《软信公司信息安全管理优化研究.docx》由会员分享,可在线阅读,更多相关《软信公司信息安全管理优化研究.docx(70页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 学 院: 学生姓名: 学科名称: 论文题目_管理学院MBA学 号:220160929841徐颖胤导师姓名:张庆来工商管理(专)工商管理软信公司信息安全管理优化研究原 创 性 声 明本人郑重声明:本人所呈交的学位论文,是在导师的指导下独立进行研宄所本人郑重声明:本人所呈交的学位论文,是在导师的指导下独立进行研宄所 取取得的成果。学位论文中凡引用他人己经发表或未发表的成果、数据、观点等,得的成果。学位论文中凡引用他人己经发表或未发表的成果、数据、观点等, 均己均己明确注明出处。除文中已经注明引用的内容外,不包含任何其他个人或集体明确注明出处。除文中已经注明引用的内容外,不包含任何其他个人或集体
2、已经发已经发表或撰写过的科研成果。对本文的研究成果做出重要贡献的个人和集体,表或撰写过的科研成果。对本文的研究成果做出重要贡献的个人和集体, 均已在文均已在文中以明确方式标明。中以明确方式标明。本声明的法律责任由本人承担。本声明的法律责任由本人承担。论文作者签名:论文作者签名: 邊邊金金日日期期: :?,丨? 、 、yiG关于学位论文使用授权的声明本人在导师指导下所完成的论文及相关的职务作品,知识产权归属兰州大本人在导师指导下所完成的论文及相关的职务作品,知识产权归属兰州大 学。学。本人完全了解兰州大学有关保存、使用学位论文的规定,同意学校保存或向本人完全了解兰州大学有关保存、使用学位论文的规
3、定,同意学校保存或向 国家有国家有关部门或机构送交论文的纸质版和电子版,允许论文被查阅和借阅;本人关部门或机构送交论文的纸质版和电子版,允许论文被查阅和借阅;本人 授权兰州授权兰州大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可 以采用任何以采用任何复制手段保存和汇编本学位论文。本人离校后发表、使用学位论文或复制手段保存和汇编本学位论文。本人离校后发表、使用学位论文或 与该论文直接与该论文直接相关的学术论文或成果时,第一署名单位仍然为兰州大学。相关的学术论文或成果时,第一署名单位仍然为兰州大学。本学位论文研究内容:本学
4、位论文研究内容:可以公开可以公开不宜公开,已在学位办公室办理保密申请,解密后适用本授权书。不宜公开,已在学位办公室办理保密申请,解密后适用本授权书。( (请在以上选项内选择其中一项打请在以上选项内选择其中一项打“ v ”)论文作者签名论文作者签名: :日日期期: :ipfl导师签名:导师签名:日 期:u软信公司信息安全管理优化研究中文摘要互联网及移动应用等新兴IT技术的普及,已成为企业经营管理中不可割舍 的辅助手段,新技术的运用也让企业面临更多的信息安全风险。软件与信息技术 服务行业作为新技术运用的先驱者,近年来面临外部层出不穷的信息安全问题 时,不断强化自身的信息安全管理。软信公司作为一家年
5、轻、高起点的软件与信 息技术服务企业,在积极探索自身业务发展的同时,也面临着各种信息安全管理 问题。面对来至外部环境的挑战与内部管理的压力,软信公司应研究如何优化提 升自身的信息安全管理。本文以优化软信公司信息安全管理为研究对象,调研软信公司信息安全管理 现状,总结问题。运用信息安全管理理论及其他相关理论工具,分析软信公司信 息安全策略、信息安全组织、人力资源安全、运行与操作安全、系统获取开发与 维护中的问题。提出软信公司信息安全管理优化方案,再次运用相关理论进行信 息安全策略优化、信息安全组织优化、人力资源安全提升,加强对运用与操作安 全的管理,对系统获取、开发与维护中的信息安全进行改进。制
6、定方案实的施计 划,对实施重点与管控点进行说明,确保优化措施能够得到有效的执行。通过对软信公司信息安全管理的优化研究,不仅提升软信公司的信息安全管 理水平、降低公司业务管理的风险,同时也为软件与信息服务行业的各单位实施、 改善自身信息安全管理提供实践参考。关键词:信息安全管理,IS027000,流程优化ISTUDY ON INFORMATION SECURITY MANAGEMENTOPTIMIZATION OF CETCSS COMPANYAbstractThe popularity of information technology, Internet and mobile applica
7、tions has become an important part of business management. The application of new technologies also let enterprises face to more information security risks. As a pioneer user of this new technologies, the software and information technology service industry has been strengthening its information sec
