互联网及移动应用等新兴 IT 技术的普及，已成为企业经营管理中不可割舍 的辅助手段，新技术的运用也让企业面临更多的信息安全风险。软件与信息技术 服务欧亿·体育（中国）有限公司作为新技术运用的先驱者，近年来面临外部层出不穷的信息安全问题 时，不断强化自身的信息安全管理。软信公司作为一家年轻、高起点的软件与信 息技术服务企业，在积极探索自身业务发展的同时，也面临着各种信息安全管理 问题。面对来至外部环境的挑战与内部管理的压力，软信公司应研究如何优化提 升自身的信息安全管理。 本文以优化软信公司信息安全管理为研究对象，调研软信公司信息安全管理 现状，总结问题。运用信息安全管理理论及其他相关理论工具,分析软信公司信 息安全策略、信息安全组织、人力资源安全、运行与操作安全、系统获取开发与 维护中的问题。提出软信公司信息安全管理优化方案，再次运用相关理论进行信 息安全策略优化、信息安全组织优化、人力资源安全提升，加强对运用与操作安 全的管理，对系统获取、开发与维护中的信息安全进行改进。制定方案实的施计 划，对实施重点与管控点进行说明，确保优化措施能够得到有效的执行。 通过对软信公司信息安全管理的优化研究，不仅提升软信公司的信息安全管 理水平、降低公司业务管理的风险，同时也为软件与信息服务欧亿·体育（中国）有限公司的各单位实施、 改善自身信息安全管理提供实践参考。 关键词：信息安全管理，ISO27000，流程优化II STUDY ON INFORMATION SECURITY MANAGEMENT OPTIMIZATION OF CETCSS COMPANY Abstract The popularity of information technology, Internet and mobile applications has become an important part of business management. The application of new technologies also let enterprises face to more information security risks. As a pioneer user of this new technologies, the software and information technology service industry has been strengthening its information security management in order to deal with information security issues in recent years. CETCSS as a young and high-starting software and information technology service company, when actively exploring the business, it also troubled some unknown information security issues. When face to the challenge of the external environment and the pressure of internal management, how should CETCSS improve its information security managementThis paper research on information security management optimization, survey and summary the major information security issue of CETCSS. Utilize information security management theory and tools, analysis issues of information security policy and organization, HR security, operation and maintenance security, system acquisition development and maintenance. Give the solution of information security improvement. Provide improvement approach on information security policy and organization, HR security, operation and maintenance security, system acquisition development and maintenance. Make the schedule of this solution, explain the key point and control point, ensure the solution can be implemented effectively. Through the research on information security management improvement of CETCSS, it not only improves the company’s management ability on information security, but also reduce the business risk. Meanwhile, it will provide best practices for those similar company. Keywords: information security management, ISO27000, process optimization兰州大学硕士学位论文 软信公司信息安全管理优化研究 III 目 录 中文摘要.................................................I Abstract ................................................ II 目 录................................................. III 第一章 绪论.............................................1 1.1 研究背景....................................................1 1.2 研究意义....................................................2 1.3 研究内容....................................................2 1.4 研究方法与思路..............................................3 1.4.1 研究方法 ................................................3 1.4.2 研究思路 ................................................4 1.5 研究综述....................................................6 1.5.1 国外研究成果综述 ........................................6 1.5.2 国内研究成果综述 ........................................6 第二章 信息安全管理相关理论 .............................8 2.1 信息安全管理理论............................................8 2.2 流程优化理论...............................................10 2.3 信息安全风险评估...........................................11 第三章 软信公司信息安全管理现状 ........................12 3.1 软信公司简介...............................................12 3.2 软信公司信息安全管理现状...................................14 3.2.1 信息安全策略 ...........................................14 3.2.2 信息安全组织 ...........................................15 3.2.3 人力资源管理 ...........................................17 3.2.4 信息系统的建设与管理 ...................................17兰州大学硕士学位论文 软信公司信息安全管理优化研究 IV 3.3 软信公司信息安全管理存在的问题.............................19 3.3.1 信息安全策略中的问题 ...................................19 3.3.2 信息安全组织存在的问题 .................................20 3.3.3 人员信息安全意识低的问题 ...............................21 3.3.4 项目欧亿·体育（中国）有限公司外泄的问题 .....................................21 3.3.5 系统开发与维护中的问题 .................................22 第四章 软信公司信息安全管理问题分析 ....................24 4.1 信息安全管理分析框架.......................................24 4.2 信息安全管理方面的分析 .....................................24 4.2.1 信息安全策略分析 ........................................24 4.2.2 信息安全组织分析 .......................................26 4.2.3 人力资源安全分析 ........................................29 4.3 信息安全技术方面的分析 .....................................30 4.3.1 运行与操作安全 .........................................30 4.3.2 系统获取、开发与维护分析 ...............................31 4.4 其他方面分析...............................................33 第五章 软信公司信息安全管理优化方案 ....................36 5.1 目标与原则.................................................36 5.2 方案内容...................................................36 5.2.1 信息安全策略优化 .......................................36 5.2.2 信息安全组织优化 .......................................40 5.2.3 人力资源安全提升 .......................................44 5.2.4 运行与操作安全改进 .....................................46 5.2.5 系统获取、开发与维护改进 ...............................47 第六章 软信公司信息安全管理优化方案实施 ................53 6.1 主要内容的实施计划.........................................53兰州大学硕士学位论文 软信公司信息安全管理优化研究 V 6.2 实施重点与管控.............................................54 第七章 总结与展望 ......................................56 7.1 研究总结...................................................56 7.2 展望.......................................................56