博士公司基于ISO27001体系的信息安全管理问题诊断,mba毕业论文

博士公司基于ISO27001体系的信息安全管理问题诊断,mba毕业论文本篇论文目录导航：【第1部分】【第2部分】【第3部分】【第4部分】【第5部分】博士公司基于ISO27001体系的信息安全管理问题诊断【第6部分】【第7部分】第4章博士公司基于ISO27001体系的信息安全管理问题诊断通过前期的调查问卷以及与各业务部门的实地访谈，博士公司当前主要存在9个比拟严重的信息安全问题。本章中将以ISO27001信息安全管理体系中的11个安全控制域为基本框架，外加近年来信息安全研究领域所提出的信息防泄露〔DLP〕理论为基础构成12个信息安全控制维度来分析并具体的阐述构成上述9个信息安全问题的详细原因。【1】4.1信息安全策略博士公司当前整体缺乏信息安全管理机制，根本上是缺少基本的信息安全策略。其原因在于当前博士公司的整体战略并未将信息安全纳入华而不实，信息安全建设还处在初级阶段，尚未构成立体化、体系化的管理措施和理念。公司层面的信息安全制度性文件当前只要信息安全方针。由于是信息安全方针是一个纲领性的文件，缺少相应的配套流程和制度，在执行层面缺乏了相对严谨和细化的执行标准。固然已经在公司范围内公开发布，但执行的力度和效果明显没有到达预期的效果。另外，塞班斯法案对企业的信息系统审计有一定要求，但博士公司在信息系统内部审计方面并没有引起足够的重视，未把信息系统内部审计上升到与财务内部审计一样的高度。固然信息安全方针中有关于对信息安全内部审计的要求，但落实到执行层面效果并不理想。既没有定义明确的审计对象、审计范围，也没有制定审计方式以及保证审计结果无误的相关审计方式方法。相较于财务审计信息系统审计工作形同虚设，仅仅在外部审计师到来之前临时进行突击检查，在日常的工作中内部审计工作并不是按部就班的执行。4.2信息安全组织博士公司管理决策层在信息安全组织方面当前缺乏政策面支持，尚未成立信息安全管理委员会，也没有其他行政职能部门分管信息安全建设工作。由于组织构架的不明确，导致博士公司在信息安全领域投入的人力严重缺乏，整个公司仅有的一个信息安全岗位〔信息技术部的信息安全专员〕，且此职位的设置仅仅仅是考虑到信息安全技术的运用，如防火墙的使用、上网行为管理的监控、反垃圾邮件等，并没有考虑到信息安全管理在整个信息安全建设经过中的作用。各部门也没有与公司信息安全相关人员建立工作上的接口，没有指定专人负责协调各部门内部来配合公司整体信息安全建设。另外，博士公司内部固然成立了合规和内部控制部门，但对于信息系统安全没有设立专门的信息安全审计师的职位，当前部门内人员的职业背景大都是财务相关，并非IT相关领域，对信息系统的安全审计难免陌生，在施行对信息系统的审计经过中往往心有余而力缺乏，有时也会偶然发生为了应付外部审计师而采取临时唆使信息技术部的员工来编造审计记录的违规事宜。4.3资产管理在访谈经过中，很少有部门能够提供一份完好的信息资产清单，即便提供的清单中大都是通过经历体验来主观断定信息自然的重要程度和分类等级。归根产生这一情况的原因是当前博士公司并没有建立资产的分类和分级制度，因而在执行层面上无法进行信息资产的分类和分级。除此之外，在对于企业的固定资产管理的调查研究中也碰到了同样的问题，由于没有严格的固定资产管理规范。在实际的调查经过中发现，离开职位员工的笔记本电脑的回收和再次分配出现了严重的混乱情况，IT部门的维护列表中的信息与财务的固定资产表中的信息存在较大的误差，在财务的固定资产表中，甚至出现了固定资产的使用人是已经离开职位的人员这样的情况。因而，当前博士公司需要一套完好的资产管理和分级分类制度来规范和管理其所拥有的资产。4.4人力资源安全当前博士公司当前的人力资源在人员招募、绩效考核、薪酬制定、员工培训、人才关系等管理经过中拥有了一套相对完善的流程和制度。但在拟定时并未做信息安全方面的考虑，其主要表如今一下几个方面：〔1〕组织构架在确定整个企业的组织架构时，组织的内部治理和风险控制并未牵涉到信息安全。因而从决策层、到落地层并没有设立信息安全委员会、信息安全执行小组、以及各业务部门的信息安全接口岗等部门或岗位。而博士公司内部也没有人员来兼顾本来这些部门和岗位所应承当的职责。〔2〕员工行为规范和安全意识博士公司在对其员工的日常管理中主要参照(博士单位员工手册〕为管理根据，但手册中的细则并未牵涉到如电子邮件使用规范、数据〔信息〕传输规范、数据〔信息〕存储规范这样的信息安全领域。