閱讀 :574

　　從人類社會誕生開始，信息的傳遞始終是彼此相互交流的一個重要的途徑，下面是小編搜集整理的一篇探究博士公司信息安全管理體系的論文范文，歡迎閱讀查看。

　　摘要：信息安全這個概念本身包括的范圍非常廣泛。從國家的軍事、政治、經濟政策等機密安全，到防范青少年對不良信息的瀏覽以及個人信息的泄露等都屬于信息安全的范疇。如今，在這個信息傳播高度發(fā)達的時代，對于一個企業(yè)來說，信息，尤其是敏感信息很大程度上決定了企業(yè)的興衰甚至是生死存亡，它已經悄然地變?yōu)榱艘豁椘髽I(yè)資產。它和其它資產一樣重要，對企業(yè)具有重要的價值，因此理應需要受到重視和保護。

　　本文首先對信息安全的基本概念、國際上公認最佳信息安全管理ISO27001模型體系進行了綜合描述。然后以博士公司①這家國內領先的第三方理財機構為例，通過與各業(yè)務職能部門的訪談，并結合ISO27001模型體系要求設計調查問卷以及評估工具來診斷博士公司目前所暴露出來的信息安全問題。另外，根據(jù)原因診斷結果并結合博士公司自身業(yè)務發(fā)展需求，制定了一系列的解決方案。

　　最后，本文希望通過國際上通用的ISO27001安全管理體系在博士公司的實踐，著重分析博士公司在信息安全管理上所存在的諸多問題。通過系統(tǒng)的診斷分析，找出若干風險控制節(jié)點，并結合組織的自身情況，針對每個風險控制節(jié)點一一擬定了解決方案。本研究不但能夠豐富信息安全管理的相關理論，而且研究成果也可以為同行業(yè)提高信息安全水平提供借鑒。

　　關鍵詞:信息安全;信息安全診斷;ISO27001模型;信息安全治理;PDCA

　　第1章緒論

　　從人類社會誕生開始，信息的傳遞始終是彼此相互交流的一個重要的途徑。先前，由于信息技術欠發(fā)達，人們主要依靠口述、書寫、電話等的方式來進行彼此之間的交流，但進入21世紀后，隨著信息技術的高速發(fā)展，微博、微信、辦公軟件、社交平臺等一大批先進的電子化工具走進了人們的日常工作和生活，這些工具給我們帶來了便利的同時，其背后所隱藏的信息安全問題也不容忽視。據(jù)IBM統(tǒng)計，全球每天約有130億個信息安全事件發(fā)生，更有統(tǒng)計表明，世界上每過一分鐘就有2家企業(yè)因為信息安全問題而倒閉，目前信息安全問題成為社會各層和各類型的組織所關注的焦點。各國也為之出臺了一系列信息保護的法律法規(guī)。

　　1.1信息安全概述

　　信息安全這個概念本身包括的范圍非常廣泛。從國家的軍事、政治、經濟政策等機密安全，到防范青少年對不良信息的瀏覽以及個人信息的泄露等都屬于信息安全的范疇。如今，在這個信息傳播高度發(fā)達的時代，對于一個企業(yè)來說，信息尤其是敏感信息很大程度上決定了企業(yè)的興衰甚至是生死存亡，它已經悄然地變?yōu)榱艘豁椘髽I(yè)資產。它和其它資產一樣重要，對企業(yè)具有重要的價值，因此理應需要受到適當?shù)谋Ｗo。

