【正文】 理軟件為主，包括總賬、應(yīng)收（付）款管理、固定資產(chǎn)、報表、票據(jù)、現(xiàn)金流、 公司對賬、財務(wù)分析等功能模塊，實現(xiàn)了 M公司的基礎(chǔ)財務(wù)管理控制。 M公司重視人 才隊伍的培養(yǎng)和引入，要求企業(yè)員工具有現(xiàn)代化的服務(wù)意識，加強企業(yè)管理創(chuàng)新 能力，注重提升企業(yè)文化，是青海省內(nèi)星級酒店的優(yōu) 秀代表。特別是互聯(lián)網(wǎng)的接入僅僅為了查 資料方便，沒有考慮信息雙向交流、實現(xiàn)酒店網(wǎng)絡(luò)化管理的目的，加之門戶 網(wǎng)站 還未建立，不但無法對外進行企業(yè)形象宣傳展示，更加無法通過互聯(lián)網(wǎng)進行服務(wù) 預(yù)定、客戶交流、網(wǎng)絡(luò)銷售等業(yè)務(wù)。特別是 DoS (拒絕服務(wù)）為代表的網(wǎng)絡(luò)攻擊常常造成公司大量網(wǎng)絡(luò) 帶寬被無端占用，使得網(wǎng)絡(luò)設(shè)備宕機，無法響應(yīng)客戶請求，甚至造成數(shù)據(jù)包丟失， 嚴重影響信息管理技術(shù)力量本來就比較弱的 M公司各 項業(yè)務(wù)的正常開展。這樣的組織結(jié)構(gòu)沒有突出 信息安全的重要性，成員的單一化使得職責(zé)分工不明確，最后導(dǎo)致以技術(shù)為主、 管理為輔的管理模式，不能很好的履行 建立和實施信息安全管理體系所要求的職 貝176。未經(jīng)過專門培訓(xùn)的員工，其信息安 全意識比較落后。另外，為了進一步加強管理成效，應(yīng)該對從計劃到實施、再 到審計整體流 程作一規(guī)范并形成機制，有利于查找出管理中存在的不足，持續(xù)改 善信息安全管理。 ②加密（解密）技術(shù)。內(nèi)控評估工作不但可以滿足企業(yè)合規(guī)運行及外部審計的 要求，同時也是企業(yè)信息安全工作發(fā)展的要求。 充足的資金技術(shù)支持對信息安全認知培養(yǎng)工作具有重要作用，并且要在信息 安全認知培養(yǎng)工作實施過程中自上而 下傳達決策層對于信息安全的關(guān)注，釆用考 試、考核和認證等手段來全面評估信息安全認知培養(yǎng)的工作成效，以便及時糾正 和改進信息安全認知培養(yǎng)工作中存在的偏差和問題。鑒于 M公司實際情況和規(guī)模，信 息安全工作小組的完整組建可能會存在困難，那么某些崗位可以由其他部門的人 員兼任，也可以進行外包，聘請第三方人員來擔(dān)任。主要目標是確認審計計劃，審計組與受審核部門溝通，由審計 組全體人員，受審部門負責(zé)人，信息安全負責(zé)人參加，審計組長主持會議。責(zé)任部門還要舉一反三，查找 有無類似的問題，同樣要采取糾正措施。按照風(fēng)險管理的一般步驟，風(fēng)險管理由風(fēng)險評估和 風(fēng)險處置兩方面組成。響應(yīng)恢復(fù)是 公司在面臨重大信息危險時盡快恢復(fù)業(yè)務(wù)運作的重要環(huán)節(jié) ,是公司整體業(yè)務(wù)保持 持續(xù)性的重要組成部分。例如，對于公司客房管理信 息系統(tǒng)、財務(wù)決算信息系統(tǒng)、內(nèi)部網(wǎng)絡(luò)等比較重要的系統(tǒng)應(yīng)確立不同的恢復(fù)目標， 加大響應(yīng)恢復(fù)資金投入。計劃實施和運行的狀 況會在定期的信息安全狀況回顧會 議中討論和接受監(jiān)督。 M公司在實際實施過程中，要制定統(tǒng)一的實施規(guī)范，包括漏洞掃描工具 的選用、策略配置方法、補丁分發(fā)流程、安全設(shè)備策略調(diào)整建議等，確保有效降 低或消除安全隱患。這要求信息安全文件系統(tǒng)的內(nèi)容需要進行一定范圍內(nèi)的 公開。