【正文】 專門的信息安全審計(jì)師的職位， 目前部門內(nèi)人員的職業(yè)背景大都是財(cái)務(wù)相關(guān)，并非 IT 相關(guān)領(lǐng)域，對(duì)信息系統(tǒng)的安全審計(jì)難免生疏，在實(shí)施對(duì)信息系統(tǒng)的審計(jì)過程中往往心有余而力不足，有時(shí)也會(huì)偶爾發(fā)生為了應(yīng)付外部審計(jì)師而采取臨時(shí)唆使信息技術(shù)部的員工來編造審計(jì)記錄的違規(guī)事宜。　　 資產(chǎn)管理　　在訪談過程中，很少有部門可以提供一份完整的信息資產(chǎn)清單，即使提供的清單中大都是通過經(jīng)驗(yàn)來主觀判定信息自然的重要程度和分類等級(jí)。歸根產(chǎn)生這一情況的原因是目前博士公司并沒有建立資產(chǎn)的分類和分級(jí)制度，因此在執(zhí)行層面上無法進(jìn)行信息資產(chǎn)的分類和分級(jí)?！　〈送?，在對(duì)于企業(yè)的固定資產(chǎn)管理的調(diào)查研究中也遇到了同樣的問題，由于沒有嚴(yán)格的固定資產(chǎn)管理規(guī)范。在實(shí)際的調(diào)查過程中發(fā)現(xiàn)，離職員工的筆記本電腦的回收和再次分配出現(xiàn)了嚴(yán)重的混亂情況，IT 部門的維護(hù)列表中的信息與財(cái)務(wù)的固定資產(chǎn)表中的信息存在較大的誤差，在財(cái)務(wù)的固定資產(chǎn)表中，甚至出現(xiàn)了固定資產(chǎn)的使用人是已經(jīng)離職的人員這樣的情況。因此，目前博士公司需要一套完整的資產(chǎn)管理和分級(jí)分類制度來規(guī)范和管理其所擁有的資產(chǎn)。　　 人力資源安全　　目前博士公司目前的人力資源在人員招募、績(jī)效考核、薪酬制定、員工培訓(xùn)、人才關(guān)系等管理過程中擁有了一套相對(duì)完善的流程和制度。但在擬定時(shí)并未做信息安全方面的考慮，其主要表現(xiàn)在一下幾個(gè)方面：　?。?）組織構(gòu)架在確定整個(gè)企業(yè)的組織架構(gòu)時(shí)，組織的內(nèi)部治理和風(fēng)險(xiǎn)控制并未涉及到信息安全。因此從決策層、到落地層并沒有設(shè)立信息安全委員會(huì)、信息安全執(zhí)行小組、以及各業(yè)務(wù)部門的信息安全接口崗等部門或崗位。而博士公司內(nèi)部也沒有人員來兼顧原本這些部門和崗位所應(yīng)承擔(dān)的職責(zé)?！　。?）員工行為規(guī)范和安全意識(shí)博士公司在對(duì)其員工的日常管理中主要參照《博士公司員工手冊(cè)》為管理依據(jù)，但“手冊(cè)”中的細(xì)則并未涉及到如電子郵件使用規(guī)范、數(shù)據(jù)（信息）傳輸規(guī)范、數(shù)據(jù)（信息）存儲(chǔ)規(guī)范這樣的信息安全領(lǐng)域。由于信息安全不會(huì)給博士公司帶來經(jīng)濟(jì)收益，大部分員工都認(rèn)為不采取措施不一定會(huì)造成損失，因而也不愿意把時(shí)間和精力投入到信息安全保護(hù)上。博士公司本身也迫于業(yè)績(jī)壓力的影響和業(yè)務(wù)各項(xiàng)資源限制，未對(duì)員工展開定期的信息安全意識(shí)培訓(xùn)?！　。?）人員復(fù)用出于人力資源成本的考慮，博士公司的員工通常身兼數(shù)職，人員復(fù)用的情況在各部門之中普遍存在，甚至?xí)霈F(xiàn)大量的第三方外包人員介入博士公司的核心業(yè)務(wù)，不可避免的接觸到核心業(yè)務(wù)數(shù)據(jù)。無論是員工還是第三方外包人員，在于博士公司簽訂合同或協(xié)議時(shí)并未涉及到數(shù)據(jù)保密義務(wù)的條款?！　