【正文】 全指引的博士公司，其完全可以按照使用其方法論來構(gòu)建一套適合于博士公司的信息安全管理體系。【1】　　　　在整套體系中以企業(yè)整體風(fēng)險管理體系、信息安全風(fēng)險管理平臺、信息安全意識管理為基線結(jié)合 PDCA 的原則，明確了這個體系建設(shè)中各階段的主要任務(wù)和建設(shè)目標(biāo)?！　　　?完善企業(yè)信息安全組織結(jié)構(gòu)　　博士公司的信息安全組織架構(gòu)涉及到整個企業(yè)的成員，從最高的董事會決策層到普通的基層員工，確保信息安全管理工作的執(zhí)行能覆蓋到組織中的每一個單元。制定信息安全組織構(gòu)應(yīng)重點考慮如下因素：　?。?）信息安全組織構(gòu)架有高層參與可提升信息安全工作在博士公司的地位和重要性。另外，信息安全委員會由 CEO 和 CSO（首席安全官）牽頭，無論在規(guī)劃層面還是執(zhí)行層面，有著權(quán)力支撐和相對較強的協(xié)調(diào)能力?！　。?）把業(yè)務(wù)部門納入到信息安全組織中可以解決信息安全執(zhí)行小組和 IT 部難以使業(yè)務(wù)部門配合信息安全建設(shè)的問題。同時，讓業(yè)務(wù)部門參與信息安全工作可以避免信息安全人員因為不了解業(yè)務(wù)而制定出無法適應(yīng)業(yè)務(wù)需求和發(fā)展的可執(zhí)行信息安全制度?！　。?）信息安全工作中的業(yè)務(wù)人員應(yīng)該有廣泛的代表性和執(zhí)行力，同時，其職能也應(yīng)覆蓋部門內(nèi)所涉及的信息安全范圍的業(yè)務(wù)，并有著豐富的實踐經(jīng)驗，而且其在業(yè)務(wù)部門內(nèi)必須具備一定的影響力，候選人通常為部門負(fù)責(zé)人或資深員工?！　。?）結(jié)合博士公司期望的信息安全目標(biāo)以及現(xiàn)有的情況設(shè)立信息安全組織構(gòu)架?！　〗M織構(gòu)架的建立應(yīng)滿足信息安全要求又要經(jīng)濟(jì)的原則，既不能簡單到形同虛設(shè)，而無法幫助信息安全工作，也不能過于繁瑣，造成溝通成本的上升和各種資源的過分投入?！　「鶕?jù)博士公司現(xiàn)有的企業(yè)組織架構(gòu)特點建立的信息安全組織架構(gòu)?！　∑涿鞔_了信息安全工作在企業(yè)中的處于的重要地位。首先，設(shè)立首席安全官（CSO）職位，負(fù)責(zé)博士公司日常信息安全團(tuán)隊的管理和運營，負(fù)責(zé)主持整個企業(yè)的信息安全工作。其次，成立了信息安全管理委員會負(fù)責(zé)博士公司信息安全工作的規(guī)劃和方針制定， 同時其成為風(fēng)險控制委員會的一部分并由公司 CEO 和 CSO 領(lǐng)導(dǎo)直接向董事局匯報。另外，信息安全管理人員也不再隸屬于 IT 部門，而是單獨成立了信息安全管理和執(zhí)行組并擔(dān)任這兩個小組的負(fù)責(zé)人，制定日常的信息安全管理制度并監(jiān)督和審計各部門的實施情況，直接向公司 CSO 甚至 CEO 匯報。為信息安全人員在日常工作中提供了影響力和權(quán)利支撐?！?】　　　　從上圖中可以看到，信息安全管理委員會、信息安全管理小組、信息安全執(zhí)行小組和各職能部門分別代表了決策、管理、執(zhí)行和用戶四個層面覆蓋了整個博士公司的整個企業(yè)，為后續(xù)的信息安全措施和制度的執(zhí)行打下了堅實的組織基礎(chǔ)，同時也使得信息安全工作滲透到企業(yè)的每個角落。在信息安全工作領(lǐng)域建立了一套獨立的人員組織架構(gòu)，也彰顯了公司管理層對信息安全的重視。　　 識別各類信息資產(chǎn)重要等級進(jìn)行分級保護(hù)　　在對博士公司信息資產(chǎn)進(jìn)行保護(hù)時，信息安全相關(guān)人員首先應(yīng)該明確什么才是安全策略和制度所應(yīng)該保護(hù)的對象，如果無法識別被保護(hù)的對象，那各種安全措施也就無從談起。