【正文】 同時信息技術(shù)部也需要制定相應的應急預案和流程來應對突發(fā)的故障和災難性事件。　　 制定業(yè)務持續(xù)性計劃　　博士公司在日常的運營中為了防止由于各種問題而導致的業(yè)務中斷，確保關(guān)鍵業(yè)務不受故障的影響，必須制定完善的業(yè)務持續(xù)性計劃（BCP）并定期實戰(zhàn)演練?！　。?）內(nèi)部審計員為了確保審計結(jié)果的獨立客觀和公正性，信息安全內(nèi)部審計人員不應該隸屬于CIO 或 CSO 條線下，建議其應歸于承擔公司整體風險控制的 CFO 下。委員會應由 CEO 掛帥，就博士公司內(nèi)部關(guān)于信息安全戰(zhàn)略問題做出決策，評審和審批相關(guān)策略、職責、制度流程的頒布，監(jiān)督博士公司整體的信息安全狀況以及協(xié)調(diào)各種信息和所需要的資源?！　?明確各類人員的職責并設(shè)定嚴格的訪問控制機制　　博士公司信息安全水平的提高不能依靠幾個部門和人員，而是需要整個公司的共同努力，每個人在博士公司的信息安全體系中都應有相應的職責：　　　?。?）管理層在博士公司企業(yè)信息安全方針中明確定義了公司管理層的職責。原則上外包商不得直接操作博士公司核心業(yè)務設(shè)備（如核心服務器、數(shù)據(jù)庫、交易終端等），未經(jīng)首席安全官的許可不允許使用任何方式（U盤、 光盤刻錄、打印、手工記錄等）帶走任何與博士公司相關(guān)的數(shù)據(jù)?！　。?）訪問控制管理各部門應為駐場第三方外包人員的提供制定固定的辦公地點和區(qū)域并配帶準入標識，如確實因工作安排需要訪問數(shù)據(jù)中心、檔案室、財務室等敏感區(qū)域時，訪問前必須經(jīng)過相應接口人或部門領(lǐng)導的審批，批準后由專人全程陪同或監(jiān)督，并登記備案。　　博士公司的信息安全培訓不應該是一個短期的工作，公司的培訓部門需要制定相應的培訓計劃，定期調(diào)整和更新信息安全教育和培訓的內(nèi)容，保證培訓內(nèi)容的時效性和有效性，以適應不斷變化的內(nèi)外部威脅?！　∷麄兊男畔踩庾R的高低決定了信息安全流程和制度能否得到正確的得到執(zhí)行并直接決定執(zhí)行的效果?！　。?）面向信息技術(shù)人員培訓信息技術(shù)人員在日常工作中主要負責用于公司業(yè)務運作的各類信息系統(tǒng)管理、維護以及監(jiān)控。按照對象的不同，博士公司信息安全意識培訓方式可分為三種類型：　?。?）面向管理層培訓管理層對信息安全的認識和理解決定了博士公司對信息安全工作的期望和要求、具體的范圍和內(nèi)容、所能給予的最大資源和權(quán)利以及信息安全工作在整個公司發(fā)展過程中的地位和重要性。要想達到預期的目標和效果博士公司所有員工，上至董事會管理層，下至普通基層員工都應該充分認識到信息安全對公司的重要性，深入領(lǐng)會和遵守博士公司所制訂的并頒布的安全策略、流程標準以及方針指導。在其它信息級別中沒有被定義的信息的默認為“內(nèi)部公開信息”。根據(jù) ISO27001 信息安全管理體系對信息資產(chǎn)識別原則，即保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）這個三個指標，博士公司的日常業(yè)務情況，其信息資產(chǎn)目前可分為四個級別：　?。?）絕密信息“絕密信息”是指那些在企業(yè)內(nèi)部只有指定的很少部分人員知曉，并具有很高商業(yè)價值的，并且沒有經(jīng)過管理層授權(quán)使用或泄露會對博士公司名譽或利益甚至于公司的生存造成巨大影響的信息。