【正文】 另外，還需要顧客，供應商或股東參與，以及由組織以外的專家建議。主要包 括培訓教育、調(diào)研安全管理發(fā)展情況、計劃擬定，以及人力資源的配置與管理 ^ 確定信息安全管理體系適用的范圍 信息安全管理體系的范圍主要是要重點進行管理的安全領域。在進行人員風險管理 時，應當注意遵守內(nèi)外兼防、重點防內(nèi)的原則，在制度建設與流程設計中添加監(jiān) 督制衡機制，以防不恰當?shù)氖跈?quán)引入的風險。 M公司在實施信息安全管理改 良方案時應當建立持續(xù)的監(jiān)督機制， 明確職責分工，責任到人，實時反饋，落實 整改。應當按照國 內(nèi)外權(quán)威信息安全管理標準的要求，比如 IS027001，來建立一個健全的制度體 系。 (九）完善信息安全管理體系文件系統(tǒng) 完善的信息安全管理體系文件系統(tǒng)的建設方案 文件系統(tǒng)是指將信息安全管理體系標準化、制度化后，形成的一系列信息安 全的管理規(guī)定，并且通過文件的 形式固定下來，以保證其規(guī)范性和統(tǒng)一性。 (八〉建立綜合性技術(shù)保障平臺 上節(jié)從改進 M公司信息安全管理體系運作的角度對信息安全保障進行了闡 述，而信息安全保障運作流程的具體實施則需要使用信息安全技術(shù)手段提供支 持。 ①年度信息安全改善計劃 信息安全管理組織己經(jīng)形成，其運作類似于一個獨立的業(yè)務部門，依照 M企 業(yè)的管理要求，每個部門年末必須制定下一年度的年度改善計劃，而信息安全管 理部的年度改善計劃的主要內(nèi)容一定是與信息安全 改善相關(guān)的。在實際處理安全事件時，響應恢復人員按應急預案中設定步 驟和方法執(zhí)行操作，及時采取有效的行動處理安全事件，盡量減少安全事件造成 的損失。由于在評估實施過程中 可能會對公司的信息資產(chǎn)構(gòu)成安全威脅，所以在實際操作過程中，可由第三方評 估公司對外圍系統(tǒng)及網(wǎng)絡進行評估，而核心系統(tǒng)則由公司人員進行自評估。在審計過程中，管理部門應對審計活動進行監(jiān)視，內(nèi)容 有：審計活動和結(jié)果與審計方案、審計計劃的符合性；審計組實施審計計劃的能 力；審計文件、記錄是否符合要求；審計目標是否達到。現(xiàn)場審核結(jié)束后，召開末次會議，由審核組長主持，與會人員 與首次會議相同。組長的 職責是編制審計計劃、分派審計任務，與受審部門溝通，向管理者匯報審計結(jié)果， 編制審計報告，組織糾正措施的驗證等；審計員的職責是編制審計表，完成被分 派的審計任務，分析記錄審計證據(jù)，參與糾正措施的跟蹤驗證等。 (2)信息安全領導小組辦公室 —— 由主管信息化的副總經(jīng)理任主任，負責 信息安全領導小組的日常事務。建議利用公司內(nèi)部刊 物和 OA辦公平臺，釆取動畫、文字和圖片等多種方式進行宣傳，還可考慮舉辦 知識競賽、有獎問答、作品征集等，以多種手段進行信息安全宣傳，使信息安全 意識深入人心。 ④訪問控制技術(shù)。加強人員培養(yǎng)，重點培養(yǎng)信 息安全專業(yè)管理人才和技術(shù)人才，為信息安全管理工作提供必要的人才支持。但服務人員基本都是臨時聘用人員，流動性較 大，有的服務人員日常工作有機會接觸到公司的經(jīng)營管理相關(guān)數(shù)據(jù)資料，如果該 員工工作變動，有可能會將這些數(shù)據(jù)或者工作秘密散播 到外界，令公司遭受不必 要的損失。 