【正文】 　　（2）業(yè)務(wù)操作層面各業(yè)務(wù)部門(mén)也需制定信息系統(tǒng)故障時(shí)的 BCP，包括對(duì)線(xiàn)下原始文件、憑證、單據(jù)定期進(jìn)行歸檔和整理，在發(fā)生信息系統(tǒng)故障時(shí)，由專(zhuān)人負(fù)責(zé)提供這些紙質(zhì)文件，業(yè)務(wù)部門(mén)憑借這些單據(jù)和文件通過(guò)純手工的方式保證博士業(yè)務(wù)的進(jìn)行。包括增加互聯(lián)網(wǎng)外聯(lián)線(xiàn)路實(shí)現(xiàn)線(xiàn)路冗余避免由于運(yùn)營(yíng)商或線(xiàn)路質(zhì)量的問(wèn)題而導(dǎo)致的業(yè)務(wù)終端，建立完善的本地備份和異地備份機(jī)制保證信息系統(tǒng)出現(xiàn)故障時(shí)能夠及時(shí)切換并恢復(fù)業(yè)務(wù)系統(tǒng)，關(guān)鍵服務(wù)器采用 HA（High availability）技術(shù)加強(qiáng)系統(tǒng)的健壯性等。信息安全作為整體業(yè)務(wù)持續(xù)性計(jì)劃的一部分，需關(guān)注并采取相應(yīng)的措施來(lái)減少安全風(fēng)險(xiǎn)并限制故障或?yàn)?zāi)性事件難所帶來(lái)的實(shí)際后果?！　。?）各業(yè)務(wù)部門(mén)信息安全接口各業(yè)務(wù)部門(mén)的信息安全接口人通常為資深員工或部門(mén)負(fù)責(zé)人，其主要的任務(wù)是配合信息安全相關(guān)工作人員來(lái)協(xié)調(diào)部門(mén)內(nèi)各項(xiàng)資源來(lái)支持信息安全建設(shè)，并監(jiān)督部門(mén)內(nèi)的人員是否違反了公司的信息安全相關(guān)流程和制度。信息安全審計(jì)員應(yīng)該熟悉各種國(guó)際上通用的審計(jì)標(biāo)準(zhǔn)和要求（如塞班斯法案、COBIT 標(biāo)準(zhǔn)）和相應(yīng)審計(jì)方法。首席安全官負(fù)責(zé)整個(gè)博士公司信息安全工作，其隸屬于公司最高管理層，匯報(bào)對(duì)象為 CEO 和信息安全管理委員會(huì)。　?。?）首席安全官首席安全官應(yīng)具備扎實(shí)的信息安全技術(shù)背景，同時(shí)還要有豐富的信息安全管理經(jīng)驗(yàn)，同時(shí)熟悉和深入了解國(guó)內(nèi)外的信息安全相關(guān)行業(yè)標(biāo)準(zhǔn)以和法律法規(guī)?！　。?）信息安全管理委員會(huì)信息安全管理委員會(huì)是博士公司信息安全相關(guān)領(lǐng)域的最高決策機(jī)構(gòu)，成員人選應(yīng)由各個(gè)部門(mén)中熟悉業(yè)務(wù)的資深人員組成，同時(shí)要求所有成員能夠從其本身部門(mén)以及整個(gè)公司層面的角度看待信息安全問(wèn)題。CEO 最高領(lǐng)導(dǎo)人，對(duì)所發(fā)生的信息安全事件所造成的后果負(fù)最終責(zé)任，同時(shí)負(fù)責(zé)批準(zhǔn)建立博士公司的信息安全管理組織架構(gòu)，管理構(gòu)架、安全方針、流程制度以及提供和協(xié)調(diào)相應(yīng)資源來(lái)完成和達(dá)到信息安全建設(shè)目標(biāo).　　　?。?）各業(yè)務(wù)部門(mén)負(fù)責(zé)人博士公司各業(yè)務(wù)部門(mén)負(fù)責(zé)人對(duì)其所管轄的業(yè)務(wù)和部門(mén)的信息安全所造成的后果負(fù)最終責(zé)任。