中文摘要
信息安全是企业赖以运行的基础保障之一。进入21世纪，随着我国加入
WTO，国际化程度越来越高，越来越多的国外跨国企业相继进入中国，由于国内
外各方面的文化差异和大环境的不同，如何在国内开展业务的同时做好企业的
信息安全保障成为各大跨国公司的当务之急。

本文分析了C公司信息安全管理的现状，指出了该公司在国外部署的信息
安全体系在国内分公司部署过程中遇到的种种问题。如何建立一个适合本地化
的信息安全体系，成为了摆在C公司中国总部面前的一道难题。在此背景下，
引入信息安全管理理论和国外先进的理念及最佳实践，并以这些理论和方法为
基础，详细介绍和分析了如何将这些理论方法应用到C公司中国总部的信息安
全体系建设当中。在整个体系建设中，提出了在原有基础上进行双体系建设，
即:信息安全管理体系和信息安全技术体系的共同规划。这是一个将管理融入
技术的尝试，提出在信息安全技术体系建设的同时，引入信息安全管理体系，
这样做得好处是摆脱传统信息安全体系建设在企业内部面临的孤立感，更好的
获取公司管理层的支持和参与。只有这样信息安全建设才一能在企业内部开花结
果。

本文围绕企业信息安全的双体系建设，通过AP20C的方法为指导，将论文
的主体分为五个层次，遵循提出问题，分析问题，解决问题的逻辑框架，由概
念到具体，再到普遍，逐步深入，循序渐进地展开论述。同时对每个体系建设
中牵涉的方方面面进行深入浅出的系统阐述。在对各个问题进行解决的过程中，
引入成熟度模型，将每个问题的解决分成6个级别，以便在执行过程中找到当
前的位置和需要改进的方面，直至最后达到最终目标。

最后通过对C公司信息安全双体系实施的结果，说明了在发布信息安全双
体系后的优势、实践中的不足之处，并提出相关建议。

关键词:信息安全，质量管理理论(PDcA)，信息技术基础架构库(IT工L)，
技术控制目标(COBIT)，信息安全认证标准(工5027001/15027002)