　　但是，目前我們的信息安全環(huán)境不容樂觀，每天我們的企業(yè)可能要面對數(shù)以萬計的黑客試探性入侵、木馬病毒以及惡意代碼的威脅、或者承受那種損人不利己的拒絕服務攻擊。當然，現(xiàn)在大多數(shù)企業(yè)對這樣外部的安全威脅做了一定的防御措施。在整個信息系統(tǒng)中基本上都有部署防火墻、身份認證甚至入侵防御系統(tǒng)。但我們發(fā)現(xiàn)即使投入了那么多資源來抵御外部的各種威脅，對入侵仍然反映遲鈍，我們的信息還是在不斷地泄露。根據(jù)國家互聯(lián)網應急響應中的統(tǒng)計有將近50%的黑客入侵實際上是通過正常的途徑，利用合法的憑證，進行機密資料的竊取。組織的內部人員可能由于安全意識不強或誤操作，把一些敏感信息無意中泄露出去，甚至也有些極端分子靠出賣這樣信息來獲取私利的情況的出現(xiàn)。因此，組織的信息安全問題不容忽視，一套嚴密的信息安全管理體系更是許多組織正常運作的基礎。

　　1.2第三方理財行業(yè)信息安全現(xiàn)狀以及研究意義

　　目前絕大多數(shù)行業(yè)都有自身的行業(yè)信息安全體系標準，如適用于支付卡行業(yè)的《PCI/DSS》標準(支付卡行業(yè)數(shù)據(jù)信息安全標準)、銀監(jiān)會和證監(jiān)會所頒布的適用于各自監(jiān)管條線的《信息系統(tǒng)安全等級保護規(guī)范》、制造行業(yè)所推崇的基于信息安全管理體系ISO27001在制造業(yè)的最佳實踐標準。隨著經濟的發(fā)展，目前國內涌現(xiàn)出大量的第三方理財機構為高凈值客戶提供理財服務，由于這個行業(yè)屬于新興行業(yè)，雖然其業(yè)務領域屬于金融，但暫時還沒有設立此行業(yè)的監(jiān)管機構。此外，第三方理財行業(yè)的業(yè)務結構還未系統(tǒng)化、結構化，因此，信息安全在這個行業(yè)(領域)中研究還處于空白，也沒有監(jiān)管機構的政策性標準和相關指引以及前人的實踐經驗作為參考。本文希望通過國際上通用的ISO27001安全管理體系在博士公司的實踐，著重分析博士公司在信息安全管理上所存在的諸多問題。本研究不但能夠豐富信息安全管理的相關理論，而且研究成果也可以為同行業(yè)提高信息安全水平提供借鑒。

　　1.3研究方法、技術路線及基本內容

　　1.3.1研究方法

　　本文的研究方法有如下四種：

　　文獻研究法：根據(jù)研究內容與需要解決的問題，搜集各類前人對此領域內所研究的相關的理論、模型和資料，在對這些資料進行歸納和提取，并最終應用到實際研究中。

　　問卷調查法：通過事先設計好的問卷，向被訪者收集研究所需要的相關信息，并對回收的問卷進行統(tǒng)計和分析，以求最大限度的還原被研究對象的真實現(xiàn)狀。

　　模型分析法：采用研究領域內相對成熟的模型，來分析研究過程中對象所存在的各類問題。本文通過借鑒信息安全業(yè)內公認的最佳標準模型來診斷目前所暴露出的問題，并找出問題產生和根源，設計出相應的解決方案。

　　跨學科研究法：由于研究對象為信息安全管理，其領域本身就是包含計算機、管理、統(tǒng)計、質量管理、審計等多方面學科。因此，不可避免地需要用到各學科的知識，來綜合分析和解決相應的問題。

　　1.3.2技術路線

　　本文將從信息安全管理的整體框架、組織結構、資產狀況、流程制度以及技術力量等方面評估博士公司的信息安全管理現(xiàn)狀，結合ISO27001信息安全管理模型來找出企業(yè)目前所存在的信息安全管理問題，著重分析這些問題所形成的背景和原因，并根據(jù)此類問題的風險等級，選出博士公司目前迫切所需要解決的一系列問題并提出基于ISO27001模型所提出的解決方案或改善措施?！?】