在服務(wù)過(guò)程中，各部門(mén)應(yīng)與外包服務(wù)機(jī)構(gòu)制定應(yīng)急預(yù)案與《外部聯(lián)絡(luò)清單》，確保在發(fā)生突發(fā)事件時(shí)能夠?qū)⒏黜?xiàng)業(yè)務(wù)所遭受的影響降至最低，為了約束外包人員所掌握的業(yè)務(wù)數(shù)據(jù)的使用還需與服務(wù)商簽訂相關(guān)的保密及法律協(xié)議并制定考核計(jì)劃?！　。?）服務(wù)提供商管理在外包服務(wù)商所簽訂的服務(wù)合同中必須明確服務(wù)內(nèi)容和要求，且在簽訂服務(wù)協(xié)議前需評(píng)估其所引發(fā)的信息安全風(fēng)險(xiǎn)，并評(píng)定其是否有足夠的服務(wù)能力。　?。?）辦公設(shè)備管理第三方人員在日常辦公中不允許使用移動(dòng)設(shè)備辦公，所有的辦公設(shè)備都必須由博士公司信息技術(shù)部所提供?！　∨R時(shí)來(lái)訪第三方外包人員需在內(nèi)部聯(lián)絡(luò)人員的陪同下以約定的方式進(jìn)行訪問(wèn)，原則上不允許進(jìn)入數(shù)據(jù)中心、檔案室、財(cái)務(wù)室等敏感區(qū)域。　　 規(guī)范外包人員管理　　由于博士公司的日常業(yè)務(wù)需要大量第三方外包人員（原則上是指沒(méi)有直接與博士公司簽訂勞動(dòng)合同或協(xié)議的人員）的介入，這些外包人員掌握了博士公司大量的業(yè)務(wù)數(shù)據(jù)，在制定信息安全策略和制度時(shí)，不能忽略對(duì)外包人員的管理。員工的信息安全意識(shí)容易隨著時(shí)間的推移而淡忘，培訓(xùn)部門(mén)在制定培訓(xùn)計(jì)劃和內(nèi)容是需要充分考慮到培訓(xùn)效果?！　≡谌粘５男畔踩嘤?xùn)過(guò)程中，信息安全意識(shí)和理論類(lèi)的培訓(xùn)可以通過(guò)定期舉辦的信息安全講座，公司內(nèi)部的期刊文物，內(nèi)部網(wǎng)站和標(biāo)語(yǔ)等形式進(jìn)行，而實(shí)踐操作類(lèi)的培訓(xùn)則可以采取演講演示、案例研究和實(shí)際操作的方式。其培訓(xùn)重點(diǎn)主要集中日常工作中的角色和責(zé)任以及對(duì)相應(yīng)的政策和程序的學(xué)習(xí)?！　。?）面向普通員工培訓(xùn)普通員工是信息安全建設(shè)工作的最基層，負(fù)責(zé)具體制度和流程上的操作和處理。除了掌握基礎(chǔ)的信息安全意識(shí)之外，還需偏重于不斷學(xué)習(xí)信息安全防范技術(shù)以及新型信息安全產(chǎn)品的使用，如系統(tǒng)安全、網(wǎng)絡(luò)安全、訪問(wèn)控制技術(shù)、身份認(rèn)證技術(shù)以及識(shí)別信息系統(tǒng)中的安全風(fēng)險(xiǎn)。另外，了解 ISO27001 信息安全管理體系可方便管理層督促、規(guī)劃信息安全工作，識(shí)別信息安全風(fēng)險(xiǎn)和提高博士公司的抗風(fēng)險(xiǎn)能力，也可讓管理層把信息安全作為年終的績(jī)效考核與每一位員工的利益掛鉤。由于對(duì)象的層次較高，培訓(xùn)內(nèi)容可更偏重于宏觀，如信息安全知識(shí)體系、公司的風(fēng)險(xiǎn)管理、資源需求、企業(yè)信息安全政策、績(jī)效評(píng)估等?！　‰m然信息安全培訓(xùn)是面向博士公司全員，但根據(jù)職位高低和工作性質(zhì)不同，公司對(duì)員工的信息安全意識(shí)要求也會(huì)不同。　　要想提高企業(yè)內(nèi)部人員的信息安全意識(shí)，必須在日常的工作中加強(qiáng)對(duì)員工這方面的教育和培訓(xùn)。在任何信息安全管理體系中，無(wú)論制度制定的多么完善，如果制度執(zhí)行的主體不了解或不認(rèn)同，再好的流程制度都無(wú)法得以落地?！　。?）外部公開(kāi)信息“外部公開(kāi)信息”是指公司已經(jīng)在媒體或其他公開(kāi)場(chǎng)合公布的信息，社會(huì)公眾可以免費(fèi)獲取，且該信息的泄露不會(huì)給公司和員工造成危害?！　