Y公司信息安全管理优化研究
研究生姓名：李新海
导师姓名：黎春兰
学科：工商管理
研究方向：民营企业管理
年级：2020级
中文摘要
随着互联网信息技术的蓬勃发展，越来越多企业通过网站或应用程序为互联网用
户提供各类服务，企业在享受信息技术带来各种红利的同时也面临着来自信息安全方
面的威胁与挑战。随着互联网病毒的多样化和黑客行为的组织化，信息安全俨然已成
为一个突出问题。企业一旦发生严重的信息安全事件，对其资产、名誉甚至持续运营
将造成严重影响。Y公司作为一家涵盖社交、电子商务、短视频等业务领域的互联网
服务提供商，公司业务的持续发展对自身信息安全能力提出了更高的要求，如何保障
公司的信息资产安全，降低信息安全风险，是企业管理者必须要解决的问题。
本文基于信息安全管理视角，以 Y公司为研究对象，探讨了企业以 ISO27001信
息安全管理标准及测量模型为指导对自身信息安全管理中的问题进行优化的研究过
程。通过对信息安全管理有效性测量的方式进行问题调研，得到各信息安全管理控制
领域与合格基准线的差距，并找出 Y公司信息安全管理的问题，接着从管理角度剖
析问题产生的原因，并提出相应的优化方案，以期为提高 Y公司信息安全管理水平
和安全防护能力提供支撑。有鉴于此，本文围绕 Y公司信息安全管理的优化策略研
究，从以下几个方面展开论述：
首先，在问题调研中，利用 ISO27001信息安全管理标准及测量模型为指导，构
建二级三层的信息安全管理有效性测量指标模型，利用层次分析法确定一级和二级指
标权重，通过欧亿·体育（中国）有限公司调阅，技术调研，人员访谈和问卷调查等方法的综合运用收集测量
原始数据，通过专家评分的方法综合度量信息安全管理各控制领域的有效性。运用
ISO27001信息安全管理标准定义的各个领域的知识点，对 Y公司信息安全管理问题
进行调研，在调研中发现当前存在问题有：信息安全策略未有效落实、人员信息安全
意识薄弱、信息资产管理不规范、系统开发管理中未能识别安全风险。
其次，根据问题调研的结果，对照 Y公司当前现状及 ISO27001信息安全管理标
准的要求，对公司信息安全管理中的问题所涉及的四个领域内容开展详细论述。在信
息安全策略方面，制度完整性、符合度、执行监督等几方面存在不足导致了信息安全
策略未能有效落实；人员信息安全方面，在信息安全培训及考核机制的缺失是人员信
息安全意识薄弱的原因所在；信息资产管理方面，资产分级管理及管理职责的不明晰
导致了信息资产管理不规范；系统开发管理方面，业务系统建设未充分考虑安全要求，
I
系统上线缺少安全测试和评审是系统开发管理中未能识别安全风险的根本原因。
再次，基于对 Y公司信息安全管理中存在问题的分析结果，在明确优化目标和
原则的基础上，以 ISO27001信息安全管理标准为理论框架，运用 PDCA循环、安全
开发生命周期等理论从管理角度分别对信息安全策略、人员信息安全、信息资产管理、
系统开发管理等存在问题的领域提出相应的优化方案及建议。信息安全策略方面，通
过完善信息安全文件体系架构，建立可持续改善的制度并配合定期的审计监督机制，
使得信息安全管理策略得到有效落实；人员信息安全方面，从信息安全文化的宣贯、
人员安全培训、考核机制的建立等方面全面提升人员的信息安全意识；信息资产管理
方面，完善信息资产分级管理机制，梳理并落实资产管理的职责及流程等规范化管理
Y公司的信息资产；系统开发管理方面，以安全开发生命周期理论为指导思想，从业
务系统的设计、开发、上线、运维等各个环节介入安全管理活动以提升业务系统的安
全性。
最后，从组织保障、审计监督、绩效考核三个方面设计优化的保障措施，以确保
信息安全管理优化方案的有效落实。
本文从管理角度对 Y公司信息安全管理问题进行深入研究，分析其问题的成因，
并提出相应的优化方案。研究结果在提升 Y公司信息安全管理水平和降低公司经营
中信息安全风险的同时，对欧亿·体育（中国）有限公司信息安全管理体系的建设也具有一定的借鉴意义。
关键词：信息安全；ISO27001；信息安全管理；有效性测量
II
Research on Information Security Management Optimization of
Y Company
Graduate student: Li Xin Hai
Supervisor: Li Chun Lan
Major: Master of Business Administration
Research direction: Private Enterprise Management
Grade: 2020
Abstract
With the vigorous development of Internet information technology, more and more
enterprises provide various services for Internet users through websites or applications.
While enjoying various dividends brought by information technology, enterprises are also
facing threats and challenges from information security. With the diversification of Internet
viruses and theorganization of hacker behavior,information security has becomea
prominent problem. Once an enterprise has a serious information security incident, it will
have a serious impact on its assets, reputation and even continuous operation. Y Company
as a social, e-commerce, a short video and other business in the field of Internet service
providers, the sustainable development of the company for their own information security
ability put forward higher requirements. How to ensure the security of the company's
information assets and reduce the risk of information security is a problem that the enterprise
managers have to solve.
Based on the perspective of information security management, this study takes Y
Company as the research object and discusses the research process of optimizing the
problems in its own information security management under the guidance of ISO27001
information security management standard and measurement model. Through the survey of
the information security management effectiveness measurement method, this study gets the
gap between the information security management control field and the qualified baseline,
and finds out the information security management problems of Y Company. Then, it
analyzes the causes of the problems from the perspective of management, and puts forward
the corresponding optimization plan, so as to provide support for improving the information
security management level and security protection ability of Y Company. In view of this,
this research discusses the optimization strategy of information security management of Y
Company from the following aspects:
Firstly, under the guidance of ISO27001 information security management standard and
measurement model, build a two-level and three-level information security management
III