【正文】 規(guī)劃 (Plan)以制度化的方式形成企業(yè)管理的一部分。如建立信息安全管理框架、明確管理職 責(zé)、安全意識(shí)培訓(xùn)、管理信息安全管理系統(tǒng)的運(yùn)行、實(shí)施程序以及控制措施、信 息安全績(jī)效考核機(jī)制、以及及時(shí)檢測(cè)和應(yīng)對(duì)安全事故等等。 M公司所采用的所有信息安全技術(shù)手段都應(yīng)該以保障企業(yè)信息安全為目的， 并且隨著信息技術(shù)的發(fā)展而不斷加以改進(jìn)。 (5)系統(tǒng)加固技術(shù) 為了確保信息安全，應(yīng)對(duì)操作系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備和數(shù)據(jù)庫(kù)等重點(diǎn)部位采取 加固技術(shù)，通過(guò)打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方 法，進(jìn)行合理的安全 性加強(qiáng)。一個(gè) 組織建立、完善文件化的體系，本身就是實(shí)現(xiàn)規(guī)范化、標(biāo)準(zhǔn)化管理的重要標(biāo)志。 建立文件系統(tǒng)的過(guò)程中應(yīng)注意旳原則 (1)適度公開(kāi)原則 為了保證信息安全管理體系得到較好地實(shí)施，在其實(shí)施過(guò)程中要保證所有參 與的人員都能了解自己所承擔(dān)的信息安全職 責(zé)，并且對(duì)公司的信息安全政策、標(biāo) 準(zhǔn)規(guī)范要有一定的了解?，F(xiàn)在， IS027001已經(jīng)成為了國(guó)際上最具典型、應(yīng)用最為廣泛的信息安全管 理標(biāo)準(zhǔn)，被各種組織用來(lái)指導(dǎo)信息安全管理工作的開(kāi)展。 執(zhí)行 信息安全管理目標(biāo)的實(shí)現(xiàn)需要有效的執(zhí)行來(lái)保障，這也是實(shí)現(xiàn)公司戰(zhàn)略目標(biāo) 的重要手段之一。 (二）方案實(shí)施的難點(diǎn)分析 如何解決并落實(shí)信息安全管理中的重點(diǎn)問(wèn)題是 M公司積極抵御安全風(fēng)險(xiǎn)、 建立一套行之有效信息安全管理體系的關(guān)鍵之處。所以，需要以 宏觀(guān)的角度來(lái)進(jìn)行制度建設(shè)，而流程設(shè)計(jì)則需要具體而微，這就要 求我們的信息 安全管理人員既要有宏觀(guān)思維也要具備實(shí)戰(zhàn)經(jīng)驗(yàn)。確保所設(shè)計(jì)開(kāi)發(fā)的信息系統(tǒng)包含的 業(yè)務(wù)邏輯和操作符合相關(guān)規(guī)定，并能實(shí)時(shí)記錄所有的操作行為，自動(dòng)生成標(biāo)明 了 敏感行為的系統(tǒng)日志，以便安全審計(jì)人員進(jìn)行審計(jì)，從而可以有效避免使用者帶 來(lái)的操作風(fēng)險(xiǎn)。光 有目標(biāo)而沒(méi)有具體的方法和手段是無(wú)法令員工按照企業(yè)發(fā)展規(guī)劃正確執(zhí)行上級(jí) 決策的，主要是因?yàn)槊總€(gè)員工都可能對(duì)如何達(dá)成目標(biāo)有自己不同的理解，因此造 成執(zhí)行結(jié)果和成效的不確定。根據(jù)自己的實(shí) 際，在整個(gè)組織范圍內(nèi)或在個(gè)別部門(mén)、領(lǐng)域內(nèi)實(shí)施。這樣，信息安全管理體系就進(jìn)入運(yùn)行階段。信息、信 息網(wǎng)絡(luò)、對(duì)信息起支持作用的信息系統(tǒng)及信息處理過(guò)程都是重要的 商務(wù)資產(chǎn)。 。