摘要
信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等
机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的
范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息，尤其是敏
感信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业
资产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到重视和保
护
本文首先对信息安全的基本概念、国际上公认最佳信息安全管理 ISO27001 模型
体系进行了综合描述。然后以博士公司
①
这家国内领先的第三方理财机构为例，通过
与各业务职能部门的访谈，并结合 ISO27001 模型体系要求设计调查问卷以及评估工
具来诊断博士公司目前所暴露出来的信息安全问题。另外，根据原因诊断结果并结合
博士公司自身业务发展需求，制定了一系列的解决方案
最后，本文希望通过国际上通用的 ISO27001 安全管理体系在博士公司的实践，
着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析，找出
若干风险控制节点，并结合组织的自身情况，针对每个风险控制节点一一拟定了解决
方案。本研究不但能够丰富信息安全管理的相关理论，而且研究成果也可以为同欧亿·体育（中国）有限公司
提高信息安全水平提供借鉴
关键词: 信息安全；信息安全诊断；ISO27001 模型；信息安全治理；PDCA
Abstract
The concept of information security, itself includes a wide range. From the country's
military, political, economic policy and security, to prevent teenagers on bad information
browsing and personal information disclosure, all belong to the category of information
security. Today, in this information era, for an enterprise, the sensitive information largely
determines the enterprise's prosperity and decline and vital importance, it has quietly
changed to an enterprise asset. It is same as other important asset, it has important value for
the enterprise, therefore it should been have appropriated protection.
Firstly, the thesis summarizes basic concepts of information security and
internationally recognized as the best information security management model of
ISO27001 system. According to the boshi company, it is the leader of the third party
financial institutions, with various business functions to the interview, and combined with
the ISO27001 model system requirements designed questionnaire and evaluation tools to
diagnose the information security problem of the company currently exposed. In addition,
according to the diagnosis of the cause and the result of company's own business
development needs to develop a series of solutions.
Finally, we hope that through the ISO27001 information security management system
practice in the company. We will focuses on the analysis of the information security
management problems. Through the analysis of the diagnostic system, find out some risk
control node, and combined with the organization's own situation, for each risk control
node has one proposed solutions. This research can not only enrich the theory of
information security management, and the research results can improve information
security level to provide reference for the same industry
Keywords: Information Security; Information security diagnosis; ISO27001 model;
Information security governance; PDCA
第1章 绪论
从人类社会诞生开始，信息的传递始终是彼此相互交流的一个重要的途径。先前，
由于信息技术欠发达，人们主要依靠口述、书写、电话等的方式来进行彼此之间的交
流，但进入 21 世纪后，随着信息技术的高速发展，微博、微信、办公软件、社交平
台等一大批先进的电子化工具走进了人们的日常工作和生活，这些工具给我们带来了
便利的同时，其背后所隐藏的信息安全问题也不容忽视。据 IBM 统计，全球每天约
有 130 亿个信息安全事件发生，更有统计表明，世界上每过一分钟就有 2 家企业因
为信息安全问题而倒闭，目前信息安全问题成为社会各层和各类型的组织所关注的焦
点。各国也为之出台了一系列信息保护的法律法规
1.1 信息安全概述
信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等
机密安全，到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的
范畴。如今，在这个信息传播高度发达的时代，对于一个企业来说，信息尤其是敏感
信息很大程度上决定了企业的兴衰甚至是生死存亡，它已经悄然地变为了一项企业资
产。它和其它资产一样重要，对企业具有重要的价值，因此理应需要受到适当的保护
但是，目前我们的信息安全环境不容乐观，每天我们的企业可能要面对数以万计
的黑客试探性入侵、木马病毒以及恶意代码的威胁、或者承受那种损人不利己的拒绝
服务攻击。当然，现在大多数企业对这样外部的安全威胁做了一定的防御措施。在整
个信息系统中基本上都有部署防火墙、身份认证甚至入侵防御系统。但我们发现即使
投入了那么多资源来抵御外部的各种威胁，对入侵仍然反映迟钝，我们的信息还是在
不断地泄露。根据国家互联网应急响应中的统计有将近 50%的黑客入侵实际上是通
过正常的途径，利用合法的凭证，进行机密欧亿·体育（中国）有限公司的窃取。组织的内部人员可能由于安
全意识不强或误操作，把一些敏感信息无意中泄露出去，甚至也有些极端分子靠出卖
这样信息来获取私利的情况的出现。因此，组织的信息安全问题不容忽视，一套严密
的信息安全管理体系更是许多组织正常运作的基础。