【文章內(nèi)容簡介】 結(jié)構(gòu)，其中區(qū)域、產(chǎn)品中心、業(yè)務(wù)資源中心、客戶經(jīng)營中心屬于前臺部門，主要負(fù)責(zé)公司業(yè)務(wù)上的相關(guān)事宜，目前博士公司前臺部門約有 900 名左右的員工，制約比 60%。其余職能部門都隸屬于后臺部門，主要負(fù)責(zé)公司的日常運作和管理，目前全國約有 600 名左右的員工，占約比 40%，此次診斷的主要訪談對象大都為博士的后臺部門員工?！　?博士公司企業(yè)信息安全診斷工作過程描述　　　　博士公司作為國內(nèi)領(lǐng)先的第三方理財機構(gòu)，自 2003 年成立以來一直高速發(fā)展，并在 2010 年 11 月成功在美國紐約交易所上市，迄今為止是國內(nèi)唯一在海外上市的第三方理財機構(gòu)。由于受到海外投資人的高度關(guān)注和青睞，近年來博士公司業(yè)務(wù)擴張過于快速，以至于帶來了很多管理問題，其中信息安全問題更是成為嚴(yán)重阻礙公司發(fā)展的最大問題之一，受到了管理層的高度關(guān)注，管理層亦希望通過一次科學(xué)的全面診斷來揭示存在和潛在的信息安全風(fēng)險，本次基于 ISO27001 的企業(yè)信息安全診斷也由此而產(chǎn)生，下面對本次的診斷過程做簡要的回顧?！　。?）初期對博士公司的內(nèi)外部資料進(jìn)行了收集，主要包括：　?、倭私庵С謽I(yè)務(wù)運作的信息系統(tǒng)情況。②數(shù)據(jù)從產(chǎn)生、錄入、交互、存儲以及回收的過程排摸?！　、壅莆瞻凑諛I(yè)務(wù)價值劃分?jǐn)?shù)據(jù)（信息）的安全等級和受眾范圍?！　、芰私馐欠翊嬖隗w外（非常規(guī)）的業(yè)務(wù)流程?！　。?）之后進(jìn)行了大規(guī)模的訪談，涉及到公司的各個職能部門的絕大多數(shù)高層（各中心負(fù)責(zé)人以上級別）以及部分中層（部門經(jīng)理和主管）和員工。訪談人數(shù)統(tǒng)計見表2（外部訪談未計入）?！?】　　　　（3）根據(jù)對公司業(yè)務(wù)流程的梳理情況以及 ISO27001 信息安全體系構(gòu)架的實踐經(jīng)驗，進(jìn)行了文件涉及和實地訪談。根據(jù) ISO27001 的各項風(fēng)險控制領(lǐng)域，對于五類不同的部門和訪談對象，分別設(shè)計了五種調(diào)查問卷。調(diào)查文件統(tǒng)計情況見表 3：【5】　　　?。?）對于回收的問卷數(shù)據(jù)進(jìn)行數(shù)據(jù)錄入，同類問卷根據(jù)不同層級進(jìn)行比較?！　。?）在上述基礎(chǔ)上，補充了外部訪談和外部資料搜集工作?！　。?）對于診斷情況和輸出的診斷結(jié)果進(jìn)行綜合的匯總?！　?博士公司信息安全的若干問題　　經(jīng)過實地走訪各關(guān)鍵崗位的負(fù)責(zé)人和員工以及對回收的調(diào)查問卷進(jìn)行整理分析（問卷中每一題根據(jù)輕重原則分為 15 分，分析的結(jié)果采用加權(quán)平均的方式統(tǒng)計），根據(jù) ISO27001 安全體系模型所得出的信息安全風(fēng)險雷達(dá)圖見（圖 ）?！?】　　　　目前博士公司在信息安全建設(shè)方面主要存在著 9 個比較嚴(yán)重的問題，他們分別為是企業(yè)整體缺乏體系化的安全管理機制、信息安全人力資源匱乏，信息安全組織架構(gòu)不夠完善、尚未建立信息資產(chǎn)清單、員工安全意識薄弱、未將信息安全有效融入第三方外包服務(wù)管理、系統(tǒng)開發(fā)和運維人員職責(zé)不明確、尚未對信息安全實施內(nèi)部審計、訪問控制機制尚不健全、業(yè)務(wù)連續(xù)性方面建設(shè)比較初級。在本節(jié)中將對這 9 個問題做詳細(xì)闡述。　　 