【正文】 全指引的博士公司，其完全可以按照使用其方法論來(lái)構(gòu)建一套適合于博士公司的信息安全管理體系?！?】　　　　在整套體系中以企業(yè)整體風(fēng)險(xiǎn)管理體系、信息安全風(fēng)險(xiǎn)管理平臺(tái)、信息安全意識(shí)管理為基線結(jié)合 PDCA 的原則，明確了這個(gè)體系建設(shè)中各階段的主要任務(wù)和建設(shè)目標(biāo)。　　　　 完善企業(yè)信息安全組織結(jié)構(gòu)　　博士公司的信息安全組織架構(gòu)涉及到整個(gè)企業(yè)的成員，從最高的董事會(huì)決策層到普通的基層員工，確保信息安全管理工作的執(zhí)行能覆蓋到組織中的每一個(gè)單元。制定信息安全組織構(gòu)應(yīng)重點(diǎn)考慮如下因素：　?。?）信息安全組織構(gòu)架有高層參與可提升信息安全工作在博士公司的地位和重要性。另外，信息安全委員會(huì)由 CEO 和 CSO（首席安全官）牽頭，無(wú)論在規(guī)劃層面還是執(zhí)行層面，有著權(quán)力支撐和相對(duì)較強(qiáng)的協(xié)調(diào)能力。　?。?）把業(yè)務(wù)部門納入到信息安全組織中可以解決信息安全執(zhí)行小組和 IT 部難以使業(yè)務(wù)部門配合信息安全建設(shè)的問(wèn)題。同時(shí)，讓業(yè)務(wù)部門參與信息安全工作可以避免信息安全人員因?yàn)椴涣私鈽I(yè)務(wù)而制定出無(wú)法適應(yīng)業(yè)務(wù)需求和發(fā)展的可執(zhí)行信息安全制度?！　。?）信息安全工作中的業(yè)務(wù)人員應(yīng)該有廣泛的代表性和執(zhí)行力，同時(shí)，其職能也應(yīng)覆蓋部門內(nèi)所涉及的信息安全范圍的業(yè)務(wù)，并有著豐富的實(shí)踐經(jīng)驗(yàn)，而且其在業(yè)務(wù)部門內(nèi)必須具備一定的影響力，候選人通常為部門負(fù)責(zé)人或資深員工?！　。?）結(jié)合博士公司期望的信息安全目標(biāo)以及現(xiàn)有的情況設(shè)立信息安全組織構(gòu)架?！　〗M織構(gòu)架的建立應(yīng)滿足信息安全要求又要經(jīng)濟(jì)的原則，既不能簡(jiǎn)單到形同虛設(shè)，而無(wú)法幫助信息安全工作，也不能過(guò)于繁瑣，造成溝通成本的上升和各種資源的過(guò)分投入?！　「鶕?jù)博士公司現(xiàn)有的企業(yè)組織架構(gòu)特點(diǎn)建立的信息安全組織架構(gòu)?！　∑涿鞔_了信息安全工作在企業(yè)中的處于的重要地位。首先，設(shè)立首席安全官（CSO）職位，負(fù)責(zé)博士公司日常信息安全團(tuán)隊(duì)的管理和運(yùn)營(yíng)，負(fù)責(zé)主持整個(gè)企業(yè)的信息安全工作。其次，成立了信息安全管理委員會(huì)負(fù)責(zé)博士公司信息安全工作的規(guī)劃和方針制定， 同時(shí)其成為風(fēng)險(xiǎn)控制委員會(huì)的一部分并由公司 CEO 和 CSO 領(lǐng)導(dǎo)直接向董事局匯報(bào)。另外，信息安全管理人員也不再隸屬于 IT 部門，而是單獨(dú)成立了信息安全管理和執(zhí)行組并擔(dān)任這兩個(gè)小組的負(fù)責(zé)人，制定日常的信息安全管理制度并監(jiān)督和審計(jì)各部門的實(shí)施情況，直接向公司 CSO 甚至 CEO 匯報(bào)。為信息安全人員在日常工作中提供了影響力和權(quán)利支撐?！?】　　　　