8、urity management in order to deal with information security issues in recent years. CETCSS as a young and high-starting software and information technology service company, when actively exploring the business, it also troubled some unknown information security issues. When face to the challenge of
9、the external environment and the pressure of internal management, how should CETCSS improve its information security management?This paper research on information security management optimization, survey and summary the major information security issue of CETCSS. Utilize information security managem
10、ent theory and tools, analysis issues of information security policy and organization, HR security, operation and maintenance security, system acquisition development and maintenance. Give the solution of information security improvement. Provide improvement approach on information security policy a
11、nd organization, HR security, operation and maintenance security, system acquisition development and maintenance. Make the schedule of this solution, explain the key point and control point, ensure the solution can be implemented effectively.Through the research on information security management im
12、provement of CETCSS, it not only improves the companys management ability on information security, but also reduce the business risk. Meanwhile, it will provide best practices for those similar company.Keywords: information security management, IS027000, process optimizationm州大学硕士学位论文软信公司信息安全管理优化研究目
13、录中文摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IAbstract.II M.III第 一 章 绪 论 .11.1 研究背景.11.2 研究意义.21.3 研究内容.21. 4 研究方法与思路.31. 4. 1 研究方法 .31. 4. 2 研究思路 .41. 5 研究综述.61. 5. 1 国外研究成果综述 .61.5. 2 国内研究成果综述 .6第二章信息安全管理相关理论.82. 1 信息安全管理理论.82. 2 流程优化理论.102. 3 信息安全风险评估.11第三章软信公司信息安全管理现状.123.
14、1 软信公司简介.123. 2 软信公司信息安全管理现状.143. 2. 1 信息安全策略 .143. 2. 2 信息安全组织 .153. 2. 3 人力资源管理 .173. 2. 4 信息系统的建设与管理 .17mm州大学硕士学位论文软信公司信息安全管理优化研究3.3 软信公司信息安全管理存在的问题.193. 3. 1 信息安全策略中的问题.193. 3. 2 信息安全组织存在的问题.203. 3. 3 人员信息安全意识低的问题.213.3.4 项目资料外泄的问题.213. 3. 5 系统开发与维护中的问题 .22第四章软信公司信息安全管理问题分析 .244. 1 信息安全管理分析框架.24
15、4. 2 信息安全管理方面的分析.244. 2. 1 信息安全策略分析 .244. 2. 2 信息安全组织分析 .264. 2. 3 人力资源安全分析 .294. 3 信息安全技术方面的分析.304. 3. 1 运行与操作安全.304. 3. 2 系统获取、开发与维护分析 .314. 4 其他方面分析.33第五章软信公司信息安全管理优化方案.365.1 目标与原则.365.2 方案内容.365. 2. 1 信息安全策略优化 .365. 2. 2 信息安全组织优化 .405. 2. 3 人力资源安全提升 .445. 2. 4 运行与操作安全改进 .465. 2. 5 系统获取、开发与维护改进 .