。?）內(nèi)部公開(kāi)信息“內(nèi)部公開(kāi)信息”是指公司不能或無(wú)法對(duì)公眾開(kāi)放的信息，擅自使用或泄露會(huì)對(duì)公司或員工造成一定的負(fù)面影響。（2）機(jī)密信息“機(jī)密信息”是指該信息公司外部以及競(jìng)爭(zhēng)對(duì)手通常不知道的，具有一定商業(yè)價(jià)值的。【3】　　　　當(dāng)前，博士公司對(duì)信息資產(chǎn)保護(hù)的工作重點(diǎn)應(yīng)該落在信息資產(chǎn)識(shí)別和分類(lèi)上?！　?識(shí)別各類(lèi)信息資產(chǎn)重要等級(jí)進(jìn)行分級(jí)保護(hù)　　在對(duì)博士公司信息資產(chǎn)進(jìn)行保護(hù)時(shí)，信息安全相關(guān)人員首先應(yīng)該明確什么才是安全策略和制度所應(yīng)該保護(hù)的對(duì)象，如果無(wú)法識(shí)別被保護(hù)的對(duì)象，那各種安全措施也就無(wú)從談起?！?】　　　　從上圖中可以看到，信息安全管理委員會(huì)、信息安全管理小組、信息安全執(zhí)行小組和各職能部門(mén)分別代表了決策、管理、執(zhí)行和用戶(hù)四個(gè)層面覆蓋了整個(gè)博士公司的整個(gè)企業(yè)，為后續(xù)的信息安全措施和制度的執(zhí)行打下了堅(jiān)實(shí)的組織基礎(chǔ)，同時(shí)也使得信息安全工作滲透到企業(yè)的每個(gè)角落。另外，信息安全管理人員也不再隸屬于 IT 部門(mén)，而是單獨(dú)成立了信息安全管理和執(zhí)行組并擔(dān)任這兩個(gè)小組的負(fù)責(zé)人，制定日常的信息安全管理制度并監(jiān)督和審計(jì)各部門(mén)的實(shí)施情況，直接向公司 CSO 甚至 CEO 匯報(bào)。首先，設(shè)立首席安全官（CSO）職位，負(fù)責(zé)博士公司日常信息安全團(tuán)隊(duì)的管理和運(yùn)營(yíng)，負(fù)責(zé)主持整個(gè)企業(yè)的信息安全工作。　　根據(jù)博士公司現(xiàn)有的企業(yè)組織架構(gòu)特點(diǎn)建立的信息安全組織架構(gòu)?！　。?）結(jié)合博士公司期望的信息安全目標(biāo)以及現(xiàn)有的情況設(shè)立信息安全組織構(gòu)架。同時(shí)，讓業(yè)務(wù)部門(mén)參與信息安全工作可以避免信息安全人員因?yàn)椴涣私鈽I(yè)務(wù)而制定出無(wú)法適應(yīng)業(yè)務(wù)需求和發(fā)展的可執(zhí)行信息安全制度。另外，信息安全委員會(huì)由 CEO 和 CSO（首席安全官）牽頭，無(wú)論在規(guī)劃層面還是執(zhí)行層面，有著權(quán)力支撐和相對(duì)較強(qiáng)的協(xié)調(diào)能力?！　　　?完善企業(yè)信息安全組織結(jié)構(gòu)　　博士公司的信息安全組織架構(gòu)涉及到整個(gè)企業(yè)的成員，從最高的董事會(huì)決策層到普通的基層員工，確保信息安全管理工作的執(zhí)行能覆蓋到組織中的每一個(gè)單元?！　SO27001 信息安全管理體系作為國(guó)際上公認(rèn)的該領(lǐng)域最佳實(shí)踐已經(jīng)被廣泛證明可以適用于各個(gè)行業(yè)的業(yè)務(wù)發(fā)展，作為沒(méi)有監(jiān)管機(jī)構(gòu)提供信息安全指引的博士公司，其完全可以按照使用其方法論來(lái)構(gòu)建一套適合于博士公司的信息安全管理體系。信息安全建設(shè)的目的主要是保證企業(yè)的信息免收各種威脅、業(yè)務(wù)的可持續(xù)性以及內(nèi)部控制和管理的合規(guī)性，其要求的高低是源于企業(yè)的整體戰(zhàn)略，因此戰(zhàn)略和業(yè)務(wù)的需求是建立信息安全管理框架的前提。