企业信息安全控制研究——以H公司信息化安全建设为例

　　摘要：随着信息技术的发展，数据库在企业中的应用越来越广泛，企业越来越依赖信息技术的应用来提升企业自身的竞争优势和运转效率，然而，伴随而来的信息安全问题也让企业面临着重大的经济损失，因此，在知识经济时代，信息越来越成为企业的重要资产，其安全性直接关系到企业资产的安全性和企业的生存，因此，本文对究企业信息安全控制具有重要意义和价值。

　　本文通过对信息安全管理中存在的问题，应用利益相关者理论和COSO框架，就企业中存在的信息安全问题、信息安全问题的成因进行了分析。本文认为现阶段企业信息安全控制中存在的主要问题有：人员信息安全意识不强、运行机制尚不完善、责任体系难以到位、缺乏战略思考和决策、原有管理模式与现行管理模式的冲突等问题。对于问题的解决，本文将企业信息安全为中心，利用利益相关者理论对信息安全利益相关者的权利和权力进行了分析，发现出现以上问题的主要原因是：企业员工维护信息安全的激励不够；企业管理人员的管理不到位；股东忽视信息安全管理。而归根结底，利益相关者权利和权力的不对称是由于信息加之对大部分企业还没有显现出来以及企业信息安全技术的制约。针对此，本文就加强信息安全控制的对策从目标框架的构架，到管理措施和技术措施进行了详细分析，并且选择了H公司为案例进行了信息安全控制的分析，得出以下结论：企业的信息安全控制清晰明确的组织框架是实施信息安全控制的基础；将信息安全管理部门独立出来的组织构架有利于企业信息安全管理执行过程中地位的提升和保持独立性；企业人力资源管理中加入信息安全有利于全员信息安全意识的提升，这里主要可通过绩效考核和员工培训来完成；信息安全执行层面上，策略与流程的整合是企业信息安全控制水平得以实质提升的重要条件。

　　关键词：信息安全控制；COSO框架管理

　　随着计算技术的飞速发展和普及，尤其是在数据库技术发展以来，信息传播和处理的速度得到了飞速提高，信息的处理质量也发生了质的改变。计算机信息技术的应用，现在已经遍布于各行各业，与人们的生活息息相关。从企业生产到金融服务，从交通运输到军事管理，各行各业的企业发展过程中，尤其是大规模商业企业，都开始建立起自己的管理信息系统，并且在实际的经营操作中，信息系统为企业生产、运转效率的提高做出了不小的贡献。

　　在知识经济的今天，企业的信息已经超乎其信息的价值，成为企业的重要资产，对信息安全的投资，也就是对企业资产增值的投资，它直接关系着企业在市场竞争中的优势地位是否能够持续，信息资源的安全性、资源的多少也对企业的未来发展、战略的实施有着直接的影响，甚至关系到企业的生命周期。

　　信息安全是信息技术的共生体，自信息技术发展的起初，就面临着信息安全问题。在数据库技术飞速发展的今天，这种信息安全问题表现的更加突出。计算机信息安全是计算机信息技术的共生体，伴随着计算机信息技术的发展，信息安全问题也暴露出来，近年来发生的一系列信息安全事件足以让我们看到信息安全的重要性，从早期信息安全事件如1994年X的NASDAQ事件，由于外力导致的NASDAQ电子交易系统损坏，致使股票市场运营暂停，到2011年的几起信息安全事件如2011年4月发生的索尼被黑事件，黑客从索尼在线playstation网络中窃取了7700万客户的信息，这些资料包括邮箱、密码、信用卡号等，索尼公司被迫关闭PSN和Qriocity服务，使得日金斗金的游戏业务陷入瘫痪，直接导致索尼5月份损失1.7亿美元，与此同时，大批玩家向X法院提出上诉，控告索尼在保护用户数据方面玩忽职守，违反服务合同，整个索尼品牌面临着一次空前的灾难。最终听证会解密了这次事件的重要原因：索尼服务器运行过期软件，没有打上补丁也没有安装防火墙，而索尼的工作人员早在几个月前已经在论坛上得知此问题；花旗银行2011年6月份信息系统遭到袭击，36万客户信用卡号码被盗，损失达270亿。再到发生在我国2011年年末的密码泄露事件，国家互联网应急中心获知遭泄密数据库26个，设计密码账号2.78亿条，包括大量的企业信息和个人信息，由于事件涉及众多知名网站而被媒体广为报道，事件起因是这些网站采用铭文存储用户名及密码，遭受黑客攻击后大量的用户数据库被公布在互联网上；根据相关调查显示，68%的企业每年都至少发生6起敏感数据事件，20%的企业每年发生敏感数据丢失的案例在22起以上，每条数据丢失会带给企业的损失在200美元左右。数据安全在市场化竞争越来越激烈的今天无疑成为各企业所担心而又防不胜防的问题。

　　正是由于企业信息安全对企业发展的重要性，以及企业信息面临着越来越多的安全威胁，本文的研究也就对企业的发展具有重要的意义。尤其是在信息安全如此敏感的现在，信息安全市场在经过了国家多年的培养，尽管形成了高中低档市场，但是针对我国对数据信息安全技术的应用，与发达国家等存在着较大的技术差距。本文就是基于信息安全对企业、单位乃至个人越来越重要的背景下，对我国企业的信息安全情况进行分析，并以案例法为分析方法来分析我国企业信息安全的控制实施现状、问题和解决方法。

　　信息作为当今时代的标志，掌握和控制信息资源已成为一个国家、一个行业甚至一个人成功的决定因素。与此同时，无论是国家还是行业，对于信息资源的争夺日益激烈，窃密事件逐年增多。保密管理的重要性日益突出，特别是大型企事业单位的信息安全与国家的安全和利益息息相关。

　　第一、信息安全控制体系对国家信息安全的长远意义

　　信息是一种战略资源，信息是力量的基础，谁掌握了信息，谁就具备了克敌制胜的力量源泉。因此，世界各国和集团在不遗余力的获取他国、他方信息的同时，也在千方百计加强自身信息的安全保护。信息对抗、信息安全问题，正成为了许多国家决策者日益关心的重要问题。据X联邦调查局（FBI)统计，X每年因信息安全问题所造成的经济损失高达100亿美元，而且还有日益增加的趋势。根据2001年国家信息安全报告课题组编写的《国家信息安全报告》，目前，我国信息安全处于较低水平，安全度的初步估值仅为5.5分，介于相对安全与轻度不安全之间。

　　第二、信息安全控制体系对企业的发展的现实意义

　　2009年，国资委再度发文，要求进一步推进中央企业信息化工作，文件中明确提出要求设立首席信息官（CIO)制度，设立信息化专职管理部门。到2009年底，所有中央企业都应建立信息化专职管理部门。首席信息官的主要职责是：挖掘企业信息资源、制定企业信息化战略、为企业信息化布局、评估信息化价值；负责信息流、物流、资金流的整合，完成信息系统的选型实施；收集研究企业内外部的信息，为决策提供依据；协助完成企业业务流程重组、运用信息管理技术重建企业的决策体系和执行体系；安排企业信息化方面的培训，发现信息应用的瓶颈、观察研究企业运作中的信息流及其作用。对应首席信息官的职责要求，国资委要求各央企赋予首席信息官相应的决策权和审批权，有关重大决策应听取首席信息官的意见。条件暂不成熟的企业，可先由现任信息化主管领导兼任首席信息官。到2009年年底，所有央企都应建立信息化专职管理部门，实现机构、职能、人员和责任“四落实”。

　　从商业领域到军事领域再到个人财产隐私的安全，信息安全现在已经关乎社会的每个角落的每个单位和个人。然而，信息安全如同因为各种各样原因而不定时爆发的金融危机一样，永远没有一劳永逸的解决办法，新的信息安全威胁总在不断涌现，人们也在不断征服信息安全威胁的过程中，保持着信息安全与信息威胁之间的动态平衡。

　　对于企业而言，要想控制企业的信息安全，必须要将信息安全风险处于掌握之中，有效地对信息安全进行识别、分析，并通过采取相应的措施来将信息安全风险的总体水平到企业可接受的范围内，这个过程就是信息安全控制的过程。

　　信息安全控制，并不仅仅是依靠技术改进、新的数据库和数据安全手段的引入，就我国企业信息安全现状而言，企业对信息安全的管理、人员对信息安全的认识等也起到非常大的作用。从我国各企业信息安全控制的现状来看，大部分企业注重从信息安全技术上着手进行信息安全控制，而忽略了管理的作用，缺乏有效的管理模式和管理理念。

　　本文就是在对信息安全内容、特点和内涵进行充分论述的基础上，对各行各业所面临的信息安全问题进行总结，对我国企业信息安全管理中的问题进行分析并找出对策，对企业信息安全的控制具有现实意义。

　　（一）国外研究动态

　　根据笔者搜集的关于信息安全管理的国际学者的研究文献可以看出，国际上对于信息安全的关注主要集中在以下方面：第一，信息安全风险的识别；第二，不同行业的信息安全管理；第三，信息安全管理方法和模式；第四，对信息安全的法律法规和准则的研究。

　　1. 有关信息安全识别的研究

　　Abercrombieetal（2011）以越来越多、越来越复杂的信息安全为研究出发点，研究了一种新的信息安全风险发现、评估和处理的系统，来及时识别并处理信息安全威胁。HomerandOu(2009)就企业信息安全控制应用情境—警告框架来进行企业信息安全控制，就企业信息管理的效率和安全之间寻找一个平衡点。类似的研究是信息安全研究的重点，旨在对信息安全威胁的特征、造成的风险程度进行识别、划分，并进行不同方式的处理（Huangetal,2008andDantuetal,2005）。都是从技术层面对信息安全问题进行的研究。

