【文章內(nèi)容簡介】 結(jié)構(gòu)，其中區(qū)域、產(chǎn)品中心、業(yè)務(wù)資源中心、客戶經(jīng)營中心屬于前臺(tái)部門，主要負(fù)責(zé)公司業(yè)務(wù)上的相關(guān)事宜，目前博士公司前臺(tái)部門約有 900 名左右的員工，制約比 60%。其余職能部門都隸屬于后臺(tái)部門，主要負(fù)責(zé)公司的日常運(yùn)作和管理，目前全國約有 600 名左右的員工，占約比 40%，此次診斷的主要訪談對(duì)象大都為博士的后臺(tái)部門員工。　　 博士公司企業(yè)信息安全診斷工作過程描述　　　　博士公司作為國內(nèi)領(lǐng)先的第三方理財(cái)機(jī)構(gòu)，自 2003 年成立以來一直高速發(fā)展，并在 2010 年 11 月成功在美國紐約交易所上市，迄今為止是國內(nèi)唯一在海外上市的第三方理財(cái)機(jī)構(gòu)。由于受到海外投資人的高度關(guān)注和青睞，近年來博士公司業(yè)務(wù)擴(kuò)張過于快速，以至于帶來了很多管理問題，其中信息安全問題更是成為嚴(yán)重阻礙公司發(fā)展的最大問題之一，受到了管理層的高度關(guān)注，管理層亦希望通過一次科學(xué)的全面診斷來揭示存在和潛在的信息安全風(fēng)險(xiǎn)，本次基于 ISO27001 的企業(yè)信息安全診斷也由此而產(chǎn)生，下面對(duì)本次的診斷過程做簡要的回顧?！　。?）初期對(duì)博士公司的內(nèi)外部資料進(jìn)行了收集，主要包括：　?、倭私庵С謽I(yè)務(wù)運(yùn)作的信息系統(tǒng)情況。②數(shù)據(jù)從產(chǎn)生、錄入、交互、存儲(chǔ)以及回收的過程排摸?！　、壅莆瞻凑諛I(yè)務(wù)價(jià)值劃分?jǐn)?shù)據(jù)（信息）的安全等級(jí)和受眾范圍?！　、芰私馐欠翊嬖隗w外（非常規(guī)）的業(yè)務(wù)流程?！　。?）之后進(jìn)行了大規(guī)模的訪談，涉及到公司的各個(gè)職能部門的絕大多數(shù)高層（各中心負(fù)責(zé)人以上級(jí)別）以及部分中層（部門經(jīng)理和主管）和員工。訪談人數(shù)統(tǒng)計(jì)見表2（外部訪談未計(jì)入）?！?】　　　?。?）根據(jù)對(duì)公司業(yè)務(wù)流程的梳理情況以及 ISO27001 信息安全體系構(gòu)架的實(shí)踐經(jīng)驗(yàn)，進(jìn)行了文件涉及和實(shí)地訪談。根據(jù) ISO27001 的各項(xiàng)風(fēng)險(xiǎn)控制領(lǐng)域，對(duì)于五類不同的部門和訪談對(duì)象，分別設(shè)計(jì)了五種調(diào)查問卷。調(diào)查文件統(tǒng)計(jì)情況見表 3：【5】　　　　（4）對(duì)于回收的問卷數(shù)據(jù)進(jìn)行數(shù)據(jù)錄入，同類問卷根據(jù)不同層級(jí)進(jìn)行比較。　?。?）在上述基礎(chǔ)上，補(bǔ)充了外部訪談和外部資料搜集工作。　?。?）對(duì)于診斷情況和輸出的診斷結(jié)果進(jìn)行綜合的匯總?！　?博士公司信息安全的若干問題　　經(jīng)過實(shí)地走訪各關(guān)鍵崗位的負(fù)責(zé)人和員工以及對(duì)回收的調(diào)查問卷進(jìn)行整理分析（問卷中每一題根據(jù)輕重原則分為 15 分，分析的結(jié)果采用加權(quán)平均的方式統(tǒng)計(jì)），根據(jù) ISO27001 安全體系模型所得出的信息安全風(fēng)險(xiǎn)雷達(dá)圖見（圖 ）。