博士公司目前缺乏一套完整的信息安全管理機(jī)制來(lái)支撐公司的風(fēng)險(xiǎn)管理，信息安全工作無(wú)的放矢。由于博士公司相關(guān)人員缺乏應(yīng)對(duì)信息泄露的機(jī)制和經(jīng)驗(yàn)，即便擁有諸多信息安全設(shè)備，僅 2013年上半年博士公司就有 8 起信息安全事件，其中將近一半的信息安全事件的調(diào)查至今都無(wú)法找到頭緒。在實(shí)地走訪博士公司 CIO的過(guò)程中了解到，博士公司在對(duì)信息安全建設(shè)中還是以技術(shù)防范為主，存在重技術(shù)、輕管理的情況。由于監(jiān)管方面的要求，目前關(guān)于信息系統(tǒng)的符合性管理的主要以塞班斯法案為綱領(lǐng)，由于合規(guī)內(nèi)控部門(mén)的人員大都是為財(cái)務(wù)背景，且在人員崗位中并未設(shè)立專(zhuān)職的信息系統(tǒng)內(nèi)部審計(jì)崗位，再加上相應(yīng)的審計(jì)制度缺失，實(shí)際上目前博士公司對(duì)信息系統(tǒng)的管理未引入嚴(yán)格的內(nèi)部審計(jì)機(jī)制，僅靠外部咨詢(xún)方給予指導(dǎo)性意見(jiàn)?！　。?）訪問(wèn)控制與信息防泄露目前博士公司的訪問(wèn)控制機(jī)制并不健全，只要有系統(tǒng)權(quán)限的人員可以自公司任何一臺(tái)電腦或終端上訪問(wèn)公司的核心業(yè)務(wù)系統(tǒng)并且提取數(shù)據(jù)，再加上沒(méi)有完善的系統(tǒng)留痕和審計(jì)措施，一旦發(fā)生數(shù)據(jù)外泄的事件，也基本無(wú)法把問(wèn)題和原因定位在一個(gè)范圍內(nèi)，增加了排查的難度。（3）對(duì)外包人員疏于管理所有博士公司的員工和第三方外包服務(wù)人員都有責(zé)任和義務(wù)來(lái)上報(bào)信息安全事件和接受相關(guān)人員的調(diào)查，但實(shí)際的情況是外包人員并不屬于博士公司直接管轄，在調(diào)查信息安全事件時(shí)，經(jīng)常由于人員流動(dòng)而無(wú)法明確外包服務(wù)人員的責(zé)任人，外包服務(wù)人員更不會(huì)主動(dòng)上報(bào)信息安全事件。另外，信息安全專(zhuān)員在調(diào)查疑似信息安全事件時(shí)沒(méi)有規(guī)范的調(diào)查流程、方案和紀(jì)律，其調(diào)查過(guò)程和結(jié)果基本取決于調(diào)查人員的過(guò)往經(jīng)驗(yàn)，由于沒(méi)有正式的授權(quán)調(diào)查通知，時(shí)常會(huì)遇到被調(diào)查部門(mén)不配合調(diào)查的情況?！　?信息安全事故管理　　博士公司目前對(duì)于突發(fā)的信息安全事件沒(méi)有體系化的管理機(jī)制，其主要表現(xiàn)在：　?。?）缺乏標(biāo)準(zhǔn)的安全事故響應(yīng)和調(diào)查制度在與博士公司信息安全負(fù)責(zé)人的訪談中了解到，目前博士公司并沒(méi)有制定《信息安全事件處理規(guī)范》這樣的標(biāo)準(zhǔn)流程文檔，發(fā)生信息安全事件時(shí)也沒(méi)有統(tǒng)一的事件上報(bào)流程。并且這樣的測(cè)試條件很可能新開(kāi)發(fā)出來(lái)的系統(tǒng)未經(jīng)過(guò)嚴(yán)格的測(cè)試或試運(yùn)行就上線(xiàn)到生產(chǎn)系統(tǒng)，從而引發(fā)系統(tǒng)本身設(shè)計(jì)缺陷或代碼錯(cuò)誤而導(dǎo)致的整體的業(yè)務(wù)流癱瘓。雖然外包服務(wù)商提供了相應(yīng)交付物和說(shuō)明文檔，但與需求說(shuō)明書(shū)以及雙方簽署的軟件開(kāi)發(fā)合同中的定義存在較大差距?！　?