　　2. 有关不同行业信息安全管理的研究

　　StephenMohretal(2011)对游戏产业的信息安全现状应用案例分析的方法进行了研究，认为视频游戏行业作为人们普遍意识中最不具有信息安全危险的行业，也频频发生信息安全威胁，作者对一些接收了信息安全风险评估的企业进行了分析，认为这些企业之所以受到信息安全威胁的原因在于：第一，信息安全风险普遍存在于企业收购兼并的过程中，一些视频游戏企业为了扩大规模，会对其他企业进行收购，而收购后进行融合的过程中，就为信息安全威胁创造了条件，这是由于在将外界网络系统融入到现有的网络中，信息系统的不融合等造成的漏洞容易造成安全威胁。第二，互联方式的选择及其安全性。作者分析了sony2011年4月的信息安全事件，认为不同的互联方式信息安全性也有很大差别，如直接构建TCP/IPLAN进行互联还是通过互联网连接WAN，后者通过互联网进行互联通讯很明显会增加网络信息安全威胁。第三，互联网网站的威胁。一般游戏企业都有很多个网站作为游戏的宣传平台，这无疑增加了企业信息安全的威胁。第四，企业的软件、硬件带来的安全风险。作者认为解决这些安全风险的主要办法有：系统安全协议，如EISP、ISSP或者SysPS等；信息安全培训项目，对可能涉及到信息风险的相关部门进行有针对性的信息安全教育和培训，提高信息安全的意识；建立信息安全风险分层管理的组织网络，对风险分为高中低三层，对风险来源、风险引起的原因、可能的措施、影响进行研究并随时应对。

　　3. 有关信息管理方法和模式的研究

　　Chung-ChuLiu(2010)提出了一种利用人力资源管理来提高企业信息安全性的管理模式，作者认为人力资源管理可以提供一种保护机制，对商业信息安全进行保护，并提升雇员的信息安全意识。作者在做了调查并利用分层分析法对数据进行分析的基础上，提出企业政策、员工配置、绩效考核可以帮助提高企业信息安全整体有效性。DavidBottaetal(2010)则认为加强组织管理是加强信息安全控制的重要手段。作者对企业信息安全风险控制的挑战因素进行了归纳，认为企业三方面的不足会导致风险，分别是人力资源、组织结构和技术，其中组织结构带来的企业信息安全控制的挑战最多，认为在信息安全管理中（ITSM），组织结构的一些问题会影响到利益相关者之间的关系，例如对风险的评估、风险意识薄弱、与其他组织的商业联系少、IT责任的分散、对敏感数据的管制、上层的支持等都与企业的信息安全控制绩效有着直接的关系。

　　（二）国内研究动态

　　我国学者对企业信息安全控制的研究与西方国家的研究重点有相似之处，也有创新的地方，主要集中在以下几个方面：企业信息安全控制现状、问题的研究；企业信息安全的评估和管理、企业信息安全控制体系建设；分行业的企业信息安全控制研究。

　　1. 有关信息安全控制现状的研究

　　陈骏（2011）则就诱因-行为-后果的三级控制企业信息安全管理体系进行了详细的论述，认为信息不安全的诱因有三种：利益诱惑、无安全意识、失职，认为对这三种诱因和三种诱因行为的制止，要通过从观念、策略、组织、技术和制度等五方面入手建立安全控制体系。这一思想与Abercrombieetal（2011）有异曲同工之妙。

　　2. 有关企业信息安全评估管理的研究

　　刘洪昌（2009）对企业信息安全的评估方法做出研究，认为对企业是否出现信息危险应当从企业安全管理的组织结构、人员、安全管理制度、系统建设运行、物理环境等方面进行评估，评估过程分为准备、文档审查、问卷调查、现场访谈等，并就最终的评估形成评估意见，并按照评估意见加以改进信息安全控制和管理。闫蕾、郑海昕（2005）则认为应当从安全管理的框架和标准入手，改善企业信息安全管控体系框架着手进行信息安全控制。

　　3. 有关不同行业信息安全控制的研究

　　分行业的企业信息安全控制研究，研究的重点行业主要有两个，一个是电信行业，一个是商业银行。这两个行业都是信息安全风险高发且信息安全管理较为复杂的行业，研究也较多。匡景炜（2009）对商业银行信息安全风险管理体系以A银行为例进行了研究，认为完善银行信息安全管控需要从制度、IT、内控、风险管理体系和业务应急等方面着手进行完善，常华斌（2009）对电信行业的企业信息安全控制研究，则着重从技术领域进行研究，当今电信企业如何加强信息安全系统建设。

　　（三）本文的评价

　　目前，国外对于信息安全研究的重点集中在信息安全的识别、不同行业信息安全管理的研究、信息管理方法和模式的研究等方面，国内的研究与与西方国家的研究重点有相似之处，也有创新的地方，主要集中在以下几个方面：企业信息安全控制现状、问题的研究；企业信息安全的评估和管理、企业信息安全控制体系建设；分行业的企业信息安全控制研究。然而，由于我国企业对信息安全建设的起始时间较晚，加上我国信息安全的法律法规体系等环境建设还不完善，因此，我国企业信息安全控制研究与发达国家还存在着较大的差异。但是国外对信息安全的管理方式、管理技术、企业信息安全控制体系的组织结构等方面对我国有着较大的借鉴意义。本文基于国外最先进的COSO框架，对企业信息安全管理进行分析，在我国企业信息安全管理存在的问题基础上，得出企业信息安全管理的提升框架和结论。

　　从国内外的研究现状和研究热点来看，对企业信息安全控制的着眼点，已经不再是技术，而偏向于管理方面。因此，本文根据国内外学者的研究成果，以控制理论和利益相关者理论为基础，着手进行企业信息安全控制的研究。本文的主要研究方法如下。

　　1. 文献分析法。

　　本文的研究思路和研究重点、研究方法的选择，包括研究的理论工具选择等，是基于对国内外最新的关于企业信息安全管理的文献进行研究的基础之上形成的，因此，本文的研究中非常重要的研究方法之一就是文献分析法。

　　2. 案例分析法

　　本文的研究首先是就我国企业信息安全控制的宏观现状进行的研究，而后以企业为主进行个例分析，就本文提出的信息安全控制改善建议的适用性进行探讨，并得出启示，是本文结论的验证。

　　3. 归纳分析法

　　本文针对我国企业信息安全控制的现状研究，是不分行业领域，对我国企业表现出来的信息安全状况进行的归纳分析，是以行业分析和文献分析为基础的归纳总结。

　　（二）本文的研究路径和结构

　　本文的研究主要从以下几个方面进行展开：

　　第一章，绪论。简单介绍本文的研究背景和意义、国内外研究的基本理论和概念、论文研究的基本框架、本文的研究方法及创新之处。

　　第二章，对企业内部信息安全控制体系进行了详细研究。文章介绍了企业信息安全的含义、主要内容及强调信息安全控制对企业日常经营的重要意义。接着分别就大中型企业、高新技术企业，结合不同企业的特殊性，对企业内部信息安全的重要性进行了研究，详细分析了不同企业的特征和对信息安全性的独特要求。

　　第三章，对企业内部信息安全体系发展历程及现状进行了详细分析。文章从七个方面分析企业信息泄露的原因和途径。以企业信息安全的需求为出发点，层层剖析全面深入的挖掘企业的信息安全需求，为进一步构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系打下了坚实基础。

　　通过上述三个部分的分析论证，说明信息安全体系构建的必要性和现状。

　　第四章是本文研究的重点。针对企业高信息的要求，运用coso理论，从战略和目标、组织形式构建、风险与评估，以及评价与监督角度，理论联系实际，结合利益相关者理论，制定一套完整的信息安全防护体系。

　　第五章，企业信息安全控制体系构建的实例分析。结合H公司信息安全管理实例对上述分析进行验证。

　　第六章，结论与展望，对本论文的研究给出结论。

　　本论文根据目前企业信息安全管理的现状入手，列举目前企业所采用一些方式方法以及这些方式方法的特点和区别，并结合国内外的相关学者研究分析，最后结合H公司信息安全管理实例对企业信息安全控制体系的构建进行较详细的分析，对本文中的理论和方法进行了实证研究，本文研究的主体思路如图1所示：

　　五、本研究可能的创新点

　　第一，本文的研究是基于控制理论和利益相关者理论的结合，对我国当前企业内部信息安全控制的发展、存在的问题进行的研究。

　　第二，本文的研究应用案例分析法，对所得出的优化企业信息安全控制的建议进行验证和讨论。

　　（一）企业信息安全的含义

　　到目前为止，信息安全还没有一个公认、统一的定义。国际、国内对信息安全的论述大致分为两大类：一类是指具体的信息安全技术系统的安全；另一类是指某些特定的信息体系（如银行系统、军事指挥系统）的安全。本文综合各家学术观点，在国际标准化组织对计算机安全的定义基础上，提出动态的信息安全定义。计算机安全是指“为数据处理系统建立和采用的技术上和管理上的安全保护，保护计算机硬件、软件、数据不因偶然、恶意的原因而遭到破坏、更改和泄漏”。这种对计算机安全的定义从静态的角度说明了信息安全的基本层面，而由于信息系统和网络的作用，信息安全往往是一个动态的概念，它是以防止计算机信息遭到偶然、恶意愿意而泄漏、破坏、更改为目的的，动态辨识、控制的过程。信息安全的最终目的是为了向合法的服务对象提供安全、准确、可靠的信息，而对未经授权的不合法人员或组织，则要保证信息的不可获取、不可破坏和不可得知。

　　由此可见，信息安全主要有以下特点：第一，信息安全是脆弱的和有风险的。第二，信息安全的攻击源和防范对象是不确定的。第三，信息安全威胁具有即时扩散性。

　　（二）企业信息安全的主要内容

　　从信息系统的组成方面来看，信息安全的内容主要包括四个方面：一是实体安全，即计算机设备、硬件等不被破坏；二是运行安全，是指为了保障系统功能的实现，通过提供相应的安全措施来保障信息处理和运行的过程不遭到破坏；三是信息安全，这里信息安全是指信息资源的安全，即信息资源不遭到偶然或非偶然因素的泄漏、更改、破坏或被其他未授权系统辨认、识别等；四是管理的安全，即按照相关的法律法规和制度，确保信息系统的安全。这里，管理的安全，主要是人员安全，主要是指信息系统使用人员的安全意识、法律意识、安全技能等。

　　根据信息的类型来分，信息安全又可分为六种：一种是政治信息的安全，即在一国内开展民主政治时所公开的政治信息，被别国加以影响和利用，造成国内政治不稳定的政治信息的安全性；二是经济信息安全，包括金融、股票、银行、社保等关于国家经济运行的信息的安全；三是科技信息安全，科技信息是一国国家竞争力的重要来源，近年来已经成为国家之间乃至商业竞争对手之间争相获取的对象，也是信息安全事件高发的领域之一；四是军事信息安全，它关乎一国国防安全和人民生命财产安全，也是世界各国信息安全管理的重要领域；五是文化信息安全，由于文化信息的渗透度较高，同样也增加了文化信息传播和渗透速度，对于文化的保护，应当确保文化信息不受到外来文化的侵蚀；六是生态信息安全，也成为绿色安全或生态安全。本文所探讨的企业信息安全，主要包括经济信息、科技信息和文化信息、生态信息等大众商业企业的文化信息，很少涉及政治信息、军事信息等。