在信息安全工作領(lǐng)域建立了一套獨立的人員組織架構(gòu)，也彰顯了公司管理層對信息安全的重視。其次，成立了信息安全管理委員會負責博士公司信息安全工作的規(guī)劃和方針制定， 同時其成為風險控制委員會的一部分并由公司 CEO 和 CSO 領(lǐng)導直接向董事局匯報?！　〗M織構(gòu)架的建立應滿足信息安全要求又要經(jīng)濟的原則，既不能簡單到形同虛設(shè)，而無法幫助信息安全工作，也不能過于繁瑣，造成溝通成本的上升和各種資源的過分投入?！　。?）把業(yè)務部門納入到信息安全組織中可以解決信息安全執(zhí)行小組和 IT 部難以使業(yè)務部門配合信息安全建設(shè)的問題?！?】　　　　在整套體系中以企業(yè)整體風險管理體系、信息安全風險管理平臺、信息安全意識管理為基線結(jié)合 PDCA 的原則，明確了這個體系建設(shè)中各階段的主要任務和建設(shè)目標。第 5 章 博士公司基于 ISO27001 體系的信息安全管理改進方案　　基于博士公司在信息安全領(lǐng)域目前所展現(xiàn)的問題以及其背后的原因分析，結(jié)合前期的業(yè)務訪談、調(diào)查問卷結(jié)果以及博士公司的整體發(fā)展戰(zhàn)略，本文為解決博士公司目前所暴露的信息安全隱患制定了一系列改善的方案，具體如下：　　 建立體系化的信息安全管理機制　　目前博士公司缺乏一套體系化的信息安全管理框架為信息安全工作提供理論基礎(chǔ)，信息安全體系建設(shè)也必須以它作為指導依據(jù)，從而達到公司對信息安全方面的期望和要求，降低信息安全事件（故）的數(shù)量以及對企業(yè)所造成的損害。目前在業(yè)務系統(tǒng)后端部署有防火墻系統(tǒng)、入侵檢測設(shè)備、上網(wǎng)行為管理等信息安全設(shè)備，而在前端（各業(yè)務部門實際的操作終端）也引入了目前所流行的虛擬化技術(shù)、桌面終端監(jiān)控機制和 DLP（Data leakage prevention）系統(tǒng)?！　?符合性　　博士公司本身屬于國內(nèi)公司，但與 2011 年登錄紐約交易所，因此信息系統(tǒng)的設(shè)計、運行、使用、管理都要符合中美兩國法律、法規(guī)的制約?！　。?）基層員工上報信息安全事件意識在對于基層員工的調(diào)查問卷統(tǒng)計結(jié)果顯示，有超過 90%以上的基層員工對什么是信息安全事件，以及發(fā)生信息安全事件后應該向那些部門和崗位反映無從知曉，目前所統(tǒng)計的信息安全事件在企業(yè)的運營中很可能是“冰山一角”，有大量未被上報而實際發(fā)生的信息安全風險隱藏在員工的日常工作中，也不排除員工因害怕信息安全事件的追查結(jié)果會威脅到上報人或其他相關(guān)人員本身的利益。另外，由于沒有專職的軟件測試人員，目前的測試工作大都由博士公司的開發(fā)人員或第三方軟件開發(fā)供應商來承擔測試任務，由于沒有專門的測試人員來檢查開發(fā)出來的產(chǎn)品質(zhì)量，博士公司在軟件品質(zhì)保證方面基本處于缺失狀態(tài)。　?。?）無階段性驗收標準信息技術(shù)部大量雇傭了軟件外包人員做系統(tǒng)底層的代碼編寫，系統(tǒng)從開發(fā)階段到運行各階段，并沒有規(guī)范的驗收標準和里程碑?！　