构。由于缺少信息安全管理专家指导， M 公司管理层还没有建立起合理科学的信息安全管理框架，对公司信息安全管理工作缺乏统一的规划，致使信息安全工作还停留在重 视技术防范、轻视组织管理的层面。组织结构的不合理造成岗责不匹配，使得信息安全管理工作分工不明确，管理流程存在死角，人为造成额外的风险。 （ 7）没有掌握并实施科学、行之有效的信息安全管理方法。对当前信息安全隐患存在认识不足的情况，不能使用科学的方法完整识别信息资产，缺少评估安全薄弱点的有效手段，对如何订立风险管理策略和安全控制措施没有准确的定位和规划。对信息安全审计监督、应急响应、持续改进等管理方法不够了解，没有建立相应的运行机制。 四、 M 公司信息安全管理优化方案设计 根据上一章所分析的 M 公司现 阶段存在的信息安全管理的问题，结合 M 公司自身实际情况，在力争花费最小代价获得最大收益的原则下，设计并提出以下优化方案： 一是建立企业信息安全管理框架 ，二是 加强信息安全认知度 ， 三是改良信息安全管理组织结构与职责 ， 四是建立信息安全审计制度 ， 五是建立信息安全风险管理机制 ， 六是建立信息安全监控报警机制 ， 七是制定信息安全事件响应恢复机制 ，八是建立可持续改善的信息安全管理机制， 九是建立综合性技术保障平台 ， 十是完善信息安全管理体系文件系统 。 （一）建立企业信息安全管理框架 根据 M 公司实际运营状况，结合 息安全管理体系标准，可以从组织、管理、运行、技术和监督这五个方面入手，对原有的信息安全管理框架进行改善，增加运行和监督环节，将制度建设扩充并变更为管理模式的建设，并且不再着重强调技术，将“重技术轻管理”转化为“三分技术，七分管理”的管理思路，建立一个贴合实际情况的闭环的信息安全管理框架（如图 2 所示）。根据这个管理框架，可以从 5 方面 7 个环节对 M 公司需要重点优化的管理内容进行梳理，建立起 M 公司基础信息安全保障体系。这些环节分别是： a）安全组织：信息安全认知度，信息安全管理组织结构； b）运行流程：风险管理机制，监控报警及响应恢复机制； c）审计监督：审计制度； d）管理模式：文件系统； e）技术保障：技术平台。另外，为了进一步加强管理成效，应该对从计划到实施、再到审计整体流程作一规范并形成机制，有利于查找出管理中存在的不足，持续改善信息安全管理。 图 4企业信息安全管理框架 （ 1）建立总分联动的信息安全组织 构建综合性的信息安全管理体系的首要任务就是建立一个有明确分工、层次清晰的信息安全组织，确立信息安全的决策层、管理层与技术服务层 ，科学配置岗位，规划组织和岗位职责。应该采用自上而下的方式建立信息安全组织，顶层设计各级安全组织的权利和职责范围。安全组织可以以实体行政单位的形式设立，也可以以虚拟组织的形式设立，并适合采用矩阵式的管理模式对组织关系和运作机制进行管理。必须明确各个组织和岗位担负的安全工作职责以及工作内容，以保障日常工作能够顺利开展。另外还需要建立情况报告机制和协同工作流程，在发生紧急安全事件时可以及时作出应急响应。加强人员培养，重点培养信息安全专业管理人才和技术人才，为信息安全管理工作提供必要的人才支持。 （ 2）建立强化执 行的管理模式 信息安全工作主要以管理为重点内容，通过加强制度建设，从组织策略、运行维护和物理环境管理等诸多方面进行信息安全管理，按照统一的要求和标准建立一套较完整的信息安全制度框架，制定涵盖本公司信息安全管理各方面的规章制度，并根据公司的实际经营情况贯彻落实各项制度。 （ 3）建立标准化的安全运行流程 制度可以固化在信息系统中去执行，不但可以降低执行成本，而且可以有效减少监督成本。在建设安全运行流程时，应当参考本行业最佳实践和相关标准。相关调查结果显示，由于实体产品 (包括电力、网络、软硬件等 )方面发生问题造成 的信息安全事故约有 20%，而由于管理失误造成信息安全事故的有 40%，由于人员工作疏失造成信息安全事故的占 40%。其中的管理失误包含无预防措施、变更管理失误、没有测试等问题，而人员工作疏失则包括了疏于防范、操作不合规、训练不足等，并且人员工作疏失的本质依然是管理问题。由此可见，包括