由于信息安全不会给博士公司带来经济收益，大部分员工都以为不采取措施不一定会造成损失，因此也不愿意把时间和精神投入到信息安全保卫上。博士公司本身也迫于业绩压力的影响和业务各项资源限制，未对员工展开定期的信息安全意识培训。〔3〕人员复用出于人力资源成本的考虑，博士公司的员工通常身兼数职，人员复用的情况在各部门之中普遍存在，甚至会出现大量的第三方外包人员参与博士公司的核心业务，不可避免的接触到核心业务数据。无论是员工还是第三方外包人员，在于博士公司签订合同或协议时并未牵涉到数据保密义务的条款。4.5物理和环境安全由于考虑到办公场地成本，博士公司在日常的办公场地中隔出一个区域作为数据中心。在对数据中心的调研工作经过中发现，作为博士公司的业务中枢，数据中心的27物理环境中无法知足BCP〔业务持续性计划〕要求，存在着几个重要的安全隐患：〔1〕环境温度：整个数据中心仅配有1台家用的1.5匹立式空调，由于数据中心内所存放的服务器大都对环境的温度和湿度有严格要求，在建立数据中心时一般会根据标准采用专用的精致细密空调。另外，若仅有的1台空调出现意外停止工作，容易造成环境温度升高〔尤其在夏天〕而导致的服务器当机，引发业务的中断。〔2〕电力系统：整个数据中心仅有20个平方左右，起初在设计时仅考虑到3个42U机柜的用电负荷，但当前设置了5个标准42U的机柜。增加的两个机柜直接由市电提供电力，并非根据机房用电标准采用UPS〔不间断电源〕来进行供电。若发生停电，采用市电的服务器会立即停止工作，甚至出现不稳定的电流而导致服务器硬件被损坏，短时间无法修复的情况。〔3〕服务器管理：由于数据中心实际的物理面积限制无法再架设机柜，有多台服务器由于没有机柜能够固定上架，临时堆放在数据中心的防静电地板上，容易造成损坏。机柜内的服务器也并未根据标准把服务器的IP地址、管理员、使用用处等信息采用标签的形式标注。〔4〕网络跳线：各机柜内以及各机柜之间的网络跳线混乱，未根据数据中心机房的建设标准来进行规范的走线，每条网络跳线末端也未有明确的标识，出现故障时较难采取排障措施。〔5〕备用线路：整个博士公司的数据中心当前只要一条线路连接Internet，并没有考虑备用或应急线路，一旦此线路出现故障，博士公司整个业务系统对外的服务都将瘫痪。除了上述提到的存在于数据中心的物理安全威胁外，把握大量企业纸质材料〔信息〕的作业管理部和财务部的物理安全也存在较大的问题，其在办公物理位置的规划中并没有考虑到信息安全因素。非但办公室并没有设立门禁系统，任何博士公司的员工都能够随意进出，而且也并未设立专用的纸质文件归档室，当前的纸质文件和凭证随意堆放在办公区域的走廊中，也未布置专人进行定期核对和盘点。4.6访问控制博士公司当前无论在系统层面还是业务操作层面都未制定严格的访问控制机制，导致当前现在状况的原由于：〔1〕信息系统层面：博士公司各业务部门的办公网络之间并未采用逻辑隔离的方式，网络防火墙中也未采取基于VLAN分割原则而定义的访问控制策略，任何的电脑终端〔包括本身不是博士单位员工的第三方外包服务人员〕都能够毫无阻挡地连接数据中心用来存储业务数据的数据库服务器。另外，访问控制机制的缺乏也会扰乱各业务部门之间的数据流向，一旦发生信息安全事件时，由于无法准确追踪数据流，给排查工作造成障碍。〔2〕业务操作层面：各部门对于本身的人员与岗位职责划分并未根据访问控制机制做严格限定，在访谈经过中，几乎所有的部门成员在日常业务操作经过中都能够接触到整个部门的业务数据。各部门内并未对数据接触的对象根据安全等级进行明确的划分。4.7业务连续性管理博士公司当前的业务持续性计划较为简单和初级，详细原因可以分为信息系统层面和业务操作层面两个维度。〔1〕信息系统层面：博士公司的信息技术部门在应对业务出现中断时缺乏排障的能力和恢复能力，由于物理环境、访问控制、以及权限管理等方面存在缺乏，使得一旦系统出现无法运营的状态，运营和维护人员无法快速定位和解决问题。另一方面，信息技术部在对于业务持续性管理中所投入资源也比拟有限，对于备份外联线路、服务器存储的高可用性配置、智能路由等保证BCP效果的系统强健性设计存在缺陷。另外，对于可能造成业务中断的情况缺乏足够的应急预案和流程。〔2〕业务操作层面：由于博士当前的业务运营高度依靠于IT系统，各业务部门并未设立相应的线下业务流程。一旦IT系统遭受了黑客攻击或意外中断，无法短时间修复时，博士公司的业务将全面瘫痪。在于各业务部门负责人访谈的经过中，被访谈人几乎都表示业务持续性计划理应由IT部门考虑，业务部门并没有制定持续性计划的义务。