【6】　　　　目前博士公司在信息安全建設(shè)方面主要存在著 9 個(gè)比較嚴(yán)重的問題，他們分別為是企業(yè)整體缺乏體系化的安全管理機(jī)制、信息安全人力資源匱乏，信息安全組織架構(gòu)不夠完善、尚未建立信息資產(chǎn)清單、員工安全意識(shí)薄弱、未將信息安全有效融入第三方外包服務(wù)管理、系統(tǒng)開發(fā)和運(yùn)維人員職責(zé)不明確、尚未對(duì)信息安全實(shí)施內(nèi)部審計(jì)、訪問控制機(jī)制尚不健全、業(yè)務(wù)連續(xù)性方面建設(shè)比較初級(jí)。在本節(jié)中將對(duì)這 9 個(gè)問題做詳細(xì)闡述?！　?企業(yè)整體缺乏體系化的安全管理機(jī)制　　在與博士公司的管理層訪談中了解到，管理層沒有把信息安全列入企業(yè)整體戰(zhàn)略考慮，沒有意識(shí)到信息安全對(duì)博士公司這樣的第三方理財(cái)機(jī)構(gòu)的重要性，普遍認(rèn)為信息安全是 IT 部門所應(yīng)該考慮的，和主營業(yè)務(wù)和業(yè)績沒有多大關(guān)系。但由于 IT 部門在企業(yè)中的影響力有限，實(shí)際上管理層對(duì)信息安全工作提供一個(gè)明確的指導(dǎo)方向，除了現(xiàn)有的 IT 部門，博士公司也沒有在公司層面上明確各部門相關(guān)負(fù)責(zé)人員的職責(zé)以及投入必要的人力和物力資源。而在日常的實(shí)際工作中，管理層對(duì)信息安全的期望和目標(biāo)比較抽象，沒有明確的達(dá)成標(biāo)準(zhǔn)。同時(shí)也缺乏一套方法論來識(shí)別和確認(rèn)信息安全建設(shè)效果。目前在信息安全方面博士公司從整體方針策略、組織結(jié)構(gòu)、規(guī)章制度、管理過程以及投入資源方面缺少一套有效的管理框架和指引來規(guī)范和實(shí)施 。因此，引入一套科學(xué)完善的信息安全管理體系是博士公司目前需要緊迫解決的問題?！　?信息安全人力資源匱乏，信息安全組織架構(gòu)不夠完善　　在與博士公司 COO 的訪談中了解到，目前博士公司全職負(fù)責(zé)信息安全工作的人員只有一名，其隸屬于信息技術(shù)中心負(fù)責(zé)人（CIO）領(lǐng)導(dǎo)，職位名稱為信息安全專員，其主要工作為使用和維護(hù)系統(tǒng)中的各類信息安全設(shè)備，并沒有實(shí)質(zhì)上主持或執(zhí)行信息公司安全管理和體系建設(shè)工作。由于，博士公司由于沒有設(shè)立信息安全委員會(huì)，也沒有設(shè)立專門的首席信息官（CISO），導(dǎo)致至今都沒有出臺(tái)如公司信息安全方針和一系列支撐信息安全方針的流程文檔以及規(guī)章制度。信息安全專員由于職級(jí)較低，無法參與到公司層面規(guī)章制度的制定，同時(shí)無法直接將第一線的信息安全狀況和現(xiàn)狀傳達(dá)到公司管理層。另外，各個(gè)業(yè)務(wù)部門中亦沒有專人負(fù)責(zé)對(duì)接信息安全相關(guān)工作，即便頒布上述的方針政策以及一系列配套的流程制度，信息安全實(shí)施和建設(shè)依舊無法落實(shí)到具體的業(yè)務(wù)部門。因此，博士公司在信息安全方面的人力和物力投入不足以支撐整個(gè)公司對(duì)信息安全工作的期望。同時(shí)，在信息安全組織構(gòu)架中也存在諸多問題?！　?