《博士公司信息安全管理体系研究.docx》由会员分享,可在线阅读,更多相关《博士公司信息安全管理体系研究.docx(42页珍藏版)》请在三一办公上搜索。
1、博士公司信息安全管理体系研究时间:2015-02-05 来源:学术堂 所属分类:mba毕业论文摘要信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全,到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今,在这个信息传播高度发达的时代,对于一个企业来说,信息,尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡,它已经悄然地变为了一项企业资产。它和其它资产一样重要,对企业具有重要的价值,因此理应需要受到重视和保护。本文首先对信息安全的基本概念、国际上公认最佳信息安全管理 ISO27001 模型体系进行了综合描述。然后以博士公司这家国内领先的第三
2、方理财机构为例,通过与各业务职能部门的访谈,并结合 ISO27001 模型体系要求设计调查问卷以及评估工具来诊断博士公司目前所暴露出来的信息安全问题。另外,根据原因诊断结果并结合博士公司自身业务发展需求,制定了一系列的解决方案。最后,本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践,着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析,找出若干风险控制节点,并结合组织的自身情况,针对每个风险控制节点一一拟定了解决方案。本研究不但能够丰富信息安全管理的相关理论,而且研究成果也可以为同行业提高信息安全水平提供借鉴。关键词: 信息安全;信息安全诊断;ISO27
3、001 模型;信息安全治理;PDCA目录致谢摘要Abstract第 1 章 绪论1.1 信息安全概述1.2 第三方理财行业信息安全现状以及研究意义1.3 研究方法、技术路线及基本内容1.3.1 研究方法1.3.2 技术路线1.3.3 基本内容第 2 章 相关理论综述2.1 ISO27001 简介2.2 PDCA 简介2.3 信息系统审计简介第 3 章 博士公司问题现状3.1 博士公司简介3.1.1 公司历史3.1.2 博士公司经营状况3.1.3 公司组织构架3.2 博士公司企业信息安全诊断工作过程描述3.3 博士公司信息安全的若干问题3.3.1 企业整体缺乏体系化的安全管理机制3.3.2 信息
4、安全人力资源匮乏,信息安全组织架构不够完善3.3.3 尚未建立信息资产清单3.3.4 员工安全意识薄弱3.3.5 未将信息安全有效融入第三方外包服务管理3.3.6 系统开发和运维人员职责不明确3.3.7 尚未对信息安全实施内部审计3.3.8 访问控制机制尚不健全3.3.9 业务连续性方面建设比较初级第 4 章 博士公司基于 ISO27001 体系的信息安全管理问题诊断4.1 信息安全策略4.2 信息安全组织4.3 资产管理4.4 人力资源安全4.5 物理和环境安全4.6 访问控制4.7 业务连续性管理4.8 通讯与操作管理4.9 信息系统的获取开发和维护4.10 信息安全事故管理4.11 符合
5、性4.12 防信息泄露第 5 章 博士公司基于 ISO27001 体系的信息安全管理改进方案5.1 建立体系化的信息安全管理机制5.2 完善企业信息安全组织结构5.3 识别各类信息资产重要等级进行分级保护5.4 加强员工安全意识培训5.5 规范外包人员管理5.6 明确各类人员的职责并设定严格的访问控制机制5.7 制定业务持续性计划5.8 引入内部审计机制5.9 建立 PDCA 有效循环机制,不断完善企业信息安全体系第 6 章 结论和展望6.1 结论6.2 展望参考文献致谢承蒙上海外国语大学赵衍老师指导本人关于论文提纲和正文的修订和完稿,感谢赵衍老师付出的辛勤劳动。同时也感谢博士公司为本人写作提