4.8通讯与操作管理当前博士公司的并没有对生产环境中的操作终端进行严格管理，也没有制定出相应的操作程序和操作文档。由于IT运营维护团队的人员复用情况客观存在，使得职责界定变得相对模糊，容易产陌生忽和误操作系统的风险。各业务终端在与实际的后台服务器进行交互数据时未经过加密处理，数据在使用明文传输时容易被黑客劫取，并且博士公司内部并没有定义严格的访问控制策略，一旦出现数据在传输经过中被劫取无从追查。缺乏保卫在业务经过中所输出的各种含有敏感信息的文档的措施，没有采用如数字证书、文件水印等加密等技术保证在传播的经过中被恶意截取而导致的敏感信息泄露。博士公司的整个信息系统还没有一个统一的运维和监控管理平台，在日常的系统运行中假使信息系统发生故障，当前大都是系统用户发现无法进行正常的业务操作而报障给运维人员，运维人员很难第一时间发现并采取弥补措施进而降低对正常业务的影响。4.9信息系统的获取开发和维护博士公司的信息技术部门在系统的开发和维护方面的存在安全隐患，其原因主要归结于：〔1〕原始的需求整理并未考虑到信息安全因素当前博士公司的应用系统在开发初期的需求整理经过中，并未考虑如身份验证机制，恶意代码的防备等系统在安全性方面的要求。〔2〕无阶段性验收标准信息技术部大量雇佣了软件外包人员做系统底层的代码编写，系统从开发阶段到运行各阶段，并没有规范的验收标准和里程碑。固然外包服务商提供了相应交付物和讲明文档，但与需求讲明书以及双方签署的软件开发合同中的定义存在较大差距。〔3〕系统测试和试运行由于业务系统没有专用的测试和试运行环境，测试工作当前都是通过在开发人员或测试人员的本机中运行〔PC机〕，为了知足测试要求，需要将生产环境中的业务数据导入到测试人员的本机中，无疑增加了业务数据泄露的可能性。并且这样的测试条件很可能新开发出来的系统未经过严格的测试或试运行就上线到生产系统，进而引发系统本身设计缺陷或代码错误而导致的整体的业务流瘫痪。另外，由于没有专职的软件测试人员，当前的测试工作大都由博士公司的开发人员或第三方软件开发供给商来承当测试任务，由于没有专门的测试人员来检查开发出来的产品质量，博士公司在软件品质保证方面基本处于缺失状态。4.10信息安全事故管理博士公司当前对于突发的信息安全事件没有体系化的管理机制，其主要表如今：〔1〕缺乏标准的安全事故响应和调查制度在与博士公司信息安全负责人的访谈中了解到，当前博士公司并没有制定(信息安全事件处理规范〕这样的标准流程文档，发生信息安全事件时也没有统一的事件上报流程。现有的情况是上报人不通过其直属上司直接将疑似信息安全事件上报到公司信息技术部负责人CIO处，上报人往往不能判定所上报事件能否属于信息安全事件，也无法在上报时为调查人员提供第一手的调查线索。另外，信息安全专员在调查疑似信息安全事件时没有规范的调查流程、方案和纪律，其调查经过和结果基本取决于调查人员的过往经历体验，由于没有正式的受权调查通知，时常会碰到被调查部门不配合调查的情况。〔2〕基层员工上报信息安全事件意识在对于基层员工的调查问卷统计结果显示，有超过90%以上的基层员工对什么是信息安全事件，以及发生信息安全事件后应该向那些部门和岗位反映无从知晓，当前所统计的信息安全事件在企业的运营中很可能是冰山一角，有大量未被上报而实际发生的信息安全风险隐藏在员工的日常工作中，也不排除员工因害怕信息安全事件的追查结果会威胁到上报人或其他相关人员本身的利益。〔3〕对外包人员疏于管理所有博士公司的员工和第三方外包服务人员都有责任和义务来上报信息安全事件和接受相关人员的调查，但实际的情况是外包人员并不属于博士公司直接管辖，在调查信息安全事件时，经常由于人员流动而无法明确外包服务人员的责任人，外包服务人员更不会主动上报信息安全事件。〔4〕信息系统维护人员职责不清由于人员成本的问题，当前信息系统的开发与维护人员的职责并未严格划定清楚明晰，运维和开发人员并没有构成两权分立互相制约的机制，导致同时都具有系统架构底层以及查看和操作生产数据的权限，以致于发生信息安全事件时，无法及时准确的找到运营以及快速的定位责任人。〔5〕访问控制与信息防泄露当前博士公司的访问控制机制并不健全，只要有系统权限的人员能够自公司任何一台电脑或终端上访问公司的核心业务系统并且提取数据，再加上没有完善的系统留痕和审计措施，一旦发生数据外泄的事件，也基本无法把问题和原因定位在一个范围内，增加了排查的难度。4.11符合性博士公司本身属于国内公司，但与2018年登录纽约交易所，因而信息系统的设计、运行、使用、管理都要符合中美两国法律、法规的制约。由于监管方面的要求，当前关于