企業(yè)整體缺乏體系化的安全管理機制　　在與博士公司的管理層訪談中了解到，管理層沒有把信息安全列入企業(yè)整體戰(zhàn)略考慮，沒有意識到信息安全對博士公司這樣的第三方理財機構(gòu)的重要性，普遍認(rèn)為信息安全是 IT 部門所應(yīng)該考慮的，和主營業(yè)務(wù)和業(yè)績沒有多大關(guān)系。但由于 IT 部門在企業(yè)中的影響力有限，實際上管理層對信息安全工作提供一個明確的指導(dǎo)方向，除了現(xiàn)有的 IT 部門，博士公司也沒有在公司層面上明確各部門相關(guān)負(fù)責(zé)人員的職責(zé)以及投入必要的人力和物力資源。而在日常的實際工作中，管理層對信息安全的期望和目標(biāo)比較抽象，沒有明確的達(dá)成標(biāo)準(zhǔn)。同時也缺乏一套方法論來識別和確認(rèn)信息安全建設(shè)效果。目前在信息安全方面博士公司從整體方針策略、組織結(jié)構(gòu)、規(guī)章制度、管理過程以及投入資源方面缺少一套有效的管理框架和指引來規(guī)范和實施 。因此，引入一套科學(xué)完善的信息安全管理體系是博士公司目前需要緊迫解決的問題?！　?信息安全人力資源匱乏，信息安全組織架構(gòu)不夠完善　　在與博士公司 COO 的訪談中了解到，目前博士公司全職負(fù)責(zé)信息安全工作的人員只有一名，其隸屬于信息技術(shù)中心負(fù)責(zé)人（CIO）領(lǐng)導(dǎo)，職位名稱為信息安全專員，其主要工作為使用和維護(hù)系統(tǒng)中的各類信息安全設(shè)備，并沒有實質(zhì)上主持或執(zhí)行信息公司安全管理和體系建設(shè)工作。由于，博士公司由于沒有設(shè)立信息安全委員會，也沒有設(shè)立專門的首席信息官（CISO），導(dǎo)致至今都沒有出臺如公司信息安全方針和一系列支撐信息安全方針的流程文檔以及規(guī)章制度。信息安全專員由于職級較低，無法參與到公司層面規(guī)章制度的制定，同時無法直接將第一線的信息安全狀況和現(xiàn)狀傳達(dá)到公司管理層。另外，各個業(yè)務(wù)部門中亦沒有專人負(fù)責(zé)對接信息安全相關(guān)工作，即便頒布上述的方針政策以及一系列配套的流程制度，信息安全實施和建設(shè)依舊無法落實到具體的業(yè)務(wù)部門。因此，博士公司在信息安全方面的人力和物力投入不足以支撐整個公司對信息安全工作的期望。同時，在信息安全組織構(gòu)架中也存在諸多問題?！　?尚未建立信息資產(chǎn)清單　　明確什么是對企業(yè)最重要的信息資產(chǎn)是企業(yè)信息安全建設(shè)的前提，在整個訪談中，博士公司的信息技術(shù)中心負(fù)責(zé)人給提供了一份信息資產(chǎn)清單，其內(nèi)容主要是信息技術(shù)部所管轄的固定資產(chǎn)，包括服務(wù)器、路由器、交換機、防火墻等。但并為對一些如數(shù)據(jù)庫帳號、系統(tǒng)的管理員權(quán)限、以及系統(tǒng)中所存儲的業(yè)務(wù)數(shù)據(jù)等”軟“資產(chǎn)來進(jìn)行管理。而在受訪的業(yè)務(wù)部門中幾乎沒有人能夠清晰地把自己所管轄的這一領(lǐng)域中的信息資產(chǎn)以清單的方式展現(xiàn)，大都只是羅列大概的信息資產(chǎn)情況，也沒有根據(jù)其每項資產(chǎn)對企業(yè)的重要性而進(jìn)行分級保護(hù)并確定歸屬責(zé)任人。個別的受訪對象甚至沒有意識到自己每天在接觸和處理的信息資產(chǎn)都是博士公司的核心業(yè)務(wù)數(shù)據(jù)。正是由于這樣的情況，而導(dǎo)致博士公司目前無法對信息資產(chǎn)進(jìn)行有效的管控?！　?員工安全意識薄弱　　　　博士公司作為國內(nèi)領(lǐng)先的第三方理財機構(gòu)，這些年來在企業(yè)信息化建設(shè)，以及利用信息化推動業(yè)務(wù)發(fā)展方面做出的成績有目共睹。