16、47第六章软信公司信息安全管理优化方案实施.536. 1 主要内容的实施计划.53IVm州大学硕士学位论文软信公司信息安全管理优化研究6. 2 实施重点与管控.54第七章总结与展望 .567. 1 研究总结.567. 2 展望.56参考文献.58附录A软信公司信息安全管理访谈大纲.60附录B软信公司信息安全情况调查问卷.61至文i射.63V兰州大学硕士学位论文软信公司信息安全管理优化研究第 一 章 绪 论1.1 研究背景近年来,大量企业普及运用互联网与移动技术,使企业的经营管理更为高效, 员工沟通更为便捷。企业在高度依赖这类新信息化技术并享受新技术带来的各种 红利的同时,也将面临新技术带来的更
17、多信息安全风险。例如:信息泄漏、加密 勒索者病毒等信息安全事件的爆发,使得涉事企业遭受重大的经济与社会影响力 打击。2017年 6 月 1 日,我国颁布施行中华人民共和国网络安全法,是对国 内企事业单位在网络信息安全的管理提出更高的要求。软件与信息技术服务行业作为互联网、移动应用等新技术运用的先驱者与提 供者,其自身也面临着各种信息安全风险,该行业也承载着国家信息安全的重要 使命。因此,软件与信息技术服务行业非常重视其自身的信息安全管理,在面临 自身经营管理风险的情况下,企业纷纷构建、实施、检查并改进其信息安全管理, 并有大量的企业通过IS027001 信息安全管理体系认证。此举不仅增强投资者
18、及 其他利益相关方的信心,而且能够建立与易伙伴之间更多的互相信任,并为广大 用户和服务提供商提供一个基础的设备管理。软信公司作为中国电科集团旗下成员之一,担负着中国电科软件与信息服务 产业板块的规划、产业整合、资本运作、市场运作与组织管理,是中国电科与上 海市共同促进信息产业发展,推动新一代信息产业发展的重要平台。在成立的 6 年来,软信公司不断构建、整合旗下子公司的业务资源,积极运用云计算、大数 据、移动互联网等新技术,为政府、医疗、教育等行业领域提供产品及行业解决 方案。由于面对各式各样复杂的客户需求、快速的业务扩张及所运用的信息技术的 迭代更新,软信公司自身的信息安全管理面临来至于公司内
19、外部因素的挑战。信 息安全管理是一项综合性的系统工程,其包含的管理措施有信息安全策略、信息 安全组织、资产分类与控制、人力资源安全等,包含的技术措施有物理环境安全、 运行与操作安全、访问控制、系统开发与维护等。因此,软信公司在遵循信息安 全管理理论的基础上,需要提供有效的政策支持并持续的投入资源。软信公司虽 然已建立了一套较为完整的信息安全管理策略与制度,但通过与公司领导、信息 安全责任部门、业务部门代表进行沟通,了解到软信公司信息安全管理制度已滞 后于业务的发展的要求。同时对软信公司内部发生的一些安全事件进行分析,暴 露出软信公司信息安全管理尚存在诸多改善点。通过列举软信公司信息安全管理1m
20、州大学硕士学位论文软信公司信息安全管理优化研究现状,对当前的成绩进行肯定,对管理及技术的薄弱点进行分析,引出软信公司 在信息安全策略、信息安全组织、人力资源安全、运行与操作安全、系统获取开 发与维护方面的改善点,提出对软信公司信息安全管理的优化方案的必要性。1.2 研究意义软信公司作为一家年轻的软件与信息服务技术企业,在探索经营发展过程 中,同样面临着软件与信息技术服务行业具有的诸多业务与信息安全管理综合性 问题。因此,优化软信公司的信息安全管理,具有重要的研究意义:(1) 提升软信公司安全管理水平。优化信息安全管理作为软信公司管理提 升的重要组成部分,对公司当前存在的信息安全管理问题分析研究