?物理和環(huán)境安全　　由于考慮到辦公場(chǎng)地成本，博士公司在日常的辦公場(chǎng)地中隔出一個(gè)區(qū)域作為數(shù)據(jù)中心。在對(duì)數(shù)據(jù)中心的調(diào)研工作過程中發(fā)現(xiàn)，作為博士公司的業(yè)務(wù)中樞，數(shù)據(jù)中心的27物理環(huán)境中無法滿足 BCP（業(yè)務(wù)持續(xù)性計(jì)劃）要求，存在著幾個(gè)重要的安全隱患：　?。?）環(huán)境溫度：　　整個(gè)數(shù)據(jù)中心僅配有 1 臺(tái)家用的 匹立式空調(diào)，由于數(shù)據(jù)中心內(nèi)所存放的服務(wù)器大都對(duì)環(huán)境的溫度和濕度有嚴(yán)格要求，在建立數(shù)據(jù)中心時(shí)一般會(huì)按照標(biāo)準(zhǔn)采用專用的精密空調(diào)。另外，若僅有的 1 臺(tái)空調(diào)出現(xiàn)意外停止工作，容易造成環(huán)境溫度升高（尤其在夏天）而導(dǎo)致的服務(wù)器當(dāng)機(jī)，引發(fā)業(yè)務(wù)的中斷?！　。?）電力系統(tǒng)：　　整個(gè)數(shù)據(jù)中心僅有 20 個(gè)平方左右，起初在設(shè)計(jì)時(shí)僅考慮到 3 個(gè) 42U 機(jī)柜的用電負(fù)荷，但目前設(shè)置了 5 個(gè)標(biāo)準(zhǔn) 42U 的機(jī)柜。增加的兩個(gè)機(jī)柜直接由市電提供電力，并非按照機(jī)房用電標(biāo)準(zhǔn)采用 UPS（不間斷電源）來進(jìn)行供電。若發(fā)生停電，采用市電的服務(wù)器會(huì)立即停止工作，甚至出現(xiàn)不穩(wěn)定的電流而導(dǎo)致服務(wù)器硬件被損壞，短時(shí)間無法修復(fù)的情況。　?。?）服務(wù)器管理：　　由于數(shù)據(jù)中心實(shí)際的物理面積限制無法再架設(shè)機(jī)柜，有多臺(tái)服務(wù)器因?yàn)闆]有機(jī)柜可以固定上架，臨時(shí)堆放在數(shù)據(jù)中心的防靜電地板上，容易造成損壞。機(jī)柜內(nèi)的服務(wù)器也并未按照標(biāo)準(zhǔn)把服務(wù)器的 IP 地址、管理員、使用用途等信息采用標(biāo)簽的形式標(biāo)注。　?。?）網(wǎng)絡(luò)跳線：　　各機(jī)柜內(nèi)以及各機(jī)柜之間的網(wǎng)絡(luò)跳線凌亂，未按照數(shù)據(jù)中心機(jī)房的建設(shè)標(biāo)準(zhǔn)來進(jìn)行規(guī)范的走線，每條網(wǎng)絡(luò)跳線末端也未有明確的標(biāo)識(shí)，出現(xiàn)故障時(shí)較難采取排障措施?！　。?）備用線路：　　整個(gè)博士公司的數(shù)據(jù)中心目前只有一條線路連接 Internet，并沒有考慮備用或應(yīng)急線路，一旦此線路出現(xiàn)故障，博士公司整個(gè)業(yè)務(wù)系統(tǒng)對(duì)外的服務(wù)都將癱瘓?！　〕松鲜鎏岬降拇嬖谟跀?shù)據(jù)中心的物理安全威脅外，掌握大量企業(yè)紙質(zhì)材料（信息）的作業(yè)管理部和財(cái)務(wù)部的物理安全也存在較大的問題，其在辦公物理位置的規(guī)劃中并沒有考慮到信息安全因素。非但辦公室并沒有設(shè)立門禁系統(tǒng)，任何博士公司的員工都可以隨意進(jìn)出，而且也并未設(shè)立專用的紙質(zhì)文件歸檔室，目前的紙質(zhì)文件和憑證隨意堆放在辦公區(qū)域的走廊中，也未安排專人進(jìn)行定期核對(duì)和盤點(diǎn)?！　　　