SC企业信息安全管理优化分析

信息技术在企业经营管理过程中给企业带来方便的同时，日益严峻的信息安全问题也困扰着企业的经营管理者，如何能系统的发现企业存在的信息安全问题并提出相应的建议策略？本文通过信息安全相关理论的学习，分析相关研究者的研究成果，结合 SC 分公司自身的实际状况，通过建立适合 SC 分公司的信息安全管理测量和评价指标体系的方法，将 SC 分公司的实际情况和控制措施对比，找出 SC 分公司存在的信息安全问题，再通过 5-WHY 分析法找出这些问题的根本原因，针对这些原因制定相应的信息安全管理优化策略。这些信息安全管理优化策略的实施使 SC 分公司的信息安全管理水平提高到一个新的高度。
1 绪论

1.1 研究背景与意义

1.1.1 研究背景

  企业的信息安全问题是伴随着企业信息化水平的提高逐渐产生的，在不联网或小范围联网时期，信息安全问题影响范围小，易于控制；大规模联网时期，随着各种应用系统的普及，信息安全问题影响范围广，难以控制。我国企业信息化发展大约经历了以下四个阶段：第一阶段：电子数据的处理。企业拥有了电脑，并处理一些简单的数据。电脑的地位相互对等，没有中心服务器的概念[36]。这阶段的电脑在处理数据中的应用仅限于计算工资、统计账目等，这个阶段电脑仅仅对企业某项业务进行处理，基本不涉及管理内容。第二阶段：一般事务的处理。企业不断增长的业务需求和电脑技术的进步，部门间要求电脑信息能够实现共享。这个阶段电脑在事务处理过程中具备了部分管理功能，但并没有参与企业全面的管理。第三阶段：管理信息系统。MIS（管理信息系统）是一个在人的主导下，通过电脑硬件、软件、通信设备及其他相关办公设备，对信息进行收集、储存、加工和维护的系统。在这个阶段，通过管理信息系统的实施和运行，企业各个部门都会涉及到电脑应用。它以各个部门业务系统为基础，将企业管理思想贯穿其中，通过信息流将企业各部门业务系统联系起来，实现企业的正常运营。通过管理信息系统的运营，企业各级领导能够从中获得管理需要的相关信息，但这些信息的范围主要侧重于企业分支内部。第四阶段：管理决策支持阶段。传统的管理信息系统一般局限于企业分支内部，各个分支有自己相对独立的管理信息系统。互联网技术的发展和应用，使企业各分支机构和关联企业之间的互联成为可能。企业分支由以往相对的孤立的信息系统，变成更大范围网络互联系统的一部分。在这个阶段，企业的各个分支工厂的日常运营高度依赖于信息系统，信息系统提供的数据为各个分支工厂的日常管理和决策提供支撑。总公司通过对各个分支工厂的数据分析，能充分了解各工厂的生产情况品质状况、库存周转率、财务状况等，为公司全局的布局和资源的分配提供决策数据。

1.2 信息安全国内外研究综述

1.2.1 国外信息安全管理综述

  20 世纪科学技术的发展，特别是信息科学技术的发展，给生产力带来了一次大的革命-信息革命[12]。20 世纪 60 年代前的电报、电话等通讯技术的基础和电脑技术的出现，为 20 世纪 60 年代的电脑联网实验提供了最初的条件，20 世纪 70 年代半导体以及微电子技术的飞跃，数字化技术的成熟，为电脑网络走出军事的封闭环境和研究所以及校园奠定了基础。从 Internet 国际互联网的发展来看，其最初是美国军方出于预防核战争对军事指挥系统的毁灭性打击提出的研究课题，之后将其军事用途分离出去，并在科研、教育的校园环境中进一步完善，就变成了解决互连、互通、互操作的技术课题[6]。校园环境相对理想的技术、信息共享使 Internet 的发展忽视了安全问题[34]。20 世纪 90 年代后它从校园环境走上了社会应用，商业应用的需要使人们意识到忽视信息安全的危害。

2 相关概念与理论

2.1 信息安全相关概念及理论

2.1.1 信息及信息安全定义

（1）信息的定义

  信息是指用文字、语音、图像等方式来表示实际内容，它反映了现实世界中事物特征和变化的组合。从人类认识发展的必然规律来看，可将信息（广义）分为数据、信息（狭义）和知识三个层次[19]：①数据：通过独立的观察、测量而得到的原始消息，它是最低层次的信息。②信息：经过组织梳理的数据集。对数据的组织处理包括分类、分级、建立索引与关联等。③知识：经过分析并被理解的信息。对信息的理解是指能够了解数据所对应事物的静态和动态关系并且能够对这些事物的结构、历史或未来行为进行模拟。

（2）信息安全的定义

  信息安全是指在信息的存储、加工和传输等环节中保护信息和信息系统不被非法泄露或更改，而且对合法用户能提供正常服务的相关理论、技术和规范[29]。从安全属性角度看，信息安全涉及以下六大属性即机密性、完整性、验证性、可用性、不可否认性、可控性

