互联网经济的发展，带来人们行为模式的转变，各种类型的APP承载了旅游、住 宿、购物、通讯等各种消费和生活需求，大量和企业与用户有关的信息 在线上流转，引 起了各行各业对信息安全的广泛关注。V企业作为用户数已经过亿的大型互联网公司， 当用户数不断增长时，信息安全问题也成为企业不可忽略的环节，APP是企 业和用户交 互的平台，一但发生严重安全事件，会对企业的名誉和资产、用户的隐私和财产、企业 能否安全和稳定运营下去等产生重大影响。并且，安全执法监督部门也关注到 了信息安 全风险带来的影响，国家陆续出来了一些监督管理规定，来规范APP 涉及到的信息安 全风险治理。 本论文以V企业APP 信息安全风险作为研究对象，通过学习和借鉴国 内外信 息安全风险、APP安全风险理论研究成果，结合国内外信息安全风险的现状、安全管理 规范要求以及目前企业的实际安全风险情况，针对V企业APP信息安全风险进行风险 识别、风险分析、风险评估，最后根据存在的问题提出对策措施。首先，本论文利用鱼 骨图法和访谈法，以V企业APP 的业务子模块为风险识别的基础，确定了风险识别的 维度， 识别出各个业务子模块的安全风险问题，并加以分析，归纳出5大风险类型。接 着，构建了企业的信息安全风险评估的结构模型，采用问卷调查和层次分析法相结合的 方式进行风 险评估，得到V企业APP的信息安全风险因素的评估权重，再根据权重结 果排序计算得出安全风险等级的划分。最后，根据前述分析结果，提出针对性的安全风 险改善措施。风险 规避的对策主要集中在两个关键问题上：一、业务安全风险防护，包 括改进业务安全体系、提高员工安全意识；二、数据安全风险防护。这些对策的成功实 施，将提升V企业APP 抵御风险的能力，同时，通过对V企业内部实际情况出发进行 的风险管理，最后落到企业进行验证，对欧亿·体育（中国）有限公司信息安全风险管理的建设具有一定的实践 借鉴作用。 关键词：互联网 安全，信息安全，风险管理 2 ABSTRACT The fast-growing Internet economy has led a transaction in people ’s behavior patterns. Various APPs carry different consumption and life needs such as travel, accommodation, shopping, and communications. A large amount of information related to enterprises and personal users are transferred from underline to online, which has caused information security becomes a common concern in all walks of life. With the continuous increasing of the user number, information security in V company which is a big Internet company with more than 100 million personal users has become a key link not to be neglected. APP, as a platform for interaction between enterprises and users, its’ security problem will cause a serious impact to the reputation and assets of the company, the privacy and property of users, and whether the enterprise can operate safely and steadily. In addition, the law- enforcement department of Safety Supervision has also paid attention to the impact of risks caused by information security, and a lot of regulations for supervising and managing the information security risks involved in APP have been issued. This article takes information security risk of APP in V Company as the research object. Based on the national and international research result of Information Security Risk, APP Security Risk together with studying of the current status of IS in China and other countries, security management regulations and the actual APP security risk of V company, this article will conduct APP information security risks from risk identification, risk analysis, to risk assessment for V Company, and finally proposes some solutions for solving the existing problems. First, it uses the fishbone diagram method and the interview method to determine Risk Identification based on APP business of V Company, identifies and analyzes the security risk issues of each business submodule, and summarizes the five major risks types. Then, it constructs a structure model of information security risk assessment, conducts the risk assessment via the questionnaire survey and the analytic hierarchy process, it will obtain the evaluation weight of APP information security risk factors, the weighting results will be sorted for security risk levels. Finally, it proposes some improving measures for risk aversion based on current security