然而隨著信息化意識的不斷提高，信息安全意識并沒有同步提高。上到企業(yè)的中、高級管理人員，下到普通的員工安全意識相當(dāng)?shù)?，在受到黑客攻擊或發(fā)生信息泄露事件后，都表示不會對正常業(yè)務(wù)造成太大影響，并沒有意識到其存在著潛在的巨大風(fēng)險。整個博士公司隨處可見人員離開后未鎖屏的電腦，以及把自己系統(tǒng)的賬戶密碼貼在顯示器上的現(xiàn)象。后臺業(yè)務(wù)部門，尤其是作業(yè)管理部，印有客戶簽章的合同文件，含有客戶聯(lián)系方式的快遞單據(jù)，以及還未正式發(fā)布的產(chǎn)品資料隨意堆放在公共的走道里，這些行為會導(dǎo)致很多的潛在內(nèi)部風(fēng)險。　　博士公司在對員工的信息安全宣傳方面也做的并不到位，目前只限于把信息安全的標(biāo)語張貼在墻上，并沒有定期對企業(yè)內(nèi)部員工開展信息安全方面的教育和活動。同時，博士公司的企業(yè)文化也沒有清晰準(zhǔn)確的把信息安全的重要性傳遞給每一位員工，因此員工認(rèn)識不到信息安全對博士公司的重要性。　　 未將信息安全有效融入第三方外包服務(wù)管理　　博士公司出于主營業(yè)務(wù)模式和人員成本考慮，信息技術(shù)部、作業(yè)管理、客戶服務(wù)部等后臺核心業(yè)務(wù)部門都雇傭了大量的第三方外包服務(wù)，從事基礎(chǔ)性服務(wù)工作。在實際的工作中，這些第三方外包人員會接觸到大量接觸如客戶信息、合同文檔、暫未公開發(fā)行的產(chǎn)品資料等敏感的數(shù)據(jù)。博士公司在于第三方外包服務(wù)機構(gòu)所簽訂的服務(wù)合同中有并沒有關(guān)于對所接觸到數(shù)據(jù)和信息的保密條款。在實際工作中，各部門并沒有對所管理的第三方外包服務(wù)人員進(jìn)行嚴(yán)格的管理，其信息系統(tǒng)權(quán)限、接觸數(shù)據(jù)的范圍目前都參照博士公司部門內(nèi)部員工而定義。若外包服務(wù)公司發(fā)生經(jīng)營上的困難或人才波動時，可能會導(dǎo)致服務(wù)質(zhì)量的下降和信息泄露的風(fēng)險。另外，外包服務(wù)人員一般從事基礎(chǔ)工作，應(yīng)聘門檻較低，外包服務(wù)商如招聘時把關(guān)不嚴(yán)，將職業(yè)素質(zhì)較低的人員招入，后期的又沒有經(jīng)過系統(tǒng)性培訓(xùn)，會導(dǎo)致外包服務(wù)人員因責(zé)任心不強、工作不到位、操作不當(dāng)甚至職業(yè)道德問題，從而產(chǎn)生各種有意無意的信息泄露行為?！　?系統(tǒng)開發(fā)和運維人員職責(zé)不明確　　經(jīng)過對調(diào)查問卷的整理結(jié)果顯示，博士公司的 IT 系統(tǒng)建設(shè)和運維過程中存在著一個巨大的問題，系統(tǒng)的開發(fā)人員和維護(hù)人員的職責(zé)界定并不明確。由于博士公司 IT部門缺少負(fù)責(zé)運營維護(hù)的運維人員。整個系統(tǒng)的建設(shè)從最初的需求整理、方案設(shè)計中期的實施開發(fā)、功能測試到后期的系統(tǒng)上線、運營維護(hù)基本都由同 1 位系統(tǒng)開發(fā)師人員包辦。甚至是出現(xiàn)了 1 位系統(tǒng)開發(fā)人員同時兼顧負(fù)責(zé) 23 個系統(tǒng)的情況。這一現(xiàn)象通過實地訪談信息技術(shù)部負(fù)責(zé)人得以證實?！　〔┦抗拘畔⒓夹g(shù)部的開發(fā)人員對于系統(tǒng)的實際控制權(quán)限過于強大，有些開發(fā)人員為了貪圖便捷，系統(tǒng)的新開發(fā)版本不按照規(guī)定在測試環(huán)境中試運行測試，而是直接在實際的生產(chǎn)環(huán)境中做業(yè)務(wù)測試，由此經(jīng)常造成系統(tǒng)的故障而導(dǎo)致的業(yè)務(wù)中斷。