　　1.3.3基本內容

　　整篇論文由緒論和正文所構成，總共分為六章。第一章緒論主要描述了論文的選題背景、研究意義和目的、研究方法和技術路線以及基本內容。第二章至第五章為本文最重要的四個組成部分。第二章是整篇論文的第一個重要的組成部分，其主要闡述了信息安全相關理論基礎，為整個博士公司信息安全管理診斷模型的建立構建了理論出發(fā)點。具體包括診斷模型的選擇、以及對信息安全和信息安全管理的相關理論進行了闡述。第三章是本文的第二個重要的組成部分，也是本文的研究實踐基礎，本章的主要內容中除了對博士公司的日常運營和業(yè)務介紹外，還有通過與各業(yè)務職能部門的訪談，結合ISO27001模型體系要求設計調查問卷以及評估工具等方法，揭示博士公司在日常運營和管理上存在的若干信息安全風險。第四章為本文的研究核心所在，是本文的第三個重要組成部分和研究結果，憑借ISO27001體系模型的診斷方法尋找到目前博士公司所暴露出的諸多信息安全問題的原因。第五章是本文的第四個重要組成部分，即依托ISO27001的最佳實踐給予就博士公司目前的信息安全現(xiàn)狀和原因給予解決方案和實施建議。第六章為本文的結論與展望部分，揭示了博士公司所暴露出來的問題在第三方理財行業(yè)是普遍存在的，并且隨著時間的推移，信息安全問題也會發(fā)生不斷的變化，需要組織去不斷的完善信息安全建設。另外，信息安全與組織業(yè)務效率的平衡關系在今后的發(fā)展中免不了成為天平的兩端，如何平衡好兩者之間目前ISO27001體系并沒有做出相應的解決方案，這將是今后相關領域研究所要解決的一個課題，對于如何減少組織對于信息安全建設的成本或更有效率地進行信息安全建設本文也做了相應展望。

　　第2章相關理論綜述

　　在信息安全管理研究領域，國內外有很多成熟的體系模型和研究成果，這些前期體系模型和研究的成果，為本文的撰寫提供了豐富的理論基礎和資料素材，在本章中將對部分理論研究成果和行業(yè)標準進行歸納和提煉。

　　2.1ISO27001簡介

　　ISO27000是信息安全方面國際國內公認的最佳的管理體系集。目前ISO27000系列標準已經基本清晰,其框架也于日益完善。整個體系集中不僅擁有ISO27002安全管理使用守則、IS027003實施指南這樣的子標準還包括ISO27011、ISO27012這樣的通信業(yè)和金融保險業(yè)的行業(yè)標準。然而在整個體系中，不管是子標準的建立還是行業(yè)標準的頒布，無一例外的都是參照整個ISO27000的主體系IS027001來制定，它的前生BS7799由英國標準化系協(xié)會BSI在1992首次在英國作為行業(yè)標準發(fā)布，經過數(shù)次修改在2005年正式更名為ISO27001。國內的一些安全標準如等級保護、GB/T、以及一系列行業(yè)標準也大都參照了ISO27001來制定?！?】

　　ISO27001是一套非常復雜的管理標準，其擁有11個控制領域：信息安全方針、組織構架、資產管理、人力資源安全管理、物理和環(huán)境安全管理、通信與操作管理、訪問控制管理、系統(tǒng)的獲取、開發(fā)和維護管理、信息安全事件管理、業(yè)務持續(xù)性管理和符合性。在這全部11個領域中控制深度也有所加強，達到39個控制目標和133個風險控制措施來保障企業(yè)的信息安全?！?】

　　國內相關研究人員把支撐信息安全體系建設和保障企業(yè)信息安全總結為3個要素：人員(組織)、技術以及管理。在控制維度上基本涵蓋了ISO27001所涉及的11個安全控制領域?！?】

　　(1)人員(組織)