21、,能够完善公 司现有信息安全管理制度,激发公司各阶层提高信息安全重要性的认识,提高全 员信息安全意识。(2) 提升软信公司研发管理。优化软信公司信息安全管理,有助于公司构 建新的研发管理体系,提高公司研发过程操作安全与资源利用率,降低信息资产 泄露风险,保护公司知识产权。(3) 为软件与信息技术服务行业同类企业提供管理借鉴。优化软信公司信 息安全管理,将为软件与信息技术行业中同类公司在构建、完善其自身信息安全 管理时提供参考案例,有助于提高同类企业在面临外部新技术、内部业务发展过 程中的管理提升,降低企业的经营管理风险。1.3 研究内容本文以研究软信公司信息安全管理优化为对象,通过列举软信公司
22、信息安全 管理现状,运用信息安全管理理论、信息安全风险评估等理论及相关的工具,对 软信公司主要的信息安全问题进行分析,获得软信公司信息安全管理改善需求。 再次运用信息安全管理理论、流程优化理论及相关知识,设计并制定软信公司信 息安全管理优化方案。本文主要章节:(1) 软信公司信息安全管理现状调研。进行软信公司概述与主要业务简介, 列举软信公司信息安全管理现状,叙述当前软信公司信息安全管理中存在的主要 问题。(2) 软信公司信息安全管理问题分析。运用信息安全管理 11 个领域的知识 点,结合信息安全风险评估及其它辅助工具,对软信公司信息安全管理问题进行 分析。对软信公司信息安全管理中 5 个重要
23、问题所涉及的 5 个领域内容开展详细2m州大学硕士学位论文软信公司信息安全管理优化研究的分析论述,分别为:信息安全策略、信息安全组织、人力资源安全、运行与操 作安全、系统获取开发与维护,其余领域做一般性分析介绍。分析结果作为下一 章节信息安全管理优化方案的重要依据。(3)提出软信公司信息安全管理优化方案。基于以上对软信公司信息安全 管理问题分析结果,对暴露出的重要问题,运用信息安全管理理论及流程优化等 相关工具,提出优化方案。对信息安全策略、信息安全组织、人员信息安全采取 管理改善措施,对运行与操作、系统获取开发与维护采取技术改善措施。(4)探讨软信公司信息安全管理方案优化的实施。通过方案实施
24、计划、方 案实施的重点与管控对象,确保方案能够如期、高质量的执行。1.4 研究方法与思路1.4.11.4.1 研究方法研究方法(1)文献调查法文献调查法也称历史文献法,是指通过阅读、分析、整理有关文献材料,全 面、正确地研究某一问题的方法。本文通过查阅当前信息安全管理发展状况与趋势、信息安全管理理论及相关 工具等资料,用于在绪论章节的研究背景与方法叙述、理论部分的内容阐述。(2)网络调查法网络调查法是利用Internet的交互式信息沟通渠道来搜集有关统计资料的 一种方法。通常为通过网上直接用问卷进行调查或通过网络来搜集统计调查中的一些二手资料。本文采用网络调查法,通过查阅互联网上关于信息安全管
25、理研究状况、信息 安全管理理论相关资料,用于本文进行绪论、理论章节阐述时的借鉴参考。通过 查阅公司内部网络并使用内部信息系统发布调查问卷,用于调查软信公司信息安 全管理现状。(3)鱼骨图鱼骨图也被称为因果图,是一种发现问题“根本原因”的方法,它是一种透 过现象看本质的分析方法,又叫因果分析图。鱼骨图有三种类型,本文采用“整 理问题型鱼骨图”,如下图 1-1。3m州大学硕士学位论文软信公司信息安全管理优化研究图 i-i 鱼骨图本文采用鱼骨图来分析软信公司各种无序的信息安全管理问题,对已识别的 信息安全问题进行层次化、系统化的归类,突出问题属性、问题的重要性,作为 信息安全管理概述的需求导入对象。
26、(4)5W1H分析法5W1H分析法也称“六何分析法”,是一种思考方法,也是一种创造技法。内 容包括:活动的目的与范围(Why)、做什么(What)、谁来做(Who)、何时(When)、何地(Where)、如何做(How),如何对活动进行控制和记录,详见下图。现状如何#为什么#能否改善P改如何改善*对象(What) 生产什么P为什么生产这种产 品是否可以生产别 的P到底应该生产 什么p目的(Why) f什么目的P为什么是这种目的#有无别的目的应该是什么目 的塌所(Where在哪里做#为什么在那儿干P是否在应该在哪儿干 p时间和程序 (When) 何时做为什么在那时干能否其他时候干 #应该什么时候