M公司制定了《信息安全應急響 應預案》，其 中對發(fā)生信息安全事件時信息安全管理相關(guān)人員和部門的職責作了 規(guī)定，但是沒有考慮自身實際，制訂的預案適合大型企業(yè)應用，對現(xiàn)實指導意義 不強，不具備很強的操作性，所以需要結(jié)合自身企業(yè)規(guī)模和特點進行再完善。 據(jù)統(tǒng)計，互聯(lián)網(wǎng)上有 10%的網(wǎng)站在不知情的情況下被惡意掛了木馬病毒，上網(wǎng)者 在瀏覽該網(wǎng)站時瀏覽 器就會自動下載運行該木馬，從而遭受不必要的損失。從 M公司 計算機專業(yè)人員的構(gòu)成上來看，公司共有 80人（包括管理層和服務人員），其中 計算機專業(yè)本科生僅有 2人，分別擔任總經(jīng)理助理和餐飲部經(jīng)理，兼公司的信息 管理及維護工作；計算機相關(guān)專業(yè)?？粕?3人，都是客房服務人員，不具有信息 管理能力。通過調(diào)查獲知， M公司日常經(jīng)營中使用微軟 office 辦公軟件較為廣泛，主要用于文件報表的編輯和打印。整體的信息化框架結(jié)構(gòu)搭建比較完整，信息化建 設水平比較高。從 M公司實際情況來看，公司對于信息化 人才的重視程度依然不足，僅僅實現(xiàn)對部分職工進行對應崗位的信息化培訓，比 如對財務部門人員只培訓其會計電算化相關(guān)技能方面的知識、對酒店前臺人員只 培訓其掌握客房管理及收銀開票系統(tǒng)的使用。但是這種公共郵箱受到垃圾郵件攻擊 的概率十分高，垃圾郵件中包含的有害信息和各種木馬病毒嚴重降低了公司運轉(zhuǎn) 的效率，使運營成本大大提高。由于缺乏對現(xiàn)有信息資產(chǎn)的有效識 別，使得信息管理員在分析風險點（安全薄弱點）時，僅僅靠實際工作經(jīng)驗來判 斷，對各種威脅和薄弱點的評估偏離實際安全管理需求，無法提出合理的控制措 施，造成風險管理不到位，不能起到應有的作用。公司內(nèi)部資金有 限 ，對信息安全資金的投入不足，迫使 M公司采用下載免費的殺毒軟件等普通的 防治辦法，無法保證公司的信息安全；另一方面，公司局域網(wǎng)結(jié)構(gòu)簡單，主機數(shù) 量少，服務器提供的服務相對單一，缺少安全防護專用設備和軟件，使得非法訪 問和入侵變得簡單容易。安全組織可以以實體行政單位的形式設 立，也可以以虛擬組織的形式設立，并適合采用矩陣式的管理模式對組織關(guān)系和 運作機制進行管理。 ③邊界防護技術(shù)。 (1)信息安全宣傳 信息安全宣傳的主要目的是讓所有員工清楚地認識信息安全的重要性，了解 信息安全工作的目標，提高員工的信息安全意識。如有可能，建議建立信息安全 專家小組，以提供安全標準和評估方法方面的專業(yè)建議，并對安全標準的實施進 行監(jiān)督。審計工作包括以下內(nèi)容：檢驗是否依照相關(guān)要求制定了相應的規(guī)章制度和實 施細則；檢驗員工對各類規(guī)章制度的執(zhí)行情況，核查對以往審計結(jié)果進行的整改 措施是否得以落實；檢驗分析信息安全控制措施的運行效果，以評估其有效性 。現(xiàn)場審計是指審核 員按準備好的檢查表進行檢查，這是一個尋 找客現(xiàn)證據(jù)的過程。