6、供了研究课题,为本文提供了第一手的真实资料,感谢他们的大力支持。第1章 绪论从人类社会诞生开始,信息的传递始终是彼此相互交流的一个重要的途径。先前,由于信息技术欠发达,人们主要依靠口述、书写、电话等的方式来进行彼此之间的交流,但进入 21 世纪后,随着信息技术的高速发展,微博、微信、办公软件、社交平台等一大批先进的电子化工具走进了人们的日常工作和生活,这些工具给我们带来了便利的同时,其背后所隐藏的信息安全问题也不容忽视。据 IBM 统计,全球每天约有 130 亿个信息安全事件发生,更有统计表明,世界上每过一分钟就有 2 家企业因为信息安全问题而倒闭,目前信息安全问题成为社会各层和各类型的组织所
7、关注的焦点。各国也为之出台了一系列信息保护的法律法规。1.1 信息安全概述信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全,到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今,在这个信息传播高度发达的时代,对于一个企业来说,信息尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡,它已经悄然地变为了一项企业资产。它和其它资产一样重要,对企业具有重要的价值,因此理应需要受到适当的保护。但是,目前我们的信息安全环境不容乐观,每天我们的企业可能要面对数以万计的黑客试探性入侵、木马病毒以及恶意代码的威胁、或者承受那种损人不利己的拒绝服务攻击。当然
8、,现在大多数企业对这样外部的安全威胁做了一定的防御措施。在整个信息系统中基本上都有部署防火墙、身份认证甚至入侵防御系统。但我们发现即使投入了那么多资源来抵御外部的各种威胁,对入侵仍然反映迟钝,我们的信息还是在不断地泄露。根据国家互联网应急响应中的统计有将近 50%的黑客入侵实际上是通过正常的途径,利用合法的凭证,进行机密资料的窃取。组织的内部人员可能由于安全意识不强或误操作,把一些敏感信息无意中泄露出去,甚至也有些极端分子靠出卖这样信息来获取私利的情况的出现。因此,组织的信息安全问题不容忽视,一套严密的信息安全管理体系更是许多组织正常运作的基础。1.2 第三方理财行业信息安全现状以及研究意义目
9、前绝大多数行业都有自身的行业信息安全体系标准,如适用于支付卡行业的PCI/DSS标准(支付卡行业数据信息安全标准)、银监会和证监会所颁布的适用于各自监管条线的信息系统安全等级保护规范、制造行业所推崇的基于信息安全管理体系 ISO27001 在制造业的最佳实践标准。随着经济的发展,目前国内涌现出大量的第三方理财机构为高净值客户提供理财服务,由于这个行业属于新兴行业,虽然其业务领域属于金融,但暂时还没有设立此行业的监管机构。此外,第三方理财行业的业务结构还未系统化、结构化,因此,信息安全在这个行业(领域)中研究还处于空白,也没有监管机构的政策性标准和相关指引以及前人的实践经验作为参考。本文希望通过
10、国际上通用的 ISO27001 安全管理体系在博士公司的实践,着重分析博士公司在信息安全管理上所存在的诸多问题。本研究不但能够丰富信息安全管理的相关理论,而且研究成果也可以为同行业提高信息安全水平提供借鉴。1.3 研究方法、技术路线及基本内容1.3.1 研究方法本文的研究方法有如下四种:文献研究法:根据研究内容与需要解决的问题,搜集各类前人对此领域内所研究的相关的理论、模型和资料,在对这些资料进行归纳和提取,并最终应用到实际研究中。问卷调查法:通过事先设计好的问卷,向被访者收集研究所需要的相关信息,并对回收的问卷进行统计和分析,以求最大限度的还原被研究对象的真实现状。模型分析法:采用研究领域内
11、相对成熟的模型,来分析研究过程中对象所存在的各类问题。本文通过借鉴信息安全业内公认的最佳标准模型来诊断目前所暴露出的问题,并找出问题产生和根源,设计出相应的解决方案。跨学科研究法:由于研究对象为信息安全管理,其领域本身就是包含计算机、管理、统计、质量管理、审计等多方面学科。因此,不可避免地需要用到各学科的知识,来综合分析和解决相应的问题。1.3.2 技术路线本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状,结合 ISO27001 信息安全管理模型来找出企业目前所存在的信息安全管理问题,着重分析这些问题所形成的背景和原因,并根据此类问题