信息系統(tǒng)的獲取開(kāi)發(fā)和維護(hù)　　博士公司的信息技術(shù)部門(mén)在系統(tǒng)的開(kāi)發(fā)和維護(hù)方面的存在安全隱患，其原因主要?dú)w結(jié)于：　　（1）原始的需求整理并未考慮到信息安全因素目前博士公司的應(yīng)用系統(tǒng)在開(kāi)發(fā)初期的需求整理過(guò)程中，并未考慮如身份驗(yàn)證機(jī)制，惡意代碼的防范等系統(tǒng)在安全性方面的要求?！　∪狈ΡＷo(hù)在業(yè)務(wù)過(guò)程中所輸出的各種含有敏感信息的文檔的措施，沒(méi)有采用如數(shù)字證書(shū)、文件水印等加密等技術(shù)保證在傳播的過(guò)程中被惡意截取而導(dǎo)致的敏感信息泄露。由于 IT 運(yùn)營(yíng)維護(hù)團(tuán)隊(duì)的人員復(fù)用情況客觀存在，使得職責(zé)界定變得相對(duì)模糊，容易產(chǎn)生疏忽和誤操作系統(tǒng)的風(fēng)險(xiǎn)。在于各業(yè)務(wù)部門(mén)負(fù)責(zé)人訪談的過(guò)程中，被訪談人幾乎都表示業(yè)務(wù)持續(xù)性計(jì)劃理應(yīng)由 IT 部門(mén)考慮，業(yè)務(wù)部門(mén)并沒(méi)有制定持續(xù)性計(jì)劃的義務(wù)?！　。?）業(yè)務(wù)操作層面：　　由于博士目前的業(yè)務(wù)運(yùn)營(yíng)高度依賴(lài)于 IT 系統(tǒng)，各業(yè)務(wù)部門(mén)并未設(shè)立相應(yīng)的線(xiàn)下業(yè)務(wù)流程。另一方面，信息技術(shù)部在對(duì)于業(yè)務(wù)持續(xù)性管理中所投入資源也比較有限，對(duì)于備份外聯(lián)線(xiàn)路、服務(wù)器存儲(chǔ)的高可用性配置、智能路由等保證 BCP 效果的系統(tǒng)健壯性設(shè)計(jì)存在缺陷?！　?業(yè)務(wù)連續(xù)性管理　　博士公司目前的業(yè)務(wù)持續(xù)性計(jì)劃較為簡(jiǎn)單和初級(jí)，具體原因也可分為信息系統(tǒng)層面和業(yè)務(wù)操作層面兩個(gè)維度?！　。?）業(yè)務(wù)操作層面：　　各部門(mén)對(duì)于自身的人員與崗位職責(zé)劃分并未按照訪問(wèn)控制機(jī)制做嚴(yán)格限定，在訪談過(guò)程中，幾乎所有的部門(mén)成員在日常業(yè)務(wù)操作過(guò)程中都可以接觸到整個(gè)部門(mén)的業(yè)務(wù)數(shù)據(jù)。　　　　 訪問(wèn)控制　　博士公司目前無(wú)論在系統(tǒng)層面還是業(yè)務(wù)操作層面都未制定嚴(yán)格的訪問(wèn)控制機(jī)制，導(dǎo)致目前現(xiàn)狀的原因?yàn)椋骸　。?）信息系統(tǒng)層面：　　博士公司各業(yè)務(wù)部門(mén)的辦公網(wǎng)絡(luò)之間并未采用邏輯隔離的方式，網(wǎng)絡(luò)防火墻中也未采取基于 VLAN 分割原則而定義的訪問(wèn)控制策略，任何的電腦終端（包括本身不是博士公司員工的第三方外包服務(wù)人員）都可以毫無(wú)阻擋地連接數(shù)據(jù)中心用來(lái)存儲(chǔ)業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)庫(kù)服務(wù)器?！　〕松鲜鎏岬降拇嬖谟跀?shù)據(jù)中心的物理安全威脅外，掌握大量企業(yè)紙質(zhì)材料（信息）的作業(yè)管理部和財(cái)務(wù)部的物理安全也存在較大的問(wèn)題，其在辦公物理位置的規(guī)劃中并沒(méi)有考慮到信息安全因素?！　。?）