糾正措施完成后，責任部門應向主管部門報告，主管部門組織 審計員對糾正措施的實施情況及其有效性進行驗證，驗證內(nèi)容包括：各項措施是 否按規(guī)定日期都已完成；完成后的效果如何，必要時進行抽查，看是否還有類似 的不符合發(fā)生；糾正措施的實施情況是否有記錄，有證據(jù)可查，驗證有關(guān)證據(jù)； 如因糾正措施引起程序文件修改，應提請管理部門考慮修改文件。為了防止不必要的風險，應該 及時調(diào)整因預算不足以提供足夠質(zhì)量的安全控制措施。 M公司可以考慮建立應急處理工作組，負責安全應急計劃的制定、維護和管 理，并且組織、協(xié)調(diào)其他部門根據(jù)安全應急計劃的要求履行相應的職責。 IS027001標準也采用了 PDCA管理模型 [9],用于建 立組織 的信息安全管理體系 (ISMS)。標準化以保證糾正和預防措施的長期有效性，以防止原來的問題再 次發(fā)生。 (7)備份恢復技術(shù) 當發(fā)生信息安全事件后，響應恢復機制啟動，將數(shù)據(jù)從備份中恢復，從而保 證了業(yè)務系統(tǒng)的正常運轉(zhuǎn)。 (3)通用性原則 信息安全文件系統(tǒng)的執(zhí)行范圍 為全公司，所以，要使文件內(nèi)容盡量通俗易懂， 盡量避免使用太過于專業(yè)的詞匯，以便于參與實施信息安全管理體系的人員理解 和掌握。 監(jiān)督 監(jiān)督的主要內(nèi)容有：實時監(jiān)控、內(nèi)控評估、風險評估和審計檢查。 (3)制度建設要納入項目管理的范疇。 如何進行有效監(jiān)控 可以通過審計信息系統(tǒng)生成的運行日志來有效實現(xiàn)事中監(jiān)控，記錄操作行 為、標示敏感行為、記錄異常事件和監(jiān)控運行狀態(tài)，對操作人員、系統(tǒng)狀態(tài)和預 警信息進行實時跟蹤，防范可能發(fā)生的信息安全事件。內(nèi)部審核一般由組織名義進行，是組織自我 ?檢查合格的基礎；外部審核是由外部獨立的組織進行，提供符合 IS027001要求 的認證或注冊。 現(xiàn)如今，日益增多的組織、網(wǎng)絡及其信息系統(tǒng)都面臨著大范圍的安全威脅， 這其中包括間諜、詐騙、火災、蓄意破壞等。在確定適用范圍時，應重點考慮組織的適用人員、適用環(huán)境、現(xiàn)有 信息資產(chǎn)、現(xiàn)有 rr技術(shù)等。建立崗位工作手冊， 對該崗位的工作內(nèi)容、工作要求做詳細描述，降低人員和崗位的耦合性，使某項 工作的開展不再依賴于具體某個人，保障輪崗機制能夠順利實施，從而有效地避 免由于人員變動而引發(fā)的風險。 如何保障制度的可操作和全覆蓋 目前，很多公司都已經(jīng)建立或者正在建立信息安全管理制度體系。 M公司的信息安全制度體系也應當以 IS027001標準作為參考， 建立健全這 11 個控制領域的管理制度，利用規(guī)范的流程和制度來控制和約束所 有可能會影響信息安全的行為。 二級文件為程序、規(guī)定性文件。 (1)身份認證和訪問控制 根據(jù) M公司的信息安全狀況和信息技術(shù)水平，建議建立集中管控平臺，集身 份認證和訪問控制為一體，實現(xiàn)內(nèi)部網(wǎng)絡接入認證，并實現(xiàn)授權(quán)管理，從而實現(xiàn) 統(tǒng)一存儲管理用戶身份信息，并保證用戶對資源的訪問可控可管，而且可以最大 程度利用已有的安全設備。 ②信息安全符合性計劃 信息安全是隨著信息技術(shù)、企業(yè)競爭環(huán)境及業(yè)務調(diào)整變化而不斷變化的，沒 有一層不變的信息安全要求。