12、的风险等级,选出博士公司目前迫切所需要解决的一系列问题并提出基于 ISO27001 模型所提出的解决方案或改善措施。【1】1.3.3 基本内容整篇论文由绪论和正文所构成,总共分为六章。第一章绪论主要描述了论文的选题背景、研究意义和目的、研究方法和技术路线以及基本内容。第二章至第五章为本文最重要的四个组成部分。第二章是整篇论文的第一个重要的组成部分,其主要阐述了信息安全相关理论基础,为整个博士公司信息安全管理诊断模型的建立构建了理论出发点。具体包括诊断模型的选择、以及对信息安全和信息安全管理的相关理论进行了阐述。第三章是本文的第二个重要的组成部分,也是本文的研究实践基础,本章的主要内容中除了对博
13、士公司的日常运营和业务介绍外,还有通过与各业务职能部门的访谈,结合 ISO27001 模型体系要求设计调查问卷以及评估工具等方法,揭示博士公司在日常运营和管理上存在的若干信息安全风险。第四章为本文的研究核心所在,是本文的第三个重要组成部分和研究结果,凭借 ISO27001 体系模型的诊断方法寻找到目前博士公司所暴露出的诸多信息安全问题的原因。第五章是本文的第四个重要组成部分,即依托 ISO27001 的最佳实践给予就博士公司目前的信息安全现状和原因给予解决方案和实施建议。第六章为本文的结论与展望部分,揭示了博士公司所暴露出来的问题在第三方理财行业是普遍存在的,并且随着时间的推移,信息安全问题也
14、会发生不断的变化,需要组织去不断的完善信息安全建设。另外,信息安全与组织业务效率的平衡关系在今后的发展中免不了成为天平的两端,如何平衡好两者之间目前ISO27001 体系并没有做出相应的解决方案,这将是今后相关领域研究所要解决的一个课题,对于如何减少组织对于信息安全建设的成本或更有效率地进行信息安全建设本文也做了相应展望。信息安全管理相关理论综述时间:2015-02-05 来源:学术堂 所属分类:mba毕业论文第2章 相关理论综述在信息安全管理研究领域,国内外有很多成熟的体系模型和研究成果,这些前期体系模型和研究的成果,为本文的撰写提供了丰富的理论基础和资料素材,在本章中将对部分理论研究成果和
15、行业标准进行归纳和提炼。2.1 ISO27001 简介ISO27000 是信息安全方面国际国内公认的最佳的管理体系集。目前 ISO27000 系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有 ISO27002 安全管理使用守则、IS027003 实施指南这样的子标准还包括 ISO27011、ISO27012 这样的通信业和金融保险业的行业标准。然而在整个体系中,不管是子标准的建立还是行业标准的颁布,无一例外的都是参照整个 ISO27000 的主体系 IS027001 来制定,它的前生BS7799 由英国标准化系协会 BSI 在 1992 首次在英国作为行业标准发布,经过数次修改在
16、 2005 年正式更名为 ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了 ISO27001 来制定。【1】ISO27001 是一套非常复杂的管理标准,其拥有 11 个控制领域:信息安全方针、组织构架、资产管理、人力资源安全管理、物理和环境安全管理、通信与操作管理、访问控制管理、系统的获取、开发和维护管理、信息安全事件管理、业务持续性管理和符合性。在这全部 11 个领域中控制深度也有所加强,达到 39 个控制目标和 133个风险控制措施来保障企业的信息安全。【2】国内相关研究人员把支撑信息安全体系建设和保障企业信息安全总结为 3 个要素:人员(组织)、技
17、术以及管理。 在控制维度上基本涵盖了 ISO27001 所涉及的 11个安全控制领域。【3】(1)人员(组织)在整个 ISO27001 体系中人员定义和组织管理是最重要的领域之一,在建设企业信息安全框架和制定信息安全方针时必须明确定义了企业内部的人员的组织架构、职责权利。特别是在企业中与各信息系统和业务系统有关的资产和安全程序(流程)要加以明确辨别和定义,此外负责上述各资产和安全程序(流程)的责任人的任命要经过批准,其权责要记录在案,授权级别和权限范围也要清晰定义并记录在案以便日常审计符合并在出现信息安全事件后能快速定位到责任人并追溯具体原因。同时,在信息安全管理体系中必须首先必须要建立信息安