開發(fā)人員和運維人員的權(quán)限共享，使得出現(xiàn)故障和事故時責(zé)任往往無法明確的認(rèn)定責(zé)任?！　∠到y(tǒng)開發(fā)人員不但可以暢通無阻地訪問和控制實際生產(chǎn)環(huán)境中的各類系統(tǒng)，還可以直接進(jìn)入整個博士公司最核心的 SQL 數(shù)據(jù)庫系統(tǒng)，數(shù)據(jù)庫中保存著公司的最重要的數(shù)據(jù)，如客戶的信息、公司的財務(wù)狀況、員工的薪酬獎勵等等敏感信息。開發(fā)人員可以對數(shù)據(jù)庫中的表結(jié)構(gòu)、字段、記錄等數(shù)據(jù)進(jìn)行任意修改且無法被監(jiān)控。　　 尚未對信息安全實施內(nèi)部審計　　在與博士公司合規(guī)與內(nèi)部控制部門負(fù)責(zé)人的訪談中了解到，博士公司屬于在美上市的中資公司，因此按照美國證監(jiān)會要求，必須遵守塞班斯法案，每年都會有外部審計公司來對其進(jìn)行審計。相比信息安全審計，塞班斯法案更偏重于財務(wù)報表方面，外部審計師對信息安全的審計通常比較粗略。同時在博士公司內(nèi)部，也沒有對于信息系統(tǒng)的建設(shè)以及信息使用進(jìn)行內(nèi)部審計工作。信息技術(shù)部和各個業(yè)務(wù)部門通常同時扮演著”運動員“和”裁判員“的角色，各種安全控制的有效性無法得到客觀的度量和考證?！　?訪問控制機制尚不健全　　訪問控制在整個信息安全建設(shè)和保障中起著至關(guān)重要的作用，數(shù)據(jù)的保密性和完整性需要它來落地實現(xiàn)。訪問控制機制的定義通常是為了限制訪問主體（如用戶、服務(wù)），對訪問客體（通常為需要保護(hù)的資源和數(shù)據(jù)）的具體訪問權(quán)限，即訪問控制機制明確定義了用戶能做什么，以及做到什么程度。從調(diào)查問卷的結(jié)果中反映，博士公司目前無論是從系統(tǒng)層面的訪問控制還是從業(yè)務(wù)層面的訪問控制并沒有按照不同的訪問主體（用戶）進(jìn)行規(guī)范化的定義，具體表現(xiàn)為：　　（1）無系統(tǒng)層面的訪問控制機制首先，博士公司的信息系統(tǒng)在物理基礎(chǔ)構(gòu)架中就存在諸多先天性的不足，數(shù)據(jù)中心（機房）沒有采用門禁系統(tǒng)，只要是博士公司的員工可以不經(jīng)過審批隨意出入。其次，雖然整個基礎(chǔ)構(gòu)架中部署了三層交換機和防火墻這樣的訪問控制設(shè)備，但現(xiàn)實情況是整個公司的領(lǐng)導(dǎo)和員工實際處在一個安全區(qū)域中，直接導(dǎo)致的結(jié)果是公司任何一臺主機（甚至是行政前臺的主機）能夠暢通無阻的訪問存儲公司重要數(shù)據(jù)的核心數(shù)據(jù)庫。另外，在業(yè)務(wù)系統(tǒng)賬戶權(quán)限的設(shè)計上也存在著重大安全隱患，目前的帳號權(quán)限沒有根據(jù)各業(yè)務(wù)部門的職責(zé)角色來進(jìn)行劃分，在最核心的 ERP 和 CRM 系統(tǒng)中目前只存在部門級的權(quán)限劃分，并不涉及到各職能崗位。因此造成同一個部門員工與部門經(jīng)理對系統(tǒng)的操作的權(quán)限完全一致的情況?！　。?）無業(yè)務(wù)層面的訪問控制機制各業(yè)務(wù)部門在日常的業(yè)務(wù)流轉(zhuǎn)中沒有清晰定義出各個職務(wù)所能接觸到業(yè)務(wù)數(shù)據(jù)的范圍。同時，這也是造成業(yè)務(wù)系統(tǒng)層面中無法把各崗位職能權(quán)限劃分清楚的一個重要原因?！　?