【導讀】M公司是附屬于西部機場集團青海分公司的一家3星級涉外酒店。要針對來青海旅游、開會、培訓的游客提供優(yōu)質(zhì)服務。2020年經(jīng)過重新裝修改。造，加強了各種軟硬件設施的配備，使得酒店整體環(huán)境煥然一新。能力，注重提升企業(yè)文化，是青海省內(nèi)星級酒店的優(yōu)秀代表。建設完成的信息化項目基本覆蓋了酒店全部的業(yè)務范圍，其中包括客房管理、分析，為管理層提供決策基礎。通過與該公司管理層、信息系統(tǒng)用戶、信息管理人員等進行充分?？斓陌l(fā)展，但其中也存在著不少問題。通過調(diào)查獲知，M公司日常經(jīng)營中使用微軟office. 酒店員工均可使用自己的賬。會議安排等事務。會計電算化方面，主要以財務部門使用的用友ERP-U8財務管。門戶網(wǎng)站尚未建立，沒有開展網(wǎng)上營銷活動。有40%的被訪問者表示，非法訪問仍然是存在于企業(yè)內(nèi)部。作秘密被泄露、個人資料被刪除等情況時有發(fā)生。致重要信息的泄露。以上問題，都可能會嚴重威脅到M公司信息安全機密性、完整性和可用性，

　　

【正文】 文件內(nèi)容盡量通俗易懂， 盡量避免使用太過于專業(yè)的詞匯，以便于參與實施信息安全管理體系的人員理解 和掌握。 (4)合規(guī)性原則 信息安全文件系統(tǒng)的內(nèi)容必須遵守國家有關法律法規(guī)，而且作為 M公司管理 制度的一個組成部分，也要符合公司相關規(guī)定。 五、 M公司信息安全管理優(yōu)化方案實施 ()方案實施的重點分析 制度 信息安全管理制度在信息安全體系建設中起著非常重要的作用。應當按照國 內(nèi)外權威信息安全管理標準的要求，比如 IS027001，來建立一個健全的制度體 系。現(xiàn)在， IS027001已經(jīng)成為了國際上最具典型、應用最為廣泛的信息安全管 理標準，被各種組織用來指導信息安全管理工作的開展。 IS027001標準共包括 11 個控制領域 (如圖 4所示 )、 39個控制目標以及 133項控制措施，提供了全面 的信息安全保障。 M公司的信息安全制度體系也應當以 IS027001標準作為參考， 建立健全這 11 個控制領域的管理制度，利用規(guī)范的流程和制度來控制和約束所 有可能會影響信息安全的行為。另外，信息安全管理制度還應當結(jié)合公司其他方 面的管理制度，使信息安全管理融入到公司業(yè)務之中，保障公司 運營中的信息安 全。 任和義務。特別需要注意的是，信息安全不能只靠安全技術人員來保障，它同時 也是每個員工的職責所在，所有人員都應該參與其中。另外， M公司還應該注意 信息安全專業(yè)人員的培養(yǎng)，自上而下、按照金字塔式的人員結(jié)構(gòu)設立信息安全決 策層、信息安全管理層和信息安全專業(yè)技術層。處于金字塔尖的信息安全決策層 包括公司高層領導和部門主管，對應到信息安全組織結(jié)構(gòu)中就是信息安全領導小 組，決策層應當對公司信息安全管理具備宏觀掌控能力，能夠制定公司信息安全 管理戰(zhàn)略和發(fā)展方向；信息安全管理體系的中 堅力量是信息安全管理人員，他們 需要具備豐富的信息安全管理經(jīng)驗，能夠根據(jù)公司信息安全戰(zhàn)略制定詳細的規(guī)劃 和策略；信息安全的具體實施人是信息安全專業(yè)技術人員，要求他們具有扎實的 專業(yè)技能和良好的職業(yè)道德。 執(zhí)行 信息安全管理目標的實現(xiàn)需要有效的執(zhí)行來保障，這也是實現(xiàn)公司戰(zhàn)略目標 的重要手段之一。