信息安全管理是 由組織中的所有雇員參與的，例如，為了防止組織外的其他人員非法進(jìn)入組織內(nèi) 獲取組織的機(jī)密技術(shù)，除有效的物理控制外，更要組織全體人員參與，加強(qiáng)控制。適用范圍文檔、安全方針文檔、實(shí)施與控制文檔、適用性聲明文檔及 風(fēng)險(xiǎn)評(píng)估文檔都應(yīng)當(dāng)包含在信息安全管理體系所建立的文件當(dāng)中。 (三）方案的實(shí)施步驟及保障措施 信息安全管理體系建設(shè)準(zhǔn)備工作 策劃與準(zhǔn)備 階段的任務(wù)就是做好建立管理體系的各項(xiàng)前期準(zhǔn)備工作。 如何保證執(zhí)行效果 能否使決策真正落地，保證執(zhí)行不打折扣，關(guān)鍵在于管理者是否能夠準(zhǔn)確把 控企業(yè)發(fā)展規(guī)劃和執(zhí)行計(jì)劃之間的關(guān)系。 如何規(guī)避人員風(fēng)險(xiǎn) 人對(duì)于酒店等服務(wù)行業(yè)來(lái)說(shuō)處于主體地位，所以有效控制和規(guī)避人員風(fēng)險(xiǎn)是 M公司風(fēng)險(xiǎn)管理的重點(diǎn)內(nèi)容 ,這就要求我們做好以下幾方面的工作： (1)實(shí)現(xiàn)流程系統(tǒng)化、自動(dòng)化，減少對(duì)人的依賴(lài)度。企業(yè)制度建設(shè)應(yīng)該 是進(jìn)行頂層設(shè)計(jì)，自上而下，并且互相關(guān)聯(lián)的。 加強(qiáng)內(nèi)控評(píng)估和審計(jì)檢查工作，不僅可以督促信息安全制度落實(shí)、檢查信息安全 技術(shù)工作質(zhì)量，而且可以有效預(yù)防公司運(yùn)營(yíng)風(fēng)險(xiǎn)。另外， M公司還應(yīng)該注意 信息安全專(zhuān)業(yè)人員的培養(yǎng)，自上而下、按照金字塔式的人員結(jié)構(gòu)設(shè)立信息安全決 策層、信息安全管理層和信息安全專(zhuān)業(yè)技術(shù)層。 五、 M公司信息安全管理優(yōu)化方案實(shí)施 ()方案實(shí)施的重點(diǎn)分析 制度 信息安全管理制度在信息安全體系建設(shè)中起著非常重要的作用。 四級(jí)文件為相關(guān)記錄。在實(shí)際應(yīng)用中，通 過(guò)釆用備份、冗余、容錯(cuò)等技術(shù)手段，使信息資產(chǎn)安全能夠得到比較好的保證， 一旦發(fā)生問(wèn)題后能夠及時(shí)地恢復(fù)。在防惡意代碼技術(shù)實(shí)施過(guò)程中，應(yīng)注意以下事項(xiàng)： ①多重保護(hù) 防惡意代碼不僅僅指安裝一套殺毒軟件，需要建立起一套較完整的體系，包 括：提高員工防病毒意識(shí)，培訓(xùn)防殺病毒技術(shù)；部署上網(wǎng)行為檢測(cè)系統(tǒng)，根據(jù)用戶(hù) 上網(wǎng) 行為判斷病毒來(lái)源和特點(diǎn)，提供有效地防毒策略；配合訪(fǎng)問(wèn)控制系統(tǒng)，在個(gè) 別主機(jī)感染病毒后能夠及時(shí)將其隔離；部署系統(tǒng)加固和數(shù)據(jù)備份系統(tǒng)，有效抵御 病毒入侵。必要時(shí)進(jìn)入新的一輪 信息安全 管理周期，以便持續(xù)改進(jìn)和發(fā)展信息安全。信息安全符合 性計(jì)劃作為相關(guān)業(yè)務(wù)部門(mén)的部門(mén)計(jì)劃納入部門(mén)的平衡計(jì)分卡，并作為績(jī)效考核的 一部分，接受內(nèi)控部門(mén)的監(jiān)督和審計(jì)。 (1)規(guī)劃階段（ Plan) 通過(guò)建立能夠形成制度的年度信息安全改善計(jì)劃和信息安全符合性計(jì)劃來(lái) 實(shí)現(xiàn) PDCA的規(guī)劃階段。 (4)主次分明，明確災(zāi)難恢復(fù)的水平 為了使響應(yīng)恢復(fù)基礎(chǔ)設(shè)備投入和運(yùn)行維護(hù)資金獲得盡量高的投資回報(bào)，應(yīng)為 重要業(yè)務(wù)投入更多資金預(yù)算用以災(zāi)難恢復(fù)。 (2)制定應(yīng)急預(yù)案及計(jì)劃，強(qiáng)化可操作性 制定有效的應(yīng)急預(yù)案和計(jì)劃是十分必要的，可以有效應(yīng)對(duì)信息安全事件，減 少由此造成的損失。 (2)加強(qiáng)實(shí)時(shí)監(jiān)控 由于信息安全事件可能會(huì)隨時(shí)發(fā)生，所以應(yīng)該 7X24小時(shí)連續(xù)不斷地 對(duì)信息 安全事件進(jìn)行實(shí)時(shí)監(jiān)控，以便能夠及時(shí)發(fā)現(xiàn)并且報(bào)告信息系統(tǒng)和網(wǎng)絡(luò)中發(fā)生安全 事件或者存在的安全隱患。 M公司在實(shí)施風(fēng)險(xiǎn)管理時(shí)應(yīng)注意的事項(xiàng) 根據(jù) M公司現(xiàn)在的信息安全管理狀況來(lái)看，應(yīng)選擇適當(dāng)?shù)脑u(píng)估方法和工具， 結(jié)合自評(píng)估和第三方評(píng)估的方式開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估。但是，由于第三方審計(jì)人員在開(kāi)展審計(jì)工作的過(guò)程中 很可能會(huì)接觸到一些公司內(nèi)部敏感信息，所以有必要采取嚴(yán)格的管控措施，保障 第三方審計(jì)過(guò)程中的信息安全。 ③審計(jì)活動(dòng) 的監(jiān)視。 (4)改進(jìn) ①糾正措施。 ③末次會(huì)議。每次審計(jì)前應(yīng)編制檢査表， 以使審計(jì)工作規(guī)范化，格式化，減少審計(jì)員的隨意性和盲目性。選擇有資格的 34人組成審計(jì)組，并任命一名組長(zhǎng)。 以上 5個(gè)內(nèi)設(shè)崗位要求由不同的人員擔(dān)任、各自獨(dú)立。 根據(jù)業(yè)界信息安全組織的建設(shè)經(jīng)驗(yàn)，結(jié)合 M公司實(shí)際情況，建議將信息安全 組織結(jié)構(gòu)及職責(zé)設(shè)計(jì)如下： (1)信息安全領(lǐng)導(dǎo)小組 —— 由 M公司總經(jīng)理 、主管信息化的副總經(jīng)理以及 各部門(mén)負(fù)責(zé)人組成，決策信息安全方面的重大問(wèn)題，推動(dòng)信息安全工作在公司內(nèi) 的實(shí)施。 另外，信 息安全認(rèn)知培養(yǎng)應(yīng)按照循序漸進(jìn)、長(zhǎng)期堅(jiān)持的原則，從信息安全宣 傳漸漸發(fā)展到信息安全培訓(xùn)，再到信息安全教育。信息安全宣傳應(yīng)該面向公司全體員工，釆用易 于員工接受的方式，盡可能利用日常所接觸到的宣傳媒體。 ⑦檢測(cè)監(jiān)控技術(shù)。主要的邊界防護(hù)技術(shù) 硬件有防火墻、入 侵檢測(cè)系統(tǒng)（ IPS)等。 (4)建立綜合性的技術(shù)保障體系 建立完善的技術(shù)保障體系是構(gòu)建信息安全管理體系的關(guān)鍵點(diǎn)，它作為信息技 術(shù)人員必須履行的職責(zé)，主要包含以下幾個(gè)方面的內(nèi)容： ①身份認(rèn)證技術(shù)。另外還需要建立情況報(bào)告機(jī)制和協(xié)同工作流 程，在發(fā)生緊急安全事件時(shí)可以及時(shí)作出應(yīng)急響應(yīng)。 