18、全管理委员会,其成员至少需要包含一名企业高管,以便体现企业对信息安全的重视程度并把信息安全建设作为企业整体战略的一部分。信息安全管理委员会定期对信息安全政策进行审批,对安全权力与职责进行分配,并协调企业内部各部门对安全策略和流程规章的实施。另外,在企业内部必须设立专职的信息安全顾问,信息安全顾问的编制和组织结构隶属必须是非信息技术部人员,建议隶属于 CFO 所管辖的管理部门,以便保证对整个企业的业务发展有第一时间的了解和对信息技术部门(信息安全管理体系中涉及最重要的部门之一)的工作有一个客观的审计和判断。在企业外部最好也应设置信息安全顾问,可以是“外脑”(信息安全方面的独立董事)、咨询机构(麦
19、肯锡)、或是专业提供风险控制和外部审计服务商(四大会计事务所),以便及时跟踪行业的最新走向,为企业的管理层解读最新的行业信息安全监管标准和相应的评估手段,并在发生信息安全事故时建立适当的联络渠道,协调外部的有效资源来帮助企业来平息和处理信息安全事故。(2)技术随着信息技术的发展,企业的日常办公逐步走入了电子化时代,今日企业的 ERP、财务、CRM 等核心的业务系统无一不是依托信息技术来实现的。但新兴技术发展的背后,伴随着的安全问题却不能忽视。有这么些人,他们利用自身所具备的技术能力来破坏或盗取这些核心业务系统中的敏感信息。我们称之这类特殊群体的人为黑客。今天,黑客已经发展成的一个独特的群体,一
20、些“志同道合”的人在网络上建立了黑客组织。为了谋取巨额利益甚至形成了黑客的地下产业链,他们受托使目标系统瘫痪、感染病毒、恶意修改网页,甚至通过自己的技术手段入侵企业内部的系统,盗取企业内部重要资料,变卖给企业的竞争对手。诚然道高一尺魔高一丈,进攻永远是有主动权的。由于信息技术的不断发展,未来的手机移动领域的安全技术、以云计算为基础结构的核心业务系统、物联网安全等都将面临巨大的信息安全挑战。企业的在面对黑客以及一些其他恶意破坏者的时候必须具有与之抗衡的防御技术,这需要企业不断加强在信息安全防御技上的投入和重视以及提高对新的未知威胁的抵御能力。(3)管理资产管理:明确定义所保护信息资产和用户存放信
21、息资产的物理资产在整个ISO27001 体系建设中是一个必须的前提。只有明确所保护的对象,才能开始制定相关确实有效的安全策略、管理流程和规章制度。信息资产的定义一般通过两种方式,第一种方式是把企业信息资产统一转换为物理形式,如存储数据的服务器,承载数据传输的网络,甚至员工也包含在这个“资产”的范畴中,并对每项资产定义明确的所有人或责任人。另一种定义方式为按照企业的日常业务流转来定义信息资产,通过梳理企业各部门的日常业务流程的分析,可以把一类涉及到此业务的物理资产(计算机、人员、服务器、纸质文档等)归为一类资产。但无论哪种分类方式都必须给信息资产定 义 一 系 列 的 最 终 价 值 。 一 般
22、 按 照 数 据 信 息 的 三 个 属 性 , 即 保 密 性(Confidentiality)、完整性(Integrity)、可用性(Availability)这个三个指标来衡量信息资产的重要度,每个属性根据安全等级也有相应赋值标准。资产的最终价值可按照之前所定义的赋值标准进行加权求和,根据所得出的结果区分企业的一般资产和重要资产。其中重要资产无疑是要被企业管理层所重点关注的,安全防护或信息安全体系建设也理应围绕企业的重要资产展开。流程制度管理:目前外部整个信息安全的大环境呈现日益恶化之虞,外部的攻击成本越来越小,内部的防御成本反而越来越大。企业的任何一个员工的个人疏漏或者管理漏洞,都会给
23、企业安全带来威胁,而企业安全防御水平往往取决于最弱或者说是最容易忽视的一环(人员的安全意识、规范的流程制度),而不是最强的地方(部署对应的信息安全设备,采取相应的防御技术手段)。因此规范化的流程和规章制度建设是整个 ISO27001 信息安全管理体系的根本。它是指通过对企业的核心业务、商业模式、以及日常运营的系统性梳理,在企业内部形成一系列围绕信息安全的每个人都必须遵守的规章制度和流程。但是,在一些特殊行业(特别是金融行业),其业务开展和日常运营很大程度上要依赖于企业自身的信息系统。因此,在制定过程中除了考虑日常的流程制度(企业的信息安全方针、IT 终端设备使用管理规范、移动办公守则、信息保密