　　在整個ISO27001體系中人員定義和組織管理是最重要的領域之一，在建設企業(yè)信息安全框架和制定信息安全方針時必須明確定義了企業(yè)內部的人員的組織架構、職責權利。特別是在企業(yè)中與各信息系統(tǒng)和業(yè)務系統(tǒng)有關的資產和安全程序(流程)要加以明確辨別和定義，此外負責上述各資產和安全程序(流程)的責任人的任命要經過批準，其權責要記錄在案，授權級別和權限范圍也要清晰定義并記錄在案以便日常審計符合并在出現(xiàn)信息安全事件后能快速定位到責任人并追溯具體原因。同時，在信息安全管理體系中必須首先必須要建立信息安全管理委員會，其成員至少需要包含一名企業(yè)高管，以便體現(xiàn)企業(yè)對信息安全的重視程度并把信息安全建設作為企業(yè)整體戰(zhàn)略的一部分。信息安全管理委員會定期對信息安全政策進行審批，對安全權力與職責進行分配，并協(xié)調企業(yè)內部各部門對安全策略和流程規(guī)章的實施。另外，在企業(yè)內部必須設立專職的信息安全顧問，信息安全顧問的編制和組織結構隸屬必須是非信息技術部人員，建議隸屬于CFO所管轄的管理部門，以便保證對整個企業(yè)的業(yè)務發(fā)展有第一時間的了解和對信息技術部門(信息安全管理體系中涉及最重要的部門之一)的工作有一個客觀的審計和判斷。在企業(yè)外部最好也應設置信息安全顧問，可以是“外腦”(信息安全方面的獨立董事)、咨詢機構(麥肯錫)、或是專業(yè)提供風險控制和外部審計服務商(四大會計事務所)，以便及時跟蹤行業(yè)的最新走向，為企業(yè)的管理層解讀最新的行業(yè)信息安全監(jiān)管標準和相應的評估手段，并在發(fā)生信息安全事故時建立適當?shù)穆?lián)絡渠道，協(xié)調外部的有效資源來幫助企業(yè)來平息和處理信息安全事故。

　　(2)技術

　　隨著信息技術的發(fā)展，企業(yè)的日常辦公逐步走入了電子化時代，今日企業(yè)的ERP、財務、CRM等核心的業(yè)務系統(tǒng)無一不是依托信息技術來實現(xiàn)的。但新興技術發(fā)展的背后，伴隨著的安全問題卻不能忽視。有這么些人，他們利用自身所具備的技術能力來破壞或盜取這些核心業(yè)務系統(tǒng)中的敏感信息。我們稱之這類特殊群體的人為黑客。今天，黑客已經發(fā)展成的一個獨特的群體，一些“志同道合”的人在網絡上建立了黑客組織。為了謀取巨額利益甚至形成了黑客的地下產業(yè)鏈，他們受托使目標系統(tǒng)癱瘓、感染病毒、惡意修改網頁，甚至通過自己的技術手段入侵企業(yè)內部的系統(tǒng)，盜取企業(yè)內部重要資料，變賣給企業(yè)的競爭對手。誠然道高一尺魔高一丈，進攻永遠是有主動權的。由于信息技術的不斷發(fā)展，未來的手機移動領域的安全技術、以云計算為基礎結構的核心業(yè)務系統(tǒng)、物聯(lián)網安全等都將面臨巨大的信息安全挑戰(zhàn)。企業(yè)的在面對黑客以及一些其他惡意破壞者的時候必須具有與之抗衡的防御技術，這需要企業(yè)不斷加強在信息安全防御技上的投入和重視以及提高對新的未知威脅的抵御能力。