博士公司的信息資產(chǎn)具有多種表現(xiàn)形式，如數(shù)據(jù)、硬件、軟件、人員、文檔、服務(wù)等（具體說明見圖 ），各類信息資產(chǎn)中基本上都含有敏感的商業(yè)信息，其被破壞、丟失、泄露都會給博士公司造成巨大的影響?！?】　　　　當(dāng)前，博士公司對信息資產(chǎn)保護(hù)的工作重點應(yīng)該落在信息資產(chǎn)識別和分類上。根據(jù) ISO27001 信息安全管理體系對信息資產(chǎn)識別原則，即保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）這個三個指標(biāo)，博士公司的日常業(yè)務(wù)情況，其信息資產(chǎn)目前可分為四個級別：　?。?）絕密信息“絕密信息”是指那些在企業(yè)內(nèi)部只有指定的很少部分人員知曉，并具有很高商業(yè)價值的，并且沒有經(jīng)過管理層授權(quán)使用或泄露會對博士公司名譽或利益甚至于公司的生存造成巨大影響的信息。（2）機(jī)密信息“機(jī)密信息”是指該信息公司外部以及競爭對手通常不知道的，具有一定商業(yè)價值的。并且未經(jīng)公司內(nèi)有關(guān)部門的授權(quán)的使用或泄露會對公司業(yè)務(wù)開展、日常運營或公司內(nèi)部員工造成嚴(yán)重?fù)p害的信息?！　。?）內(nèi)部公開信息“內(nèi)部公開信息”是指公司不能或無法對公眾開放的信息，擅自使用或泄露會對公司或員工造成一定的負(fù)面影響。在其它信息級別中沒有被定義的信息的默認(rèn)為“內(nèi)部公開信息”?！　。?）外部公開信息“外部公開信息”是指公司已經(jīng)在媒體或其他公開場合公布的信息，社會公眾可以免費獲取，且該信息的泄露不會給公司和員工造成危害?！　「鶕?jù)信息資產(chǎn)的分類和分級原則，結(jié)合博士公司自身的業(yè)務(wù)經(jīng)營模式，列舉了典型信息資產(chǎn)分類結(jié)果，見下表：【4】　　　　 加強員工安全意識培訓(xùn)　　在信息安全建設(shè)過程中，風(fēng)險點最不可控制的是人，同時人又是所有信息安全的工作的基礎(chǔ)。在任何信息安全管理體系中，無論制度制定的多么完善，如果制度執(zhí)行的主體不了解或不認(rèn)同，再好的流程制度都無法得以落地。要想達(dá)到預(yù)期的目標(biāo)和效果博士公司所有員工，上至董事會管理層，下至普通基層員工都應(yīng)該充分認(rèn)識到信息安全對公司的重要性，深入領(lǐng)會和遵守博士公司所制訂的并頒布的安全策略、流程標(biāo)準(zhǔn)以及方針指導(dǎo)。　　要想提高企業(yè)內(nèi)部人員的信息安全意識，必須在日常的工作中加強對員工這方面的教育和培訓(xùn)。通過培訓(xùn)可以讓公司的員工知道信息安全的重要性以及各種安全威脅給公司帶來的危害和后果，這樣的后果會影響到每一位員工的自身利益，從而使員工在意識上主動的遵守各項信息安全制度以及規(guī)避違反公司的信息安全制度而遭受的處罰，從人員意識層面上設(shè)立起一道主動的“防火墻”?！　‰m然信息安全培訓(xùn)是面向博士公司全員，但根據(jù)職位高低和工作性質(zhì)不同，公司對員工的信息安全意識要求也會不同。按照對象的不同，博士公司信息安全意識培訓(xùn)方式可分為三種類型：　?。?）面向管理層培訓(xùn)管理層對信息安全的認(rèn)識和理解決定了博士公司對信息安全工作的期望和要求、具體的范圍和內(nèi)容、所能給予的最大資源和權(quán)利以及信息安全工作在整個公司發(fā)展過程中的地位和重要性。由于對象的層次較高，培訓(xùn)內(nèi)容可更偏重于宏觀，如信息安全知識體系、公司的風(fēng)險管理、資源需求、企業(yè)信息安全政策、績效評估等。