?訪問控制　　博士公司目前無論在系統(tǒng)層面還是業(yè)務(wù)操作層面都未制定嚴(yán)格的訪問控制機(jī)制，導(dǎo)致目前現(xiàn)狀的原因?yàn)椋骸　。?）信息系統(tǒng)層面：　　博士公司各業(yè)務(wù)部門的辦公網(wǎng)絡(luò)之間并未采用邏輯隔離的方式，網(wǎng)絡(luò)防火墻中也未采取基于 VLAN 分割原則而定義的訪問控制策略，任何的電腦終端（包括本身不是博士公司員工的第三方外包服務(wù)人員）都可以毫無阻擋地連接數(shù)據(jù)中心用來存儲(chǔ)業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)庫(kù)服務(wù)器。另外，訪問控制機(jī)制的不足也會(huì)擾亂各業(yè)務(wù)部門之間的數(shù)據(jù)流向，一旦發(fā)生信息安全事件時(shí)，由于無法準(zhǔn)確追蹤數(shù)據(jù)流，給排查工作造成障礙?！　。?）業(yè)務(wù)操作層面：　　各部門對(duì)于自身的人員與崗位職責(zé)劃分并未按照訪問控制機(jī)制做嚴(yán)格限定，在訪談過程中，幾乎所有的部門成員在日常業(yè)務(wù)操作過程中都可以接觸到整個(gè)部門的業(yè)務(wù)數(shù)據(jù)。各部門內(nèi)并未對(duì)數(shù)據(jù)接觸的對(duì)象按照安全等級(jí)進(jìn)行明確的劃分?！　?業(yè)務(wù)連續(xù)性管理　　博士公司目前的業(yè)務(wù)持續(xù)性計(jì)劃較為簡(jiǎn)單和初級(jí)，具體原因也可分為信息系統(tǒng)層面和業(yè)務(wù)操作層面兩個(gè)維度?！　。?）信息系統(tǒng)層面：　　博士公司的信息技術(shù)部門在應(yīng)對(duì)業(yè)務(wù)出現(xiàn)中斷時(shí)缺乏排障的能力和恢復(fù)能力，由于物理環(huán)境、訪問控制、以及權(quán)限管理等方面存在不足，使得一旦系統(tǒng)出現(xiàn)無法運(yùn)營(yíng)的狀態(tài)，運(yùn)營(yíng)和維護(hù)人員無法快速定位和解決問題。另一方面，信息技術(shù)部在對(duì)于業(yè)務(wù)持續(xù)性管理中所投入資源也比較有限，對(duì)于備份外聯(lián)線路、服務(wù)器存儲(chǔ)的高可用性配置、智能路由等保證 BCP 效果的系統(tǒng)健壯性設(shè)計(jì)存在缺陷。另外，對(duì)于可能造成業(yè)務(wù)中斷的情況缺乏足夠的應(yīng)急預(yù)案和流程?！　。?）業(yè)務(wù)操作層面：　　由于博士目前的業(yè)務(wù)運(yùn)營(yíng)高度依賴于 IT 系統(tǒng)，各業(yè)務(wù)部門并未設(shè)立相應(yīng)的線下業(yè)務(wù)流程。一旦 IT 系統(tǒng)遭受了黑客攻擊或意外中斷，無法短時(shí)間修復(fù)時(shí)，博士公司的業(yè)務(wù)將全面癱瘓。在于各業(yè)務(wù)部門負(fù)責(zé)人訪談的過程中，被訪談人幾乎都表示業(yè)務(wù)持續(xù)性計(jì)劃理應(yīng)由 IT 部門考慮，業(yè)務(wù)部門并沒有制定持續(xù)性計(jì)劃的義務(wù)。　　 通訊與操作管理　　目前博士公司的并沒有對(duì)生產(chǎn)環(huán)境中的操作終端進(jìn)行嚴(yán)格管理，也沒有制定出相應(yīng)的操作程序和操作文檔。由于 IT 運(yùn)營(yíng)維護(hù)團(tuán)隊(duì)的人員復(fù)用情況客觀存在，使得職責(zé)界定變得相對(duì)模糊，容易產(chǎn)生疏忽和誤操作系統(tǒng)的風(fēng)險(xiǎn)?！　