「鳂I(yè)務終端在與實際的后臺服務器進行交互數(shù)據(jù)時未經(jīng)過加密處理，數(shù)據(jù)在使用明文傳輸時容易被黑客劫取，并且博士公司內(nèi)部并沒有定義嚴格的訪問控制策略，一旦出現(xiàn)數(shù)據(jù)在傳輸過程中被劫取無從追查。一旦 IT 系統(tǒng)遭受了黑客攻擊或意外中斷，無法短時間修復時，博士公司的業(yè)務將全面癱瘓?！　。?）信息系統(tǒng)層面：　　博士公司的信息技術(shù)部門在應對業(yè)務出現(xiàn)中斷時缺乏排障的能力和恢復能力，由于物理環(huán)境、訪問控制、以及權(quán)限管理等方面存在不足，使得一旦系統(tǒng)出現(xiàn)無法運營的狀態(tài)，運營和維護人員無法快速定位和解決問題。另外，訪問控制機制的不足也會擾亂各業(yè)務部門之間的數(shù)據(jù)流向，一旦發(fā)生信息安全事件時，由于無法準確追蹤數(shù)據(jù)流，給排查工作造成障礙?！　。?）備用線路：　　整個博士公司的數(shù)據(jù)中心目前只有一條線路連接 Internet，并沒有考慮備用或應急線路，一旦此線路出現(xiàn)故障，博士公司整個業(yè)務系統(tǒng)對外的服務都將癱瘓。若發(fā)生停電，采用市電的服務器會立即停止工作，甚至出現(xiàn)不穩(wěn)定的電流而導致服務器硬件被損壞，短時間無法修復的情況。在對數(shù)據(jù)中心的調(diào)研工作過程中發(fā)現(xiàn)，作為博士公司的業(yè)務中樞，數(shù)據(jù)中心的27物理環(huán)境中無法滿足 BCP（業(yè)務持續(xù)性計劃）要求，存在著幾個重要的安全隱患：　?。?）環(huán)境溫度：　　整個數(shù)據(jù)中心僅配有 1 臺家用的 匹立式空調(diào)，由于數(shù)據(jù)中心內(nèi)所存放的服務器大都對環(huán)境的溫度和濕度有嚴格要求，在建立數(shù)據(jù)中心時一般會按照標準采用專用的精密空調(diào)。博士公司本身也迫于業(yè)績壓力的影響和業(yè)務各項資源限制，未對員工展開定期的信息安全意識培訓。因此從決策層、到落地層并沒有設(shè)立信息安全委員會、信息安全執(zhí)行小組、以及各業(yè)務部門的信息安全接口崗等部門或崗位。在實際的調(diào)查過程中發(fā)現(xiàn)，離職員工的筆記本電腦的回收和再次分配出現(xiàn)了嚴重的混亂情況，IT 部門的維護列表中的信息與財務的固定資產(chǎn)表中的信息存在較大的誤差，在財務的固定資產(chǎn)表中，甚至出現(xiàn)了固定資產(chǎn)的使用人是已經(jīng)離職的人員這樣的情況。另外，博士公司內(nèi)部雖然成立了合規(guī)和內(nèi)部控制部門，但對于信息系統(tǒng)安全沒有設(shè)立專門的信息安全審計師的職位， 目前部門內(nèi)人員的職業(yè)背景大都是財務相關(guān)，并非 IT 相關(guān)領(lǐng)域，對信息系統(tǒng)的安全審計難免生疏，在實施對信息系統(tǒng)的審計過程中往往心有余而力不足，有時也會偶爾發(fā)生為了應付外部審計師而采取臨時唆使信息技術(shù)部的員工來編造審計記錄的違規(guī)事宜。相較于財務審計信息系統(tǒng)審計工作形同虛設(shè)，僅僅在外部審計師到來之前臨時進行突擊檢查，在日常的工作中內(nèi)部審計工作并不是按部就班的執(zhí)行。雖然已經(jīng)在公司范圍內(nèi)公開發(fā)布，但執(zhí)行的力度和效果明顯沒有達到預期的效果?！?】　　　　 信息安全策略　　博士公司目前整體缺乏信息安全管理機制，根本上是缺少基本的信息安全策略。