目的在于使管理層在培訓(xùn)過程中認(rèn)識到信息安全的重要性及所涉及人員的任職資格和角色定義。另外，了解 ISO27001 信息安全管理體系可方便管理層督促、規(guī)劃信息安全工作，識別信息安全風(fēng)險和提高博士公司的抗風(fēng)險能力，也可讓管理層把信息安全作為年終的績效考核與每一位員工的利益掛鉤?！　。?）面向信息技術(shù)人員培訓(xùn)信息技術(shù)人員在日常工作中主要負(fù)責(zé)用于公司業(yè)務(wù)運作的各類信息系統(tǒng)管理、維護(hù)以及監(jiān)控。除了掌握基礎(chǔ)的信息安全意識之外，還需偏重于不斷學(xué)習(xí)信息安全防范技術(shù)以及新型信息安全產(chǎn)品的使用，如系統(tǒng)安全、網(wǎng)絡(luò)安全、訪問控制技術(shù)、身份認(rèn)證技術(shù)以及識別信息系統(tǒng)中的安全風(fēng)險。目的在于讓信息技術(shù)人員掌握最先進(jìn)的信息安全技術(shù)和產(chǎn)品，可以根據(jù)不斷變化的業(yè)務(wù)安全需求從技術(shù)層面提出相應(yīng)的解決方案以及在日常工作中能夠第一時間識別信息技術(shù)系統(tǒng)中所存在的安全隱患并加以控制和消除?！　。?）面向普通員工培訓(xùn)普通員工是信息安全建設(shè)工作的最基層，負(fù)責(zé)具體制度和流程上的操作和處理。　　他們的信息安全意識的高低決定了信息安全流程和制度能否得到正確的得到執(zhí)行并直接決定執(zhí)行的效果。其培訓(xùn)重點主要集中日常工作中的角色和責(zé)任以及對相應(yīng)的政策和程序的學(xué)習(xí)。其目的在于讓普通員工了解什么是信息安全，其對自身和公司的關(guān)系，博士公司有哪些程序和政策需要遵守，使員工明白該做什么不該做什么?！　≡谌粘５男畔踩嘤?xùn)過程中，信息安全意識和理論類的培訓(xùn)可以通過定期舉辦的信息安全講座，公司內(nèi)部的期刊文物，內(nèi)部網(wǎng)站和標(biāo)語等形式進(jìn)行，而實踐操作類的培訓(xùn)則可以采取演講演示、案例研究和實際操作的方式。　　博士公司的信息安全培訓(xùn)不應(yīng)該是一個短期的工作，公司的培訓(xùn)部門需要制定相應(yīng)的培訓(xùn)計劃，定期調(diào)整和更新信息安全教育和培訓(xùn)的內(nèi)容，保證培訓(xùn)內(nèi)容的時效性和有效性，以適應(yīng)不斷變化的內(nèi)外部威脅。員工的信息安全意識容易隨著時間的推移而淡忘，培訓(xùn)部門在制定培訓(xùn)計劃和內(nèi)容是需要充分考慮到培訓(xùn)效果。對于那些違反了公司信息安全相關(guān)規(guī)章制度的員工，除了按照章程進(jìn)行處罰外，還需要再次接受信息安全方面的培訓(xùn)，經(jīng)考核合格后方能上崗?！　?規(guī)范外包人員管理　　由于博士公司的日常業(yè)務(wù)需要大量第三方外包人員（原則上是指沒有直接與博士公司簽訂勞動合同或協(xié)議的人員）的介入，這些外包人員掌握了博士公司大量的業(yè)務(wù)數(shù)據(jù)，在制定信息安全策略和制度時，不能忽略對外包人員的管理?！　。?）訪問控制管理各部門應(yīng)為駐場第三方外包人員的提供制定固定的辦公地點和區(qū)域并配帶準(zhǔn)入標(biāo)識，如確實因工作安排需要訪問數(shù)據(jù)中心、檔案室、財務(wù)室等敏感區(qū)域時，訪問前必須經(jīng)過相應(yīng)接口人或部門領(lǐng)導(dǎo)的審批，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案?！　∨R時來訪第三方外包人員需在內(nèi)部聯(lián)絡(luò)人員的陪同下以約定的方式進(jìn)行訪問，原則上不允許進(jìn)入數(shù)據(jù)中心、檔案室、財務(wù)室等敏感區(qū)域?！　