「鳂I(yè)務(wù)終端在與實(shí)際的后臺(tái)服務(wù)器進(jìn)行交互數(shù)據(jù)時(shí)未經(jīng)過加密處理，數(shù)據(jù)在使用明文傳輸時(shí)容易被黑客劫取，并且博士公司內(nèi)部并沒有定義嚴(yán)格的訪問控制策略，一旦出現(xiàn)數(shù)據(jù)在傳輸過程中被劫取無從追查?！　∪狈ΡＷo(hù)在業(yè)務(wù)過程中所輸出的各種含有敏感信息的文檔的措施，沒有采用如數(shù)字證書、文件水印等加密等技術(shù)保證在傳播的過程中被惡意截取而導(dǎo)致的敏感信息泄露?！　〔┦抗镜恼麄€(gè)信息系統(tǒng)還沒有一個(gè)統(tǒng)一的運(yùn)維和監(jiān)控管理平臺(tái)，在日常的系統(tǒng)運(yùn)行中倘若信息系統(tǒng)發(fā)生故障，目前大都是系統(tǒng)用戶發(fā)現(xiàn)無法進(jìn)行正常的業(yè)務(wù)操作而報(bào)障給運(yùn)維人員，運(yùn)維人員很難第一時(shí)間發(fā)現(xiàn)并采取補(bǔ)救措施從而降低對(duì)正常業(yè)務(wù)的影響?！　?信息系統(tǒng)的獲取開發(fā)和維護(hù)　　博士公司的信息技術(shù)部門在系統(tǒng)的開發(fā)和維護(hù)方面的存在安全隱患，其原因主要?dú)w結(jié)于：　?。?）原始的需求整理并未考慮到信息安全因素目前博士公司的應(yīng)用系統(tǒng)在開發(fā)初期的需求整理過程中，并未考慮如身份驗(yàn)證機(jī)制，惡意代碼的防范等系統(tǒng)在安全性方面的要求。　?。?）無階段性驗(yàn)收標(biāo)準(zhǔn)信息技術(shù)部大量雇傭了軟件外包人員做系統(tǒng)底層的代碼編寫，系統(tǒng)從開發(fā)階段到運(yùn)行各階段，并沒有規(guī)范的驗(yàn)收標(biāo)準(zhǔn)和里程碑。雖然外包服務(wù)商提供了相應(yīng)交付物和說明文檔，但與需求說明書以及雙方簽署的軟件開發(fā)合同中的定義存在較大差距?！　。?）系統(tǒng)測(cè)試和試運(yùn)行由于業(yè)務(wù)系統(tǒng)沒有專用的測(cè)試和試運(yùn)行環(huán)境，測(cè)試工作目前都是通過在開發(fā)人員或測(cè)試人員的本機(jī)中運(yùn)行（PC 機(jī)），為了滿足測(cè)試要求，需要將生產(chǎn)環(huán)境中的業(yè)務(wù)數(shù)據(jù)導(dǎo)入到測(cè)試人員的本機(jī)中，無疑增加了業(yè)務(wù)數(shù)據(jù)泄露的可能性。并且這樣的測(cè)試條件很可能新開發(fā)出來的系統(tǒng)未經(jīng)過嚴(yán)格的測(cè)試或試運(yùn)行就上線到生產(chǎn)系統(tǒng)，從而引發(fā)系統(tǒng)本身設(shè)計(jì)缺陷或代碼錯(cuò)誤而導(dǎo)致的整體的業(yè)務(wù)流癱瘓。另外，由于沒有專職的軟件測(cè)試人員，目前的測(cè)試工作大都由博士公司的開發(fā)人員或第三方軟件開發(fā)供應(yīng)商來承擔(dān)測(cè)試任務(wù)，由于沒有專門的測(cè)試人員來檢查開發(fā)出來的產(chǎn)品質(zhì)量，博士公司在軟件品質(zhì)保證方面基本處于缺失狀態(tài)。　　 信息安全事故管理　　博士公司目前對(duì)于突發(fā)的信息安全事件沒有體系化的管理機(jī)制，其主要表現(xiàn)在：　?。?）缺乏標(biāo)準(zhǔn)的安全事故響應(yīng)和調(diào)查制度在與博士公司信息安全負(fù)責(zé)人的訪談中了解到，目前博士公司并沒有制定《信息安全事件處理規(guī)范》這樣的標(biāo)準(zhǔn)流程文檔，發(fā)生信息安全事件時(shí)也沒有統(tǒng)一的事件上報(bào)流程?