四、 M公司信息安全管理優(yōu)化方案設(shè)計(jì) ()建立企業(yè)信息安全管理框架 根據(jù) M公司實(shí)際運(yùn)營(yíng)狀況，結(jié)合 IS027001信息安全管理體系標(biāo)準(zhǔn)，可以從 組織、管理、運(yùn)行、技術(shù)和監(jiān)督這五個(gè)方面入手，對(duì)原有的信息安全管理框架進(jìn) 行改善，增加運(yùn)行和監(jiān)督環(huán)節(jié)，將制度建設(shè)擴(kuò)充并變更為管理模式的建設(shè)，并且 不再著重強(qiáng)調(diào)技術(shù)，將 “重技術(shù)輕管理”轉(zhuǎn)化為“三分技術(shù)，七分管理”的管理 思路，建立一個(gè)貼合實(shí)際情況的閉環(huán)的信息安全管理框架（如圖 2所示）。由于 M公司是國(guó)有企業(yè)，其管理層人 員待遇相對(duì)優(yōu)厚，人員比較穩(wěn)定。有部分管理人員簡(jiǎn)單地認(rèn)為信 息安全就是技術(shù)問(wèn)題，有了病毒、網(wǎng)絡(luò) _瘓了，只要請(qǐng)技術(shù)人員處理一下就好了， 頭痛醫(yī)頭腳痛醫(yī)腳的思想比較嚴(yán)重，而不會(huì)從管理體系方面考慮信息安全的問(wèn) (2) IT 人才短缺，特別是信息安全管理人才匱乏。另外，沒(méi)有建立值班制度，使得報(bào)警信息不能及時(shí)被獲知和 處理，加大了信息資產(chǎn)遭受破壞的可能性增大。 為了檢驗(yàn)公司員工信息安全認(rèn)知度的水平，特設(shè)計(jì)了一套有關(guān)信息安全基礎(chǔ) 知識(shí)方面的試卷（滿(mǎn)分 100)，并從公司隨即抽選 30人進(jìn)行閉卷答題，考試成 績(jī)分布如圖 31: (3)信息安全管理組織結(jié)構(gòu)不合理 M公司在 2020年建立了以主管信息化的副總經(jīng)理為組長(zhǎng)的信息化工作領(lǐng)導(dǎo) 小組，辦公室設(shè)在公司信息科。 M公司的普通員工經(jīng)常利用閑暇時(shí)間上網(wǎng)瀏覽網(wǎng)站，或者 是下載一些自己感興趣的圖片、文章和軟件，不知不覺(jué)中面臨著惡意軟件的威脅。許多員工為了工作方便，往往沒(méi)有為個(gè)人電腦設(shè)置密碼，或者設(shè)置 的密碼很簡(jiǎn)單，沒(méi)有被授權(quán)的人能夠隨意訪(fǎng)問(wèn)、使用自己的電腦，以至于個(gè)人工 作秘密被泄露、個(gè)人資料被刪除等情況時(shí)有發(fā)生。為了節(jié)約人力成本， M公司沒(méi)有專(zhuān)門(mén)的計(jì)算機(jī)網(wǎng) 絡(luò)及信息系統(tǒng)維護(hù)人員，一旦系統(tǒng)出了故障，在本單位兼職信息管理人員無(wú)法解 決的情況下，往往是臨時(shí)請(qǐng)軟件公司或者網(wǎng)絡(luò)公司的技術(shù)人員來(lái)維護(hù)。經(jīng)過(guò)調(diào)查分析， M公司已經(jīng) 建成了內(nèi)部局域網(wǎng)，用于內(nèi)部信息傳輸和處理，并且實(shí)現(xiàn)和青海機(jī)場(chǎng)公司內(nèi)部網(wǎng) 絡(luò)對(duì)接；各部門(mén)和酒店客房均接入互聯(lián)網(wǎng)，可以隨時(shí)上網(wǎng)查資料、發(fā)郵件；公司 門(mén)戶(hù)網(wǎng)站尚未建立，沒(méi)有開(kāi)展網(wǎng)上營(yíng)銷(xiāo)活動(dòng)。 M公司目前現(xiàn)主要的信息化應(yīng)用包括辦公自動(dòng)化（ OA)、會(huì)計(jì)電算化和酒店 餐飲住宿管理信息系統(tǒng)等。M公司信息安全管理優(yōu)化方案 三、 M公司信息化建設(shè)和信息安全現(xiàn)狀 ()M公司信息化發(fā)展概述 M公司是附屬于西部機(jī)場(chǎng)集團(tuán)青海分公司的一家 3星級(jí)涉外酒店。