從上圖中可以看到，信息安全管理委員會(huì)、信息安全管理小組、信息安全執(zhí)行小組和各職能部門分別代表了決策、管理、執(zhí)行和用戶四個(gè)層面覆蓋了整個(gè)博士公司的整個(gè)企業(yè)，為后續(xù)的信息安全措施和制度的執(zhí)行打下了堅(jiān)實(shí)的組織基礎(chǔ)，同時(shí)也使得信息安全工作滲透到企業(yè)的每個(gè)角落。在信息安全工作領(lǐng)域建立了一套獨(dú)立的人員組織架構(gòu)，也彰顯了公司管理層對(duì)信息安全的重視?！　?識(shí)別各類信息資產(chǎn)重要等級(jí)進(jìn)行分級(jí)保護(hù)　　在對(duì)博士公司信息資產(chǎn)進(jìn)行保護(hù)時(shí)，信息安全相關(guān)人員首先應(yīng)該明確什么才是安全策略和制度所應(yīng)該保護(hù)的對(duì)象，如果無(wú)法識(shí)別被保護(hù)的對(duì)象，那各種安全措施也就無(wú)從談起。博士公司的信息資產(chǎn)具有多種表現(xiàn)形式，如數(shù)據(jù)、硬件、軟件、人員、文檔、服務(wù)等（具體說(shuō)明見圖 ），各類信息資產(chǎn)中基本上都含有敏感的商業(yè)信息，其被破壞、丟失、泄露都會(huì)給博士公司造成巨大的影響?！?】　　　　當(dāng)前，博士公司對(duì)信息資產(chǎn)保護(hù)的工作重點(diǎn)應(yīng)該落在信息資產(chǎn)識(shí)別和分類上。根據(jù) ISO27001 信息安全管理體系對(duì)信息資產(chǎn)識(shí)別原則，即保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）這個(gè)三個(gè)指標(biāo)，博士公司的日常業(yè)務(wù)情況，其信息資產(chǎn)目前可分為四個(gè)級(jí)別：　?。?）絕密信息“絕密信息”是指那些在企業(yè)內(nèi)部只有指定的很少部分人員知曉，并具有很高商業(yè)價(jià)值的，并且沒有經(jīng)過(guò)管理層授權(quán)使用或泄露會(huì)對(duì)博士公司名譽(yù)或利益甚至于公司的生存造成巨大影響的信息。（2）機(jī)密信息“機(jī)密信息”是指該信息公司外部以及競(jìng)爭(zhēng)對(duì)手通常不知道的，具有一定商業(yè)價(jià)值的。并且未經(jīng)公司內(nèi)有關(guān)部門的授權(quán)的使用或泄露會(huì)對(duì)公司業(yè)務(wù)開展、日常運(yùn)營(yíng)或公司內(nèi)部員工造成嚴(yán)重?fù)p害的信息?！　。?）內(nèi)部公開信息“內(nèi)部公開信息”是指公司不能或無(wú)法對(duì)公眾開放的信息，擅自使用或泄露會(huì)對(duì)公司或員工造成一定的負(fù)面影響。在其它信息級(jí)別中沒有被定義的信息的默認(rèn)為“內(nèi)部公開信息”?！　。?）外部公開信息“外部公開信息”是指公司已經(jīng)在媒體或其他公開場(chǎng)合公布的信息，社會(huì)公眾可以免費(fèi)獲取，且該信息的泄露不會(huì)給公司和員工造成危害?！　「鶕?jù)信息資產(chǎn)的分類和分級(jí)原則，結(jié)合博士公司自身的業(yè)務(wù)經(jīng)營(yíng)模式，列舉了典型信息資產(chǎn)分類結(jié)果，見下表：【4】　　　　 加強(qiáng)員工安全意識(shí)培訓(xùn)　　在信息安全建設(shè)過(guò)程中，風(fēng)險(xiǎn)點(diǎn)最不可控制的是人，同時(shí)人又是所有信息安全的工作的基礎(chǔ)。在任何信息安全管理體系中，無(wú)論制度制定的多么完善，如果制度執(zhí)行的主體不了解或不認(rèn)同，再好的流程制度都無(wú)法得以落地。