信息安全管理一直以來都是三分靠技術(shù)、七分靠管理，管理的 成效關(guān)鍵看執(zhí)行是否徹底、到位，如果沒有有效的執(zhí)行，即使有再好的機制，公 司的信息安全也同樣得不到保障。 (2)將制度固化到信息系統(tǒng)中，用技術(shù)保證制度的可操作性。所以，只有訂立合理的執(zhí)行計劃才能保證執(zhí)行人員 行為的統(tǒng)一性和一致性，從而保證企業(yè)目標能夠順利達成。此時，組織應(yīng) 加強運作力度，有效發(fā)揮體系本身的各項功能，在體系策劃中及時找出存在的問 題，尋找問題根源，釆取有效措施，依照更改控制程序的要求更改體系，進一步 完善信息安全管理體系。 如果信息系 統(tǒng)本身依按照安全系統(tǒng)要求來設(shè)計，那么僅靠技術(shù)手段來實現(xiàn)信 息安全就會有局限性，因此實現(xiàn)信息安全，必須用管理和程序控制來適當(dāng)支持。 信息安全管理體系文件編寫 建立并保持一個文件化的信息安全管理體系是 IS0/IEC27001:2020標準的 總體要求，建立信息安全管理體系的基礎(chǔ)工作是編寫信息安全管理體系文件，也 是一個組織實現(xiàn)評價和改進信息安全管理體系、風(fēng)險控制、實現(xiàn)持續(xù)改進不可或 缺的依據(jù)。應(yīng)該逐步建立人才 培養(yǎng)機制，通過明確的職業(yè)前景規(guī)劃、公平的績效評估、優(yōu)越的薪酬回報、豐富 的培訓(xùn)教育、舒適的辦公環(huán)境和合理的競爭機制來留住人才、引入人才、培養(yǎng)人 才。 (1)制度的設(shè)計應(yīng)該從公司的整體性建設(shè)角度來考慮。特別需要注意的是，信息安全不能只靠安全技術(shù)人員來保障，它同時 也是每個員工的職責(zé)所在，所有人員都應(yīng)該參與其中。企業(yè)的工作標準和技術(shù)標準可納入本層次。 (4)防惡意代碼技術(shù) 通過在 M公司內(nèi)部網(wǎng)絡(luò)建立惡意代碼檢測、清除系統(tǒng)，能夠?qū)η秩雰?nèi)網(wǎng)的病 毒或者其他惡意程序進行快速檢測及識別，同時隔離被感染的主機或終端，對其 進行病毒清除。信息安全符合性計劃可以是年度信息安全改善計劃的一部分。 M公司還應(yīng)該從發(fā)生在行業(yè)內(nèi) 其他 組織里的安全事件中學(xué)習(xí)經(jīng)驗教訓(xùn)，不斷提高本公司的響應(yīng)恢復(fù)能力。 M公司 需要按照以下原則實施安全監(jiān)控： (1)實行集中監(jiān)控 M公司的信息安全事件可能發(fā)生自網(wǎng)絡(luò)、信息系統(tǒng)、或者其他應(yīng)用，集中式 的信息安全監(jiān)控能夠全面收集來自這些風(fēng)險點的日志和警告信息，將不同層面的 安全事件信息集中起來統(tǒng)一進行分析，有利于全面掌握全公司的信息安全狀況， 能夠有效提高信息安全監(jiān)控水平。作為第三方審計組織，有些知 名的審計專業(yè)機構(gòu)在審計方面擁有豐富的經(jīng)驗，能夠獨立地開展審計工作，從而 獲得比較公正的審計結(jié)果。審核報告經(jīng) 管理者代表批準簽署并打印、分發(fā)到有關(guān)部門并提交管理評審。因此，檢查表就是“查什么”和“如何查”， 后者指抽樣的步驟和 抽樣方法 ,合理的抽樣才能保證審計結(jié)果的客觀公正。 ⑤安全保密管理員 —— 負責(zé)公司日常的安全保密管理活動，監(jiān)視網(wǎng)絡(luò)安全運 行，負責(zé)安全設(shè)備的常規(guī)維護，分析網(wǎng)絡(luò)審計信息，執(zhí)行應(yīng)急安全策略，如發(fā)生 重大安全事件及時向應(yīng)急管理機構(gòu)報告等。從高層決策者到實施人 員，包括參與培養(yǎng)的員工，每個人都必須明確各自在信息安全管理工作中所扮演 的角色和所擔(dān)負的職責(zé)。