24、管理办法等)以外,还应该重点考虑其企业的业务连续性计划(Business Continuity Plan),从流程和制度层面保证和防止业务活动的终端,以及使在进行关键业务过程中免受信息系统重大失误或灾难的影响,并保证他们的及时恢复。另外,定期对企业员工信息安全意识的培训和内部相关安全制度的宣导也是必不可少的,根据国内着名的信息安全咨询机构谷安天下的一项调查研究表面,现在企业所面临的 70-80%的安全威胁都是来自于企业内部员工的有意识或者无意识的行为。在走访一些责任人时,绝大多数人并不没有意识到自己已经违反了企业内的相应信息安全制度,甚至已经触犯到了法律。因此,制度和流程的建立不能简单的停留在
25、“纸”上,企业需要不断根据外部和内部环境定期修订相应的信息安全制度,并把这些制度和流程清晰的传达到每位员工,甚至可以考虑将企业员工信息安全意识纳入到企业文化中。2.2 PDCA 简介由于信息安全管理体系是在不断发展变化中逐步完善的,因此需要一套制度和标准来使信息安全管理体系自身变的可学习化,通过不断的完善自身来达到企业对于信息安全管理的要求。1950 年 W. Edwards Deming 提出 PDCA 流程,即计划(Plan)执行(Do)检查(Check)改进(Act)过程,意在说明流程和控制应当是不断改进的,该方法使得管理者可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进,
26、都必须遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,通过不断地 PDCA,使组织的信息安全水平以一个螺旋型的方式上升的,最终达到我们的既定目标。【4】国内专家杨辉在 2006 年中国公共安全(学术版)中发表的运用 PDCA 循环法完善信息安全管理体系文章中对 PDCA 的各个阶段有了更加细化的定义,他指出在P(计划)阶段应该建立信息安全管理体系换进和对风险进行评估,其主要工作包括确定建设和管理的范围和大致的信息安全管理方针、定义风险评估的系统性方法论、识别可预见的各类系统性和非系统性的风险,对所预见的风
27、险进行评估以及确立评价风险的处理方法,以及为风险的处理选择控制目标与控制的方式,并将这些工作成果汇报给最高管理层并取授权批准。在 D 阶段主要强调的是在实施和运行信息安全管理体系,这个阶段的任务是以适当的优先权进行管理运作,对于那些被评估认为是可接受的风险,不需要采取进一步的措施。对于不可接受风险,需要实施所选择的控制。本阶段还需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培
28、训的效果,以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。此外,还应该实施并保持策划了的探测和响应机制。C(检查)阶段又称为学习阶段,其目的是监视并评审信息安全管理体系,是 P D C A 循环的关键阶段,即信息安全管理体系要分析运行效果改进机会的阶段。它是由一系列管理过程所组成,如执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验;常规评审信息安全管
29、理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。评审剩余风险和可以接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可以接受风险等级的合理性。审核执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。为确保范围保持充分性,以及信息安全管理体系过程的持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审。最后记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。经过了策划、实施、检查之后,组织在 A 阶段