要想達(dá)到預(yù)期的目標(biāo)和效果博士公司所有員工，上至董事會(huì)管理層，下至普通基層員工都應(yīng)該充分認(rèn)識(shí)到信息安全對(duì)公司的重要性，深入領(lǐng)會(huì)和遵守博士公司所制訂的并頒布的安全策略、流程標(biāo)準(zhǔn)以及方針指導(dǎo)?！　∫胩岣咂髽I(yè)內(nèi)部人員的信息安全意識(shí)，必須在日常的工作中加強(qiáng)對(duì)員工這方面的教育和培訓(xùn)。通過(guò)培訓(xùn)可以讓公司的員工知道信息安全的重要性以及各種安全威脅給公司帶來(lái)的危害和后果，這樣的后果會(huì)影響到每一位員工的自身利益，從而使員工在意識(shí)上主動(dòng)的遵守各項(xiàng)信息安全制度以及規(guī)避違反公司的信息安全制度而遭受的處罰，從人員意識(shí)層面上設(shè)立起一道主動(dòng)的“防火墻”?！　‰m然信息安全培訓(xùn)是面向博士公司全員，但根據(jù)職位高低和工作性質(zhì)不同，公司對(duì)員工的信息安全意識(shí)要求也會(huì)不同。按照對(duì)象的不同，博士公司信息安全意識(shí)培訓(xùn)方式可分為三種類型：　?。?）面向管理層培訓(xùn)管理層對(duì)信息安全的認(rèn)識(shí)和理解決定了博士公司對(duì)信息安全工作的期望和要求、具體的范圍和內(nèi)容、所能給予的最大資源和權(quán)利以及信息安全工作在整個(gè)公司發(fā)展過(guò)程中的地位和重要性。由于對(duì)象的層次較高，培訓(xùn)內(nèi)容可更偏重于宏觀，如信息安全知識(shí)體系、公司的風(fēng)險(xiǎn)管理、資源需求、企業(yè)信息安全政策、績(jī)效評(píng)估等。目的在于使管理層在培訓(xùn)過(guò)程中認(rèn)識(shí)到信息安全的重要性及所涉及人員的任職資格和角色定義。另外，了解 ISO27001 信息安全管理體系可方便管理層督促、規(guī)劃信息安全工作，識(shí)別信息安全風(fēng)險(xiǎn)和提高博士公司的抗風(fēng)險(xiǎn)能力，也可讓管理層把信息安全作為年終的績(jī)效考核與每一位員工的利益掛鉤?！　。?）面向信息技術(shù)人員培訓(xùn)信息技術(shù)人員在日常工作中主要負(fù)責(zé)用于公司業(yè)務(wù)運(yùn)作的各類信息系統(tǒng)管理、維護(hù)以及監(jiān)控。除了掌握基礎(chǔ)的信息安全意識(shí)之外，還需偏重于不斷學(xué)習(xí)信息安全防范技術(shù)以及新型信息安全產(chǎn)品的使用，如系統(tǒng)安全、網(wǎng)絡(luò)安全、訪問(wèn)控制技術(shù)、身份認(rèn)證技術(shù)以及識(shí)別信息系統(tǒng)中的安全風(fēng)險(xiǎn)。目的在于讓信息技術(shù)人員掌握最先進(jìn)的信息安全技術(shù)和產(chǎn)品，可以根據(jù)不斷變化的業(yè)務(wù)安全需求從技術(shù)層面提出相應(yīng)的解決方案以及在日常工作中能夠第一時(shí)間識(shí)別信息技術(shù)系統(tǒng)中所存在的安全隱患并加以控制和消除?！　。?）面向普通員工培訓(xùn)普通員工是信息安全建設(shè)工作的最基層，負(fù)責(zé)具體制度和流程上的操作和處理。　　他們的信息安全意識(shí)的高低決定了信息安全流程和制度能否得到正確的得到執(zhí)行并直接決定執(zhí)行的效果。其培訓(xùn)重點(diǎn)主要集中日常工作中的角色和責(zé)任以及對(duì)相應(yīng)的政策和程序的學(xué)習(xí)。其目的在于讓普通員工了解什么是信息安全，其對(duì)自身和公司的關(guān)系，博士公司有哪些程序和政策需要遵守，使員工明白該做什么不該做什么?！　