，F(xiàn)有的情況是上報(bào)人不通過其直屬上司直接將疑似信息安全事件上報(bào)到公司信息技術(shù)部負(fù)責(zé)人 CIO 處，上報(bào)人往往不能判斷所上報(bào)事件是否屬于信息安全事件，也無法在上報(bào)時(shí)為調(diào)查人員提供第一手的調(diào)查線索。另外，信息安全專員在調(diào)查疑似信息安全事件時(shí)沒有規(guī)范的調(diào)查流程、方案和紀(jì)律，其調(diào)查過程和結(jié)果基本取決于調(diào)查人員的過往經(jīng)驗(yàn)，由于沒有正式的授權(quán)調(diào)查通知，時(shí)常會(huì)遇到被調(diào)查部門不配合調(diào)查的情況?！　。?）基層員工上報(bào)信息安全事件意識(shí)在對(duì)于基層員工的調(diào)查問卷統(tǒng)計(jì)結(jié)果顯示，有超過 90%以上的基層員工對(duì)什么是信息安全事件，以及發(fā)生信息安全事件后應(yīng)該向那些部門和崗位反映無從知曉，目前所統(tǒng)計(jì)的信息安全事件在企業(yè)的運(yùn)營(yíng)中很可能是“冰山一角”，有大量未被上報(bào)而實(shí)際發(fā)生的信息安全風(fēng)險(xiǎn)隱藏在員工的日常工作中，也不排除員工因害怕信息安全事件的追查結(jié)果會(huì)威脅到上報(bào)人或其他相關(guān)人員本身的利益。（3）對(duì)外包人員疏于管理所有博士公司的員工和第三方外包服務(wù)人員都有責(zé)任和義務(wù)來上報(bào)信息安全事件和接受相關(guān)人員的調(diào)查，但實(shí)際的情況是外包人員并不屬于博士公司直接管轄，在調(diào)查信息安全事件時(shí)，經(jīng)常由于人員流動(dòng)而無法明確外包服務(wù)人員的責(zé)任人，外包服務(wù)人員更不會(huì)主動(dòng)上報(bào)信息安全事件?！　。?）信息系統(tǒng)維護(hù)人員職責(zé)不清由于人員成本的問題，目前信息系統(tǒng)的開發(fā)與維護(hù)人員的職責(zé)并未嚴(yán)格劃定清晰，運(yùn)維和開發(fā)人員并沒有形成兩權(quán)分立相互制約的機(jī)制，導(dǎo)致同時(shí)都具有系統(tǒng)架構(gòu)底層以及查看和操作生產(chǎn)數(shù)據(jù)的權(quán)限，以至于發(fā)生信息安全事件時(shí)，無法及時(shí)準(zhǔn)確的找到運(yùn)營(yíng)以及快速的定位責(zé)任人。　?。?）訪問控制與信息防泄露目前博士公司的訪問控制機(jī)制并不健全，只要有系統(tǒng)權(quán)限的人員可以自公司任何一臺(tái)電腦或終端上訪問公司的核心業(yè)務(wù)系統(tǒng)并且提取數(shù)據(jù)，再加上沒有完善的系統(tǒng)留痕和審計(jì)措施，一旦發(fā)生數(shù)據(jù)外泄的事件，也基本無法把問題和原因定位在一個(gè)范圍內(nèi)，增加了排查的難度?！　?符合性　　博士公司本身屬于國(guó)內(nèi)公司，但與 2011 年登錄紐約交易所，因此信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、使用、管理都要符合中美兩國(guó)法律、法規(guī)的制約。