30、必须对所策划的方案给以结论,是应该继续执行,还是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织可以考虑是否将成果扩大到其他的部门或领域,从而开始了新一轮的 PDCA 循环。【5】2.3 信息系统审计简介随着信息技术在企业业务领域和日常运营中广泛的应用,给企业带来效率和高收益的。但同时也产生了利用信息系统进行信息泄露、舞弊、隐瞒甚至欺诈的事件发生。早在上个世纪中期,美国已经在研究关于信息安全审计领域的相关课题,1967 年国际信息系统审计协会(ISACA)正式在美国成立,国际信息系统审计协会(ISACA)明确定义信息系统审计主要内容:(1)信息系统审计程序。依据信息系统审
31、计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控;(2)信息技术治理。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对信息系统方面的要求;(3)系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标;(4)IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标;(5)信息资产的保护。通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性;(6)灾难恢复和业务连续性计划。一旦连续的业务被
32、(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT 服务。为了及时动态跟踪企业信息系统的稳定性和安全性,信息系统审计在企业的日常运营工作中必不可少,对于企业来说甚至其重要性已经和传统的财务审计相当。相比传统的财务审计,两者既有一定联系又有一定差别。两者的联系是:信息系统审计继承了传统审计的基本理论与方法,与传统的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报
33、告等主要阶段来进行审计工作,实现审计目标;两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不仅是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭
34、借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。第3章 博士公司问题现状目前,第三方理财行业在国内正处于发展萌芽阶段,其本身目前没有明确的监管机构来规范和约束对企业的内部控制管理。由于业务性质,第三方理财企业中收集并保存了大量的高净值客户的敏感信息,如姓名、电话号码、住址甚至是家庭存款和理财规模。这些信息的泄露轻则可能会被竞争对手利用来骚扰和推销产品给博士公司客户,重则这些信息如果落入了别有用心的人或犯罪分子手中,可能会用来在客户面前诋毁博士公司甚至
35、是造成绑架、勒索、恐吓客户的恶意刑事案件。因此对于博士公司而言保护客户的隐私和敏感的客户信息显得尤为重要。3.1 博士公司简介3.1.1 公司历史博士公司于 2005 年成立于上海,其前身是某知名证券服务公司私人银行部门,由于原公司业务结构化调整而导致私人银行部被迫从主要业务体系中剥离,后独立出来成立如今的博士公司。短短三年时间,博士公司由最初的仅有 1 家分公司 930 名客户发展为拥有 16 家分公司 10000 名高净值客户以及 200 名专业的理财服务顾问。博士公司 2010 年 11 月登陆美国纽约交易所顺利进行了 IPO,成为在美上市的首家(目前为止也是唯一一家)国内第三方理财机构
36、。上市后的博士公司,凭借着“成熟的品牌”、“客观的产品筛选体系”、“个性化的客户服务”、“全国网络和优秀的理财师队伍”、“卓越的客户管理系统”为其核心价值。迅速成为国内第三方理财行业的绝对却权威。目前博士公司在坐拥数万名高净值客户的基础上,博士公司开始强势介入产品设计,包括自身成立投资银行部门自行寻找项目和标的物、成立以资产管理为导向以及利用小信托公司为“过道”等一系列措施,介入整个业务价值链的上下游,不断提升自身的核心价值。【1】 博士公司自成立至今,总共抓住了三次重大的机会,从而奠定了在国内第三方理财行业中的龙头老大地位,现有的规模和实力积累也将为将来的创新业务发展打下建设的基础。博士公司
