本文结合国际标准(ISO27001)和国内标准(等级保护)两个标准,对HC集团的信息安全管理体系进行了调查研究。既能满足国内国外合规的要求,也能从更多的角度去考虑信息安全风险。
第1章 绪论
1.3 国内外研究现状综述
1.3.1 信息安全发展战略规划以及法律法规的研究
关于互联网信息安全法律规制研究,姚倩,王娇认为和互联网信息安全保护相关的法律还不完备,《网络安全法》《国家安全法》等只是单行法律,操作性不强,和法律条文有重复的问题。行政法执行建设尚不健全,行政执法的行为以及部门的职责定义还不明确[3]。
在谈及国际安全与数据的重要地位时,上海社会科学院法学所副所长李建伟提出4个保护数据安全的四个建议:第一是深入开展调研。第二是实行数据安全专门立法。第三是完善数据安全的法律规范。第四是健全完善数据国家安全法治的实施体制、监督体制、保障体制 [4]。
1.3.2 信息安全管理标准化的研究
中山大学信息管理学院的彭国超,利用文献计量结合知识图谱的方法,分析了我国的ISO信息安全标准的发展道路、现行基准和发展趋势,我国的标准化反映了新兴技术层的出现,虽然以ISO标准为主导,但是在信息安全管理体系和个人隐私保护方面,我国相对落后[5]。
党超辉提出在等级保护2.0的背景下,简要分析了云计算安全和云计算安全系统的要点,探索有效的云计算安全保护策略,提高等级保护2.0下的云计算安全的保护水平,推进相关行业持续的发展道路[6]。
第3章 HC家电制造集团公司信息安全管理体系现状及问题分析
3.1 HC家电制造集团公司概况
3.1.1 HC家电制造集团公司简介
HC家电制造集团公司创立于20世纪80年代,在传统的家电行业深耕数十载,从不起眼的电冰箱厂发展如今的家电行业的巨无霸。从品牌战略到多元化战略,把企业做大做强。从国际化战略到全球化品牌战略,HC品牌获得了国际的认可。随着互联网的兴起,HC集团提出实施生态品牌战略,立志成为集智慧家庭、工业互联网、大健康于一体的现代化物联网企业。作为全球营业额超过千亿元规模的跨国企业集团,下设有200多家法人单位,在全球30多个国家建立了产业园和制造基地,在全球设立了13个创新生态体系、15个全球研发中心、50个研究院、25个工业园、100个制造中心和几十万个销售网络。全球员工总数超10万人,除了家电之外,还涉及贸易、科技、金融产业。HC集团还构建了全球引领的工业互联网平台和物联网,为数字转型解决方案做出了典范。
和传统工业时代成为中国家电知名品牌一样,HC集团在互联网时代和物联网时代不甘落后,把传统家电企业转变为互联网企业、物联网企业,创设平台品牌和物联网生态品牌。HC家电制造集团公司注重冰箱、洗衣机、空调等智能家电产品的研发、生产和销售,通过丰富的家庭智能产品,全方位地创造全场景智能生活体验,满足客户对未来美好生活的向往需求。
第5章 HC家电制造集团公司信息安全管理体系保障措施
5.1 信息安全制度保障
信息安全部门应设置专门的信息安全制度制定小组,负责信息安全管理规范制度的制定、修订、发布、废除。需完善现有的信息安全规范,补充现在缺少的制度。每年根据集团组织架构变化或信息安全策略调整而及时更新并发布。集团各个部门可以根据集团的信息安全规范,制定属于自己部门的规章制度。将高层管理者和员工的信息安全责任以及奖惩措施明确写入信息安全规范,保障信息安全规范的权威性和优化措施的顺利实施。
5.2 信息安全组织和人才保障
5.2.1 信息安全组织保障
信息安全部门制定信息安全优化方案,向信息安全管理小组汇报,信息安全管理小组审批通过后,下发到各个事业部执行。信息安全部门是集团信息安全工作的牵头部门,负责信息安全优化方案的设计与规划,负责信息安全技术产品测试和部署,负责指导集团IT部和其他事业部的优化方案的实施。信息安全审计小组作为信息安全监督层,对优化方案实施进度和效果予以监督和审查,向信息安全小组汇报优化方案的审查结果。
5.2.2 信息安全人才保障
在信息安全管理体系优化方案里,涉及到制定可以执行的操作手册,落实推进信息安全数据识别和风险评估等工作,需要懂信息安全管理体系管理的人才。涉及到收集日志、分析日志,建立以SIEM为核心,MSS为辅的混合型SOC平台,需要懂日志管理平台的人才。涉及到系统开发生命周期管理中的DevSecOps运营,则需要既懂安全,又懂开发的人才。随着云计算的快速发展,越来越多的业务迁移至公有云,则需要懂云安全管理的人才。信息安全管理体系优化方案的实施需要这些专业人才,建议集团招募这些人才,提供有竞争力的工作环境和待遇,为信息安全管理体系优化方案提供必要的人才保障。
第6章 总结与展望
6.2 展望
本文通过一系列调查研究提出信息安全管理体系存在的问题,但是调查的样本量无法覆盖集团所有的部门,集团公司涉及全国分支机构和海外机构,本次只是针对集团总部做的调研,而且也不全,有些安全问题可能没有被发现,有些问题可能是HC集团特有的问题,不能适用其他企业。在将来的对信息安全管理体系问题研究中,尽量做出更有效的、有计划的调研方案,尽量有机会去国内乃至国外分支机构去调研,以保证问题存在的普遍性。
在通过专家访谈调查过程中,面谈的对象设定为部门的负责人或信息安全负责人,但是实际上有人不能参加,有别人替代情况发生或者被访谈人当时考虑不全,也有可能访谈人员访谈能力欠缺,因此对信息安全管理问题发生成因分析时,肯定会有偏差。在将来的对信息安全管理体系问题成因研究中,可以增加问卷调查、扩大等级保护测评的范围、增加面谈人员的范围、人数、面谈时间。
由于本人知识水平有限,了解的技术并不全面,在提出信息安全管理体系优化方案和保障措施时,可能是只是针对出现的问题提出相应的技术方案,但是技术方案的前期调查、方案适应性、具体产品选择都是需要进一步探讨的内容。
参考文献(略)
(本文摘自网络)