27、 干作业员谁来做为什么那入干能否由其他人干 p应该由谁干p手段(Hmr)怎么做一为什么那么干P有无其他方法应该怎么干p图 1-2 5W1H 分析法本文使用六何分析法来定义信息安全策略中的程序文件的内容,有助于编写 安全策略文件时,明确使用的材料、设备和文件、如何对活动进行控制和记录等。1.4.2 研究思路本文采用提出问题-分析问题-解决问题_总结的思路进行研究,具体研究思 路如图 1-3。4兰州大学硕士学位论文软信公司信息安全管理优化研究图 1-3 软信公司信息安全管理优化技术线路图5m州大学硕士学位论文软信公司信息安全管理优化研究1.5 研究综述1.5.1 国外研究成果综述 根据对已收集材料
28、的汇总,国际上对信息安全相关研究有以下几个方面:1、 国外研究的标准(1)NISTSP800NIST SP800 由美国标准与技术研究院提出,主要应用于美国联邦政府及其 他组织。该系列已出版近 150 多个正式文档,涵盖计划、风险管理、安全意识培 训和教育,并且包含安全控制措施,是一整套信息安全管理体系。 (2)COBIT由美国负责信息技术安全与控制参考架构的组织制定的,当前的版本为 COBIT 5,用于企业IT治理。Cobit5 结合了内部控制与企业风险管理的要求, 清晰划分了 IT治理与IT管理,提供 5 个IT治理流程和 27 个IT管理流程。2、 部分国外研究理论(1)基于制度理论的研
29、究Hsu et al (2012)探讨制度压力影响信息安全管理接受与内化的 6 个调节 作用,包括:最高管理层的支持、感知到的环境不确定性、感知竞争优势、组 织资源的可用性、IT能力、文化对创新的接受程度。(2)基于社会工程学Christopher Hadnagy (2016)编著的社会工程学卷 3 防范钓鱼欺诈中, 详细介绍了钓鱼欺诈中所使用的心理学和技术措施,以帮助大众识别或防范各种 钓鱼欺诈的攻击。1.5.2 国内研允成果综述1、 国内研究的标准我国信息安全标准规范分为:基础标准、技术与机制标准、管理与服务标准、 测评标准、通用产品安全标准、物联网安全标准、大数据安全标准、个人信息保 护
30、国家标准等。其中较为著名的GB/T 22239-2008 信息安全技术信息系统安 全等级保护基本要求,将信息安全分为 5 个不同的等级,针对不同等级采取不 同的技术、管理措施。2、 从系统角度研究信息安全林润辉(2014)提出了信息安全的三层次内涵:第一层次是信息自身的安全, 第二层次是信息系统的安全,第三层次是信息安全、信息系统安全引发的传统安6m州大学硕士学位论文软信公司信息安全管理优化研究全。从系统角度研究信息安全,打造信息安全研究的价值链。研究需要建立信息 安全系统模型,包括信息安全问题的诱因、信息安全的三层次内容,信息安全的 主体。林国恩(2010)编著的信息系统安全,介绍了安全信息
31、系统具体实 现的过程,也介绍了信息安全追溯的技术,在研究中引入了机构组织结构、信息 系统安全开发生命周期等信息安全管理的概念。张基温(2017)编著的信息系 统安全教程中,以“威胁一防护一管理”为组织,介绍信息系统安全的威胁、 数据安全的保护、信息系统安全管理等。陈兴蜀、葛龙(2017)编著的云安全 原理与实践,介绍了云安全的基本概念与原理及相关技术,并通过产业案例使 读者掌握云安全的相关技术,从产业发展角度理解云安全的技术发展趋势。通过对以上国内外研究成果的学习,借鉴国外相关的信息安全体系与制度、 社会工程学等思路,同时结合国内信息安全标准要求,运用系统安全方面的较新 的技术措施,进行本文中