≡谌粘５男畔踩嘤?xùn)過(guò)程中，信息安全意識(shí)和理論類的培訓(xùn)可以通過(guò)定期舉辦的信息安全講座，公司內(nèi)部的期刊文物，內(nèi)部網(wǎng)站和標(biāo)語(yǔ)等形式進(jìn)行，而實(shí)踐操作類的培訓(xùn)則可以采取演講演示、案例研究和實(shí)際操作的方式?！　〔┦抗镜男畔踩嘤?xùn)不應(yīng)該是一個(gè)短期的工作，公司的培訓(xùn)部門需要制定相應(yīng)的培訓(xùn)計(jì)劃，定期調(diào)整和更新信息安全教育和培訓(xùn)的內(nèi)容，保證培訓(xùn)內(nèi)容的時(shí)效性和有效性，以適應(yīng)不斷變化的內(nèi)外部威脅。員工的信息安全意識(shí)容易隨著時(shí)間的推移而淡忘，培訓(xùn)部門在制定培訓(xùn)計(jì)劃和內(nèi)容是需要充分考慮到培訓(xùn)效果。對(duì)于那些違反了公司信息安全相關(guān)規(guī)章制度的員工，除了按照章程進(jìn)行處罰外，還需要再次接受信息安全方面的培訓(xùn)，經(jīng)考核合格后方能上崗?！　?規(guī)范外包人員管理　　由于博士公司的日常業(yè)務(wù)需要大量第三方外包人員（原則上是指沒有直接與博士公司簽訂勞動(dòng)合同或協(xié)議的人員）的介入，這些外包人員掌握了博士公司大量的業(yè)務(wù)數(shù)據(jù)，在制定信息安全策略和制度時(shí)，不能忽略對(duì)外包人員的管理。　?。?）訪問(wèn)控制管理各部門應(yīng)為駐場(chǎng)第三方外包人員的提供制定固定的辦公地點(diǎn)和區(qū)域并配帶準(zhǔn)入標(biāo)識(shí)，如確實(shí)因工作安排需要訪問(wèn)數(shù)據(jù)中心、檔案室、財(cái)務(wù)室等敏感區(qū)域時(shí)，訪問(wèn)前必須經(jīng)過(guò)相應(yīng)接口人或部門領(lǐng)導(dǎo)的審批，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。　　臨時(shí)來(lái)訪第三方外包人員需在內(nèi)部聯(lián)絡(luò)人員的陪同下以約定的方式進(jìn)行訪問(wèn)，原則上不允許進(jìn)入數(shù)據(jù)中心、檔案室、財(cái)務(wù)室等敏感區(qū)域。　　駐場(chǎng)人員的辦公網(wǎng)絡(luò)應(yīng)與博士公司內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，第三方駐場(chǎng)服務(wù)人員如需訪問(wèn)博士公司的內(nèi)部系統(tǒng)時(shí)，單獨(dú)為其開啟訪問(wèn)內(nèi)部系統(tǒng)的安全策略且必須進(jìn)行單獨(dú)的帳號(hào)認(rèn)證，此帳號(hào)的命名規(guī)則應(yīng)和公司內(nèi)部人員的帳號(hào)存在明顯區(qū)分，在訪問(wèn)過(guò)程中需進(jìn)行日志記錄，如臨時(shí)人員需要訪問(wèn)公司內(nèi)部系統(tǒng)需經(jīng)過(guò)相應(yīng)審批后才能開啟訪問(wèn)策略和帳號(hào)，且在離開后及時(shí)關(guān)閉和刪除?！　。?）辦公設(shè)備管理第三方人員在日常辦公中不允許使用移動(dòng)設(shè)備辦公，所有的辦公設(shè)備都必須由博士公司信息技術(shù)部所提供。原則上外包商不得直接操作博士公司核心業(yè)務(wù)設(shè)備（如核心服務(wù)器、數(shù)據(jù)庫(kù)、交易終端等），未經(jīng)首席安全官的許可不允許使用任何方式（U盤、 光盤刻錄、打印、手工記錄等）帶走任何與博士公司相關(guān)的數(shù)據(jù)?！　。?）