信息安全管理一直以來都是三分靠技術、七分靠管理，管理的 成效關鍵看執(zhí)行是否徹底、到位，如果沒有有效的執(zhí)行，即使有再好的機制，公 司的信息安全也同樣得不到保障。無論是決策層、管理層還是具體執(zhí)行者，都需 要按照公司關于信息安全管理工作的統(tǒng)一部署和安排，以身作則，盡職盡責，才 能有效地保證公司經(jīng)營過程中的信息安全。另外，系統(tǒng)化、規(guī)范化的管理模式能 讓執(zhí)行更加具有效率。 監(jiān)督 監(jiān)督的主要內(nèi)容有：實時監(jiān)控、內(nèi)控評估、風險評估和審計檢查。其中實時 監(jiān)控及風險評估靠信息系統(tǒng)功能實現(xiàn)，而內(nèi)控評估及審計檢查則主要靠人實施。 加強內(nèi)控評估和審計檢查工作，不僅可以督促信息安全制度落實、檢查信息安全 技術工作質(zhì)量，而且可以有效預防公司運營風險。 M公司在實施信息安全管理改 良方案時應當建立持續(xù)的監(jiān)督機制， 明確職責分工，責任到人，實時反饋，落實 整改。 (二）方案實施的難點分析 如何解決并落實信息安全管理中的重點問題是 M公司積極抵御安全風險、 建立一套行之有效信息安全管理體系的關鍵之處。而解決好下面四個難點問題， 才能真正保障信息管理體系可靠運轉(zhuǎn)。 如何保障制度的可操作和全覆蓋 目前，很多公司都已經(jīng)建立或者正在建立信息安全管理制度體系。比較成熟 的體系一般都包括運行維護、系統(tǒng)幵發(fā)、災難備份和綜合管控標準規(guī)范等方面的 內(nèi)容，基本上涵蓋了信息安全管理體系的全部控制領域。但是這些制度對于 M 公司來講是否包含了所有層面的信息安全行為，是否具有可操作性，都是需要認 真考量的。 (1)制度的設計應該從公司的整體性建設角度來考慮。企業(yè)制度建設應該 是進行頂層設計，自上而下，并且互相關聯(lián)的。同樣，作為公司整體制度體系中 的重要組成部分，信息安全制度也應當充分考慮整體性和相關性，在其他制度中 也應當對所有與信息安全相關的行為進行說明和規(guī)范，使公司制度體系表現(xiàn)出整 體性和統(tǒng)一性，使信息安全制度和公司業(yè)務流程有良好的匹配度。所以，需要以 宏觀的角度來進行制度建設，而流程設計則需要具體而微，這就要 求我們的信息 安全管理人員既要有宏觀思維也要具備實戰(zhàn)經(jīng)驗。 (2)將制度固化到信息系統(tǒng)中，用技術保證制度的可操作性。因此，在進 行制度建設時應該同時考慮是否能夠通過技術實現(xiàn)，確保制度可操作。只有擁有 可操作性的制度才是有用的制度，可操作性是好的制度的基本屬性。 (3)制度建設要納入項目管理的范疇。在實際操作過程中，不僅需要按照 通行的規(guī)范性要求來設計制度，而且應該結(jié)合本公司實際情況和行業(yè)特色來隨時 調(diào)整修改制度，為了應對制度建設中的復雜性，應使用項目管理和系統(tǒng)化建設的 思路來進行，做好風險管 理、人力資源管理以及成本管理，以 PDCA環(huán)有效控 制建設質(zhì)量。 如何規(guī)避人員風險 人對于酒店等服務行業(yè)來說處于主體地位，所以有效控制和規(guī)避人員風險是 M公司風險管理的重點內(nèi)容 ,這就要求我們做好以下幾方面的工作： (1)實現(xiàn)流程系統(tǒng)化、自動化，減少對人的依賴度。在進行人員風險管理 時，應當注意遵守內(nèi)外兼防、重點防內(nèi)的原則，在制度建設與流程設計中添加監(jiān) 督制衡機制，以防不恰當?shù)氖跈嘁氲娘L險。