risk problems, which includes two key points, 1) Business security risk protection, including improving the business security system and staff safety awareness; 2) Data security risk protection. The successful implementation of these countermeasures will improve the ability of APP to resist risks. Meanwhile, the research is based on the actual case of V Company, once the findings are verified in the company, it will certainly be a good reference for setting up the management system of information security risk in industry. Key words: Internet security,Information security，Risk management III 目录 摘要 ............... I ABSTRACT ... 2 目录 ................ 3 图表清单 ...... VI 第一章 绪论 .. 1 1.1 研究背景 ............................ 1 1.2 研究意义 ............................ 1 1.3 文献综述 ............................ 2 1.3.1 对信息安全风险管理标准 研究 ................ 2 1.3.2 对信息安全风险评估方法的研究 ............ 3 1.3.3 对APP信息安全风险的研究 .................. 4 1.4 研究思路 ............................ 5 1.4.1 研究目标 ..................... 5 1.4.2 研究内容 ..................... 5 1.4.3 研究方法 ..................... 5 1.4.4 研 究过程 ..................... 7 1.5 本章小结 ............................ 7 第二章 信息安全欧亿·体育（中国）有限公司以及V企业信息安全现状 ... 8 2.1 整体欧亿·体育（中国）有限公司现状 .................... 8 2.1.1 欧亿·体育（中国）有限公司信息安全事件 ..... 8 2.1.2 欧亿·体育（中国）有限公司信息安全漏洞 ..... 8 2.1.3 欧亿·体育（中国）有限公司监管违规情况 ..... 9 2.2 V企业简介 ......................... 9 2.3 V企业信息安全 ............... 10 2.4 V企业安全风险 ............... 13 2.5 本章小结 .......................... 15 第三章 V企业APP安全风险识别与分析 ............. 16 3.1 风险识别与分析工具 ...... 16 3.2 业务子模块风险识别与分析过程 ................. 17 4 3.2.1 前端业务风险识别与分析 ...................... 17 3.2.2 基础网络业务风险识别与分析 .............. 19 3.3.3 物流业务风险识别与分析 ...................... 21 3.3.4 供应商业务风险识别与分析 .................. 23 3.3.5 支付业务风险识别与分析 ...................... 24 3.3.6 客服业务风险识别与分析 ...................... 26 3.3业务子模块风险识别与分 析归类 .................. 27 3.4 风险识别与分析结论 ...... 30 3.5 本章小结 .......................... 30 第四章 V企业APP安全风险评估 ......................... 32 4.1 风险评估步骤 .................. 32 4.1.1 建立风险评估结构模型 .......................... 32 4.1.2 设计风险评估调查问卷 .......................... 33 4.1.3 调查问卷结果计算 ... 35 4.2 V企业APP安全风险评估 ............................. 35 4.2.1 问卷调查结果数据 ... 35 54.2.2 中 间层指标重要度计算 ........................ 36 4.2.3 方案层指标重要度计算 .......................... 37 4.3 风险评估结论 .................. 39 4.3.1风险评估 权重排序 .... 39 4.3.2风险等级划分 ............ 40 4.4 本章小结 .......................... 41 第五章 V企业APP安全风险解决对策 ................. 42 5.1风险应 对策略划分 ........... 42 5.2 风险解决实施策略 .......... 43 5.3 业务安全风险防护措施 .. 44 5.3.1 改进业务安全体系 ... 44 5.3.2 提高员工安全意识 ... 47 5.4 数据安全风险防护措施 .. 48 5.4.1 建立专管机构 ........... 48 V 5.4.2 制度流程标准化 ....... 48 5.4.3 数据分级分类 ........... 50 5.3.4 数据的审批与使用 ... 51 5.3.5 第三方数据管理 ....... 52 5.5本章小结 ........................... 53 第六章 安全风险改进效果评估以及保障措施 ...... 54 6.1安全风险改进效果 ........... 54 6.1.1 安全客诉改进效果 ... 54 6.1.2 安全漏洞改进效果评估 .......................... 54 6.1.3 安全事件改进效果评估 .......................... 55 6.1.4 业务攻防改进效果评估 .......................... 55 6.2安全风险改进效果保障措施 .......................... 56 6.2.1安全风险管理流程固化 ........................... 56 6.2.2安全风险管理绩效评估 ........................... 56 6.3本章小结 ........................... 57 结论与展望 .. 58。。。。。 。以下内容略