由于監(jiān)管方面的要求，目前關(guān)于信息系統(tǒng)的符合性管理的主要以塞班斯法案為綱領(lǐng)，由于合規(guī)內(nèi)控部門的人員大都是為財(cái)務(wù)背景，且在人員崗位中并未設(shè)立專職的信息系統(tǒng)內(nèi)部審計(jì)崗位，再加上相應(yīng)的審計(jì)制度缺失，實(shí)際上目前博士公司對(duì)信息系統(tǒng)的管理未引入嚴(yán)格的內(nèi)部審計(jì)機(jī)制，僅靠外部咨詢方給予指導(dǎo)性意見。　　 防信息泄露　　系統(tǒng)化的管理機(jī)制在企業(yè)的整個(gè)信息安全工作中是相當(dāng)重要的，相較于傳統(tǒng)的信息安全技術(shù)，系統(tǒng)化的信息安全管理機(jī)制則相對(duì)偏“軟”。在實(shí)地走訪博士公司 CIO的過程中了解到，博士公司在對(duì)信息安全建設(shè)中還是以技術(shù)防范為主，存在重技術(shù)、輕管理的情況。目前在業(yè)務(wù)系統(tǒng)后端部署有防火墻系統(tǒng)、入侵檢測(cè)設(shè)備、上網(wǎng)行為管理等信息安全設(shè)備，而在前端（各業(yè)務(wù)部門實(shí)際的操作終端）也引入了目前所流行的虛擬化技術(shù)、桌面終端監(jiān)控機(jī)制和 DLP（Data leakage prevention）系統(tǒng)。由于博士公司相關(guān)人員缺乏應(yīng)對(duì)信息泄露的機(jī)制和經(jīng)驗(yàn)，即便擁有諸多信息安全設(shè)備，僅 2013年上半年博士公司就有 8 起信息安全事件，其中將近一半的信息安全事件的調(diào)查至今都無法找到頭緒。在已經(jīng)查處的安全事件中，其中有一例是由于內(nèi)部人員通過合法的途徑繞開重重防護(hù)而將敏感信息傳播到博士公司外部，競(jìng)爭(zhēng)對(duì)手由于事先了解到了這些信息，在產(chǎn)品的設(shè)計(jì)和營(yíng)銷上做了專門的針對(duì)性部署， 由于此次泄露事件，博士公司直接經(jīng)濟(jì)損失達(dá) 1500 萬人名幣，50 多位名高凈值客戶流失。博士公司目前缺乏一套完整的信息安全管理機(jī)制來支撐公司的風(fēng)險(xiǎn)管理，信息安全工作無的放矢。第 5 章 博士公司基于 ISO27001 體系的信息安全管理改進(jìn)方案　　基于博士公司在信息安全領(lǐng)域目前所展現(xiàn)的問題以及其背后的原因分析，結(jié)合前期的業(yè)務(wù)訪談、調(diào)查問卷結(jié)果以及博士公司的整體發(fā)展戰(zhàn)略，本文為解決博士公司目前所暴露的信息安全隱患制定了一系列改善的方案，具體如下：　　 建立體系化的信息安全管理機(jī)制　　目前博士公司缺乏一套體系化的信息安全管理框架為信息安全工作提供理論基礎(chǔ)，信息安全體系建設(shè)也必須以它作為指導(dǎo)依據(jù)，從而達(dá)到公司對(duì)信息安全方面的期望和要求，降低信息安全事件（故）的數(shù)量以及對(duì)企業(yè)所造成的損害。信息安全建設(shè)的目的主要是保證企業(yè)的信息免收各種威脅、業(yè)務(wù)的可持續(xù)性以及內(nèi)部控制和管理的合規(guī)性，其要求的高低是源于企業(yè)的整體戰(zhàn)略，因此戰(zhàn)略和業(yè)務(wù)的需求是建立信息安全管理框架的前提。在已經(jīng)制定了信息安全方針，其具體化了公司戰(zhàn)略對(duì)信息安全的要求，基本明確了信息安全的相關(guān)標(biāo)準(zhǔn)和基線，但還需制定一系列配套的流程和制度來進(jìn)行落地實(shí)施?！　SO27001 信息安全管理體系作為國(guó)際上公認(rèn)的該領(lǐng)域最佳實(shí)踐已經(jīng)被廣泛證明可以適用于各個(gè)行業(yè)的業(yè)務(wù)發(fā)展，作為沒有監(jiān)管機(jī)構(gòu)提供信息安