通過對用戶行為進行審計，保證行為操作合乎規(guī)定， 確保信息系統(tǒng)的安全。由此可見，包括系統(tǒng)運 行維護、基礎(chǔ)設(shè)施維護以及系統(tǒng)支持等服務(wù)在內(nèi)的運維管理是十分重要的，它不 但是日常工作安全流程的基本載體，還是實現(xiàn)安全控制重要保證。對信息安全審計監(jiān)督、應(yīng)急響應(yīng)、持續(xù)改進等管理方法不夠了解，沒 有建立相應(yīng)的運行機制。目前， M公司管理層人員只著眼于 如何經(jīng)營好企業(yè)，對于信息安全的認識還不到位。 (2)信息安全教育不到位，員工信息安全認知度低 由于缺乏專業(yè)規(guī)范的指導(dǎo)， M公司的信息安全教育僅僅停留在單純的信息安 全知識宣傳和計算機安全防護技術(shù)的簡單教授層面，對如何提高信息安全認知度 沒有具體的認識和措施，在教育培訓(xùn)方面也存在敷衍了事的對待態(tài)度，無論是具 體的培訓(xùn)計劃還是專業(yè)信息安全管理人員的培養(yǎng)上都沒有相關(guān)的實施方案，從而 造成員工們對信息安全管理的認識不足，引入人員安全風(fēng)險。有 40%的被訪問者表示，非法訪問仍然是存在于企業(yè)內(nèi)部 的重要問題。酒店企業(yè)的電子商務(wù)建設(shè)主要包括：內(nèi)部局 域網(wǎng)建設(shè)、互聯(lián)網(wǎng)接入、企業(yè)門戶網(wǎng)站建設(shè)等方面。M公司信息安全管理優(yōu)化方案 三、 M公司信息化建設(shè)和信息安全現(xiàn)狀 ()M公司信息化發(fā)展概述 M公司是附屬于西部機場集團青海分公司的一家 3星級涉外酒店。經(jīng)過調(diào)查分析， M公司已經(jīng) 建成了內(nèi)部局域網(wǎng)，用于內(nèi)部信息傳輸和處理，并且實現(xiàn)和青海機場公司內(nèi)部網(wǎng) 絡(luò)對接；各部門和酒店客房均接入互聯(lián)網(wǎng)，可以隨時上網(wǎng)查資料、發(fā)郵件；公司 門戶網(wǎng)站尚未建立，沒有開展網(wǎng)上營銷活動。許多員工為了工作方便，往往沒有為個人電腦設(shè)置密碼，或者設(shè)置 的密碼很簡單，沒有被授權(quán)的人能夠隨意訪問、使用自己的電腦，以至于個人工 作秘密被泄露、個人資料被刪除等情況時有發(fā)生。 為了檢驗公司員工信息安全認知度的水平，特設(shè)計了一套有關(guān)信息安全基礎(chǔ) 知識方面的試卷（滿分 100)，并從公司隨即抽選 30人進行閉卷答題，考試成 績分布如圖 31: (3)信息安全管理組織結(jié)構(gòu)不合理 M公司在 2020年建立了以主管信息化的副總經(jīng)理為組長的信息化工作領(lǐng)導(dǎo) 小組，辦公室設(shè)在公司信息科。有部分管理人員簡單地認為信 息安全就是技術(shù)問題，有了病毒、網(wǎng)絡(luò) _瘓了，只要請技術(shù)人員處理一下就好了， 頭痛醫(yī)頭腳痛醫(yī)腳的思想比較嚴重，而不會從管理體系方面考慮信息安全的問 (2) IT 人才短缺，特別是信息安全管理人才匱乏。 四、 M公司信息安全管理優(yōu)化方案設(shè)計 ()建立企業(yè)信息安全管理框架 根據(jù) M公司實際運營狀況，結(jié)合 IS027001信息安全管理體系標準，可以從 組織、管理、運行、技術(shù)和監(jiān)督這五個方面入手，對原有的信息安全管理框架進 行改善，增加運行和監(jiān)督環(huán)節(jié)，將制度建設(shè)擴充并變更為管理模式的建設(shè)，并且 不再著重強調(diào)技術(shù)，將 “重技術(shù)輕管理”轉(zhuǎn)化為“三分技術(shù)，七分管理”的管理 思路，建立一個貼合實際情況的閉環(huán)的信息安全管理框架（如圖 2所示）。 (4)建立綜合性的技術(shù)保障體系 建立完善的技術(shù)保障體系是構(gòu)建信息安全管理體系的關(guān)鍵點，它作為信息技 術(shù)人員必須履行的職責(zé)，主要包含以下幾個方面的內(nèi)容： ①身份認證技術(shù)。 ⑦檢測監(jiān)控技術(shù)。 另外，信 息安全認知培養(yǎng)應(yīng)按照循序漸進、長期堅持的原則，從信息安全宣 傳漸漸發(fā)展到信息安全培訓(xùn)，再到信息安全教育。 以上 5個內(nèi)設(shè)崗位要求由不同的人員擔(dān)任、各自獨立。每次審計前應(yīng)編制檢査表， 以使審計工作規(guī)范化，格式化，減少審計員的隨意性和盲目性。 (4)改進 ①糾正措施。但是，由于第三方審計人員在開展審計工作的過程中 很可能會接觸到一些公司內(nèi)部敏感信息，所以有必要采取嚴格的管控措施，保障 第三方審計過程中的信息安全。 (2)加強實時監(jiān)控 由于信息安全事件可能會隨時發(fā)生，所以應(yīng)該 7X24小時連續(xù)不斷地 對信息 安全事件進行實時監(jiān)控，以便能夠及時發(fā)現(xiàn)并且報告信息系統(tǒng)和網(wǎng)絡(luò)中發(fā)生安全 事件或者存在的安全隱患。 (4)主次分明，明確災(zāi)難恢復(fù)的水平 為了使響應(yīng)恢復(fù)基礎(chǔ)設(shè)備投入和運行維護資金獲得盡量高的投資回報，應(yīng)為 重要業(yè)務(wù)投入更多資金預(yù)算用以災(zāi)難恢復(fù)。信息安全符合 性計劃作為相關(guān)業(yè)務(wù)部門的部門計劃納入部門的平衡計分卡，并作為績效考核的 一部分，接受內(nèi)控部門的監(jiān)督和審計。在防惡意代碼技術(shù)實施過程中，應(yīng)注意以下事項： ①多重保護 防惡意代碼不僅僅指安裝一套殺毒軟件，需要建立起一套較完整的體系，包 括：提高員工防病毒意識，培訓(xùn)防殺病毒技術(shù)；部署上網(wǎng)行為檢測系統(tǒng)，根據(jù)用戶 上網(wǎng) 行為判斷病毒來源和特點，提供有效地防毒策略；配合訪問控制系統(tǒng)，在個 別主機感染病毒后能夠及時將其隔離；部署系統(tǒng)加固和數(shù)據(jù)備份系統(tǒng)，有效抵御 病毒入侵。 四級文件為相關(guān)記錄。另外， M公司還應(yīng)該注意 信息安全專業(yè)人員的培養(yǎng)，自上而下、按照金字塔式的人員結(jié)構(gòu)設(shè)立信息安全決 策層、信息安全管理層和信息安全專業(yè)技術(shù)層。企業(yè)制度建設(shè)應(yīng)該 是進行頂層設(shè)計，自上而下，并且互相關(guān)聯(lián)的。 如何保證執(zhí)行效果 能否使決策真正落地，保證執(zhí)行不打折扣，關(guān)鍵在于管理者是否能夠準確把 控企業(yè)發(fā)展規(guī)劃和執(zhí)行計劃之間的關(guān)系。適用范圍文檔、安全方針文檔、實施與控制文檔、適用性聲明文檔及 風(fēng)險評估文檔都應(yīng)當(dāng)包含在信息安全管理體系所建立的文件當(dāng)中。 。這樣，信息安全管理體系就進入運行階段。光 有目標而沒有具體的方法和手段是無法令員工按照企業(yè)發(fā)展規(guī)劃正確執(zhí)行上級 決策的，主要是因為每個員工都可能對如何達成目標有自己不同的理解，因此造 成執(zhí)行結(jié)果和成效的不確定。所以，需要以 宏觀的角度來進行制度建設(shè)，而流程設(shè)計則需要具體而微，這就要 求我們的信息 安全管理人員既要有宏觀思維也要具備實戰(zhàn)經(jīng)驗。 執(zhí)行 信息安全管理目標的實現(xiàn)需要有效的執(zhí)行來保障，這也是實現(xiàn)公司戰(zhàn)略目標 的重要手段之一。