業(yè)務(wù)連續(xù)性方面建設(shè)比較初級　　由于博士公司整個業(yè)務(wù)都依托于現(xiàn)有的 CRM、ERP、OA 等信息系統(tǒng)中，因此保證這些信息系統(tǒng)持續(xù)穩(wěn)定運行以及出現(xiàn)系統(tǒng)故障后有充足的預(yù)案來對抗由于系統(tǒng)無法使用而導(dǎo)致的風(fēng)險顯得尤為重要。在對于作業(yè)管理部和信息技術(shù)部員工的走訪中了解到，僅 2012 年下半年，信息系統(tǒng)的故障而導(dǎo)致的正常辦公業(yè)務(wù)停止次數(shù)多達(dá) 22次。其中最嚴(yán)重的一次事故直接導(dǎo)致博士公司丟失了 2012 年 11 月 1 日至 30 日期間入會的客戶資料，由于沒有完善的應(yīng)急預(yù)案，整個客戶服務(wù)中心被迫停止運營三個工作日。顯然，博士公司在業(yè)務(wù)連續(xù)性方面存在的巨大的提升空間。第4章博士公司基于 ISO27001 體系的信息安全管理問題診斷　　通過前期的調(diào)查問卷以及與各業(yè)務(wù)部門的實地訪談，博士公司目前主要存在 9個比較嚴(yán)重的信息安全問題。本章中將以 ISO27001 信息安全管理體系中的 11 個安全控制域為基本框架，外加近年來信息安全研究領(lǐng)域所提出的信息防泄露（DLP）理論為基礎(chǔ)形成 12 個信息安全控制維度來分析并詳細(xì)的闡述形成上述 9 個信息安全問題的具體原因。【1】　　　　 信息安全策略　　博士公司目前整體缺乏信息安全管理機制，根本上是缺少基本的信息安全策略?！　∑湓蛟谟谀壳安┦抗镜恼w戰(zhàn)略并未將信息安全納入其中，信息安全建設(shè)還處在初級階段，尚未形成立體化、體系化的管理措施和理念。公司層面的信息安全制度性文件目前只有信息安全方針。由于是信息安全方針是一個綱領(lǐng)性的文件，缺少相應(yīng)的配套流程和制度，在執(zhí)行層面缺乏了相對嚴(yán)謹(jǐn)和細(xì)化的執(zhí)行標(biāo)準(zhǔn)。雖然已經(jīng)在公司范圍內(nèi)公開發(fā)布，但執(zhí)行的力度和效果明顯沒有達(dá)到預(yù)期的效果?！　×硗猓嗨狗ò笇ζ髽I(yè)的信息系統(tǒng)審計有一定要求，但博士公司在信息系統(tǒng)內(nèi)部審計方面并沒有引起足夠的重視，未把信息系統(tǒng)內(nèi)部審計上升到與財務(wù)內(nèi)部審計一樣的高度。雖然信息安全方針中有關(guān)于對信息安全內(nèi)部審計的要求，但落實到執(zhí)行層面效果并不理想。既沒有定義明確的審計對象、審計范圍，也沒有制定審計方式以及保證審計結(jié)果無誤的相關(guān)審計方法。相較于財務(wù)審計信息系統(tǒng)審計工作形同虛設(shè)，僅僅在外部審計師到來之前臨時進(jìn)行突擊檢查，在日常的工作中內(nèi)部審計工作并不是按部就班的執(zhí)行。　　 信息安全組織　　博士公司管理決策層在信息安全組織方面目前缺乏政策面支持，尚未成立信息安全管理委員會，也沒有其他行政職能部門分管信息安全建設(shè)工作。由于組織構(gòu)架的不明確，導(dǎo)致博士公司在信息安全領(lǐng)域投入的人力嚴(yán)重不足，整個公司僅有的一個信息安全崗位（信息技術(shù)部的信息安全專員），且此職位的設(shè)置僅僅是考慮到信息安全技術(shù)的運用，如防火墻的使用、上網(wǎng)行為管理的監(jiān)控、反垃圾郵件等，并沒有考慮到信息安全管理在整個信息安全建設(shè)過程中的作用。各部門也沒有與公司信息安全相關(guān)人員建立工作上的接口，沒有指定專人負(fù)責(zé)協(xié)調(diào)各部門內(nèi)部來配合公司整體信息安全建設(shè)。另外，博士公司內(nèi)部雖然成立了合規(guī)和內(nèi)部控制部門，但對于信息系統(tǒng)安全沒有設(shè)立