　　（三）企业信息安全控制的作用

　　企业信息作为企业的资源，保证其安全性对企业的生存和发展具有重要的作用，总的来看，企业信息安全控制对企业的运营、战略的实施具有以下意义：

　　1. 企业信息安全控制是企业正常运行的重要保障

　　信息化安全的内容较为广泛，随着现代化企业制度的建立，越来越多的企业办公和经营依靠信息数据库，如对市场运行状况的分析、市场决策的做出，甚至日常办公、文件的传输等都有信息系统有着密切的关系，对企业信息安全的控制也就是保障企业正常运行的基本条件。

　　2. 企业信息安全控制是企业获取竞争优势的必要条件

　　对于商业企业而言，企业在越来越激烈的市场竞争中要想获取竞争优势，信息资源作为一种重要的高级要素（根据波特的钻石理论），它是企业获取竞争优势的重要来源之一，因此也成为竞争者之间互相追逐的对象，确保信息化安全，就是对企业竞争优势资源的保护，也是企业在市场上竞争地位提升的必要条件。

　　3. 企业信息安全控制是企业发展战略中密不可分的一部分

　　保证企业信息的安全，往往是保障企业长远市场发展战略实施密不可分的部分。企业的战略实施往往体现在企业的经营、运作、财务信息中，从这些数据信息中很容易看到企业战略实施方案和下一步规划，如果不能保障这些信息的安全，会为企业的战略实施造成很大的阻碍。

　　总而言之，企业信息安全控制是具有脆弱性和风险性，信息安全的防范对象和攻击源具有不确定性，且信息安全威胁也具有扩散性，但是企业信息安全对企业的竞争优势获得、企业运用的维持具有重要的意义，因而应当在克服企业信息安全问题，保障企业信息安全。

　　不同企业所使用的信息系统不同，不同企业特征造成信息系统有不同的作用，本文基于不同企业的经营性质、特点，对企业信息的依赖性的高低，将企业氛围大中型企业、小型企业、高新技术企业和普通企业等。

　　（一）大中型企业信息安全的特点

　　大中型企业往往是规模大、市场份额多、发展运行较为成熟的企业，这类企业的信息安全特点与中小企业不同，往往具有以下特点：第一，信息安全在企业经营中的地位较高。与中小企业相比，大型企业的信息安全对企业的经营和发展具有更重要的影响，一旦信息安全遭到威胁，会引起企业经营额的巨幅波动，2011年4月的索尼事件就是例子。第二，信息安全的内容主要是财务、投资和市场策略等信息的安全，根据垄断竞争市场理论，在一个寡头垄断市场上，多寡头的博弈中，对对方财物、投资和市场策略等信息的获取往往可以对企业市场竞争格局产生根本性的影响，因此，对企业而言，最重要的信息安全内容是财务、投资和市场经营信息的安全。第三，信息安全关乎企业竞争地位乃至未来行业竞争格局。

　　（二）高新技术企业信息安全的特点

　　根据高新技术企业区别于其他企业的特点，可以总结高新技术企业的信息安全具有以下特点：第一，信息安全风险大，对于高新技术企业而言，往往企业生存和获得竞争力的根本是依靠其高新技术，这种高新技术具有较大的市场差异性，且是在大量的研发人力、物力投资的基础上才能够获得的，往往一项高新技术会决定一个企业的成败和生存，因此，对高新技术企业的信息安全控制，往往也具有较高的风险，尤其是一项先进的技术开发出来，会有成千上万的竞争对手觊觎，这样，信息安全的风险自然就更大。第二，信息安全危害大，高新技术开发往往耗资巨大，由于技术的外溢性效应，一旦信息泄露，会有大量的竞争者成为免费乘车者，对企业的未来市场地位有很大影响，企业的投资回报可能会远远低于投资，对企业造成巨大危害。第三，信息安全控制的工作量大，由于一般高新技术企业的运营是以新技术为核心的，从企业高层到底层员工，大比例的人对企业核心技术知晓，因而，信息安全的控制范围较广，工作量也较大。

　　综上所述，不同的企业其信息安全具有不同的特点，因而对信息安全控制体系的介绍具有不同的要求，应当因地制宜。

　　本文基于信息安全控制的主题、对象，选择当前最为流行的COSO控制框架和利益相关这理论为工具进行分析。

　　（一） coso控制框架

　　COSO（CommitteeOfSponsoringOrganization）委员会成立于1985年，现在COSO委员会负责制定有关大型企业和小型企业实施内部控制系统的指南。1992年9月，COSO委员会提出了《内部控制—整合框架》，并与1994年进行了增补，即COSO内部控制框架。这份文件堪称内部控制发展史上的里程碑。

　　1. COSO控制框架简介

　　内部控制理论的发展经过了内部牵制、内部控制系统、内部控制结构和内部控制整合框架等四个阶段，开始的内部控制牵制是以对企业的会计、财务控制为主要对象的，而后的内部控制系统理论将企业的内部控制推广到会计控制和管理控制两个层面，并建立起内部控制体系来实施控制，内部控制的对象也开始宽泛起来。20世纪80年代，X反欺诈财务报告委员会（Treadway）成立，并设立了COSO委员会，于1992年发布了《内部控制——整体框架》，也就是COSO内控框架。COSO内控框架的定义是：内部控制是由企业董事会、管理当局和其他员工进行实施的，为了达到企业的经营绩效、保证财务的真实性和可靠性并保证履行相关法律法规目标提供保证的内部控制框架，它由五大元素组成，分别为：控制环境、风险评估、控制活动、信息与沟通、监督活动等。2004年，COSO委员会将企业风险管理引入到COSO内控框架中，将内部控制的要素扩展为八个，增加了目标设定、事项设别、风险应对。目前，最新的COSO框架已经开始在很多企业内部控制中加以利用和实施，并成为内控的有效工具。

　　2. COSO控制框架内容

　　COSO内部控制的内容主要以五大要素为主，下面对五大要素在企业内控中的应用加以介绍。

　　第一，内控环境。内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。

　　第二，风险评估。风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。

　　第三，内控活动。内控活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

　　第四，信息与沟通。它是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

　　第五，监督。监督是对内部控制系统有效性进行评估的过程，可以通过持续性监督、独立评估或两者的结合来实现对内控系统的监督。

　　内控体系五要素之间的关系如下：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的内控环境是企业发展的基础。每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管理活动的运转情况。为了保证内控体系的正常运转，还需要对整个内控过程进行监督。

　　内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响内控活动，还可能影响信息和沟通、监督行为等。具体可如图2所示。COSO控制框架对企业信息安全控制同样适用。

　

　　3. COSO控制框架在信息安全控制中的运用

　　目前，COSO控制框架在企业信息安全方面的应用主要集中在以下方面：首先，对企业信息安全控制环境的改善应用，通过营造一种让公司员工重视、了解的控制环境来实现员工对企业信息安全的重视。其次，对企业信息安全控制的监督，由于企业信息安全控制最大的问题在于对信息安全的重视程度不够，以及对信息安全威胁无法识别，因此，通过科学的监督可以实现企业员工按照信息安全控制的规则进行研究，以提升企业信息安全控制的有效性。再次，提供企业以业信息安全风险评估的框架。通过COSO框架的应用，企业可以建立起与企业信息安全控制目标相一致的企业风险评估，对企业信息安全状况进行动态的管理。

　　（二）利益相关者理论

　　利益相关者原理是企业管理的重要原理之一，它被广泛应用于对象的管理，关系着企业战略的有效实施。

　　1. 利益相关者理论的主要内容

　　利益相关者理论最早由经济学家Ansoff提出，最早应用于企业利益相关的分析，而后被广泛应用于各个领域的利益相关群体的管理。Rowley（1997）将对企业利益相关者理论的主要内容归结于两个方面：一是利益相关者的定义，二是对利益相关者种类的划分。将利益相关者理论应用于食品安全监管中，便是要协调食品安全这一公共物品的利益相关者，并且鼓励所有利益相关者参与到监管过程中，使各方利益相关者的利益得到最大化。

　　2. 利益相关者理论对本研究的指导作用

　　本研究对利益相关者的定义采取如下叙述：企业信息安全控制的利益相关者是指能够影响信息安全控制目标的实现或被企业信息安全目标实现所影响的个人或群体。根据Freeman的思想，采取以下四步对企业信息安全控制的利益相关者进行分别讨论：第一步，识别每个事件中的利益相关者群体；第二步，判断每个利益相关者群体的利益和重要性；第三步、判断每个利益相关者群体的期望和需求的实现状况；第四步，结合利益相关者的期望和需求制定战略决策。

　　在企业信息安全控制中，主要涉及的利益相关者其相互利益关系可用表1来表示。

　

　　根据表1利益相关者的权利和权力表示，可对企业信息安全控制的利益相关者的重要性加以判断，首先，企业的信息安全直接关系到企业的盈利，于此相关的利益相关者重要程度和影响其权利的程度依次为：股东、合作伙伴、企业管理人员和企业员工、企业竞争者、企业消费者、XX和媒体NGO等。第三步和第四步的具体分析，要根据不同的企业信息安全控制的情况进行不同的分析，在下面的案例分析中将会用到，届时会做详细论述。

　　本章从企业信息安全管理的发展阶段出发，就企业信息安全的发展阶段、现状进行归纳总结，并提出现存的问题。

　　信息系统属于高新技术，它伴随着科技信息技术的发展而不断发展，也随着人们对信息安全认识的加深而不断改造，在实践中前进。而企业内部进行信息安全控制的发展历程，可以从三个阶段来分别论述。第一个阶段是1995年之前的的信息安全控制初始阶段；第二个阶段是1995年到2000年期间的信息安全控制起步阶段；第三个阶段是2001年以来的信息安全控制的发展阶段。下面对三个阶段的发展进行详细叙述。

　　（一）初始阶段(1995年以前)

　　在这个阶段，人们对信息系统的信息安全问题还没有太深的认识，且由于信息系统处于发展初期，属于新生事物，也没有像现在这么多的安全问题，一般信息系统没有防火墙，也没有防病毒软件，信息安全事件发生的频率也较低，形式也较为单一。同时，信息系统由于在一个企业内部的应用范围较窄，并没有大面积覆盖，且企业运营不依赖信息系统，所以，整体企业内部对信息安全的防范处于初始阶段。

