第 6 章 结论和展望
6.1 结论
博士公司通过引入 ISO27001 信息安全管理体系以及采取了上文中所阐述的解决方案很大程度上提高了公司的信息安全水平,目前信息安全工作已经被纳入企业未来发展的战略中,以下是本次诊断所得出的一些主要结论供同行业企业借鉴。
(1)建立一套逻辑清晰并且适合于企业的信息安全管理框架是开展企业信息安全建设工作的前提,在建立过程中必须以企业的战略和业务目标为指导要求,把信息安全的相关标准层层渗透到企业管理的各个层面,务必使信息安全功能工作从企业的战略管理到执行落地一致统一。
(2)搭建一套实用且经济的信息安全组织构架可以有力的支撑企业的信息安全管理框架。把信息安全要求纳入全员的 KPI 考核指标可以提升信息安全制度执行力,解决信息安全相关制度和流程执行无法及时有效得到落实的问题。
(3)任何管理制度的建设和执行都离不开人,其在信息安全建设中起着举足轻重的作用。加强人员的信息安全意识教育,可以让企业有效的防范未知的风险,在信息安全威胁面前建立起第一道“防火墙”。
(4)由于企业的内部和外部风险在不断的变化,信息安全建设工作需要不断持续有效的改进才能使企业高枕无忧。
6.2 展望
管理信息的目标是为了更好的使用信息,而不是更多的限制信息。信息安全工作从最初的黑客入侵、病毒防范,到现在的数据防泄漏保护。企业采取了各种措施来防止数据泄漏,有些甚至非常极端,如内外网隔离,USB 封锁,Internet 封锁,甚至给计算机主机机箱加锁等等,这些安全措施降低了 IT 技术为企业带来的便利与高效,在信息安全建设过程中不可避免的与业务效率造成矛盾。如何既作到信息开放,同时又能保护企业的信息资产,做好信息安全与业务效率之间平衡,目前在业界中对此类研究的相关的理论和研究成果较少,需要在实际工作中总结相关经验。
参考文献
中文文献
[1] 陈嘉辉. A 企业信息安全管理的研究与改善[D]. 兰州:兰州大学,2011.
[2] 陈旭群. X 银行企业架构管理研究与实践[D]. 厦门:厦门大学,2009.
[3] 陈婉玲,杨文杰.ISACA 信息系统审计准则及其启示[J].审计研究,2006,(S1):108-112.
[4] 陈慧勤. 企业信息安全风险管理的框架研究[D]. 上海:同济大学,2006.
[5] 陈光. 信息系统信息安全风险管理方法研究[D]. 长沙:国防科学技术大学,2006.
[6] 陈恒. 基于业务流程的信息安全风险评估方法研究[D]. 西安:陕西师范大学,2012.
[7] 春增军. 基于 ISO 27001 的企业信息安全保障体系的构建设想[J]. 情报杂志,2009,28(5):155-158,162.
[8] 杜国栋 .企业内部控制及风险管理解析[J]. 经济研究迂刊,2010,(2):154-155.
[9] 黄水清,朱晓欢. 基于 ISO27001 的数字图书馆信息资产风险评估[J]. 2006,50(11):81,82,120.
[10]胡灵娟. 大型数据中心 ISO27001 信息安全管理体系贯标认证实践[J]. 中国金融电脑,2012,(5):33-37.
[11]李韬. 浅谈 IT 审计和 SOX 审计[EB/OL]. 北京:CIO 时代网,2008[2013-06-18].
[12]刘 霞 . 基 于 ISO27001 的 信 息 安 全 管 理 体 系 规 划 [J]. 电 脑 知 识 与 技术,2010,6(10):2337-2339.
[13]陆预林. 如何进行企业信息安全目标管理设定[J]. 企业科技与发展,2010,(14):187-189.
[14]吕玉伟. 遵循 SOX 法案中的 IT 系统和 IT 审计[J]. 中国内部审计,2008,(5):24-26.
[15]孙建庆. 信息系统运维综合监管平台设计[J]. ELEC TR IC POWER IT,2009,7(3):87-90.
[16]徐黎源. 基于 ISO_IEC27001 体系的中小企业信息安全管理机制研究[D]. 宁 t波:宁波大学,2009.
[17]吴辉. 浅谈企业信息安全管理方案[J].科技情报开发与经济,2010,20(25):109-111.
[18]王玫. 建设银行信息安全管理体系建设研究[D]. 济南:山东大学,2008.
[19]闫兵.企业信息安全概述及防范[J]. 科技咨询,2010,(4):154-156.
[20]杨庆广. 人、技术、管理有机结合保障信息安全[N]. 中国电子报,2006,8:A04.
[21]杨辉. 运用 PDCA 循环法完善信息安全管理体系[J]. 中国公共安全:学术版,2006,(2):78-81.
[22]张定松. 商业银行基于 ITIL 的运维管理和实施规划研究[D]. 北京:首都经济贸易大学,2009.
[23]张少林,陈帮慧. 建立整体安全架构,保障企业信息安全[J]. 中国公共安全:学术版,2009,16(3):94-98.
[24]朱璇. 基于 IOS27001 的信息安全管理体系的研究和实现[D]. 上海:交通大学,2009.
[25]中国信息安全产品测评认证中心.信息安全理论与技术[M]. 人民邮电出版社,2003.
英文文献
[1] ISASA. Cobit5.0[S]. USA,2012.
[2] ISO/IEC. ISO27001[S]. UK,2005.
[3] ISO/IEC. ISO27002[S]. UK,2005.
[4] Yusuf Bhaiji. Network Security Technologies and Solutions[M]. USA:Cisco Press,2008.
[5] John R. Vacca. Managing Information Security[M]..USA:2010.