安全管理论文哪里有?本文首先基于信息安全管理体系、信息安全等级保护等管理模型,使用案例分析、调研访谈及定性定量风险分析等方法,分析出 BY 公司信息系统的几个主要信息安全风险问题,即“信息安全管理制度不健全”,“员工职责范围不明确”以及“缺少成型的员工信息安全培训”,同时总结出这些信息安全风险问题的成因。
1 绪论
1.3.1 国外研究现状
从前,人们获取信息,是通过电视、报纸等传统媒体信息传输方式。而信息技术的出现,彻底改变了人们获取信息的渠道。随着信息技术手段的不断革新,如我们现在熟知的移动网络技术,改变传统信息基础架构的云技术,驱使推送个人定制偏好软件的大数据技术等,都在不断挑战信息安全领域的阈值;另一方面,随着信息安全需求的不断提高,也催生了信息技术的革新与发展[3]。
我们耳熟能详的国际跨国大型企业,如 HP, IBM, SAP 等科技型企业,在企业信息安全风险领域的研究主要从以下几个方面着手:首先,这些国际大型公司不再以信息技术手段本身作为重点突破口,而将更多的工作重心向信息安全管理手段转移;其次,过去的信息安全投资方向是以信息技术基础架构为核心,也就是我们所了解的基础设施层,而近些年的投资重点方向改成了信息技术的应用层,也就是我们所了解的应用系统和相关的应用软件;再次,信息安全管理本身也变成了公司管理体系的一部分,在公司运营的同时,有机的结合了信息安全管理和风险管理的概念和相关措施。
鉴于信息安全这个话题的重要性,欧美国家已经逐步将信息安全作为国家发展的重要议题,相关的理论研究框架和模型也比较多,其中主要包括风险管理的通用框架、风险关系管理模型、风险管理过程、风险管理流程等方面[4]。
例如,学者 Saleh M S 和 Alfantookh A 着重从信息安全风险管理的“范围”和“评估标准”两个方面来阐述信息安全风险管理框架,并从“流程”和“评估工具”两个维度来说明具体的执行操作步骤。该文献从战略,技术,组织,人员和环境几个方面对风险框架做出了进一步分析,并利用知名的六西格玛模型,具体说明了信息安全风险管理的流程[5]。学者 Fenz, Stefan 和 Andreas Ekelhart 从信息安全风险管理的“验证”,“校准”和“评估”三个维度进行分析,通过结合一个虚拟金融机构的案例,来充分说明企业信息安全管理在不同阶段的具体风险管理方法[6]。学者 Broderick, J. Stuart.将企业信息安全风险风险管理程度和风险对业务的影响进行比较分析,从信息的“敏感性”,“重要性”和“资产价值”的维度出发,说明了什么时候应该进行企业信息安全风险评估和管理,以及进行风险评估的具体方法[7]。
3 BY 公司信息安全管理现存问题及分析
3.1 BY 公司简介
BY 公司是 BY 集团下设在中国的直属分公司,主要负责 BY 集团在中国业务当中信息系统建设、运营及日常管理工作。BY 公司成立于 2010 年 10 月,整合了健康消费品、医药保健、动物保健等中国业务部门的全局基础设施管理和信息系统管理。自从公司成立以来,BY 公司在中国成功实施了医药仓储供应链优化项目、健康消费品业务可视化系统项目和动物保健业务基础设施及系统剥离等重大项目。
BY 公司信息系统一共覆盖 3 大主要业务部门,42 个业务子部门。与此同时,BY 公司信息系统的数据信息会与 BY 集团总部的信息系统相连,平行与世界 30 多个国家实现信息系统数据策略共享。自从公司设立以来,基于业务需求已经上线 100 多个应用系统和 6000 多个功能,基本实现了业务国内一体化管理,实现了业务内数据共享,信息联动,系统功能整合,使得工作效率大幅度提升。
3.1.1 BY 公司的发展历程
2010 年 10 月,BY 公司将总部设立在了中国上海。当时 BY 集团在中国下设的业务范围主要针对的是医药保健和健康消费品业务。由于 BY 集团在国外的信息技术部门为国外的业务发展提供了坚实的技术基础和新型解决方案,BY 集团希望将成型的信息技术经验应用到中国业务发展当中,因此,BY 公司应运而生。