　　(3)管理

　?、儋Y產管理：明確定義所保護信息資產和用戶存放信息資產的物理資產在整個ISO27001體系建設中是一個必須的前提。只有明確所保護的對象，才能開始制定相關確實有效的安全策略、管理流程和規(guī)章制度。信息資產的定義一般通過兩種方式,第一種方式是把企業(yè)信息資產統(tǒng)一轉換為物理形式，如存儲數(shù)據(jù)的服務器，承載數(shù)據(jù)傳輸?shù)木W絡，甚至員工也包含在這個“資產”的范疇中，并對每項資產定義明確的所有人或責任人。另一種定義方式為按照企業(yè)的日常業(yè)務流轉來定義信息資產，通過梳理企業(yè)各部門的日常業(yè)務流程的分析，可以把一類涉及到此業(yè)務的物理資產(計算機、人員、服務器、紙質文檔等)歸為一類資產。但無論哪種分類方式都必須給信息資產定義一系列的最終價值。一般按照數(shù)據(jù)信息的三個屬性，即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)這個三個指標來衡量信息資產的重要度，每個屬性根據(jù)安全等級也有相應賦值標準。資產的最終價值可按照之前所定義的賦值標準進行加權求和，根據(jù)所得出的結果區(qū)分企業(yè)的一般資產和重要資產。其中重要資產無疑是要被企業(yè)管理層所重點關注的，安全防護或信息安全體系建設也理應圍繞企業(yè)的重要資產展開。

　　②流程制度管理：目前外部整個信息安全的大環(huán)境呈現(xiàn)日益惡化之虞，外部的攻擊成本越來越小，內部的防御成本反而越來越大。企業(yè)的任何一個員工的個人疏漏或者管理漏洞，都會給企業(yè)安全帶來威脅，而企業(yè)安全防御水平往往取決于最弱或者說是最容易忽視的一環(huán)(人員的安全意識、規(guī)范的流程制度)，而不是最強的地方(部署對應的信息安全設備，采取相應的防御技術手段)。因此規(guī)范化的流程和規(guī)章制度建設是整個ISO27001信息安全管理體系的根本。它是指通過對企業(yè)的核心業(yè)務、商業(yè)模式、以及日常運營的系統(tǒng)性梳理，在企業(yè)內部形成一系列圍繞信息安全的每個人都必須遵守的規(guī)章制度和流程。但是，在一些特殊行業(yè)(特別是金融行業(yè))，其業(yè)務開展和日常運營很大程度上要依賴于企業(yè)自身的信息系統(tǒng)。因此，在制定過程中除了考慮日常的流程制度(企業(yè)的信息安全方針、IT終端設備使用管理規(guī)范、移動辦公守則、信息保密管理辦法等)以外，還應該重點考慮其企業(yè)的業(yè)務連續(xù)性計劃(BusinessContinuityPlan)，從流程和制度層面保證和防止業(yè)務活動的終端，以及使在進行關鍵業(yè)務過程中免受信息系統(tǒng)重大失誤或災難的影響，并保證他們的及時恢復。另外，定期對企業(yè)員工信息安全意識的培訓和內部相關安全制度的宣導也是必不可少的，根據(jù)國內著名的信息安全咨詢機構谷安天下的一項調查研究表面，現(xiàn)在企業(yè)所面臨的70-80%的安全威脅都是來自于企業(yè)內部員工的有意識或者無意識的行為。在走訪一些責任人時，絕大多數(shù)人并不沒有意識到自己已經違反了企業(yè)內的相應信息安全制度，甚至已經觸犯到了法律。因此，制度和流程的建立不能簡單的停留在“紙”上，企業(yè)需要不斷根據(jù)外部和內部環(huán)境定期修訂相應的信息安全制度，并把這些制度和流程清晰的傳達到每位員工，甚至可以考慮將企業(yè)員工信息安全意識納入到企業(yè)文化中。

　　2.2PDCA簡介

　　由于信息安全管理體系是在不斷發(fā)展變化中逐步完善的，因此需要一套制度和標準來使信息安全管理體系自身變的可學習化，通過不斷的完善自身來達到企業(yè)對于信息安全管理的要求。1950年W.EdwardsDeming提出PDCA流程，即計劃(Plan)-執(zhí)行(Do)-檢查(Check)-改進(Act)過程，意在說明流程和控制應當是不斷改進的，該方法使得管理者可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結果偏差，通過不斷地PDCA，使組織的信息安全水平以一個螺旋型的方式上升的，最終達到我們的既定目標。【4】