　　初始阶段安全问题并不突出，对信息安全系统的应用也较少，因此，信息安全管理处于初级阶段。

　　（二）起步阶段（1995-2000年）

　　在此阶段的信息系统增加了对信息安全问题的考虑，但是整体上由于需求量小，重视不够，所以该阶段信息安全控制的投入也非常有限。该阶段的信息安全建设往往采取了先建设，出现问题之后，再根据问题购置相关的信息安全硬件软件或设备，就出现的信息安全问题进行补救。这阶段的企业信息安全控制是被动的防御，但是总体来说企业开始对信息安全有所认识，一方面由于信息系统在日常企业经营中带来的效率提升被越来越多的人认可，信息系统的开发有了很大提升，另一方面，随着经济的发展，企业的经营规模化，市场竞争越来越激烈，信息在市场竞争中所起的作用越来越大。真是基于此，该阶段网络上开始出现黑客、网络犯罪、计算机病毒等对企业信息系统进行破坏，为了保护信息安全，很多企业开始重新购置信息系统或预防设备，属于企业信息安全控制的起步阶段。这一阶段的信息安全控制缺乏系统性且较为被动，往往在造成损失后才花钱补救，往往效果不大，且企业一出现问题就投资，造成了很多信息系统的重复建设和浪费。

　　起步阶段企业处于规模化经营和竞争的动机，开始进行企业信息管理。但是由于企业信息安全控制还不系统，因此企业信息安全控制过程中存在着安全管理与安全事件之间的时滞。

　　（三）发展阶段（2001年至今）

　　进入21世纪以来，信息安全与信息建设开始出现了融合，并且信息安全的地位也逐渐与信息系统建设同等重要，企业对信息安全的控制开始从被动防御转向主动防御。一是信息技术的不断普及使得越来越多的人掌握信息技术，病毒、信息安全威胁越来越多且层出不穷，二是企业相关人员对信息安全的认识加强，认识到信息安全时间带给企业的损失越来越大，需要对企业的信息安全进行控制。但是，尽管人们对企业信息安全的认识有所提升，但是信息安全的管理却处在发展的初级阶段，这种信息安全的管理不但包括企业的信息安全管理，也包括国家对信息安全的监管。

　　这阶段的企业信息安全控制存在以下特点：

　　第一，重硬件轻软件，往往企业在进行信息系统建设时候会着重于防火墙、网管、杀毒软件等硬件或软件，通过改善配置、型号力图达到信息安全的管理。

　　第二，信息安全监管体系开始建立。自1999年9月我国制定了《计算机信息系统安全保护等级划分准则》之后，2000年12月《信息安全管理实施细则》通过了ISO认证，2004年我国通过《信息安全风险评估指南》、《信息安全风险管理指南》2005年9月，出台《电子政务信息安全等级保护实施指南(试行)》；2006年的上半年，公安部连续出台了《信息安全等级保护管理办法(试行)》，《信息系统安全等级保护测评准则(送审稿)》、《信息系统安全等级保护定级指南(试用稿)》等一系列规范。

　　企业信息安全的控制是一个动态发展的过程，是一个法律法规逐渐完善的过程，是一个企业逐渐成熟的过程。

　　从上文的企业信息安全控制发展历程来看，我国的企业信息安全控制还处在发展阶段，外部环境和企业内部环境都还不够成熟。从整体来看,就企业而言，可将企业的信息安全控制整体结构划分为金字塔型结构。如图3所示。

　　（一）员工信息安全意识不强

　　根据COSO内部控制框架的内容，企业信息安全控制的核心是人，从董事会到普通员工，每一个人对信息安全的意识和认知构成信息安全内控的环境，信息安全控制的环境是信息安全管理的基础。

　　然而，由于企业信息安全控制在我国企业中的应用还没有普及，普遍存在着对企业内部信息安全控制的误解，主要表现在以下方面。

　　1. 企业领导者或管理人员对信息安全还不够重视，普遍缺乏信息安全管理意识。

　　对于一些中小企业而言，由于企业经营规模或经营所涉行业性质的原因，对信息系统的安全性并不重视，认为信息安全不会为企业带来利润或收益，相反维护信息安全是企业的一项成本，还有一些企业的领导层则认为投资信息安全管理如同买保险一样，一旦遭遇信息安全威胁，有信息安全控制可以防患于未然，但是威胁毕竟是不常有的，如果不进行信息安全控制，也不一定会遭到损失。

　　2. 普通员工对信息安全的认识少。

　　信息安全控制需要企业普通员工的配合才能够实现控制的有效性，但是目前我国很多企业的普通员工对企业的信息安全知之甚少，甚至不了解什么是信息安全，对于企业的信息安全管理的守则或企业培训也表示认为没有必要，或者认为信息安全控制是技术部门的事，与自己无关。

　　（二）运行机制尚不完善

　　根据COSO理论，内部控制的主要因素之一还有内控活动，包括决策层信息安全管理的决策、信息安全控制的整个运行体系。也就是图1中的运行流程、组织控制等方面。然而，当前从各企业信息安全控制的现状来看，我国企业信息安全控制体系的机制尚不完善。主要表现在以下方面。

　　1. 企业信息安全控制的组织结构不完善。

　　信息安全控制的整个运行机制是在完善的信息安全管理组织体系下运行的。完善的信息安全管理组织应当由领导层和专业人员，按照不同的任务分工组成。其中领导人员负责对安全控制的方案、政策、战略进行指定，并对信息安全控制的实施进行监管。而当下很多企业对信息安全控制的组织结构呈现出结构简单、领导层不重视的情况。往往将企业信息安全内控交予信息部门进行全部管理，当出现了重大信息安全事件时有领导层出面进行强调。这种管理组织结构实质是企业对信息安全内控不重视的表现，同时也导致了企业信息安全控制的内部沟通和交流的不通畅，其他员工认为信息安全内控只与信息安全部门有关而与自己无关等问题。

　　2. 企业信息安全内控流程不完整。

　　企业信息安全控制流程是在一定的内控环境下，对进行的内控活动次序和体系进行的设计和界定。整个信息安全内控的流程包括从信息安全组织到信息安全技术，其中涉及信息安全组织策略的人员和部门安排，以及信息安全控制技术体系。其中信息安全的组织策略方面，各部门之间缺乏沟通，大部分的工作是由信息安全部门完成的，因此，整个组织流程上而言，大部分企业存在着组织结构确实和流程的不顺畅；从技术方面讲，信息安全控制的整个技术流程包括从信息的产生、存储、处理、传输和使用环节的物理设备及这些设备所在的环境的安全。目前从企业的内部情况出发，信息安全控制的技术流程从体系上是完善的但是从设备环境的营造上还有待发展。这里信息安全内控技术环境的营造主要是人为因素的防范，很多企业存在设备维护不当、人员技术水平不够和信息丢失的情况。

　　（二） 责任体系难以到位

　　责任体系难以到位是中国式管理中的共性问题。他关系着管理的效率，是管理的重点和难点。

　　1. 企业信息安全风险点控制力度不够。

　　目前企业的信息安全内控技术流程和组织流程的不完善，加上企业内部人员对信息安全控制的意识薄弱，因此出现了企业信息安全内控过程中对信息安全风险出现的控制点的认识浅薄，有些企业对信息安全风险点知之甚少，或者是缺乏对信息安全风险控制点缺乏全面了解，或者是了解风险控制点但是控制力度不够。这种控制力度不够有技术层面的原因，也有人员意识方面的原因。

　　2. 企业各部门之间的沟通不畅。

　　由于当前很多企业对信息安全控制是以信息安全部门为主，而信息安全部门在企业所有部门中的管理权有限，因而与其他部门的沟通存在一定的障碍，例如财务部门在企业中的地位非常重要，而财务信息安全对于企业信息安全控制是非常重要的部分，但是由于信息安全部门被传统意义上认为是技术部门提供技术支持，因而对财务部门的信息安全无法实现协管。这样，企业内部各部门就企业信息安全管理的协调往往存在不协调的问题，导致了信息安全问题出现后，责任难以界定。

　　（四）缺乏战略思考和决策

　　战略管理是未来企业发展的方向，是企业无可回避的问题，也是对企业发展、竞争优势获得的关键，目前信息安全管理中缺乏战略思考和决策问题突出。

　　1. 信息安全未列为企业战略层面。

　　在大多数企业中，信息安全还未被作为企业战略层面的内容加以考虑。大多数企业间企业信息安全的内控作为纯技术上的事情，由企业信息安全人员就出现的信息安全问题从技术层面进行处理和维修，总体是将企业信息安全控制放在为企业战略发展服务的位置而非企业发展战略的一部分进行整体规划。

　　2. 信息安全控制策略规划与控制流程之间存在冲突。

　　在信息安全控制策略规划不到位，与企业信息安全控制流程之间存在冲突。很多企业中对信息安全控制策略的规划意识不明确，或者没有根据企业自身的信息安全控制现状作出恰当的安排，导致策略不明确，实施过程中甚至妨碍了信息安全控制流程的进行。这样导致了一方面信息安全控制策略的实施缺乏流程支持，信息安全控制的整体要求与实际实施情况的脱节，另一方面策略不考虑企业内部情况，导致实际的执行困难。

　　（五）原有管理模式与现行管理模式存在冲突

　　从上文对信息安全控制的发展阶段来看，自进入21世纪以来，我国企业的信息安全管理理念才从被动防御开始意识到主动防御。但是，就我国大部分企业的信息系统建设情况而言，从近几年来才开始着手于信息安全系统的建设，管理模式从根本的意识上还停留在原有被动防御、信息安全控制为企业服务的意识层面上。因而，信息系统的更新只是技术上和设备上的更新而不是意识上的更新，这样，新设备要求的新管理模式与原有管理模式之间的冲突则导致了信息安全管理的种种问题。如现有的管理模式要求将信息安全控制提升到企业战略层面上，很多企业还是依照原有管理模式，将信息安全控制部门作为企业后勤服务部门对待；现有的管理模式要求信息安全控制从战略层面进行全面部署，公司全员参与，而很多企业还是依照原有管理模式，虽然名义上强调信息安全的全员参与，但是实际上员工对信息安全控制的认识还很缺乏，大部分人还认为信息安全控制是技术部门的事与自己无关。