服務(wù)提供商管理在外包服務(wù)商所簽訂的服務(wù)合同中必須明確服務(wù)內(nèi)容和要求，且在簽訂服務(wù)協(xié)議前需評(píng)估其所引發(fā)的信息安全風(fēng)險(xiǎn)，并評(píng)定其是否有足夠的服務(wù)能力。外包服務(wù)人員入場(chǎng)前，應(yīng)接受博士公司信息安全培訓(xùn)，確保能夠讓其理解信息安全職責(zé)和應(yīng)履行的業(yè)務(wù)。在服務(wù)過(guò)程中，各部門應(yīng)與外包服務(wù)機(jī)構(gòu)制定應(yīng)急預(yù)案與《外部聯(lián)絡(luò)清單》，確保在發(fā)生突發(fā)事件時(shí)能夠?qū)⒏黜?xiàng)業(yè)務(wù)所遭受的影響降至最低，為了約束外包人員所掌握的業(yè)務(wù)數(shù)據(jù)的使用還需與服務(wù)商簽訂相關(guān)的保密及法律協(xié)議并制定考核計(jì)劃?！　?明確各類人員的職責(zé)并設(shè)定嚴(yán)格的訪問(wèn)控制機(jī)制　　博士公司信息安全水平的提高不能依靠幾個(gè)部門和人員，而是需要整個(gè)公司的共同努力，每個(gè)人在博士公司的信息安全體系中都應(yīng)有相應(yīng)的職責(zé)：　　　　（1）管理層在博士公司企業(yè)信息安全方針中明確定義了公司管理層的職責(zé)。CEO 最高領(lǐng)導(dǎo)人，對(duì)所發(fā)生的信息安全事件所造成的后果負(fù)最終責(zé)任，同時(shí)負(fù)責(zé)批準(zhǔn)建立博士公司的信息安全管理組織架構(gòu)，管理構(gòu)架、安全方針、流程制度以及提供和協(xié)調(diào)相應(yīng)資源來(lái)完成和達(dá)到信息安全建設(shè)目標(biāo).　　　?。?）各業(yè)務(wù)部門負(fù)責(zé)人博士公司各業(yè)務(wù)部門負(fù)責(zé)人對(duì)其所管轄的業(yè)務(wù)和部門的信息安全所造成的后果負(fù)最終責(zé)任。其必須明確定義其部門內(nèi)部的管理邊界及范圍、資產(chǎn)情況、信息分級(jí)、系統(tǒng)和數(shù)據(jù)訪問(wèn)的權(quán)限并提供必要的資源以及支持信息安全相關(guān)人員進(jìn)行信息安全建設(shè)。　?。?）信息安全管理委員會(huì)信息安全管理委員會(huì)是博士公司信息安全相關(guān)領(lǐng)域的最高決策機(jī)構(gòu)，成員人選應(yīng)由各個(gè)部門中熟悉業(yè)務(wù)的資深人員組成，同時(shí)要求所有成員能夠從其本身部門以及整個(gè)公司層面的角度看待信息安全問(wèn)題。委員會(huì)應(yīng)由 CEO 掛帥，就博士公司內(nèi)部關(guān)于信息安全戰(zhàn)略問(wèn)題做出決策，評(píng)審和審批相關(guān)策略、職責(zé)、制度流程的頒布，監(jiān)督博士公司整體的信息安全狀況以及協(xié)調(diào)各種信息和所需要的資源?！　。?）首席安全官首席安全官應(yīng)具備扎實(shí)的信息安全技術(shù)背景，同時(shí)還要有豐富的信息安全管理經(jīng)驗(yàn)，同時(shí)熟悉和深入了解國(guó)內(nèi)外的信息安全相關(guān)行業(yè)標(biāo)準(zhǔn)以和法律法規(guī)。首席安全官負(fù)責(zé)給信息安全管理委員會(huì)提供專業(yè)的技術(shù)和管理方案，也是各項(xiàng)安全策略、方針和各項(xiàng)信息安全流程制度的制定或修訂者。首席安全官負(fù)責(zé)整個(gè)博士公司信息安全工作，其隸屬于公司最高管理層，匯報(bào)對(duì)象為 CEO 和信息安全管理委員會(huì)?！　。?）