網(wǎng)絡(luò)跳線(xiàn)：　　各機(jī)柜內(nèi)以及各機(jī)柜之間的網(wǎng)絡(luò)跳線(xiàn)凌亂，未按照數(shù)據(jù)中心機(jī)房的建設(shè)標(biāo)準(zhǔn)來(lái)進(jìn)行規(guī)范的走線(xiàn)，每條網(wǎng)絡(luò)跳線(xiàn)末端也未有明確的標(biāo)識(shí)，出現(xiàn)故障時(shí)較難采取排障措施?！　。?）服務(wù)器管理：　　由于數(shù)據(jù)中心實(shí)際的物理面積限制無(wú)法再架設(shè)機(jī)柜，有多臺(tái)服務(wù)器因?yàn)闆](méi)有機(jī)柜可以固定上架，臨時(shí)堆放在數(shù)據(jù)中心的防靜電地板上，容易造成損壞。增加的兩個(gè)機(jī)柜直接由市電提供電力，并非按照機(jī)房用電標(biāo)準(zhǔn)采用 UPS（不間斷電源）來(lái)進(jìn)行供電。另外，若僅有的 1 臺(tái)空調(diào)出現(xiàn)意外停止工作，容易造成環(huán)境溫度升高（尤其在夏天）而導(dǎo)致的服務(wù)器當(dāng)機(jī)，引發(fā)業(yè)務(wù)的中斷?！　?物理和環(huán)境安全　　由于考慮到辦公場(chǎng)地成本，博士公司在日常的辦公場(chǎng)地中隔出一個(gè)區(qū)域作為數(shù)據(jù)中心。　?。?）人員復(fù)用出于人力資源成本的考慮，博士公司的員工通常身兼數(shù)職，人員復(fù)用的情況在各部門(mén)之中普遍存在，甚至?xí)霈F(xiàn)大量的第三方外包人員介入博士公司的核心業(yè)務(wù)，不可避免的接觸到核心業(yè)務(wù)數(shù)據(jù)。由于信息安全不會(huì)給博士公司帶來(lái)經(jīng)濟(jì)收益，大部分員工都認(rèn)為不采取措施不一定會(huì)造成損失，因而也不愿意把時(shí)間和精力投入到信息安全保護(hù)上。而博士公司內(nèi)部也沒(méi)有人員來(lái)兼顧原本這些部門(mén)和崗位所應(yīng)承擔(dān)的職責(zé)。但在擬定時(shí)并未做信息安全方面的考慮，其主要表現(xiàn)在一下幾個(gè)方面：　?。?）組織構(gòu)架在確定整個(gè)企業(yè)的組織架構(gòu)時(shí)，組織的內(nèi)部治理和風(fēng)險(xiǎn)控制并未涉及到信息安全。因此，目前博士公司需要一套完整的資產(chǎn)管理和分級(jí)分類(lèi)制度來(lái)規(guī)范和管理其所擁有的資產(chǎn)。　　此外，在對(duì)于企業(yè)的固定資產(chǎn)管理的調(diào)查研究中也遇到了同樣的問(wèn)題，由于沒(méi)有嚴(yán)格的固定資產(chǎn)管理規(guī)范?！　?資產(chǎn)管理　　在訪談過(guò)程中，很少有部門(mén)可以提供一份完整的信息資產(chǎn)清單，即使提供的清單中大都是通過(guò)經(jīng)驗(yàn)來(lái)主觀判定信息自然的重要程度和分類(lèi)等級(jí)。各部門(mén)也沒(méi)有與公司信息安全相關(guān)人員建立工作上的接口，沒(méi)有指定專(zhuān)人負(fù)責(zé)協(xié)調(diào)各部門(mén)內(nèi)部來(lái)配合公司整體信息安全建設(shè)?！　?信息安全組織　　博士公司管理決策層在信息安全組織方面目前缺乏政策面支持，尚未成立信息安全管理委員會(huì)，也沒(méi)有其他行政職能部門(mén)分管信息安全建設(shè)工作。既沒(méi)有定義明確的審計(jì)對(duì)象、審計(jì)范圍，也沒(méi)有制定審計(jì)方式以及保證審計(jì)結(jié)果無(wú)誤的相關(guān)審計(jì)方法?！　×硗猓嗨狗ò笇?duì)企業(yè)的信息系統(tǒng)審計(jì)有一定要求，但博士公司在信息系統(tǒng)內(nèi)部審計(jì)方面并沒(méi)有引起足夠的重視，未把信息系統(tǒng)內(nèi)部審計(jì)上升到與財(cái)務(wù)內(nèi)部審計(jì)一樣的高度。由于是信息安全方針是一個(gè)綱領(lǐng)性的文件，缺少相應(yīng)的配套流程