確保所設計開發(fā)的信息系統(tǒng)包含的 業(yè)務邏輯和操作符合相關規(guī)定，并能實時記錄所有的操作行為，自動生成標明 了 敏感行為的系統(tǒng)日志，以便安全審計人員進行審計，從而可以有效避免使用者帶 來的操作風險。 (2)合理配置崗位，建立輪崗機制，避免人員風險。建立崗位工作手冊， 對該崗位的工作內(nèi)容、工作要求做詳細描述，降低人員和崗位的耦合性，使某項 工作的開展不再依賴于具體某個人，保障輪崗機制能夠順利實施，從而有效地避 免由于人員變動而引發(fā)的風險。在制定輪崗機制時還應該考慮專業(yè)人才的培養(yǎng)， 使每個工作崗位都有一定數(shù)量的專家，保證工作能夠高效開展，充分體現(xiàn)出人盡 其才的用人機制。 (3)注重人才培養(yǎng)，充分發(fā)揮 每位員工的才能和潛力。應該逐步建立人才 培養(yǎng)機制，通過明確的職業(yè)前景規(guī)劃、公平的績效評估、優(yōu)越的薪酬回報、豐富 的培訓教育、舒適的辦公環(huán)境和合理的競爭機制來留住人才、引入人才、培養(yǎng)人 才。 如何保證執(zhí)行效果 能否使決策真正落地，保證執(zhí)行不打折扣，關鍵在于管理者是否能夠準確把 控企業(yè)發(fā)展規(guī)劃和執(zhí)行計劃之間的關系。發(fā)展規(guī)劃是企業(yè)發(fā)展的方向，表現(xiàn)了一 種主觀的愿望，而執(zhí)行計劃是指為了達成目標需要釆取什么樣的方式和手段。光 有目標而沒有具體的方法和手段是無法令員工按照企業(yè)發(fā)展規(guī)劃正確執(zhí)行上級 決策的，主要是因為每個員工都可能對如何達成目標有自己不同的理解，因此造 成執(zhí)行結(jié)果和成效的不確定。所以，只有訂立合理的執(zhí)行計劃才能保證執(zhí)行人員 行為的統(tǒng)一性和一致性，從而保證企業(yè)目標能夠順利達成。 要確保執(zhí)行有效，需要注意一下幾個方面：一是制定科學合理的執(zhí)行計劃， 將目標任務、執(zhí)行范圍和行為規(guī)范作出明確規(guī)定，并且實時跟蹤執(zhí)行效果，以便 隨時調(diào)整計劃；二是加強宣傳和溝通工作，使員工對執(zhí)行計劃有一致性認識；三 是建立合理的績效評估機制，使員工的業(yè)績和收入掛鉤，從而保證執(zhí)行效果；四 動態(tài)監(jiān)控，實時反 饋，持續(xù)改進執(zhí)行計劃。 借助技術手段，建立工作流程管理系統(tǒng)，規(guī)范執(zhí)行過程，確保執(zhí)行效果。 如何進行有效監(jiān)控 可以通過審計信息系統(tǒng)生成的運行日志來有效實現(xiàn)事中監(jiān)控，記錄操作行 為、標示敏感行為、記錄異常事件和監(jiān)控運行狀態(tài)，對操作人員、系統(tǒng)狀態(tài)和預 警信息進行實時跟蹤，防范可能發(fā)生的信息安全事件。通過定期幵展內(nèi)控評估和 聘請第三方審計機構(gòu)對本公司進行審計檢查實現(xiàn)事后監(jiān)督，以便及時糾正信息安 全管理中存在的偏差。 (三）方案的實施步驟及保障措施 信息安全管理體系建設準備工作 策劃與準備 階段的任務就是做好建立管理體系的各項前期準備工作。主要包 括培訓教育、調(diào)研安全管理發(fā)展情況、計劃擬定，以及人力資源的配置與管理 ^ 確定信息安全管理體系適用的范圍 信息安全管理體系的范圍主要是要重點進行管理的安全領域。根據(jù)自己的實 際，在整個組織范圍內(nèi)或在個別部門、領域內(nèi)實施。為了適應組織對各個不同需 求的領域進行相應管理，在本階段，要將組織劃分成不同的控制領域，以利于信 息安全管理。