2.2 企业信息安全管理策略相关概念

（1）企业信息安全管理策略定义

  企业信息安全管理策略是指企业在信息安全方面制定的一些制度或章程，它们定义了企业的信息安全目标和实现这些目标的方法[25]。信息安全管理策略要有非常清楚、完整的文档描述，形成企业的程序文件，还要有相应的措施来保障信息安全管理策略能不折不扣地执行[28]。企业内部要有行政制度来保证信息安全管理策略的执行，违反企业信息安全管理策略的行为应受到相应的处罚。另外，企业也应该根据其内、外部环境的变化不断地修改和完善信息安全管理策略。 信息安全管理策略不同于技术方案，信息安全管理策略作为保证企业信息安全的指导性文件，它只描述企业在信息安全上要达到的目标和实现方法，对于整个企业信息安全提供全面的指导，为具体的信息安全规定提供框架，其并不涉及具体做什么和怎么做，在信息安全管理策略中不会描述具体使用什么技术和具体技术参数[18]。

（2）企业信息安全管理策略的制定

  企业制定的信息安全管理策略应该基于企业各个业务系统模块，服务于企业各业务单位。制定信息安全管理策略首先要确定企业各业务部门之间的相互关系，部门之间采用什么样的联络方式，部门内部及部门间的数据流及信息流内容及方式，每个部门的业务运作方式等等，随着企业业务的发展，这些因素可能会有变化，因此，必要时要对信息安全管理策略进行改进和优化。一个企业制定的信息安全管理策略既要考虑当下的业务状态，做到现实可行，也要考虑到未来一段时间内企业业务发展要求和信息安全趋势。企业不应该急于制定信息安全管理策略来保证其信息安全，在这之前首先要确定信息安全测量和评估方法，明确哪些是企业需要保护的，在需要保护的各项中哪些是最先要保护的，在这些需要保护的各项中需要付出多大的代价去保护。信息安全评估中经常会用到风险评估方法，风险评估是通过计算、分析、测量相关信息系统存在的威胁和弱点[22]，评估安全事件发生的概率和发生后可能给企业造成的损失，并提出相应的防护措施和改善方案，将风险控制在企业能承受的范围，最大程度地保证企业的信息安全。

3 SC 分公司信息安全现状

3.1 SC 分公司概况

3.2 SC 分公司信息安全现状

4 SC 分公司信息安全管理指标体系设计 

4.1 信息安全管理指标体系设计原则 

4.2 SC 分公司信息安全管理指标体系设计 

5 SC 分公司信息安全管理问题及原因分析

5.1 SC 分公司基于指标的信息安全管理统计分析

5.2 SC 分公司信息安全管理问题 

5.3 SC 分公司信息安全管理问题的原因分析

6 SC 分公司信息安全管理优化策略制定及实施

6.1 SC 分公司信息安全管理优化策略目标

6.2 SC 分公司信息安全管理优化策略制定

6.3 SC 分公司信息安全管理优化策略实施过程 

6.4 SC 分公司信息安全管理优化策略实施效果分析

6 SC 分公司信息安全管理优化策略制定及实施

6.1 SC 分公司信息安全管理优化策略目标

  SC 分公司所属行业为电子加工行业，该行业产品附加值小，依靠大批量生产来获取利润，对信息系统高度依赖，对信息的可用性、可控性要求极高；能否获取和保留优质客户的订单关系到公司的生存，许多客户对信息安全的要求已经提升到和准时交货、产品零缺陷等同等重要的水平；同时政府机构对企业的信息安全要求也越来越高，海关的 AEO (经认证的经营者)认证的级别直接影响 SC 分公司的报关成本和查验率，直接关系到公司的运营利润。基于上述 SC 分公司自身内外环境的分析，SC 分公司信息安全管理优化策略总体目标是：超越客户、政府机构对 SC 分公司信息安全的期望，全面满足 SC 分公司信息安全管理测量与评价指标体系标准，全面提升 SC 分公司信息安全水平。具体目标是：依据信息安全问题出现的根本原因制定消除该因素的具体优化策略，按照权重排序，逐步解决信息安全存在的问题[16]。在信息安全管理优化策略实施后，建议公司完成 ISO27001 体系认证，提升公司在信息安

全管理方面的竞争力。

7 研究结论与展望

  信息技术在企业经营管理过程中给企业带来方便的同时，日益严峻的信息安全问题也困扰着企业的经营管理者，如何能系统的发现企业存在的信息安全问题并提出相应的建议策略？本文通过信息安全相关理论的学习，分析相关研究者的研究成果，结合 SC 分公司自身的实际状况，通过建立适合 SC 分公司的信息安全管理测量和评价指标体系的方法，将 SC 分公司的实际情况和控制措施对比，找出 SC 分公司存在的信息安全问题，再通过 5-WHY 分析法找出这些问题的根本原因，针对这些原因制定相应的信息安全管理优化策略。这些信息安全管理优化策略的实施使 SC 分公司的信息安全管理水平提高到一个新的高度。