37、长期专注于为国内高净值客户提供财富管理和理财业务,重视客户体验和金融产品风险控制,这是成为行业领先者和有别与其他理财公司的重要原因。2007 年通过引入红杉(中国)投资以及其他风险投资,迅速将原先的商业模式由上海复制到全国,依托风险投资机构强大的财务能力,通过规模效应,博士公司在当年末(2007 年末),其收入相较年初增长了 300%。正是由于看好博士公司未来的发展,红杉(中国)和其他投资人决定,把博士公司带向另一个高度-赴美上市。2010年 11 月,在博士公司和其他战略投资人的共同努力下,成功在美国证券交易所主板上市,是中国内地首家上市的独立财富管理机构(也是迄今为止唯一一家)。其先后多次
38、被福布斯、德勤、清科集团等权威评估机构评为中国最具发展潜力 50 强以及最具有投资价值 50 强企业。经过多年的发展,博士公司现在有一个能力优秀、经验丰富的管理团队,以及一支批在财富管理领域内为客户服务多年的理财师队伍。为博士公司未来的发展打下了坚实的基础。3.1.2 博士公司经营状况博士公司从 2010 年上市以来,其营业收入持续攀升,2011 年全年的净收益相较2010 年上市初有超过 90%的增长,净利润更是同比超过了 100%。如图 3.1 所示:【2】除了专注于主业(为国内高净值客户提供财富管理和理财服务)之外,2012 年开始,博士公司积极拓展产业链的上下游,分别成立了多个全资子公
39、司,业务覆盖金融保险、小额信用贷款、二级市场融资、TOP50 地产母基金等领域。博士公司管理层通过多元化的业务发展使博士公司从单一的财富管理机构向着多元化业务的金融集团迈进。3.1.3 公司组织构架博士公司现有员工约 1500 人,现有的组织结构除了按照美国证监会要求的上市公司治理体系以外,在日常的运营过程中主要区分业务部门(前台)和运营管理部门(后台)。组织结构示意图见图 3.2:【3】如图 3.2 所示,博士公司的组织结构还是偏向于传统的职能型结构,其中区域、产品中心、业务资源中心、客户经营中心属于前台部门,主要负责公司业务上的相关事宜,目前博士公司前台部门约有 900 名左右的员工,制约
40、比 60%。其余职能部门都隶属于后台部门,主要负责公司的日常运作和管理,目前全国约有 600 名左右的员工,占约比 40%,此次诊断的主要访谈对象大都为博士的后台部门员工。3.2 博士公司企业信息安全诊断工作过程描述博士公司作为国内领先的第三方理财机构,自 2003 年成立以来一直高速发展,并在 2010 年 11 月成功在美国纽约交易所上市,迄今为止是国内唯一在海外上市的第三方理财机构。由于受到海外投资人的高度关注和青睐,近年来博士公司业务扩张过于快速,以至于带来了很多管理问题,其中信息安全问题更是成为严重阻碍公司发展的最大问题之一,受到了管理层的高度关注,管理层亦希望通过一次科学的全面诊断
41、来揭示存在和潜在的信息安全风险,本次基于 ISO27001 的企业信息安全诊断也由此而产生,下面对本次的诊断过程做简要的回顾。(1)初期对博士公司的内外部资料进行了收集,主要包括:了解支持业务运作的信息系统情况。数据从产生、录入、交互、存储以及回收的过程排摸。掌握按照业务价值划分数据(信息)的安全等级和受众范围。了解是否存在体外(非常规)的业务流程。(2)之后进行了大规模的访谈,涉及到公司的各个职能部门的绝大多数高层(各中心负责人以上级别)以及部分中层(部门经理和主管)和员工。访谈人数统计见表2(外部访谈未计入)。【4】(3)根据对公司业务流程的梳理情况以及 ISO27001 信息安全体系构架
42、的实践经验,进行了文件涉及和实地访谈。根据 ISO27001 的各项风险控制领域,对于五类不同的部门和访谈对象,分别设计了五种调查问卷。调查文件统计情况见表 3:【5】(4)对于回收的问卷数据进行数据录入,同类问卷根据不同层级进行比较。(5)在上述基础上,补充了外部访谈和外部资料搜集工作。(6)对于诊断情况和输出的诊断结果进行综合的汇总。3.3 博士公司信息安全的若干问题经过实地走访各关键岗位的负责人和员工以及对回收的调查问卷进行整理分析(问卷中每一题根据轻重原则分为 1-5 分,分析的结果采用加权平均的方式统计),根据 ISO27001 安全体系模型所得出的信息安全风险雷达图见(图 3.3)