32、软信公司信息安全管理优化的研究。7兰州大学硕士学位论文软信公司信息安全管理优化研究第二章信息安全管理相关理论2.1 信息安全管理理论1、信息安全管理的定义与发展信息安全管理是通过维护信息的机密性、完整性和可用性,来管理和保护信 息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过 程。信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资产、 降低信息系统安全风险、指导信息安全体系建设具有重要作用。信息安全管理发展的一个重要方面是步入标准化与系统化管理时代,信息安 全管理在 20 世纪 90 年代步入标准化与系统化管理的年代。如BS7799-1:1995信 息安全管
33、理实施规则、BS7799-2:1998信息安全管理体系规范。BS7799-1 于 2000 年12 月被国际标准化组织纳入世界标准,编号为ISO/IEC17799。BS7799-2 也被国际化标准组织纳入世界标准,编号为ISO/IEC 27001。IS027000 系列标准为信息安全管理领域的权威标准,其主要内容见表 2-1。表 2-1 IS027000 主要标准标准名称主要内容IS0/IEC 27001信息安全管理体系要求IS0/IEC 27002信息安全管理实践准则IS0/IEC 27003信息安全管理实施指南IS0/IEC 27004信息安全管理的度量指标和衡量。IS0/IEC 2700
34、5信息安全风险管理IS0/IEC 27006信息安全管理系统审核和认证的机构要求 2、信息安全管理研究内容与涉及范围按照IS0/IEC 27002信息安全管理实践准则,通常在 11 个领域建立信息 安全管理控制措施,构建最佳的信息安全管理实践。以下 11 个领域的内容为:(1) 信息安全策略,针对组织中重要的信息资产,说明信息资产的保级计 划,为信息安全提供管理指导和支持。(2) 信息安全组织,即建立管理架构,启动、管理和维护信息安全,保护 被外部组织访问、处理、沟通或管理的信息及信息处理设施的安全。(3) 资产分类与控制,通过对信息资产的分类、标识、责任划分及风险评 估与控制,确保信息资产受
35、到与其安全要求相对应的保护。(4)人力资源安全,通过安全责任、用户培训等方面,确保将人为因素对8m州大学硕士学位论文软信公司信息安全管理优化研究信息资产的安全威胁降到最低。(5)物理与环境安全,对安全区域、设备及信息媒体的安全控制。(6) 运行与操作安全,确保信息系统在通信、运行与操作过程中的安全, 涉及到系统规划与验收、恶意代码防范、备份恢复、网络安全管理、存储介质控 制、信息与软件交换控制、第三方服务交付管理等。(7) 访问控制,明确访问控制要求、用户访问管理、用户责任,涉及网络、 操作系统、应用程序及移动办公等。(8) 系统获取、开发与维护,明确系统安全需求、应用系统安全控制、密 码控制
36、、文档安全控制、开发与支持过程安全控制及技术脆弱点的管理,确保系 统开发与维护过程的安全。(9) 安全事故管理,通过及时报告安全事故,建立安全事故责任和程序, 进行事故总结与学习、纠正和改进。(10) 业务连续性,通过安全应急响应和灾难恢复,防止运营终端并保护关 键流程或服务免受重大事故或灾难的影响。(11) 符合性,法律合规、安全政策、技术符合性审查等,确保系统符合法 律、安全政策及标准,并使系统审核过程的影响最小化。安全管理主要内容及说明请见表 2-2。 表 2-2 信息安全管理主要内容及组成研宄内容内容说明信息安全策略描述组织重要信息资产,说明信息资产的保护计划信息安全组织组织构成,角色