內(nèi)部審計(jì)員為了確保審計(jì)結(jié)果的獨(dú)立客觀和公正性，信息安全內(nèi)部審計(jì)人員不應(yīng)該隸屬于CIO 或 CSO 條線下，建議其應(yīng)歸于承擔(dān)公司整體風(fēng)險(xiǎn)控制的 CFO 下。信息安全審計(jì)員應(yīng)該熟悉各種國(guó)際上通用的審計(jì)標(biāo)準(zhǔn)和要求（如塞班斯法案、COBIT 標(biāo)準(zhǔn)）和相應(yīng)審計(jì)方法。內(nèi)部審計(jì)人員還需對(duì)信息安全標(biāo)準(zhǔn)體系有相應(yīng)了解，負(fù)責(zé)按照事先制定的安全基線對(duì)整個(gè)博士公司信息安全管理合規(guī)性、有效性、和適用性進(jìn)行獨(dú)立的內(nèi)部審計(jì)，檢查各項(xiàng)制度是否有效的執(zhí)行并找到未先前未被發(fā)現(xiàn)的問(wèn)題和風(fēng)險(xiǎn)，最終形成審計(jì)報(bào)告提交到信息安全管理委員會(huì)，為下一個(gè)階段的 PDCA 循環(huán)的提供第一手的資料。　?。?）各業(yè)務(wù)部門信息安全接口各業(yè)務(wù)部門的信息安全接口人通常為資深員工或部門負(fù)責(zé)人，其主要的任務(wù)是配合信息安全相關(guān)工作人員來(lái)協(xié)調(diào)部門內(nèi)各項(xiàng)資源來(lái)支持信息安全建設(shè)，并監(jiān)督部門內(nèi)的人員是否違反了公司的信息安全相關(guān)流程和制度?！　?制定業(yè)務(wù)持續(xù)性計(jì)劃　　博士公司在日常的運(yùn)營(yíng)中為了防止由于各種問(wèn)題而導(dǎo)致的業(yè)務(wù)中斷，確保關(guān)鍵業(yè)務(wù)不受故障的影響，必須制定完善的業(yè)務(wù)持續(xù)性計(jì)劃（BCP）并定期實(shí)戰(zhàn)演練。信息安全作為整體業(yè)務(wù)持續(xù)性計(jì)劃的一部分，需關(guān)注并采取相應(yīng)的措施來(lái)減少安全風(fēng)險(xiǎn)并限制故障或?yàn)?zāi)性事件難所帶來(lái)的實(shí)際后果?！　。?）信息系統(tǒng)層面對(duì)于業(yè)務(wù)持續(xù)性計(jì)劃的建設(shè)上博士公司的信息系統(tǒng)有較大的提升空間。包括增加互聯(lián)網(wǎng)外聯(lián)線路實(shí)現(xiàn)線路冗余避免由于運(yùn)營(yíng)商或線路質(zhì)量的問(wèn)題而導(dǎo)致的業(yè)務(wù)終端，建立完善的本地備份和異地備份機(jī)制保證信息系統(tǒng)出現(xiàn)故障時(shí)能夠及時(shí)切換并恢復(fù)業(yè)務(wù)系統(tǒng)，關(guān)鍵服務(wù)器采用 HA（High availability）技術(shù)加強(qiáng)系統(tǒng)的健壯性等。同時(shí)信息技術(shù)部也需要制定相應(yīng)的應(yīng)急預(yù)案和流程來(lái)應(yīng)對(duì)突發(fā)的故障和災(zāi)難性事件?！　。?）業(yè)務(wù)操作層面各業(yè)務(wù)部門也需制定信息系統(tǒng)故障時(shí)的 BCP，包括對(duì)線下原始文件、憑證、單據(jù)定期進(jìn)行歸檔和整理，在發(fā)生信息系統(tǒng)故障時(shí)，由專人負(fù)責(zé)提供這些紙質(zhì)文件，業(yè)務(wù)部門憑借這些單據(jù)和文件通過(guò)純手工的方式保證博士業(yè)務(wù)的進(jìn)行?！　?引入內(nèi)部審計(jì)機(jī)制　　實(shí)踐證明信息安全內(nèi)部審計(jì)已經(jīng)成為檢查企業(yè)信息安全