43、。【6】目前博士公司在信息安全建设方面主要存在着 9 个比较严重的问题,他们分别为是企业整体缺乏体系化的安全管理机制、信息安全人力资源匮乏,信息安全组织架构不够完善、尚未建立信息资产清单、员工安全意识薄弱、未将信息安全有效融入第三方外包服务管理、系统开发和运维人员职责不明确、尚未对信息安全实施内部审计、访问控制机制尚不健全、业务连续性方面建设比较初级。在本节中将对这 9 个问题做详细阐述。3.3.1 企业整体缺乏体系化的安全管理机制在与博士公司的管理层访谈中了解到,管理层没有把信息安全列入企业整体战略考虑,没有意识到信息安全对博士公司这样的第三方理财机构的重要性,普遍认为信息安全是 IT 部门
44、所应该考虑的,和主营业务和业绩没有多大关系。但由于 IT 部门在企业中的影响力有限,实际上管理层对信息安全工作提供一个明确的指导方向,除了现有的 IT 部门,博士公司也没有在公司层面上明确各部门相关负责人员的职责以及投入必要的人力和物力资源。而在日常的实际工作中,管理层对信息安全的期望和目标比较抽象,没有明确的达成标准。同时也缺乏一套方法论来识别和确认信息安全建设效果。目前在信息安全方面博士公司从整体方针策略、组织结构、规章制度、管理过程以及投入资源方面缺少一套有效的管理框架和指引来规范和实施 。因此,引入一套科学完善的信息安全管理体系是博士公司目前需要紧迫解决的问题。3.3.2 信息安全人力
45、资源匮乏,信息安全组织架构不够完善在与博士公司 COO 的访谈中了解到,目前博士公司全职负责信息安全工作的人员只有一名,其隶属于信息技术中心负责人(CIO)领导,职位名称为信息安全专员,其主要工作为使用和维护系统中的各类信息安全设备,并没有实质上主持或执行信息公司安全管理和体系建设工作。由于,博士公司由于没有设立信息安全委员会,也没有设立专门的首席信息官(CISO),导致至今都没有出台如公司信息安全方针和一系列支撑信息安全方针的流程文档以及规章制度。信息安全专员由于职级较低,无法参与到公司层面规章制度的制定,同时无法直接将第一线的信息安全状况和现状传达到公司管理层。另外,各个业务部门中亦没有专
46、人负责对接信息安全相关工作,即便颁布上述的方针政策以及一系列配套的流程制度,信息安全实施和建设依旧无法落实到具体的业务部门。因此,博士公司在信息安全方面的人力和物力投入不足以支撑整个公司对信息安全工作的期望。同时,在信息安全组织构架中也存在诸多问题。3.3.3 尚未建立信息资产清单明确什么是对企业最重要的信息资产是企业信息安全建设的前提,在整个访谈中,博士公司的信息技术中心负责人给提供了一份信息资产清单,其内容主要是信息技术部所管辖的固定资产,包括服务器、路由器、交换机、防火墙等。但并为对一些如数据库帐号、系统的管理员权限、以及系统中所存储的业务数据等”软“资产来进行管理。而在受访的业务部门中
47、几乎没有人能够清晰地把自己所管辖的这一领域中的信息资产以清单的方式展现,大都只是罗列大概的信息资产情况,也没有根据其每项资产对企业的重要性而进行分级保护并确定归属责任人。个别的受访对象甚至没有意识到自己每天在接触和处理的信息资产都是博士公司的核心业务数据。正是由于这样的情况,而导致博士公司目前无法对信息资产进行有效的管控。3.3.4 员工安全意识薄弱博士公司作为国内领先的第三方理财机构,这些年来在企业信息化建设,以及利用信息化推动业务发展方面做出的成绩有目共睹。然而随着信息化意识的不断提高,信息安全意识并没有同步提高。上到企业的中、高级管理人员,下到普通的员工安全意识相当淡薄,在受到黑客攻击或发生信息泄露事件后,都表示不会对正常业务造成太大影响,并没有意识到其存在着潜在的巨大风险。整个博士公司随处可见人员离开后未锁屏的电脑,以及把自己系统的账户密码贴在显示器上的现象。后台业务部门,尤其是作业管理部,印有客户签章的合同文件,含有客户联系方式的快递单据,以及还未正式发布的产品资料随意堆放在公共的走道里,这些行为会导致很多的潜在内部风险。博士公司在对