　　上文对企业信息安全管理中存在的问题进行了总结，下文将对这些现象背后的本质进行探讨，利用相关理论对原因进行分析。

　　从企业信息安全控制的利益相关者角度来进行成因分析，以上信息安全控制存在的问题成因集中在以下几个方面。

　　（一）信息安全的价值对大部分企业尚未显现出来

　　企业信息安全的利益相关者中，从员工到管理人员再到股东，对企业信息安全控制的态度，要么是重视不够，要么是管理手段跟不上，但是总而言之是由于信息的价值对大部分企业还没有显现出来。这里就关系到企业的竞争者的权利和权力。

　　随着市场竞争越来越激烈，企业信息将会成为企业在市场获取市场竞争优势的重要筹码，早在一些发达国家，就有竞争对手利用企业在职员工、离职员工或企业网站、广告、企业的办公垃圾、市场调查、数据库甚至雇佣专业的商业信息间谍、咨询顾问等多种方式进行商业情报的刺探，来获取竞争对手的生产经营信息。这是因为发达国家的市场竞争激烈，信息已经成为企业重要的无形资产，对企业信息的窃取也就是对企业资产的窃取。

　　然而，在我国，信息的价值对某些企业还没有显现出来。尤其是一些完全竞争行业，或者规模较小、还未形成竞争实力的中小企业，企业生产经营所用的技术往往不具有重大的保密加之，他们自然也就会忽视企业信息的安全和保密。

　　（二）股东忽视企业信息安全管理

　　企业的股东在企业信息安全管理中是直接的利益相关者，信息安全控制是否得当会直接关系到企业股东的利益，一旦出现企业信息安全事件，首先是企业遭受经济损失，也就是企业股东资产的损失。然而，在企业管理中，股东对信息安全管理往往不够重视，并未将其当做影响企业受益的因素，因此，在行使股东权利的时候往往忽视信息安全控制。

　　（三）信息安全管理不到位

　　就中国企业信息安全控制的发展阶段而言，还处于信息系统从无到有的发展阶段，而信息安全威胁形式却不断多样化，破坏力也不断加大，如2011年底的泄密门，企业移动终端的信息安全控制作为一种新现象，其破坏力也已经显现。而信息安全管控的关键在于企业管理人员对信息安全控制的态度。具体来说，信息安全控制在企业难以有效实施或发展进程缓慢可归结于企业管理人员的信息管理方面的缺失。

　　一是企业管理人员中信息安全专业人员不多。由于企业信息安全控制要想在整个企业贯彻，需要管理人员对信息安全管理系统了解的情况下，针对企业情况进行协调制定，但是，目前很多企业管理层中并没有信息安全管理人员，因而信息安全控制在企业策略制定过程中并不具有话语权，且由于缺乏信息安全管理专业人员，信息安全控制策略和流程的制定往往存在与实际运行不相符的现象。

　　二是企业信息安全控制的规章制度不完全。信息安全控制的规章制度不健全是企业信息安全管理中普遍存在的问题。规章制度的制定是企业根据相关法律规定制定的企业内部运行的制度和章程，包括职工的责任义务和权利权力。然而由于我国对企业信息安全控制的法律法规规定本来就不健全，加上企业管理层对企业信息安全控制的认识有限，导致规章中对信息安全控制的规定不全面，自然在执行流程、员工履行上会出现一系列的问题。

　　（四）企业对员工维护信息安全的激励不够

　　根据利益相关者理论，企业员工对企业信息安全内部控制的环境构造具有很重要的作用。企业员工通过参与信息安全控制，可以获得薪酬、荣誉感、个人尊重等，有义务按照企业的规定履行信息安全职责，保证职责范围内的信息保护是完全的。然而，目前企业的员工在权利和权力的分配上具有不对称性，导致企业员工维护信息安全的激励不够。

　　目前，很多企业的企业员工对企业信息安全责任的履行不具有强制性。虽然一些企业在公司相关规章制度中有规定每一名员工有维护企业信息安全的责任，但是很多企业的信息安全规章章程中对具体信息安全维护的责任具体是什么、如何维护等细则规定不清楚，这种规章上的不清楚自然不能引起员工的重视。同时，很多企业员工对信息安全的重视程度不够是因为信息安全维护责任并不会给员工在企业的报酬相关，由于企业信息安全事件发生往往是偶然的，因而企业员工在日常工作中不履行也不会造成损失，而履行了信息安全责任，也不会因此而得到相关的奖励，因此，企业员工没有履行责任的激励。

　　（五）信息安全控制技术有待提高

　　企业信息安全控制除了管理方面的问题，还有就是技术的问题。信息安全控制技术是直接关系信息安全的关键所在。目前，企业的信息安全控制技术存在的主要问题有：一是对安全事件的识别孤立。由于信息系统中的ＩＴ设备之间是相互孤立的，很多企业对这些设备不能实现关联分析，对于多个安全信息之间的联系分析不够全面，例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。二是信息安全技术不够普及。目前，很多企业为了保障企业信息安全引用前沿的安全技术，但是这些不断更新的安全控制技术往往在企业内部只为少数人所了解，在整个企业中缺乏共享，也就导致了企业信息安全新技术引入后，很多普通员工或非专业员工无法掌握或没有意识，如果企业平时对信息安全的培训不重视，则信息安全技术资源则会产生浪费。总体而言，企业信息安全控制技术方面的问题归结为两个方面：一个是企业信息安全设备的配置利用率不够；一个是企业信息安全技术普及率不够。

　　本章对企业信息安全控制的发展历程、现阶段中出现的问题和问题的成因进行了分析。企业信息安全控制的问题分析本文应用了COSO框架，对信息安全控制框架内部的各因素组成了金字塔结构进行了分别分析，将企业信息安全存在的问题总结为人员信息安全意识不强、组织结构的不完善、战略的缺失、内控实施过程中的流程不完善、监管责任体系不到位。针对我国企业信息安全控制的发展阶段正处在从初级阶段向发展阶段过度的时期，因而又存在着原有管理模式和现有管理模式之间的冲突。对于问题的成因分析，本文选用了利益相关者理论，对信息安全控制相关的利益相关者员工、管理人员、企业技术控制、企业竞争者方面进行了分别的分析，认为企业信息安全问题的成因有：员工的信息安全维护激励不够、企业管理人员的信息安全管理不到位、企业股东忽视企业信息安全管理、竞争还未致使信息的价值显现、技术有待提高。

　　本文依据COSO框架和利益相关者理论等理论依据，结合战略管理理论，对企业信息安全控制的对策和框架建设提出解决方案。

　　根据战略管理理论，企业进行管理的前提是进行战略和目标的规划。首先本章将对信息安全控制的战略和目标进行分析。

　　（一）企业信息安全控制的战略

　　考虑到企业信息安全现在的问题，从人员意识到组织结构都不够完善，因而，企业信息安全控制的实施战略应当是长期战略与短期策略结合的，本文建议根据企业类型和规模的不同，对企业信息安全控制实施长期、中期和短期战略，分阶段进行。

　　短期战略的制定：短期战略主要是针对技术和设备上的不足进行弥补。由于对企业信息管理的人员意识提升、安全控制文化建设并非一朝一夕的事，从近阶段主要从弥补企业信息安全控制技术或设备的不足，通过根据企业经营的方向、目标和未来发展规划，对落后的信息安全控制设备或软件进行升级更新；对缺少的信息安全管理设备进行投资引入。

　　中期战略的制定：短期内对信息安全内控设备和技术上进行完善后，应当就企业的组织构建、信息安全控制的流程和策略进行完善。通过对信息安全控制的组织机构不完善、管理人员中缺少信息安全控制专业人员等情况，根据企业规模和自身情况进行组织机构的完善，细化部门或员工的信息安全职责，对信息安全事件、可能诱发的因素进行实时控制。

　　长期战略的制定：长期来说，企业应当形成多层次、立体的信息安全控制体系，包括信息安全控制体系能够覆盖企业的所有部门和业务系统；形成多层次、立体的防护体系，提升信息安全控制的时间汇聚、安全预警能力，推广信息安全等级保护制度的实施。基本实现网络安全建设工作的体系化，初步实现信息安全等级保护。

　　（二）企业信息安全控制的目标

　　信息安全建设目标是基于现代信息安全理念，采用目前国内外先进的信息安全技术和管理手段，建立有效的信息安全管理保障体系，保护企业信息系统服务的连续性，防范网络资源的非法访问及非授权访问，防范恶意攻击与破环，保证信息传输过程的机密性和完整性，最终实现系统的安全可靠运行。总起来说，企业信息安全控制是为了保护整个企业的信息安全，以实现企业生产信息、科研信息、管理信息的安全不泄露，确保业务的可持续性，最小化商业风险，最大化商业机会和投资回报。具体来说，企业信息安全控制的目标可细分为以下几个方面。

　　第一，建立健全的企业信息安全控制框架，保证企业信息安全控制的实施。建立信息安全管理框架的目的是提供一个统一的信息安全管理指南，并以它为指导来建立信息安全管理体系，从而确保信息安全需求得到满足，为整个企业环境提供标准的安全保护，同时减少组织遇到的意外安全事故的数量。

　　第二，技术上实现病毒的防御、黑客的防范、企业内部商业犯罪的防范等。

　　第三，实现企业的信息系统的功能，包括信息传输的安全、信息存储的安全和信息处理的安全等。

　　组织构架是基于企业管理目标和战略下，对所有的资源进行部署控制的过程。下文将对企业信息安全组织构架进行分析。

　　（一）企业信息安全管理组织结构

　　企业信息安全的组织机构主要可采取以下体系：信息安全决策机构，由高层管理者、与信息安全管理有关的部门负责人和管理技术人员组成，对组织信息安全管理提供导向与支持；信息安全管理机构，是出于决策机构与执行机构之间的信息安全机构，主要通过对人力资源的管理，来完成对信息安全事件的管理，包括信息安全策略的制定、信息安全组织人员分配、信息安全事件的评估等；信息安全执行机构，是对信息安全事件进行响应的机构，包括信息安全技术人员、信息安全法律专家、设备维护人员等，根据信息安全事件的情况和决策机构的决策，在管理机构的管理下采取安全事件的相应策略，解决信息安全事件。企业应当根据此组织结构框架进行各部门之间的协调实现企业信息安全控制的及时性、有效性。