尚未建立信息資產(chǎn)清單　　明確什么是對(duì)企業(yè)最重要的信息資產(chǎn)是企業(yè)信息安全建設(shè)的前提，在整個(gè)訪談中，博士公司的信息技術(shù)中心負(fù)責(zé)人給提供了一份信息資產(chǎn)清單，其內(nèi)容主要是信息技術(shù)部所管轄的固定資產(chǎn)，包括服務(wù)器、路由器、交換機(jī)、防火墻等。但并為對(duì)一些如數(shù)據(jù)庫帳號(hào)、系統(tǒng)的管理員權(quán)限、以及系統(tǒng)中所存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)等”軟“資產(chǎn)來進(jìn)行管理。而在受訪的業(yè)務(wù)部門中幾乎沒有人能夠清晰地把自己所管轄的這一領(lǐng)域中的信息資產(chǎn)以清單的方式展現(xiàn)，大都只是羅列大概的信息資產(chǎn)情況，也沒有根據(jù)其每項(xiàng)資產(chǎn)對(duì)企業(yè)的重要性而進(jìn)行分級(jí)保護(hù)并確定歸屬責(zé)任人。個(gè)別的受訪對(duì)象甚至沒有意識(shí)到自己每天在接觸和處理的信息資產(chǎn)都是博士公司的核心業(yè)務(wù)數(shù)據(jù)。正是由于這樣的情況，而導(dǎo)致博士公司目前無法對(duì)信息資產(chǎn)進(jìn)行有效的管控?！　?員工安全意識(shí)薄弱　　　　博士公司作為國內(nèi)領(lǐng)先的第三方理財(cái)機(jī)構(gòu)，這些年來在企業(yè)信息化建設(shè)，以及利用信息化推動(dòng)業(yè)務(wù)發(fā)展方面做出的成績有目共睹。然而隨著信息化意識(shí)的不斷提高，信息安全意識(shí)并沒有同步提高。上到企業(yè)的中、高級(jí)管理人員，下到普通的員工安全意識(shí)相當(dāng)?shù)?，在受到黑客攻擊或發(fā)生信息泄露事件后，都表示不會(huì)對(duì)正常業(yè)務(wù)造成太大影響，并沒有意識(shí)到其存在著潛在的巨大風(fēng)險(xiǎn)。整個(gè)博士公司隨處可見人員離開后未鎖屏的電腦，以及把自己系統(tǒng)的賬戶密碼貼在顯示器上的現(xiàn)象。后臺(tái)業(yè)務(wù)部門，尤其是作業(yè)管理部，印有客戶簽章的合同文件，含有客戶聯(lián)系方式的快遞單據(jù)，以及還未正式發(fā)布的產(chǎn)品資料隨意堆放在公共的走道里，這些行為會(huì)導(dǎo)致很多的潛在內(nèi)部風(fēng)險(xiǎn)?！　〔┦抗驹趯?duì)員工的信息安全宣傳方面也做的并不到位，目前只限于把信息安全的標(biāo)語張貼在墻上，并沒有定期對(duì)企業(yè)內(nèi)部員工開展信息安全方面的教育和活動(dòng)。同時(shí)，博士公司的企業(yè)文化也沒有清晰準(zhǔn)確的把信息安全的重要性傳遞給每一位員工，因此員工認(rèn)識(shí)不到信息安全對(duì)博士公司的重要性。　　 未將信息安全有效融入第三方外包服務(wù)管理　　博士公司出于主營業(yè)務(wù)模式和人員成本考慮，信息技術(shù)部、作業(yè)管理、客戶服務(wù)部等后臺(tái)核心業(yè)務(wù)部門都雇傭了大量的第三方外包服務(wù)，從事基礎(chǔ)性服務(wù)工作。在實(shí)際的工作中，這些第三方外包人員會(huì)接觸到大量接觸如客戶信息、合同文檔、暫未公開發(fā)行的產(chǎn)品資料等敏感的數(shù)據(jù)。博士公司在于第三方外包服務(wù)機(jī)構(gòu)所簽訂的服務(wù)合同中有并沒有關(guān)于對(duì)所接觸到數(shù)據(jù)和信息的保密條款。在實(shí)際工作中，各部門并沒有對(duì)所管理的第三方外包服務(wù)人員進(jìn)行嚴(yán)格的管理，其信息系統(tǒng)權(quán)限、接觸數(shù)據(jù)的范圍目前都參照博士公司部門內(nèi)部員工而定義。