　　國內專家楊輝在2006年《中國公共安全(學術版)》中發(fā)表的《運用PDCA循環(huán)法完善信息安全管理體系》文章中對PDCA的各個階段有了更加細化的定義，他指出在P(計劃)階段應該建立信息安全管理體系換進和對風險進行評估，其主要工作包括確定建設和管理的范圍和大致的信息安全管理方針、定義風險評估的系統(tǒng)性方法論、識別可預見的各類系統(tǒng)性和非系統(tǒng)性的風險，對所預見的風險進行評估以及確立評價風險的處理方法，以及為風險的處理選擇控制目標與控制的方式，并將這些工作成果匯報給最高管理層并取授權批準。在D階段主要強調的是在實施和運行信息安全管理體系，這個階段的任務是以適當?shù)膬?yōu)先權進行管理運作，對于那些被評估認為是可接受的風險，不需要采取進一步的措施。對于不可接受風險，需要實施所選擇的控制。本階段還需要分配適當?shù)馁Y源(人員、時間和資金)運行信息安全管理體系以及所有的安全控制。這包括將所有已實施控制的文件化，以及信息安全管理體系文件的積極維護。提高信息安全意識的目的就是產生適當?shù)娘L險和安全文化，保證意識和控制活動的同步，還必須安排針對信息安全意識的培訓，并檢查意識培訓的效果，以確保其持續(xù)有效和實時性。如有必要應對相關方事實有針對性的安全培訓，以支持組織的意識程序，保證所有相關方能按照要求完成安全任務。此外，還應該實施并保持策劃了的探測和響應機制。C(檢查)階段又稱為學習階段，其目的是監(jiān)視并評審信息安全管理體系，是PDCA循環(huán)的關鍵階段，即信息安全管理體系要分析運行效果改進機會的階段。

　　①它是由一系列管理過程所組成，如執(zhí)行程序和其他控制以快速檢測處理結果中的錯誤;快速識別安全體系中失敗的和成功的破壞;能使管理者確認人工或自動執(zhí)行的安全活動達到預期的結果;按照商業(yè)優(yōu)先權確定解決安全破壞所要采取的措施;接受其他組織和組織自身的安全經驗;常規(guī)評審信息安全管理體系的有效性;收集安全審核的結果、事故、以及來自所有股東和其他相關方的建議和反饋，定期對信息安全管理體系有效性進行評審。評審剩余風險和可以接受風險的等級;注意組織、技術、商業(yè)目標和過程的內部變化，以及已識別的威脅和社會風尚的外部變化，定期評審剩余風險和可以接受風險等級的合理性。

　　②審核執(zhí)行管理程序、以確定規(guī)定的安全程序是否適當、是否符合標準、以及是否按照預期的目的進行工作。為確保范圍保持充分性，以及信息安全管理體系過程的持續(xù)改進得到識別和實施，組織應定期對信息安全管理體系進行正式的評審。最后記錄并報告能影響信息安全管理體系有效性或業(yè)績的所有活動、事件。經過了策劃、實施、檢查之后，組織在A階段必須對所策劃的方案給以結論，是應該繼續(xù)執(zhí)行，還是應該放棄重新進行新的策劃?當然該循環(huán)給管理體系帶來明顯的業(yè)績提升，組織可以考慮是否將成果擴大到其他的部門或領域，從而開始了新一輪的PDCA循環(huán)。③【5】

　　2.3信息系統(tǒng)審計簡介

　　隨著信息技術在企業(yè)業(yè)務領域和日常運營中廣泛的應用，給企業(yè)帶來效率和高收益的。但同時也產生了利用信息系統(tǒng)進行信息泄露、舞弊、隱瞞甚至欺詐的事件發(fā)生。