并且應該通過定期檢查、模擬演練、等手段事先測試應 急預案的可行性，若發(fā)現(xiàn)實施過程中存在的不足，應當及時予以調(diào)整修改。 信息安全風險評估不是一次性的孤立的工作，應當在信息風險策略或者信息 風險狀況發(fā)生變化時，及時再次進行系統(tǒng)化風險評估，從而得到具有可比性和連 貫性的評估結(jié)果。 (2)信息安全審計人員應接受過專業(yè)技能培訓 信息安全審計工作對審計人員的業(yè)務素質(zhì)有著特殊的要求，要么審計人員 在開展工作之前必須接受必要的專業(yè)技能培訓，要么選用獲得信息安全管理或?qū)? 計認證資格的專業(yè)人員來擔任審計人員。審計實施后，審計組根據(jù)掌握的證據(jù)，經(jīng)過分析論證，對信息 安全管理體系進行綜合性評價，其內(nèi)容包括：管理體系主要過程應進行的活動和 體系文件中各項規(guī)定是否得到實施和保持；各項活動結(jié)果是否達到預定的目標； 組織的信息安全方針和目標的適宜性和實現(xiàn)程度；信息安全管理水平的提高，即 信息安全事件的發(fā)生頻率及影響；信息安全意識提髙的表現(xiàn)；管理體系自我完善 與持續(xù)改進的情況相機制是否建立和健全等。其中審計目標一般包括：評價信息安全管理體系與審計準則及所適用 的法律法規(guī)的符 合程度，評價組織的目標和信息安全管理方案的實現(xiàn)程度等；審 計準則主要有：標準，企業(yè)方針、目標，程序文件、國家和行業(yè)部門發(fā)布的有關(guān) 法律法規(guī)、技術(shù)標準等；審計范圍包括：審計活動所涉及的區(qū)域、場所、過程、 活動、產(chǎn)品以及覆蓋的時間等。 ②網(wǎng)絡管理員 —— 負責管理信息網(wǎng)絡，是網(wǎng)絡安全策略及安全運行細則的實 施者；配置管理網(wǎng)絡用戶權(quán)限，合理配置網(wǎng)絡安全參數(shù)，保證網(wǎng)絡的安全正常運 行；負責監(jiān)控關(guān)鍵性網(wǎng)絡設備、網(wǎng)絡物理線路和端口，防范網(wǎng)絡攻擊和入侵，如 發(fā)生安全事件應及時向信息安全人員報告；監(jiān)督其他的網(wǎng)絡操作人員，以保證其 操作合規(guī)安全。這種教育不同于培訓，不再是針對某崗位的簡 單技能教授，而是綜合不同特性的安全技術(shù)和能力，加上相關(guān)學科基本原理等內(nèi) 容，使接受教育的人員能夠順利獲得信息安全相關(guān)的資質(zhì)和證書。通過漏洞掃描、補丁加固等手段保護操作系統(tǒng)、數(shù)據(jù)庫等 關(guān)鍵性的系統(tǒng)軟件，從而提高系統(tǒng)的防攻擊能力。在建設安全運行流程時，應當參考本行業(yè)最佳實踐和相關(guān)標準。組織結(jié)構(gòu)的不合理造成崗責不匹配，使得信息安全管理工 作分工不明確，管理流程存在死角，人為造成額外的風險。但是 技術(shù)平臺覆蓋不全，不能提 供從客戶端到服務器，從單機到網(wǎng)絡全方位的保護，使公司技術(shù)保障體系對外來 攻擊幾乎沒有抵抗能力。由于 M公司員工普遍缺乏信息資產(chǎn)的保護意識和防范 能力，底層員工流動性大，信息管控容易出現(xiàn)問題，比較容易因員工的流失而導 致重要信息的泄露。 (二） M公司存在的信息安全問題及其分析 M公司現(xiàn)階段面臨的主要信息安全問題 (1)病毒。會計電算化方面，主要以財務部門使用的用友 ERPU8財務管