●v場人員的辦公網(wǎng)絡(luò)應(yīng)與博士公司內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，第三方駐場服務(wù)人員如需訪問博士公司的內(nèi)部系統(tǒng)時，單獨為其開啟訪問內(nèi)部系統(tǒng)的安全策略且必須進(jìn)行單獨的帳號認(rèn)證，此帳號的命名規(guī)則應(yīng)和公司內(nèi)部人員的帳號存在明顯區(qū)分，在訪問過程中需進(jìn)行日志記錄，如臨時人員需要訪問公司內(nèi)部系統(tǒng)需經(jīng)過相應(yīng)審批后才能開啟訪問策略和帳號，且在離開后及時關(guān)閉和刪除。　?。?）辦公設(shè)備管理第三方人員在日常辦公中不允許使用移動設(shè)備辦公，所有的辦公設(shè)備都必須由博士公司信息技術(shù)部所提供。原則上外包商不得直接操作博士公司核心業(yè)務(wù)設(shè)備（如核心服務(wù)器、數(shù)據(jù)庫、交易終端等），未經(jīng)首席安全官的許可不允許使用任何方式（U盤、 光盤刻錄、打印、手工記錄等）帶走任何與博士公司相關(guān)的數(shù)據(jù)?！　。?）服務(wù)提供商管理在外包服務(wù)商所簽訂的服務(wù)合同中必須明確服務(wù)內(nèi)容和要求，且在簽訂服務(wù)協(xié)議前需評估其所引發(fā)的信息安全風(fēng)險，并評定其是否有足夠的服務(wù)能力。外包服務(wù)人員入場前，應(yīng)接受博士公司信息安全培訓(xùn)，確保能夠讓其理解信息安全職責(zé)和應(yīng)履行的業(yè)務(wù)。在服務(wù)過程中，各部門應(yīng)與外包服務(wù)機(jī)構(gòu)制定應(yīng)急預(yù)案與《外部聯(lián)絡(luò)清單》，確保在發(fā)生突發(fā)事件時能夠?qū)⒏黜棙I(yè)務(wù)所遭受的影響降至最低，為了約束外包人員所掌握的業(yè)務(wù)數(shù)據(jù)的使用還需與服務(wù)商簽訂相關(guān)的保密及法律協(xié)議并制定考核計劃?！　?明確各類人員的職責(zé)并設(shè)定嚴(yán)格的訪問控制機(jī)制　　博士公司信息安全水平的提高不能依靠幾個部門和人員，而是需要整個公司的共同努力，每個人在博士公司的信息安全體系中都應(yīng)有相應(yīng)的職責(zé)：　　　?。?）管理層在博士公司企業(yè)信息安全方針中明確定義了公司管理層的職責(zé)。CEO 最高領(lǐng)導(dǎo)人，對所發(fā)生的信息安全事件所造成的后果負(fù)最終責(zé)任，同時負(fù)責(zé)批準(zhǔn)建立博士公司的信息安全管理組織架構(gòu)，管理構(gòu)架、安全方針、流程制度以及提供和協(xié)調(diào)相應(yīng)資源來完成和達(dá)到信息安全建設(shè)目標(biāo).　　　?。?）各業(yè)務(wù)部門負(fù)責(zé)人博士公司各業(yè)務(wù)部門負(fù)責(zé)人對其所管轄的業(yè)務(wù)和部門的信息安全所造成的后果負(fù)最終責(zé)任。其必須明確定義其部門內(nèi)部的管理邊界及范圍、資產(chǎn)情況、信息分級、系統(tǒng)和數(shù)據(jù)訪問的權(quán)限并提供必要的資源以及支持信息安全相關(guān)人員進(jìn)行信息安全建設(shè)?！　。?）信息安全管理委員會信息安全管理委員會是博士公司信息安全相關(guān)領(lǐng)域的最高決策機(jī)構(gòu)，成員人選應(yīng)由各個部門中熟悉業(yè)務(wù)的資深人員組成，同時要求所有成員能夠從其本身部門以及整個公司層面的角度看待信息安全問題。委員會應(yīng)由 CEO 掛帥，就博士公司內(nèi)部關(guān)于信息安全戰(zhàn)略問題做出決策，評審和審批相關(guān)策略、職責(zé)、制度流程的頒布，監(jiān)督博士公司整體的信息安全狀況以及協(xié)調(diào)各種信息和所需要的資源?！　