　　早在上個世紀中期，美國已經在研究關于信息安全審計領域的相關課題，1967年國際信息系統(tǒng)審計協(xié)會(ISACA)正式在美國成立，國際信息系統(tǒng)審計協(xié)會(ISACA)明確定義信息系統(tǒng)審計主要內容：

　　(1)信息系統(tǒng)審計程序。依據(jù)信息系統(tǒng)審計標準、準則和最佳實務等提供信息系統(tǒng)審計服務，以幫助組織確保其信息技術和運營系統(tǒng)得到保護并受控;(2)信息技術治理。確保組織擁有適當?shù)慕Y構、政策、工作職責、運營管理機制和監(jiān)督實務，以達到公司治理中對信息系統(tǒng)方面的要求;(3)系統(tǒng)和基礎建設生命周期管理。系統(tǒng)的開發(fā)、采購、測試、實施(交付)、維護和(配置)使用，與基礎框架，確保實現(xiàn)組織的目標;(4)IT服務的交付與支持。IT服務管理實務可確保提供所要求的等級、類別的服務，來滿足組織的目標;(5)信息資產的保護。通過適當?shù)陌踩w系(如，安全政策、標準和控制)，保證信息資產的機密性、完整性和有效性;(6)災難恢復和業(yè)務連續(xù)性計劃。一旦連續(xù)的業(yè)務被(意外)中斷(或破環(huán))，災難恢復計劃確保(災難)對業(yè)務影響最小化的同時，及時恢復(中斷的)IT服務。

　　為了及時動態(tài)跟蹤企業(yè)信息系統(tǒng)的穩(wěn)定性和安全性，信息系統(tǒng)審計在企業(yè)的日常運營工作中必不可少，對于企業(yè)來說甚至其重要性已經和傳統(tǒng)的財務審計相當。相比傳統(tǒng)的財務審計，兩者既有一定聯(lián)系又有一定差別。兩者的聯(lián)系是：信息系統(tǒng)審計繼承了傳統(tǒng)審計的基本理論與方法，與傳統(tǒng)的審計一樣。在立場上，要求信息系統(tǒng)審計師站在獨立的立場上，通過選擇特定的審計對象，采用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據(jù)，來判斷其與既定標準的符合程度。在程序上，信息系統(tǒng)審計一般也要經過審計計劃、符合性測試與實質性測試、審計報告等主要階段來進行審計工作，實現(xiàn)審計目標;兩者的區(qū)別也比較明顯，主要表現(xiàn)在：首先，信息系統(tǒng)的審計對象不同于傳統(tǒng)審計的財務領域，而是信息系統(tǒng)，包括基礎設施，軟硬件管理，信息安全，網絡管理合通信等;其次，信息系統(tǒng)審計提出了更多的審計法與審計程序，這都是傳統(tǒng)審計所不具備的，比如對某軟件進行審計時，要采用技術含量相當高的測試，對網絡安全審計時要采用穿透性測試(模擬成黑客進行各種攻擊以驗證其安全性);第三，信息系統(tǒng)審計不僅是事后審計，主要關注系統(tǒng)的運行現(xiàn)狀，在某種情況下，直接參與項目的開發(fā)或變更過程，以保證足夠的控制得以順利實施;最后，信息系統(tǒng)審計的咨詢價值顯得更高，信息化的風險很高，信息系統(tǒng)審計師可憑借其專門知識和實踐經驗，受托或主動服務于被審計單位的管理者或其業(yè)務人員，在企業(yè)信息化過程中，幫助企業(yè)建立健全內部控制制度，進行系統(tǒng)診斷，根據(jù)企業(yè)需求，確定信息化的目標和內容，選擇合適的信息系統(tǒng)。