通過(guò)與該公司管理層、信息系統(tǒng)用戶(hù)、信息管理人員等進(jìn)行充分 接觸和討論，對(duì)調(diào)研結(jié)果進(jìn)行深入分析， 發(fā)現(xiàn)該公司近年來(lái)信息化建設(shè)取得了較 快的發(fā)展，但其中也存在著不少問(wèn)題。酒店企業(yè)的電子商務(wù)建設(shè)主要包括：內(nèi)部局 域網(wǎng)建設(shè)、互聯(lián)網(wǎng)接入、企業(yè)門(mén)戶(hù)網(wǎng)站建設(shè)等方面。公司釆取的教育形式通常是短期、 集中、一次性的培訓(xùn)，為了熟練 掌握各崗位所需的計(jì)算機(jī)技能，公司大多數(shù)職工 只能通過(guò)自學(xué)的方式進(jìn)行學(xué)習(xí)。有 40%的被訪(fǎng)問(wèn)者表示，非法訪(fǎng)問(wèn)仍然是存在于企業(yè)內(nèi)部 的重要問(wèn)題。 (5)惡意軟件。 (2)信息安全教育不到位，員工信息安全認(rèn)知度低 由于缺乏專(zhuān)業(yè)規(guī)范的指導(dǎo)， M公司的信息安全教育僅僅停留在單純的信息安 全知識(shí)宣傳和計(jì)算機(jī)安全防護(hù)技術(shù)的簡(jiǎn)單教授層面，對(duì)如何提高信息安全認(rèn)知度 沒(méi)有具體的認(rèn)識(shí)和措施，在教育培訓(xùn)方面也存在敷衍了事的對(duì)待態(tài)度，無(wú)論是具 體的培訓(xùn)計(jì)劃還是專(zhuān)業(yè)信息安全管理人員的培養(yǎng)上都沒(méi)有相關(guān)的實(shí)施方案，從而 造成員工們對(duì)信息安全管理的認(rèn)識(shí)不足，引入人員安全風(fēng)險(xiǎn)。 (6)信息安全監(jiān)控報(bào)警及響應(yīng)恢復(fù)機(jī)制操作性差 M公司現(xiàn)有的監(jiān)視報(bào)警系統(tǒng)只應(yīng)對(duì)個(gè)別的信息系統(tǒng)進(jìn)，不能提供全面的、集 中的監(jiān)視報(bào)警管理。目前， M公司管理層人員只著眼于 如何經(jīng)營(yíng)好企業(yè)，對(duì)于信息安全的認(rèn)識(shí)還不到位。 (5)服務(wù)人員流動(dòng)大，管理難度高。對(duì)信息安全審計(jì)監(jiān)督、應(yīng)急響應(yīng)、持續(xù)改進(jìn)等管理方法不夠了解，沒(méi) 有建立相應(yīng)的運(yùn)行機(jī)制。必須明 確各個(gè)組織和崗位擔(dān)負(fù)的安全工作職責(zé)以及工作內(nèi) 容，以保障日常工作能夠順利開(kāi)展。由此可見(jiàn)，包括系統(tǒng)運(yùn) 行維護(hù)、基礎(chǔ)設(shè)施維護(hù)以及系統(tǒng)支持等服務(wù)在內(nèi)的運(yùn)維管理是十分重要的，它不 但是日常工作安全流程的基本載體，還是實(shí)現(xiàn)安全控制重要保證。利用在網(wǎng)絡(luò)邊界部署的安全設(shè)備，可以阻止未經(jīng)授權(quán)的外 部網(wǎng)絡(luò)用戶(hù)接入內(nèi)部網(wǎng)絡(luò)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。通過(guò)對(duì)用戶(hù)行為進(jìn)行審計(jì)，保證行為操作合乎規(guī)定， 確保信息系統(tǒng)的安全。信息安全宣傳的內(nèi)容主要包括 以下方面：闡述企業(yè)信息安全工作的意義、講解信息安全政策和標(biāo)準(zhǔn)、傳達(dá)信息 安全的規(guī)劃與目標(biāo)，以及分析公司內(nèi)部存在的信息技術(shù)風(fēng)險(xiǎn)和其危害性，還有員 工 在信息安全方面所承擔(dān)的責(zé)任。從高層決策者