若外包服務(wù)公司發(fā)生經(jīng)營上的困難或人才波動(dòng)時(shí)，可能會(huì)導(dǎo)致服務(wù)質(zhì)量的下降和信息泄露的風(fēng)險(xiǎn)。另外，外包服務(wù)人員一般從事基礎(chǔ)工作，應(yīng)聘門檻較低，外包服務(wù)商如招聘時(shí)把關(guān)不嚴(yán)，將職業(yè)素質(zhì)較低的人員招入，后期的又沒有經(jīng)過系統(tǒng)性培訓(xùn)，會(huì)導(dǎo)致外包服務(wù)人員因責(zé)任心不強(qiáng)、工作不到位、操作不當(dāng)甚至職業(yè)道德問題，從而產(chǎn)生各種有意無意的信息泄露行為?！　?系統(tǒng)開發(fā)和運(yùn)維人員職責(zé)不明確　　經(jīng)過對(duì)調(diào)查問卷的整理結(jié)果顯示，博士公司的 IT 系統(tǒng)建設(shè)和運(yùn)維過程中存在著一個(gè)巨大的問題，系統(tǒng)的開發(fā)人員和維護(hù)人員的職責(zé)界定并不明確。由于博士公司 IT部門缺少負(fù)責(zé)運(yùn)營維護(hù)的運(yùn)維人員。整個(gè)系統(tǒng)的建設(shè)從最初的需求整理、方案設(shè)計(jì)中期的實(shí)施開發(fā)、功能測(cè)試到后期的系統(tǒng)上線、運(yùn)營維護(hù)基本都由同 1 位系統(tǒng)開發(fā)師人員包辦。甚至是出現(xiàn)了 1 位系統(tǒng)開發(fā)人員同時(shí)兼顧負(fù)責(zé) 23 個(gè)系統(tǒng)的情況。這一現(xiàn)象通過實(shí)地訪談信息技術(shù)部負(fù)責(zé)人得以證實(shí)?！　〔┦抗拘畔⒓夹g(shù)部的開發(fā)人員對(duì)于系統(tǒng)的實(shí)際控制權(quán)限過于強(qiáng)大，有些開發(fā)人員為了貪圖便捷，系統(tǒng)的新開發(fā)版本不按照規(guī)定在測(cè)試環(huán)境中試運(yùn)行測(cè)試，而是直接在實(shí)際的生產(chǎn)環(huán)境中做業(yè)務(wù)測(cè)試，由此經(jīng)常造成系統(tǒng)的故障而導(dǎo)致的業(yè)務(wù)中斷。開發(fā)人員和運(yùn)維人員的權(quán)限共享，使得出現(xiàn)故障和事故時(shí)責(zé)任往往無法明確的認(rèn)定責(zé)任。　　系統(tǒng)開發(fā)人員不但可以暢通無阻地訪問和控制實(shí)際生產(chǎn)環(huán)境中的各類系統(tǒng)，還可以直接進(jìn)入整個(gè)博士公司最核心的 SQL 數(shù)據(jù)庫系統(tǒng)，數(shù)據(jù)庫中保存著公司的最重要的數(shù)據(jù)，如客戶的信息、公司的財(cái)務(wù)狀況、員工的薪酬獎(jiǎng)勵(lì)等等敏感信息。開發(fā)人員可以對(duì)數(shù)據(jù)庫中的表結(jié)構(gòu)、字段、記錄等數(shù)據(jù)進(jìn)行任意修改且無法被監(jiān)控?！　?尚未對(duì)信息安全實(shí)施內(nèi)部審計(jì)　　在與博士公司合規(guī)與內(nèi)部控制部門負(fù)責(zé)人的訪談中了解到，博士公司屬于在美上市的中資公司，因此按照美國證監(jiān)會(huì)要求，必須遵守塞班斯法案，每年都會(huì)有外部審計(jì)公司來對(duì)其進(jìn)行審計(jì)。相比信息安全審計(jì)，塞班斯法案更偏重于財(cái)務(wù)報(bào)表方面，外部審計(jì)師對(duì)信息安全的審計(jì)通常比較粗略。