　　第3章博士公司問題現(xiàn)狀

　　目前，第三方理財行業(yè)在國內正處于發(fā)展萌芽階段，其本身目前沒有明確的監(jiān)管機構來規(guī)范和約束對企業(yè)的內部控制管理。由于業(yè)務性質，第三方理財企業(yè)中收集并保存了大量的高凈值客戶的敏感信息，如姓名、電話號碼、住址甚至是家庭存款和理財規(guī)模。這些信息的泄露輕則可能會被競爭對手利用來騷擾和推銷產品給博士公司客戶，重則這些信息如果落入了別有用心的人或犯罪分子手中，可能會用來在客戶面前詆毀博士公司甚至是造成綁架、勒索、恐嚇客戶的惡意刑事案件。因此對于博士公司而言保護客戶的隱私和敏感的客戶信息顯得尤為重要。

　　3.1博士公司簡介

　　3.1.1公司歷史

　　博士公司于2005年成立于上海，其前身是某知名證券服務公司私人銀行部門，由于原公司業(yè)務結構化調整而導致私人銀行部被迫從主要業(yè)務體系中剝離，后獨立出來成立如今的博士公司。短短三年時間，博士公司由最初的僅有1家分公司930名客戶發(fā)展為擁有16家分公司10000名高凈值客戶以及200名專業(yè)的理財服務顧問。博士公司2010年11月登陸美國紐約交易所順利進行了IPO，成為在美上市的首家(目前為止也是唯一一家)國內第三方理財機構。上市后的博士公司，憑借著“成熟的品牌”、“客觀的產品篩選體系”、“個性化的客戶服務”、“全國網絡和優(yōu)秀的理財師隊伍”、“卓越的客戶管理系統(tǒng)”為其核心價值。迅速成為國內第三方理財行業(yè)的絕對卻權威。目前博士公司在坐擁數(shù)萬名高凈值客戶的基礎上，博士公司開始強勢介入產品設計，包括自身成立投資銀行部門自行尋找項目和標的物、成立以資產管理為導向以及利用小信托公司為“過道”等一系列措施，介入整個業(yè)務價值鏈的上下游，不斷提升自身的核心價值?！?】

　　博士公司自成立至今，總共抓住了三次重大的機會，從而奠定了在國內第三方理財行業(yè)中的龍頭老大地位，現(xiàn)有的規(guī)模和實力積累也將為將來的創(chuàng)新業(yè)務發(fā)展打下建設的基礎。博士公司長期專注于為國內高凈值客戶提供財富管理和理財業(yè)務，重視客戶體驗和金融產品風險控制，這是成為行業(yè)領先者和有別與其他理財公司的重要原因。2007年通過引入紅杉(中國)投資以及其他風險投資，迅速將原先的商業(yè)模式由上海復制到全國，依托風險投資機構強大的財務能力，通過規(guī)模效應，博士公司在當年末(2007年末)，其收入相較年初增長了300%。正是由于看好博士公司未來的發(fā)展，紅杉(中國)和其他投資人決定，把博士公司帶向另一個高度----赴美上市。2010年11月，在博士公司和其他戰(zhàn)略投資人的共同努力下，成功在美國證券交易所主板上市，是中國內地首家上市的獨立財富管理機構(也是迄今為止唯一一家)。其先后多次被福布斯、德勤、清科集團等權威評估機構評為中國最具發(fā)展?jié)摿?0強以及最具有投資價值50強企業(yè)。經過多年的發(fā)展，博士公司現(xiàn)在有一個能力優(yōu)秀、經驗豐富的管理團隊，以及一支批在財富管理領域內為客戶服務多年的理財師隊伍。為博士公司未來的發(fā)展打下了堅實的基礎。

下一篇:在高中語文教學中滲透傳統(tǒng)文化研究 下一篇 【方向鍵 ( → )下一篇】

上一篇:新課程改革背景下中小學教師專業(yè)化的現(xiàn)狀與發(fā)展 上一篇 【方向鍵 ( ← )上一篇】