2015 年 9 月,随着信息技术手段的迅猛发展以及不断增加的业务需求,BY 集团首次将信息技术部门作为一个主要职能部门,下放在集团业务服务部,主要负责集团信息技术解决方案的规划,全球信息系统整合以及区域信息技术基础设施和项目方案的协调。与此同时,集团面对竞争对手的巨大压力,为了防止客户、合作伙伴以及自主知识产权信息的泄露,构建了集团级别的信息安全管理体系,并将该体系普及到全球各大分公司以及相关信息技术职能部门,以满足当时业务的信息安全需求。
5 BY 公司信息安全管理保障措施
5.1 明确公司信息安全管理计划
(1) 保证本地和 BY 集团总部信息安全管理计划的一致性
BY 公司本地要制定的信息安全管理计划,将隶属于 BY 集团总部全球信息安全管理计划的一部分。当前总部集团信息安全管理的总体方向,是以风险管理为基础、以数据为驱动、以员工为核心来创建信息安全管理计划。因此,BY 公司也将以核心方向此为立足点,构建本地信息安全管理计划。以风险为基础:根据对信息安全风险的评估结果,开发安全工具与服务;以数据为驱动:通过设计,在每个流程中嵌入最新的安全措施;以员工为核心:寻找创新的解决方案,保障现代工作方式的灵活性。
(2) 保证本地信息安全管理计划与本地业务可持续性发展战略协调统一
2019 年 3 月,BY 集团提出了“共享健康,消除饥饿”的愿景。为了实现这个远景,业务部门与 BY 公司在信息技术的多个维度开展深化合作,共同打造数字化变革的可持续性发展战略。当前业务部门的工作重点,主要着眼于保障业务流程相关系统的可持续性运行。在新旧系统更新迭代的同时,业务部门不只关心业务流程是否会受到系统变更的影响,还关心在新系统设计、新旧系统数据迁移过程中的信息安全问题。因此,BY 集团在构建按本地信息安全管理计划的同时,还要考虑到业务部门可持续性使用 BY 公司信息技术服务的安全问题。
(3) 制定组织内部运维管理和项目管理安全策略
制定组织内部安全管理策略。权责分离策略:在对员工进行职责定义时,将有可能产生相互冲突的职责和责任进行分割,以降低未授权访问、无意识修改等带来损失的可能性,如管理岗位与操作岗位权责分离,系统开发岗位与系统运维岗位权责分离等。利益相关方联系管理策略:信息安全管理部门人员,应保持与外部执法部门、政府部门等利益相关方就信息安全事务保持联系。当出现重大安全事件时,应及时与相关方联络并协助其介入处理企业信息安全问题。
5.2 构建与公司信息安全管理相适应的组织架构
如前文所述,BY 公司将设立国内专职信息安全管理部门。在设置该部门后,BY 公司新的组织结构图将如下图 5.1 所示:
在新的组织架构中,BY 公司将给予新建立的信息安全管理部门充分授权。该部门主管人员将直接汇报给 BY 公司总经理,并参与 BY 公司高层领导会议。在会议当中,信息安管部门主管需要将新版信息安全管理制度的制定和执行计划呈现给全体高层管理人员,并在各部门领导综合讨论后,由 BY 公司总经理对新版信息安全管理制度做出最终决策,BY 公司总经理将倡议各部门领导全力配合和支持信息安管部门的工作。
结论
为了更好的面对日益激烈的国内和国际市场竞争,BY 集团和 BY 公司变革步伐的频率只会不断加快,而产业信息化的进程也将不断加速,这将给企业的运营发展和信息安全管理不断带来新的挑战。只有将行之有效的信息安全管理措施和指导思想引入到BY 公司的企业运营管理当中,才能保证 BY 公司持续稳定的运营和发展。
本文首先基于信息安全管理体系、信息安全等级保护等管理模型,使用案例分析、调研访谈及定性定量风险分析等方法,分析出 BY 公司信息系统的几个主要信息安全风险问题,即“信息安全管理制度不健全”,“员工职责范围不明确”以及“缺少成型的员工信息安全培训”,同时总结出这些信息安全风险问题的成因。其次,针对 BY 公司这些主要信息安全风险问题,阐述了具体的风险控制措施,以及部门建设、制度建设、人员管理等方面的信息安全体系建设方案。最后,针对阐述的风险控制方案和体系建设方案,提出 BY 公司信息安全管理的保障措施。
本人在论文研究实践的过程中得到了一点启示,即采取匿名调查,私人访谈的形式,深入了解 BY 公司现存信息安全问题的实际情况。整理到的数据和信息较多,因此,总结出的重点问题具有鲜明的代表性。
然而本人在信息安全领域相关的经验和水平有限,有待在后续的研究过程中进一步完善,同时也将通过对工作经验的积累和理论知识的巩固,对实施过程中的不足之处进行不断的完善和改进。
参考文献(略)