其中最嚴重的一次事故直接導致博士公司丟失了 2012 年 11 月 1 日至 30 日期間入會的客戶資料，由于沒有完善的應急預案，整個客戶服務中心被迫停止運營三個工作日?！　。?）無業(yè)務層面的訪問控制機制各業(yè)務部門在日常的業(yè)務流轉(zhuǎn)中沒有清晰定義出各個職務所能接觸到業(yè)務數(shù)據(jù)的范圍。從調(diào)查問卷的結(jié)果中反映，博士公司目前無論是從系統(tǒng)層面的訪問控制還是從業(yè)務層面的訪問控制并沒有按照不同的訪問主體（用戶）進行規(guī)范化的定義，具體表現(xiàn)為：　?。?）無系統(tǒng)層面的訪問控制機制首先，博士公司的信息系統(tǒng)在物理基礎(chǔ)構(gòu)架中就存在諸多先天性的不足，數(shù)據(jù)中心（機房）沒有采用門禁系統(tǒng)，只要是博士公司的員工可以不經(jīng)過審批隨意出入。同時在博士公司內(nèi)部，也沒有對于信息系統(tǒng)的建設(shè)以及信息使用進行內(nèi)部審計工作?！　∠到y(tǒng)開發(fā)人員不但可以暢通無阻地訪問和控制實際生產(chǎn)環(huán)境中的各類系統(tǒng)，還可以直接進入整個博士公司最核心的 SQL 數(shù)據(jù)庫系統(tǒng)，數(shù)據(jù)庫中保存著公司的最重要的數(shù)據(jù)，如客戶的信息、公司的財務狀況、員工的薪酬獎勵等等敏感信息。甚至是出現(xiàn)了 1 位系統(tǒng)開發(fā)人員同時兼顧負責 23 個系統(tǒng)的情況。另外，外包服務人員一般從事基礎(chǔ)工作，應聘門檻較低，外包服務商如招聘時把關(guān)不嚴，將職業(yè)素質(zhì)較低的人員招入，后期的又沒有經(jīng)過系統(tǒng)性培訓，會導致外包服務人員因責任心不強、工作不到位、操作不當甚至職業(yè)道德問題，從而產(chǎn)生各種有意無意的信息泄露行為。在實際的工作中，這些第三方外包人員會接觸到大量接觸如客戶信息、合同文檔、暫未公開發(fā)行的產(chǎn)品資料等敏感的數(shù)據(jù)。后臺業(yè)務部門，尤其是作業(yè)管理部，印有客戶簽章的合同文件，含有客戶聯(lián)系方式的快遞單據(jù)，以及還未正式發(fā)布的產(chǎn)品資料隨意堆放在公共的走道里，這些行為會導致很多的潛在內(nèi)部風險?！　?員工安全意識薄弱　　　　博士公司作為國內(nèi)領(lǐng)先的第三方理財機構(gòu)，這些年來在企業(yè)信息化建設(shè)，以及利用信息化推動業(yè)務發(fā)展方面做出的成績有目共睹。但并為對一些如數(shù)據(jù)庫帳號、系統(tǒng)的管理員權(quán)限、以及系統(tǒng)中所存儲的業(yè)務數(shù)據(jù)等”軟“資產(chǎn)來進行管理。另外，各個業(yè)務部門中亦沒有專人負責對接信息安全相關(guān)工作，即便頒布上述的方針政策以及一系列配套的流程制度，信息安全實施和建設(shè)依舊無法落實到具體的業(yè)務部門。因此，引入一套科學完善的信息安全管理體系是博士公司目前需要緊迫解決的問題。但由于 IT 部門在企業(yè)中的影響力有限，實際上管理層對信息安全工作提供一個明確的指導方向，除了現(xiàn)有的 IT 部門，博士公司也沒有在公司層面上明確各部門相關(guān)負責人員的職責以及投入必要的人力和物力資源?！　?