同時(shí)在博士公司內(nèi)部，也沒有對(duì)于信息系統(tǒng)的建設(shè)以及信息使用進(jìn)行內(nèi)部審計(jì)工作。信息技術(shù)部和各個(gè)業(yè)務(wù)部門通常同時(shí)扮演著”運(yùn)動(dòng)員“和”裁判員“的角色，各種安全控制的有效性無法得到客觀的度量和考證?！　?訪問控制機(jī)制尚不健全　　訪問控制在整個(gè)信息安全建設(shè)和保障中起著至關(guān)重要的作用，數(shù)據(jù)的保密性和完整性需要它來落地實(shí)現(xiàn)。訪問控制機(jī)制的定義通常是為了限制訪問主體（如用戶、服務(wù)），對(duì)訪問客體（通常為需要保護(hù)的資源和數(shù)據(jù)）的具體訪問權(quán)限，即訪問控制機(jī)制明確定義了用戶能做什么，以及做到什么程度。從調(diào)查問卷的結(jié)果中反映，博士公司目前無論是從系統(tǒng)層面的訪問控制還是從業(yè)務(wù)層面的訪問控制并沒有按照不同的訪問主體（用戶）進(jìn)行規(guī)范化的定義，具體表現(xiàn)為：　?。?）無系統(tǒng)層面的訪問控制機(jī)制首先，博士公司的信息系統(tǒng)在物理基礎(chǔ)構(gòu)架中就存在諸多先天性的不足，數(shù)據(jù)中心（機(jī)房）沒有采用門禁系統(tǒng)，只要是博士公司的員工可以不經(jīng)過審批隨意出入。其次，雖然整個(gè)基礎(chǔ)構(gòu)架中部署了三層交換機(jī)和防火墻這樣的訪問控制設(shè)備，但現(xiàn)實(shí)情況是整個(gè)公司的領(lǐng)導(dǎo)和員工實(shí)際處在一個(gè)安全區(qū)域中，直接導(dǎo)致的結(jié)果是公司任何一臺(tái)主機(jī)（甚至是行政前臺(tái)的主機(jī)）能夠暢通無阻的訪問存儲(chǔ)公司重要數(shù)據(jù)的核心數(shù)據(jù)庫。另外，在業(yè)務(wù)系統(tǒng)賬戶權(quán)限的設(shè)計(jì)上也存在著重大安全隱患，目前的帳號(hào)權(quán)限沒有根據(jù)各業(yè)務(wù)部門的職責(zé)角色來進(jìn)行劃分，在最核心的 ERP 和 CRM 系統(tǒng)中目前只存在部門級(jí)的權(quán)限劃分，并不涉及到各職能崗位。因此造成同一個(gè)部門員工與部門經(jīng)理對(duì)系統(tǒng)的操作的權(quán)限完全一致的情況。　?。?）無業(yè)務(wù)層面的訪問控制機(jī)制各業(yè)務(wù)部門在日常的業(yè)務(wù)流轉(zhuǎn)中沒有清晰定義出各個(gè)職務(wù)所能接觸到業(yè)務(wù)數(shù)據(jù)的范圍。同時(shí)，這也是造成業(yè)務(wù)系統(tǒng)層面中無法把各崗位職能權(quán)限劃分清楚的一個(gè)重要原因?！　?業(yè)務(wù)連續(xù)性方面建設(shè)比較初級(jí)　　由于博士公司整個(gè)業(yè)務(wù)都依托于現(xiàn)有的 CRM、ERP、OA 等信息系統(tǒng)中，因此保證這些信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行以及出現(xiàn)系統(tǒng)故障后有充足的預(yù)案來對(duì)抗由于系統(tǒng)無法使用而導(dǎo)致的風(fēng)險(xiǎn)顯得尤為重要。在對(duì)于作業(yè)管理部和信息技術(shù)部員工的走訪中了解到，僅 2012 年下半年，信息系統(tǒng)的故障而導(dǎo)致的正常辦公業(yè)務(wù)停止次數(shù)多達(dá) 22次。