　　（二）构建良好的内部信息安全环境

　　1. 构筑安全文化制度

　　长远看来，企业内部进行信息安全制度建设应当注重信息安全文化的构建，它是营造企业信息安全控制良好的控制环境的核心内容。信息安全文化从属于企业文化，倡导的良好企业信息安全文化就是在组织中形成团队共同的态度、认识和价值观，形成规范的思维和行为模式，最终转化为行动，实现组织信息安全的目标。而引发信息安全事件的直接原因主要是物的状态和人的行为，其中物的状态可通过人的行为来加以改变，因此，企业信息安全控制主要是人的管理。而安全文化可通过改变人的观念、道德、态度、情感、心理等人文因素，通过教育、宣传、奖罚、建立群体意识来提高企业员工的安全修养，改进企业员工的安全意识和行为，从而使员工服从企业的信息安全管理制度，改变其从被动执行到主动维护。然而，信息安全文化建设不是单独部门的单独活动，应当是企业自上而下，根据企业的文化理念、企业形象、工作目标与规划、生产过程等各个方面来建设企业的安全文化，因而，企业文化的建设是一个循序渐进的过程，并且这个文化建设过程中需要从企业组织构架、企业安全技能培训、人力资源管理等多方面共同配合。

　　2. 宣传保密制度

　　一是对企业信息安全基本技术的培训。员工管理是企业信息安全管理的重点，审视发生的企业安全事件，信息的泄露多是企业员工行为导致的，因此，要想完善企业信息保密制度，首先应当从人入手，进行宣传，只有人的意识改变了，制度也就建立起来了。而如果人对制度不了解或并不认同，则制度也无法建设。企业保密制度的建设，行之有效的手段之一就是员工培训。通过教育培训，可以将信息安全知识直接传递给公司员工，从而提高员工的安全意识和安全保护机能，改变他们对信息安全不了解、不认可的态度。一个好的信息安全教育方式可以让员工知道信息安全威胁和信息安全事件对组织带来的危害和后果，并通过带来的危害和后果对员工自身利益的联系，使员工感受到信息安全是与其自身利益息息相关的，从而增加企业员工实施信息安全控制的激励。

　　二是通过将企业信息安全通过制度守则的形式加强员工意识。企业规章制度是企业内部的“法律”，其约束效力涵盖所有的企业员工，员工的日常行为守则需要按照企业内部规章制度进行，并且员工对企业规章制度的遵守情况直接关系到员工的绩效考核和奖惩，因此，通过企业的规章制度中加入信息安全控制的相关要求，可以有效地帮助员工形成企业信息安全意识。

　　三是将信息安全加入员工绩效考核。对于企业管理者而言，要想增加企业员工对信息安全的重视程度，最有效的方法是增加员工执行信息安全控制的激励，也就是企业要为员工的信息安全维护支付一定的报酬，因而，最有效的方法就是把信息安全管理与企业的绩效相挂钩。将企业信息保密加入到企业员工绩效管理，可有效地实现企业信息安全保护在全员中的传播，企业可通过将信息安全的执行情况作为考核内容之一，通过企业制定总的企业信息安全考核制度，允许不同的部门根据本部门业务的信息安全重要程度制定信息安全的部门考核细则，通过年终奖金发放、薪资水平调整等来实现员工考核。

　　3. 信息安全等级保护制度

　　首先，对信息资产进行分等级保护。上文在对信息安全管理的目标的论述中提到，信息安全控制的目标是通过保护信息安全，实现商业风险的最小化和投资回报的最大化。这里，信息是被当做一种资源，因而，信息安全的管理也是信息资源的管理。在信息安全风险评估工作中，根据信息资源的脆弱性、威胁性，对信息资产进行分类，并进行分别管理，对企业信息安全的保护非常有效。根据国标GB/T20984-2007对信息资产的分类，按照信息的保密性以及信息泄露后对企业的影响程度，可将信息资产分为四类：机密信息、保密信息、内部信息、公开信息。其中机密信息是高度保密的，往往是关乎企业投资决策、兼并收购、定价、股东会议决策、财务治理信息等，必须保证在很小的范围内被知道；保密信息多是数据信息、商业计划、知识产权或技术等，对企业盈利有很大影响，泄露后对企业的损失也是严重的，因此保密程度也很高，只能企业内部相关人小范围内知道；内部信息是哪些没有被批准在企业外部公布的信息，如会议纪要、企业的相关规章制度、政策等，这种信息的保密程度相对前两种较低，但是对企业的影响也较为有限。

　　其次，对信息安全事件进行分等级处理。对信息安全事件的危害程度为根据进行分类，针对不同危害程度的信息安全事件，制定不同的考核权重、管理人员级别，有助于企业建立起信息安全事件的分级管理制度。一般情况下，企业信息安全事件可以分为特别重大信息安全事件、重大信息安全事件、较大信息安全事件和一般信息安全事件，而这些信息安全事件带给企业的危害也是不同的，特别重大的信息安全事件具有破坏性大、破坏范围广、造成企业的经济损失大、社会影响恶劣等特点，该类信息安全事件的考核对象应当是事件的直接负责人以及连带上级，最高可至管理高层管理人员承担连带责任，在员工的绩效考核中应当占一定的比重，重点以出现事件后重处罚的形式进行考核计分。而对于一般的信息安全事件，根据其造成的企业损失的程度大小，来决定负责对象除了事件直接负责人外是否还要高层管理人员负连带责任，处罚形式可采用考核扣分和奖金扣除等惩罚。

　　4. 计算机安全保密制度

　　计算机安全保密制度是企业信息安全的一部分，也是我国法律规定的、有法可循的。根据《中华人民共和国保守国家秘密法》和《中华人民共和国保守国家秘密法实施办法》，工作人员要熟悉国家相关部门规定的计算机安全保密制度并认真履行，且不得随意赋值企业内部的保密数据，或扩大一些涉密数据的涉密范围，有需要则需要经过相关部门的同意等。因此，计算机安全保密制度是企业信息安全控制体制的重要部分，是针对企业的每一名员工，从企业管理层到企业基层员工的保密制度。一是企业应当加强计算机使用的安全教育，通过由信息技术部门组织，信息技术部门的技术人员对企业各部门员工进行计算机使用的技术培训，同时，企业应当注重对计算机安全技术人才的培养，以帮助企业能够应对不断出现的计算机安全问题。二是注重加固防火墙和对入侵的检测，保证企业内部信息不被恶意攻击。三是要建立企业计算机信息安全应急响应机制。这种应急响应机制主要是计算机安全技术人员能够在突发事件发生后能够进行及时的处理。

　　风险识别是国内外对企业信息安全控制的研究热点，因此，结合本国的情况，本文对企业信息安全控制的风险识别策略进行分析。

　　（一）重特大风险识别、防范和控制机制

　　信息安全的风险管理主要是信息风险评估与信息风险防范和信息安全控制。其中信息安全评估阶段是对信息安全风险的识别、评价阶段。这阶段主要是根据信息的资产、威胁、脆弱性三个基本要素，通过一定的标准就信息安全风险进行评估、信息安全的威胁性进行评价。这里评估的标准主要是ISO13335，对企业信息系统的内外部漏洞进行全面评估。风险评估的方法大概有定量、定性、定性与定量结合三种方法，企业应当根据企业的自身情况，选择适当的风险评估方法，应用相应的信息风险识别系统或工具对信息安全风险进行识别。对已经识别的风险，尤其是重大风险，应当及时进行风险程度的评估，并依照一定的风险分类标准进行分类，了解已识别的信息安全风险带来潜在安全事件的影响和可能性。对于识别的风险，根据其风险的紧急程度进行风险的分类，对于不可接受的重大风险，在确定风险程度后应当综合考虑各项业务系统、技术、操作、管理等给出解决方案。对于风险程度较小的信息安全威胁，也应当在信息安全资源允许的情况下进行尽快解决。

　　（二）重要信息的保密和防护机制

　　对信息进行保密管理要从以下几个方面入手建设：一是对企业需要保密的信息进行界定，根据一定的标准，对企业的信息进行分类，对于信息的保密范围、保密程度、保密信息维护的方法等进行规定。二是树立企业信息保密的意识，上文已经提到，除了企业公布的信息外，内部信息、重要信息和特别重大信息的保密需要全员的配合，应当根据《保密法》的相关内容，对基层员工到管理人员进行保密宣传，增强保密观念，提升保密意思。三是企业保密制度的建设值得重视。在一些发达国家，市场竞争激烈，商业间谍、信息泄露等威胁较多，很多企业都设有反情报机构来防止企业信息的泄露，因此，本文建议对企业信息保密进行制度化建设，不但包括对在职人员的保密义务界定，还有离退休人员等，按照国家的法律法规制定规章制度或签订合同。四是形成以企业领导人员和涉密人员为主的保密队伍，对当前企业内部管理层中信息安全专业人员缺乏的情况，对领导层干部进行保密教育，并对全部员工进行保密教育和培训，包括新进员工、在职员工和离职、退休员工等。

　　（三）建立信息系统安全应急处理机制

　　所谓应急响应即通常指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。应急响应机制的建立包括以下要素：一是应急响应的技术。包括入侵检测技术和事件隔离技术、追踪定位技术、取证技术等。入侵检测是当应急响应由事件触发之后，应用系统入侵检测系统（IDS）对入侵进行自动响应；事件隔离是指在发现攻击源之后，对攻击源进行隔离，终止信息的泄露或被破坏；追踪定位技术和取证技术是对发出供给的发起人进行定位以及就信息被破坏记录的日志进行审查取证的技术。二是应急响应的程序。根据PDCERF方法学，应急响应程序可被分成准备、检测、抑制、根除、恢复、总结等六个阶段，在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围,限制潜在的损失与破坏；在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手系统恢复；恢复的目的是把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

　　（四）信息系统的灾难恢复机制

　　根据《信息安全技术信息系统灾难恢复规范》（GB/T20988-2007）将灾难定义为：由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受，通常导致信息系统需要切换到备用场地运行的突发事件。灾难恢复是指将信息系统从灾难损害中恢复为正常状态的过程。灾难恢复是一个复杂的系统，除了技术，还有风险分析、业务分析。企业灾难恢复制度建设包括以下内容：灾难恢复系统的建设，包括灾难备份、数据备份等；灾难恢复小组的建立，组织专业人员就灾难事件发生后的灾难恢复策略、恢复计划制定。日常灾难恢复系统的维护，包括日常数据备份，基础设施、人力、设备投入等。