博士公司信息安全的若干問題　　經(jīng)過實地走訪各關(guān)鍵崗位的負責人和員工以及對回收的調(diào)查問卷進行整理分析（問卷中每一題根據(jù)輕重原則分為 15 分，分析的結(jié)果采用加權(quán)平均的方式統(tǒng)計），根據(jù) ISO27001 安全體系模型所得出的信息安全風險雷達圖見（圖 ）。根據(jù) ISO27001 的各項風險控制領(lǐng)域，對于五類不同的部門和訪談對象，分別設(shè)計了五種調(diào)查問卷?！　、芰私馐欠翊嬖隗w外（非常規(guī)）的業(yè)務流程。由于受到海外投資人的高度關(guān)注和青睞，近年來博士公司業(yè)務擴張過于快速，以至于帶來了很多管理問題，其中信息安全問題更是成為嚴重阻礙公司發(fā)展的最大問題之一，受到了管理層的高度關(guān)注，管理層亦希望通過一次科學的全面診斷來揭示存在和潛在的信息安全風險，本次基于 ISO27001 的企業(yè)信息安全診斷也由此而產(chǎn)生，下面對本次的診斷過程做簡要的回顧?！　?公司組織構(gòu)架　　博士公司現(xiàn)有員工約 1500 人，現(xiàn)有的組織結(jié)構(gòu)除了按照美國證監(jiān)會要求的上市公司治理體系以外，在日常的運營過程中主要區(qū)分業(yè)務部門（前臺）和運營管理部門（后臺）。為博士公司未來的發(fā)展打下了堅實的基礎(chǔ)。正是由于看好博士公司未來的發(fā)展，紅杉（中國）和其他投資人決定，把博士公司帶向另一個高度赴美上市。迅速成為國內(nèi)第三方理財行業(yè)的絕對卻權(quán)威。　　 博士公司簡介　　 公司歷史　　博士公司于 2005 年成立于上海，其前身是某知名證券服務公司私人銀行部門，由于原公司業(yè)務結(jié)構(gòu)化調(diào)整而導致私人銀行部被迫從主要業(yè)務體系中剝離，后獨立出來成立如今的博士公司。第3章 博士公司問題現(xiàn)狀　　目前，第三方理財行業(yè)在國內(nèi)正處于發(fā)展萌芽階段，其本身目前沒有明確的監(jiān)管機構(gòu)來規(guī)范和約束對企業(yè)的內(nèi)部控制管理。相比傳統(tǒng)的財務審計，兩者既有一定聯(lián)系又有一定差別。IT 服務管理實務可確保提供所要求的等級、類別的服務，來滿足組織的目標；（5）信息資產(chǎn)的保護。　　早在上個世紀中期，美國已經(jīng)在研究關(guān)于信息安全審計領(lǐng)域的相關(guān)課題，1967 年國際信息系統(tǒng)審計協(xié)會（ISACA）正式在美國成立，國際信息系統(tǒng)審計協(xié)會（ISACA）明確定義信息系統(tǒng)審計主要內(nèi)容：　?。?）信息系統(tǒng)審計程序。最后記錄并報告能影響信息安全管理體系有效性或業(yè)績的所有活動、事件?！　、偎怯梢幌盗泄芾磉^程所組成，如執(zhí)行程序和其他控制以快速檢測處理結(jié)果中的錯誤；快速識別安全體系中失敗的和成功的破壞；能使管理者確認人工或自動執(zhí)行的安全活動達到預期的結(jié)果；按照商業(yè)優(yōu)先權(quán)確定解決安全破壞所要采取的措施；接受其他組織和組織自身的安全經(jīng)驗；常規(guī)評審信息安全管理體系的有效性；收集安全審核的結(jié)果、事故、以及來自所有股東和其他相關(guān)方的建議和反饋，定期對信息安全管理體系有效性進行評審。提高信息安全意識的目的就是產(chǎn)生適當?shù)娘L險和安全文化，保證意識和控制活動的同步，還必須安排針對信息安全意識的培訓，并檢查意識培訓的效果，以確保其持續(xù)有效和實時性。在 D 階段主要強調(diào)的是在實施和運行信息安全