其中最嚴(yán)重的一次事故直接導(dǎo)致博士公司丟失了 2012 年 11 月 1 日至 30 日期間入會(huì)的客戶資料，由于沒有完善的應(yīng)急預(yù)案，整個(gè)客戶服務(wù)中心被迫停止運(yùn)營三個(gè)工作日。顯然，博士公司在業(yè)務(wù)連續(xù)性方面存在的巨大的提升空間。第4章博士公司基于 ISO27001 體系的信息安全管理問題診斷　　通過前期的調(diào)查問卷以及與各業(yè)務(wù)部門的實(shí)地訪談，博士公司目前主要存在 9個(gè)比較嚴(yán)重的信息安全問題。本章中將以 ISO27001 信息安全管理體系中的 11 個(gè)安全控制域?yàn)榛究蚣埽饧咏陙硇畔踩芯款I(lǐng)域所提出的信息防泄露（DLP）理論為基礎(chǔ)形成 12 個(gè)信息安全控制維度來分析并詳細(xì)的闡述形成上述 9 個(gè)信息安全問題的具體原因?！?】　　　　 信息安全策略　　博士公司目前整體缺乏信息安全管理機(jī)制，根本上是缺少基本的信息安全策略。　　其原因在于目前博士公司的整體戰(zhàn)略并未將信息安全納入其中，信息安全建設(shè)還處在初級(jí)階段，尚未形成立體化、體系化的管理措施和理念。公司層面的信息安全制度性文件目前只有信息安全方針。由于是信息安全方針是一個(gè)綱領(lǐng)性的文件，缺少相應(yīng)的配套流程和制度，在執(zhí)行層面缺乏了相對(duì)嚴(yán)謹(jǐn)和細(xì)化的執(zhí)行標(biāo)準(zhǔn)。雖然已經(jīng)在公司范圍內(nèi)公開發(fā)布，但執(zhí)行的力度和效果明顯沒有達(dá)到預(yù)期的效果?！　×硗?，塞班斯法案對(duì)企業(yè)的信息系統(tǒng)審計(jì)有一定要求，但博士公司在信息系統(tǒng)內(nèi)部審計(jì)方面并沒有引起足夠的重視，未把信息系統(tǒng)內(nèi)部審計(jì)上升到與財(cái)務(wù)內(nèi)部審計(jì)一樣的高度。雖然信息安全方針中有關(guān)于對(duì)信息安全內(nèi)部審計(jì)的要求，但落實(shí)到執(zhí)行層面效果并不理想。既沒有定義明確的審計(jì)對(duì)象、審計(jì)范圍，也沒有制定審計(jì)方式以及保證審計(jì)結(jié)果無誤的相關(guān)審計(jì)方法。相較于財(cái)務(wù)審計(jì)信息系統(tǒng)審計(jì)工作形同虛設(shè)，僅僅在外部審計(jì)師到來之前臨時(shí)進(jìn)行突擊檢查，在日常的工作中內(nèi)部審計(jì)工作并不是按部就班的執(zhí)行。　　 信息安全組織　　博士公司管理決策層在信息安全組織方面目前缺乏政策面支持，尚未成立信息安全管理委員會(huì)，也沒有其他行政職能部門分管信息安全建設(shè)工作。由于組織構(gòu)架的不明確，導(dǎo)致博士公司在信息安全領(lǐng)域投入的人力嚴(yán)重不足，整個(gè)公司僅有的一個(gè)信息安全崗位（信息技術(shù)部的信息安全專員），且此職位的設(shè)置僅僅是考慮到信息安全技術(shù)的運(yùn)用，如防火墻的使用、上網(wǎng)行為管理的監(jiān)控、反垃圾郵件等，并沒有考慮到信息安全管理在整個(gè)信息安全建設(shè)過程中的作用。各部門也沒有與公司信息安全相關(guān)人員建立工作上的接口，沒有指定專人負(fù)責(zé)協(xié)調(diào)各部門內(nèi)部來配合公司整體信息安全建設(shè)。另外，博士公司內(nèi)部雖然成立了合規(guī)和內(nèi)部控制部門，但對(duì)于信息系統(tǒng)安全沒有設(shè)立