在確定適用范圍時，應重點考慮組織的適用人員、適用環(huán)境、現(xiàn)有 信息資產(chǎn)、現(xiàn)有 rr技術等。 現(xiàn)狀調(diào)查與風險 評估 依據(jù)有關信息管理標準與安全技術，要對信息傳輸和存儲的完整性和機密 性，信息系統(tǒng)及由其處理的安全屬性和可用性進行充分調(diào)研，并做綜合評價，評 估信息資產(chǎn)面臨的威脅以及可能發(fā)生的安全事件率，并結(jié)合安全事件所涉及的信 息資產(chǎn)價值，由此判斷一旦發(fā)生安全事件對組織造成的影響。 建立信息安全管理框架 建立信息安全管理體系首先要搭建一個合理的信息安全管理框架，從整體和 全局的角度，進行整體安全建設，由信息系統(tǒng)本身，根據(jù)技術條件、業(yè)務性質(zhì)、 信息資產(chǎn)狀況和組織特征，建立信息資產(chǎn)清單，做出需求分析、風 險分析和選擇 安全控制，準備適用性聲明，以此建立安全體系并提出安全解決方案。 信息安全管理體系文件編寫 建立并保持一個文件化的信息安全管理體系是 IS0/IEC27001:2020標準的 總體要求，建立信息安全管理體系的基礎工作是編寫信息安全管理體系文件，也 是一個組織實現(xiàn)評價和改進信息安全管理體系、風險控制、實現(xiàn)持續(xù)改進不可或 缺的依據(jù)。適用范圍文檔、安全方針文檔、實施與控制文檔、適用性聲明文檔及 風險評估文檔都應當包含在信息安全管理體系所建立的文件當中。 信息安全管理體系的運行與改 進 編制完成信息安全管理體系文件后，組織要嚴格按照文件的控制要求進行審 核，批準后發(fā)布實施。這樣，信息安全管理體系就進入運行階段。此時，組織應 加強運作力度，有效發(fā)揮體系本身的各項功能，在體系策劃中及時找出存在的問 題，尋找問題根源，釆取有效措施，依照更改控制程序的要求更改體系，進一步 完善信息安全管理體系。 信息安全管理體系審核 為獲得審核證據(jù)就要進行體系審核，主要是客觀評價體系，要進行系統(tǒng)的、 獨立的并形成文件的檢查過程，以確定滿足審核準則的程度。體系審核主要指內(nèi) 部審核和外部審核 (指第三方審核 )。內(nèi)部審核一般由組織名義進行，是組織自我 ?檢查合格的基礎；外部審核是由外部獨立的組織進行，提供符合 IS027001要求 的認證或注冊。 釆取什么控制方式需要仔細周密的計劃，并注意控制細節(jié)。信息安全管理是 由組織中的所有雇員參與的，例如，為了防止組織外的其他人員非法進入組織內(nèi) 獲取組織的機密技術，除有效的物理控制外，更要組織全體人員參與，加強控制。 另外，還需要顧客，供應商或股東參與，以及由組織以外的專家建議。信息、信 息網(wǎng)絡、對信息起支持作用的信息系統(tǒng)及信息處理過程都是重要的 商務資產(chǎn)。信 息的完整性、可用性和保密性，對保持競爭優(yōu)勢、效益、資金流動、法律符合性 以及商業(yè)形象都尤為重要。 現(xiàn)如今，日益增多的組織、網(wǎng)絡及其信息系統(tǒng)都面臨著大范圍的安全威脅， 這其中包括間諜、詐騙、火災、蓄意破壞等。比如由計算機病毒、 DoS攻擊、計 算機入侵等方法和手段已變得非常普遍，并且有計劃性和組織性 ,且不易被察覺， 很容易造成信息災難。組織越依賴信息系統(tǒng)和信息服務，就越容易受到安全威脅 的破壞，信息資源的共享以及公共和私人網(wǎng)絡的互連，使實現(xiàn)訪問控制的難度進 一步增大。 如果信息系 統(tǒng)本身依按照安全系統(tǒng)要求來設計，那么僅靠技術手段來實現(xiàn)信 息安全就會有局限性，因此實現(xiàn)信息安全，必須用管理和程序控制來適當支持。