　　（五）信息安全岗位职责规范

　　一是明确各岗位的信息安全控制职责。全面的信息安全控制系统是全员配合下的企业信息安全控制。针对目前我国企业中存在的信息安全组织结构不完整等问题，应当首先就各岗位、各层级的员工进行信息安全职责的明确。对于领导人员，其对信息安全控制的责任是信息安全战略的制定、信息安全系统人力资源管理、组织信息安全培训等；对于高层管理人员，应当对信息安全控制策略进行制定，明确所管部门的信息安全责任；对于信息安全管理部门，应当对信息安全系统和设备进行及时的维护，及时更新知识应对信息安全威胁。

　　二是协调各部门人员信息安全职责的履行。企业的信息安全管理不是单个部门的信息安全管理，而是多个部门协调下的信息安全管理。因此，企业信息安全控制需要不同部门、不同层级员工之间的沟通，就可能出现的信息威胁进行及时沟通以预防信息安全事件的发生。

　　本章就企业信息安全控制的策略进行了论述，是文章的重点部分。本文根据企业信息安全控制存在的普遍问题出发，从信息安全控制的战略和目标出发，制定企业信息安全控制的基本方向和短期、中期长期战略，并以此为基础，分别从管理体系和技术方面进行了具体策略的制定。从本章的论述可以看出，企业的信息安全控制是企业领导层到基层员工全面协调的系统工作，应当以技术、设备为基础，配合完善的管理制度，实现企业信息安全的控制。

　　上文已经对我国大多数企业中存在的信息安全控制问题及问题成因进行了分析，并针对性的给出了信息安全控制的管理框架。本章将上文本文的分析和结论结合具体的企业信息安全控制实践进行分析，以验证本文提出的信息安全控制体系改善策略。

　　（一）H公司的基本情况

　　H公司是位于无锡的一家国有控股企业，主要从事电子产品的生产，其企业的盈利主要是通过规模化生产和规模报酬递增下的成本下降，应用低价高质的竞争战略在电子元件市场上取得一定的市场占有率。H公司的电子元件生产已经实现了高度自动化，整个电子元件的生产和组装都应用生产线来完成，因此，企业的正常运行对信息技术的维护具有较强的依赖性。目前，企业的生产系统（MES系统）、ERP物流系统、仓管系统、人力资源管理系统、供应链管理SCM系统和办公系统、财务系统等都实现了信息化，企业的整体运营与信息维护已经密不可分。

　　由于企业全面经营的信息化，因而面临着信息安全威胁形式越来越多样、频率越来越高的现状，也同时着手开始建立信息安全控制系统，但是企业信息安全事件还是时有发生，包括电脑病毒损坏系统数据、应用系统被外部侵占、商业数据丢失、系统高风险漏洞被攻击等，这些信息安全事件不但导致企业保密信息的丢失，也曾经导致企业生产线停产，直接经济损失惨重。目前，企业的信息安全控制从硬件和设备上来讲主要有防火墙、杀毒软件、弱点检测、不定管理、灾难设备恢复系统等，并注重对软件的及时更新，为此企业支付了高额的系统或设备购买费用和维护费用。信息安全控制设备和软件、硬件使企业一定程度上抵御了病毒的入侵、黑客的供给，但是在信息安全管理上还存在诸多问题，如应急机制建设不完善、新员工丢失数据等问题。

　　H公司是一家典型的高新技术生产的企业，其信息安全控制的现状也具有一定的代表性，因此本文选择H公司作为例子，就其信息安全控制现状进行实地调查了解并形成此文，依据本文提出的信息安全控制对策建议，针对H公司的情况，以企业利润最大化为目标进行策略的制定。

　　（二）H公司内部信息安全管理的做法

　　1. H公司的企业信息安全管理组织构架不够完善。

　　根据本文的调查研究，H公司的信息安全管理部门设在IT部下，由系统管理办公室副主任兼职信息安全工作，并未设立专门的信息安全管理部门。这种组织构架导致信息安全的执行处于企业信息管理的从属地位，且没有专门的信息安全执行小组，信息安全事件发生之后，缺乏对信息安全事件处理的执行力以及对各类业务的信息安全问题进行统筹管理的能力。整个信息安全管理处于被动状态，往往在发生信息安全事件后，或者有了新的信息安全更新要求之后，临时从IT部门的信息安全管理部门、网络维护部门抽调人员组成安全事件小组进行安全事件的解决，当问题解决后，小组解散。因此，企业整体对信息安全的维护是无人跟踪、不系统的，导致了信息安全的维护出现了不连续、程序无法跟踪等问题。

　　2. 信息安全策略与信息安全的实施不一致。

　　H公司的信息安全策略和方针是由管理层进行指定的概括性的和方向性的文件，由于负责指定信息安全策略的领导人员中没有信息安全管理的专业人员，因此，信息安全策略的制定者是从企业战略的角度而非企业信息安全执行的角度考虑进行文件仿真的制定。因此，整个信息安全策略并没有就策略的具体执行方法进行详细描述。这导致了H公司在实行信息安全策略时，流程与策略之间形成了不一致，导致策略是策略，执行是执行的脱节情况。例如，H公司明确指出要对信息按照相关标准进行分类管理并给予不同级别的保护，但是企业在实际执行中并没有制定信息分类标准，而是按照工作人员的主观判断进行大致分类，有时不具有参考性。另一方面，由于企业信息安全制定完全由公司战略出发没有考虑实际的管理情况，因此出现了制定的规程不合理，执行困难。例如根据公司的信息安全管理，IT部门设立了访问控制程序在无键盘操作的情况下，5分钟后自动锁屏，但是对于生产部门的电脑往往只用作显示屏并无键盘操作，因此该设置导致生产部门电脑的锁屏，无法观察生产数据，影响了生产部门的效率。

　　3. 企业上下普遍缺乏信息安全意识。

　　目前，H公司对企业信息安全管理的重视程度和认识都存在严重不足，尤其是H公司的领导层和管理层人员，对信息安全的认识较为局限，对于专业的信息安全知识了解甚少。造成这种缺乏信息安全意识的原因有两个：一个是领导和管理人员认为信息安全的管理或维护不能直接给企业带来经济效益，对信息安全的维护的过多投资是增加企业成本的行为；二是很多企业对信息安全管理的普遍看法，认为信息安全如同上保险，是为了以防万一，但是如果没有这个保险，也不一定会受到损失。因此，企业对信息安全的这种可有可无的态度和将其视作成本的不正确看法导致企业信息安全的投入时间、人力、物力是有限的，基本处于被动防御阶段。对于普通员工，更是对信息安全的意识淡薄。很多员工不了解什么是信息安全，加上企业的培训中又甚少提及，很多员工都错误的认为信息安全是信管部门的事，与自己无关，这导致了一系列的问题，例如公司为了系统安全对企业系统设立了复杂密码设定要求，而很多员工觉得过于复杂的电脑密码难以记住，很多将电脑密码写在便利贴或记事本上贴在电脑显示屏上，这暴露出员工安全意识薄弱，监管缺失的管理问题。

　　4. 信息安全内部控制缺乏监管。

　　由于组织结构的不完善加上企业上下人员对信息安全认知的淡薄和不重视，IT部门并未将信息安全控制纳入企业文化的系统管理中，因此，企业信息安全控制并不在企业整体监管系统范围内。因此，企业信息安全管理的流程和管理章程等并不全面，且这些信息安全控制的流程、章程是否得以严格执行也无人监管，因此实际的信息安全管理中缺乏对信息安全控制流程的严格操作。导致笔者的调查中发现，企业对历史数据的储存备份频率很低，安全事件以解决了为主，缺乏总结或对事件的总结不够完整，一旦出现问题没有历史数据可以参考。这些问题及表现都暴露出信息安全内部控制和监管上存在着不足和需要加以改善。

　　（三）针对H公司信息安全管理特点所提出的建议

　　1. 重新构建H公司的信息安全管理组织结构。

　　根据H公司的特点，本文建议H公司根据图3的组织框架，构建新的信息安全组织，通过组织上赋予信息安全管理以独立性来提升信息安全在企业工作中的地位。如图4所示，本文建议H公司建立专属的信息安全办公室，独立于IT部门和业务部门，构成单独的信息安全管理部门，其直接对信息安全管理办公室主任进行工作汇报，并行使其在公司的权利。根据本文在上一章提出的组织构架，信息安全办公室由领导层人员负责，这样，信息安全工作直接向经理报告。审计小组和技术小组属于执行层，这样就构成了有管理、有执行的信息安全组织构架。

　　2. 建立起信息安全占一定比例的员工绩效考核制度。

　　对于企业上下员工对信息安全的意识淡薄、认识不清的状况，本文建议根据H公司当前的企业员工绩效考核制度，进行绩效考核的改革以提升企业员工对信息安全管理的重视程度。上文已经说明了企业员工考核是对企业员工的最好激励，因此，本文根据H公司的现状，认为提升信息安全意识的最有效方法是将信息安全管理指标量化，并与员工的业绩和利益挂钩。在H公司，企业的年度目标是由总公司制定，然后分区域进行分解，H公司是承接总公司分解的目标中的一部分，再将目标分解到H公司的各个部门。绩效考核在H公司作为一个重要的手段来评估每个人的工作表现，企业根据绩效考核结果来分配年终奖金、调整薪资、晋升、降职甚至终止合同。因此，H公司中每一个人都非常重视绩效考核指标。这样，如果将信息安全作为考核的一项与员工利益挂钩，建立一年一度的信息安全审计制度，则会有效的提升企业员工对信息安全的重视。

　　3. 建立培训制度，对信息安全进行操作和管理双层次的培训。

　　培训是提升企业员工信息安全参与度不够、意识不强、管理人员管理能力弱、技术人员技术水平不够的有效途径。结合H公司的信息安全中缺乏信息安全意识、企业管理层制定信息安全策略不够专业、技术人员信息安全控制流程执行不完善的问题，本文建议通过开展操作和管理双层次的培训来解决这些问题。培训的对象有：普通员工、管理人员、技术人员。培训的主要内容有：针对普通员工，应当培训具体工作中的信息安全操作，如密码保护、操作保护等；针对管理人员，尤其是参与信息安全策略制定的管理人员，应当就信息安全管理的基础知识进行培训，让他们了解什么是信息安全，怎样进行信息安全的宏观构架，信息安全控制的具体执行流程是怎样的，以帮助其制定有利于操作的信息安全策略；对于技术人员，应当针对最新的信息安全管理设备、信息安全威胁的解决方案进行培训，以应对新的信息安全威胁。