。?）首席安全官首席安全官應(yīng)具備扎實的信息安全技術(shù)背景，同時還要有豐富的信息安全管理經(jīng)驗，同時熟悉和深入了解國內(nèi)外的信息安全相關(guān)行業(yè)標(biāo)準(zhǔn)以和法律法規(guī)。首席安全官負(fù)責(zé)給信息安全管理委員會提供專業(yè)的技術(shù)和管理方案，也是各項安全策略、方針和各項信息安全流程制度的制定或修訂者。首席安全官負(fù)責(zé)整個博士公司信息安全工作，其隸屬于公司最高管理層，匯報對象為 CEO 和信息安全管理委員會?！　。?）內(nèi)部審計員為了確保審計結(jié)果的獨立客觀和公正性，信息安全內(nèi)部審計人員不應(yīng)該隸屬于CIO 或 CSO 條線下，建議其應(yīng)歸于承擔(dān)公司整體風(fēng)險控制的 CFO 下。信息安全審計員應(yīng)該熟悉各種國際上通用的審計標(biāo)準(zhǔn)和要求（如塞班斯法案、COBIT 標(biāo)準(zhǔn)）和相應(yīng)審計方法。內(nèi)部審計人員還需對信息安全標(biāo)準(zhǔn)體系有相應(yīng)了解，負(fù)責(zé)按照事先制定的安全基線對整個博士公司信息安全管理合規(guī)性、有效性、和適用性進(jìn)行獨立的內(nèi)部審計，檢查各項制度是否有效的執(zhí)行并找到未先前未被發(fā)現(xiàn)的問題和風(fēng)險，最終形成審計報告提交到信息安全管理委員會，為下一個階段的 PDCA 循環(huán)的提供第一手的資料?！　。?）各業(yè)務(wù)部門信息安全接口各業(yè)務(wù)部門的信息安全接口人通常為資深員工或部門負(fù)責(zé)人，其主要的任務(wù)是配合信息安全相關(guān)工作人員來協(xié)調(diào)部門內(nèi)各項資源來支持信息安全建設(shè)，并監(jiān)督部門內(nèi)的人員是否違反了公司的信息安全相關(guān)流程和制度。　　 制定業(yè)務(wù)持續(xù)性計劃　　博士公司在日常的運營中為了防止由于各種問題而導(dǎo)致的業(yè)務(wù)中斷，確保關(guān)鍵業(yè)務(wù)不受故障的影響，必須制定完善的業(yè)務(wù)持續(xù)性計劃（BCP）并定期實戰(zhàn)演練。信息安全作為整體業(yè)務(wù)持續(xù)性計劃的一部分，需關(guān)注并采取相應(yīng)的措施來減少安全風(fēng)險并限制故障或災(zāi)性事件難所帶來的實際后果?！　。?）信息系統(tǒng)層面對于業(yè)務(wù)持續(xù)性計劃的建設(shè)上博士公司的信息系統(tǒng)有較大的提升空間。包括增加互聯(lián)網(wǎng)外聯(lián)線路實現(xiàn)線路冗余避免由于運營商或線路質(zhì)量的問題而導(dǎo)致的業(yè)務(wù)終端，建立完善的本地備份和異地備份機(jī)制保證信息系統(tǒng)出現(xiàn)故障時能夠及時切換并恢復(fù)業(yè)務(wù)系統(tǒng)，關(guān)鍵服務(wù)器采用 HA（High availability）技術(shù)加強系統(tǒng)的健壯性等。同時信息技術(shù)部也需要制定相應(yīng)的應(yīng)急預(yù)案和流程來應(yīng)對突發(fā)的故障和災(zāi)難性事件?！　。?）業(yè)務(wù)操作層面各業(yè)務(wù)部門也需制定信息系統(tǒng)故障時的 BCP，包括對線下原始文件、憑證、單據(jù)定期進(jìn)行歸檔和整理，在發(fā)生信息系統(tǒng)故障時，由專人負(fù)責(zé)提供這些紙質(zhì)文件，業(yè)務(wù)部門憑借這些單據(jù)和文件通過純手工的方式保證博士業(yè)務(wù)的進(jìn)行。　　 引入內(nèi)部審計機(jī)制　　實踐證明信息安全內(nèi)部審計已經(jīng)成為檢查企業(yè)信息安全