37、和职责,项目管理中信息安全资产分类与控制信息资产分类、标识、责任划分、风险控制人力资源安全人员安全审查、职责、安全教育、安全事故报告等。物理与环境安全安全区域,设备安全,信息媒体安全运行与操作安全系统运行管理,系统操作管理访问控制访问控制要求、用户访问管理、用户职责、系统与应用访问控制系统获取、开发与维护安全要求、应用系统安全控制、文档控制安全事故管理安全事故责任和程序,纠正和改进业务连续性信息安全连续性计划、计划实施、实施验证、评审和评价 符合性法律法规、安全政策、技术符合性审查资料来源:张红旗,杨英杰等编著.信息安全管理M.北京:人民邮电出版社,2017.3、信息安全管理体系及其过程信息安
38、全管理体系表现为方针、原则、目标、方法、计划、活动、程序、过 程与资料的集合,是信息安全管理活动的直接结果。信息安全管理体系标准的建 立和维持通常采用BS7799-2,通过确定信息安全管理体系范围、制定信息安全方 针、明确管理职责、以风险评估为基础选择控制目标与控制措施等活动,组织建9m州大学硕士学位论文软信公司信息安全管理优化研究立信息安全管理体系。建立和实施信息安全管理体系,需要采用过程的方法开发、实施和改进信息 安全管理体系的有效性。通过rocA使信息安全管理体系得到持续改进,使信息 安全绩效螺旋上升。应用TOCA建立、优化信息安全管理体系的整体过程:P-计划阶段:确定信息安全方针、范围
39、,制定风险识别与评估计划,制定风 险控制计划。D-实施阶段:保证资源、提供培训、提高安全意识。风险治理,运用管理体 系中的控制目标与措施,对不可接受的风险采取处置。c-检查阶段:执行符合性检查,对存在的问题进行改进。A-行动阶段:对信息安全管理体系进行评价,寻求改进的机会。2.2 流程优化理论1、 基本理论流程优化是对现有工作流程的梳理、完善和改进过程。流程优化是通过不断 发展、完善、优化业务流程来保存企业竞争力优势的一项策略。在流程的设计和 实施过程流程中,要对流程进行不断的改进,以期取得最佳的效果。在进行流程优化时,不论对流程的整体进行优化还是对流程的一部分进行改 进,例如:减少流程环节、
40、改变流程时序等,都是提高工作质量及工作效率,降 低成本和劳动强度,节约能耗,确保安全生产,减少污染等为目的的。流程优化 的主要方法有:(1)ECRS分析法ECRS分析法,即对流程进行取消(eliminate)、合并(combine)、重排 (rearrange)、简化(simplify)。(2)SDCA 循环SDCA循环包括所有和改进过程相关的流程的更新(标准化),并使其平衡运 行,然后检查过程,以确保其精确性,最后做出合理分析和调整,使得过程能够 满足愿望和要求。SDCA即“标准、执行、检查、总结(调整)”模式,SDCA循环 就是标准化的维持。2、 实施途径流程优化的主要方式是设备更新、环节
41、简化、时序调整和材料替换,大部分 流程可通过流程改造的方式进行优化。对于某些效率低的流程,可推翻原有流程, 进行流程重新设计的方法来实现流程优化。流程改造方式实现流程优化的措施:10m州大学硕士学位论文软信公司信息安全管理优化研究取消所有不必要的流程节点与内容针对有必要取消的流程节点,无需花时间研究如何改进。如以某各处理、某 道手续为例的流程节点,首选要研究是否可以取消,这是改善工作程序、提高工 作效率的最高原则。合并必要的工作(流程节点)若流程节点不能取消,则研究能否实现合并。为了达到最佳的效果,需要有 分工和合作。分工的目的有很多,由于专业需要或者为了能够提高工作效率,或 因为工作量超出人员所能承受的范围。而合作有时为了提高工作效率、简化工作 甚至不必过多的去考虑专业的分工,而且特别需要考虑保存满负荷工作。程序的合理重排取消和合并后,需要将所有程序按照合理的逻辑进行重新排序,或在改变其 其他要素的顺序之后,重新安排工作程序与步骤。在这个过程中,可以进一步发 现