　　4. 完善信息安全控制流程，完善信息安全控制策略。

　　在信息安全策略的制定上，H公司可参照工50/IEC27002:2005标准，以及其他企业的信息安全策略制定的成功经验，制定适合H公司的安全策略。安全策略的制定和编写上，应当是指导性的原则而不要涉及如何做，怎样做等细节问题，尤其不应当涉及技术细节，不规定应用具体的何种技术来实现等。信息安全策略针对的应当是企业的全体员工而非只有专业技术部门，因此，安全策略文件应当是简洁易懂和具有指导意义的。在信息安全控制流程方面，应当按照上文提出的信息安全流程执行，从风险识别、风险评估、风险管控、风险解决、风险事件总结等为基本框架出发，进行具体的流程设计，并配合监督人员做好流程的监督。

　　通过对H公司的信息安全案例分析，本文对H公司现存的信息安全管控问题进行了总结，根据上文提到的企业信息安全控制体系的建立措施和建议，本文给出了改善H公司信息安全状况的三大建议，通过三大策略可以成功地解决当前H公司存在的几个重要问题，在H公司形成良好的信息安全意识。以下是笔者对H公司的信息安全管理案例研究中得出的一些启示，以对其他的公司提供一定的借鉴。

　　第一，清晰明确的组织框架是实施信息安全控制的基础。信息安全管理在企业中存在的最根本问题是认识上的差距和误区。而信息安全管理的组织结构建设应当符合从企业战略出发，进行策略制定，然后按照策略组成信息安全组织，并依照企业的战略目标和业务目标，将信息安全任务划分到信息安全组织中的各个层级进行落实，保持企业最高战略层到最低操作成的一致性。

　　第二，将信息安全管理部门独立出来的组织构架有利于企业信息安全管理执行过程中地位的提升和保持独立性。企业通过成立信息安全管理办公室，将从属于IT部门的信息安全管理业务放到一个独立的组织中进行专门的执行，提升了企业对信息安全管理的重视和信息安全在公司员工心目中的地位，只有信息安全管理在员工心目中的地位提升了，才会更加重视。

　　第三，通过建立信息安全绩效考核制度把信息安全与员工的切身利益绑定在一起，很好的解决了信息安全制度和措施执行不力的问题。对于信息安全控制，信息安全控制的环境营造、信息安全控制的执行，都离不开人的因素。因此，H公司的信息安全管理必须要考虑人的因素，通过信息安全教育和培训形成良好的安全意识是实现信息安全的重要手段。

　　第四，信息安全执行层面上，策略与流程的整合是企业信息安全控制水平得以实质提升的重要条件。根据H公司存在的策略与流程相差较远，策略不具有执行性，流程执行缺乏监督的问题，建立策略按照标准制定，流程按照策略执行将会提升企业信息安全执行力，从而大大提升信息安全管理的整体水平。

　　本章选择了国有控股H公司作为研究对象进行了案例分析，本章是在上文对企业中普遍存在的信息安全问题及问题的解决策略的实际应用。通过对H公司的信息安全管理现状、存在的提出问题进行了归纳总结，本文应用上文的信息安全问题解决思路，结合H公司的具体情况提出了H公司信息安全管理升级的具体方案和建议。

　　本文通过对信息安全管理中存在的问题，应用利益相关者理论和COSO框架，就企业中存在的信息安全问题、信息安全问题的成因进行了分析，本文认为现阶段企业信息安全控制中存在的主要问题有：人员信息安全意识不强、运行机制尚不完善、责任体系难以到位、缺乏战略思考和决策、原有管理模式与现行管理模式的冲突等问题。

　　对于问题的解决，本文将企业信息安全为中心，利用利益相关者理论对信息安全利益相关者的权利和权力进行了分析，发现出现以上问题的主要原因是：企业员工维护信息安全的激励不够，主要表现在信息安全执行不具强制性，不足以引起员工的重视；企业管理人员的管理不到位，一是管理人员中专业人士不多，二是规章制度的制定与实际情况相差较远，造成了执行困难；股东忽视信息安全管理。而归根结底，利益相关者权利和权力的不对称是由于信息价值对大部分企业还没有显现出来以及企业信息安全技术的制约。

　　针对此，本文就加强信息安全控制的对策从目标框架的构架，到管理措施和技术措施进行了详细分析，并且选择了H公司为案例进行了信息安全控制的分析，得出以下结论：企业的信息安全控制清晰明确的组织框架是实施信息安全控制的基础；将信息安全管理部门独立出来的组织构架有利于企业信息安全管理执行过程中地位的提升和保持独立性；企业人力资源管理中加入信息安全有利于全员信息安全意识的提升，这里主要可通过绩效考核和员工培训来完成；信息安全执行层面上，策略与流程的整合是企业信息安全控制水平得以实质提升的重要条件。

　　本文的研究主要的不足在于对信息安全的管理进行的是普遍性的分析，而根据本文在第二章的论述，不同的性质的企业，信息安全控制的特点不同，呈现出来的问题具有差异性和多样性，信息安全控制的战略规划和在企业经营中的地位也有所不同，本文未就企业性质进行分类研究企业信息安全管理的具体问题和专属解决策略。

　　企业信息安全问题未来将会越来越被企业管理人员重视。由于不同行业的企业对信息安全管理的风格和要求是不同的，本文选择的案例分析H公司是一家高新技术企业，具有一定的局限性，因此，本文未来的研究方向可定在对不同行业的不同性质企业的信息安全管理进行分别研究，如对科技型企业进行信息安全研究，信息安全对企业的盈利影响较大，其信息安全管理发展现状与一般的企业则会有更多的不同，会更偏重于技术结合管理进行研究；对于制造企业中竞争较为激烈的行业，信息安全管理可能主要是针对人的管理，那么信息安全管理主要是针对人的管理，可从人力资源管理角度和企业文化建设角度进行研究。

　　参考文献

　　[1]傅予力等.信息安全理论、技术与应用基础[M].北京:机械工业出版社，2008.

　　[2]陈峻.基于“诱因-行为-后果”三级控制的企业信息安全管理体系研究[J].福建电脑.2011,4：88-89

　　[3]刘洪昌.企业信息安全管理评估内容与方法探讨[J].科技信息.2009(3):363.

　　[4]闰蕾,郑海昕.企业信息安全管理体系的构建[J].广西大学学报.2005,30:85-97.

　　[5]曹宝香,郑永果.计算机导论.2009:227.

　　[6]杨永川,李冬静.信息安全.清华大学出版社中国人民公安大学出版社.2007:23.

　　[7]黄正中.基于COSO框架的内部控制评估研究——以某电信公司为例[D].西南财经大学.2007.

　　[8]百度文库.COSO内部控制框架培训资料.

　　[9]现代管理领域（653工程）教材编写委员会.现代管理公需教材[M].企业管理出版社,2006.09：706-707.

　　[10]全国信息安全标准化技术委员会.信息安全技术信息安全风险评估规范GB/T20984-2007.2007

　　[11]姚乐,刘继承.CIO综合修炼[M].电子工业出版社.2009:321.

　　[12]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术2011(2):47-50.

　　[13]刘海侠.企业计算机信息安全工作研究[J].硅谷.2011(9):82.

　　[14]张红旗,王新昌,杨英杰,唐慧林.信息安全管理[M].人民邮电出版社.2007:90

　　[15]郑革.信息安全风险评估综合分析[J].现代商贸工业.2011(8):256-257.

　　[16]刘学.信息系统安全风险的自动识别和量化方法研究[D].山东师范大学.2010

　　[17]王梅,刘永涛.企业信息安全（保密）培训的几点思考[J].中国市场.2010(35):117-118.

　　[18]卢卫星.浅析信息安全应急响应体系[J].科技创新导报.2011(5):27-30.

　　[19]张伟.信息系统灾难恢复与数据备份[J].办公自动化杂志.2011（2）：32-35.

　　[20]常华斌.电信企业信息安全管理策略[D].北京交通大学.2009

　　[21]常颖.具有可实施性的信息安全风险管理体系[J].科技信息.2009,24:572-574

　　[22]戴宗坤.信息安全管理指南[M].重庆:重庆大学出版社.2008

　　[23]陆预林.如何进行企业信息安全目标管理设定[J].企业科技与发展.2010,14:187-189

　　[24]杜国栋.企业内部控制及风险管理解析[J].经济研究导刊.2010,2:154-155

　　[25]郎良、张玉清、高有行、邱晓鹏，《计算机工程》2004第17期

　　[26]阮飞，当前我国信息安全领域面临的重大问题[J].信息安全与通信保密,2003（12）：19.

　　[27]郑银华,杨玲.我国XX首席信息官(CIO)体制建设探析.《孝感学院学报》,2009年01期

　　[28]《关于加强中央企业信息化工作的指导意见》(国资发[2007]8号)

　　[29]王代潮等.信息安全管理平台理论与实践[M〕.北京:电子工业出版社，2007.

　　[30]RobertK.Abercrombie,FrederickT.Sheldon,AliMili.ManagingComplexITSecurityProcesseswithValueBasedMeasures.2011.

　　[31]JohnHomerandXinmingOu.SAT-SolvingApproachestoContext-AwareEnterpriseNetworkSecurityManagement.IEEEJOURNALONSELECTEDAREASINCOMMUNICATIONS,VOL.27,NO.3,APRIL2009

　　[32]Huang,L,Bai,XandNair,S,"DevelopingaSSE-CMM-basedSecurityRiskAssessmentProcessforPatient-CenteredHealthcareSystems,"inProceedingsofthe6thInternationalWorkshoponSoftwareQuality.Leipzig,Germany:ACM,2008.AndDantu,RandKolan,P."RiskManagementUsingBehaviorBasedBayesianNetworks,"ProceedingsofIEEEInternationalConferenceonIntelligenceandSecurityInformatics,2005;LNCS3495115-126.

　　[33]StephenMohrandSyedRahman.ITsecurityissueswithinthevideogameindustry.InternationalJournalofComputerScienceandInformationTechnology.vol3,No5,Oct2011.

　　[34]Chung-ChuLiu.Usinghumanresourcefunctionstoimproveenterpriseinformationsecurity.InternationalJournalofBusinessandSystemResearch.vol4,2010.

　　[35]DavidBotta,KasiaMuldner,KirstieHawkey,KonstantinBeznoso.TowardunderstandingdistributedcognitioninITsecuritymanagement:theroleofcuesandnorms.CognTechWork,2010.