大學(xué)工商管理畢業(yè)論文范文

　　管理好與外包商之間的關(guān)系，意味著(zhù)企業(yè)應致力于和外包商建立長(cháng)期合作關(guān)系，這將有助于安全服務(wù)的外包商更多地了解企業(yè)文化，從而提供更好的服務(wù)。以下是小編為您搜集整理提供到的大學(xué)工商管理畢業(yè)論文內容，希望對您有所幫助！歡迎閱讀參考學(xué)習！

　　大學(xué)工商管理畢業(yè)論文范文

　　信息安全外包的風(fēng)險

　　論文關(guān)鍵詞:信息安全 外包 風(fēng)險 管理

　　論文摘要:文章首先分析了信息安全外包存在的風(fēng)險，根據風(fēng)險提出信息安全外包的管理框架，并以此框架為基礎詳細探討了信息安全外包風(fēng)險與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險進(jìn)行控制，并獲得與外包商合作的最大收益。

　　1信息安全外包的風(fēng)險

　　1.1信任風(fēng)險

　　企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時(shí)候將安全服務(wù)外包的一個(gè)重要因素。因為信息安全的外包商可以訪(fǎng)問(wèn)到企業(yè)的敏感信息，并全面了解其企業(yè)和系統的安全狀況，而這些重要的信息如果被有意或無(wú)意地對公眾散播出去，則會(huì )對企業(yè)造成巨大的損害。并且，如若企業(yè)無(wú)法信任外包商，不對外包商提供一些關(guān)鍵信息的話(huà)，則會(huì )造成外包商在運作過(guò)程中的信息不完全，從而導致某些環(huán)節的失效，這也會(huì )對服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎，也是很大程度上風(fēng)險規避的重點(diǎn)內容。

　　1.2依賴(lài)風(fēng)險

　　企業(yè)很容易對某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴(lài)性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當的風(fēng)險緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商，但相應地會(huì )加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營(yíng)環(huán)境發(fā)生變化時(shí)的應變能力;第二種是適應能力，即在短期到中期的事件范圍內所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性，其本質(zhì)是中期到長(cháng)期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準確預測和確保雙方建立最佳聯(lián)盟的能力。

　　1.3所有權風(fēng)險

　　不管外包商提供服務(wù)的范圍如何，企業(yè)都對基礎設施的安全操作和關(guān)鍵資產(chǎn)的保護持有所有權和責任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔職責，并且其服務(wù)級別協(xié)議條款支持這一職責的履行。正確的風(fēng)險緩釋方法是讓包括員工和管理的各個(gè)級別的相關(guān)人員意識到，應該將信息安全作為其首要責任，并進(jìn)行安全培訓課程，增強常規企業(yè)的安全意識。

　　1.4共享環(huán)境風(fēng)臉

　　信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構內部環(huán)境將包含更多的風(fēng)險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數據傳輸(如公共網(wǎng)絡(luò ))或處理(如通用服務(wù)器)，這將會(huì )增加一個(gè)企業(yè)訪(fǎng)問(wèn)另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風(fēng)險。

　　1.5實(shí)施過(guò)程風(fēng)險

　　啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過(guò)程、硬件、軟件或其他資產(chǎn)的復雜過(guò)渡，這一切都可能引起新的風(fēng)險。企業(yè)應該要求外包商說(shuō)明其高級實(shí)施計劃，并注明完成日期和所用時(shí)間。這樣在某種程度上就對實(shí)施過(guò)程中風(fēng)險的時(shí)間期限做出了限制。

　　1.6合作關(guān)系失敗將導致的風(fēng)險

　　如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風(fēng)險。合作關(guān)系失敗帶來(lái)的經(jīng)濟損失、時(shí)間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來(lái)自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。

　　2信息安全外包的管理框架

　　要進(jìn)行成功的信息安全外包活動(dòng)，就要建立起一個(gè)完善的管理框架，這對于企業(yè)實(shí)施和管理外包活動(dòng)，協(xié)調與外包商的關(guān)系，最大可能降低外包風(fēng)險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個(gè)主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標準，然后是對企業(yè)遭受的風(fēng)險進(jìn)行系統的評估.并根據方針和風(fēng)險程度.決定風(fēng)險管理的內容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調優(yōu)化企業(yè)的信息安全相關(guān)部門(mén)的企業(yè)結構，同時(shí)加強管理與外包商的關(guān)系。

　　3信息安全外包風(fēng)險管理的實(shí)施

　　3.1制定信息安全方針

　　信息安全方針在很多時(shí)候又稱(chēng)為信息安全策略，信息安全方針指的是在一個(gè)企業(yè)內，指導如何對資產(chǎn)，包括敏感性信息進(jìn)行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義，定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標準的簡(jiǎn)要說(shuō)明，以及遵守這些原則和標準對企業(yè)的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業(yè)的各個(gè)部門(mén)的安全職能給出概括性的定義，而具體的信息安全保護的責任細節將留至服務(wù)標準的部分來(lái)闡明。

　　3.2選擇信息安全管理的標準

　　信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:

　　(1)BS7799:BS7799標準是由英國標準協(xié)會(huì )指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細則》;BS7799-2:1999((信息安全管理體系規范》。

　　(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標準目前分為5個(gè)部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計劃部分;信息技術(shù)安全的技術(shù)管理部分;防護和選擇部分以及外部連接的防護部分。

　　3.3確定信息安全外包的流程

　　企業(yè)要根據企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來(lái)對信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護的信息系統、資產(chǎn)、技術(shù);(2)實(shí)物場(chǎng)所(地理位置、部門(mén)等)。信息安全的外包商應該根據企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風(fēng)險的內容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險評估和風(fēng)險管理方案，然后進(jìn)行合乎規范的評估，識別目前面臨的風(fēng)險。企業(yè)可以定期的選擇對服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨立評估，或者在年度檢查中進(jìn)行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書(shū)面一致后，外包商授予企業(yè)獨立評估方評估權限，并具體指出評估者不能泄露外包商或客戶(hù)的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細節，以減少任何對可用性，服務(wù)程度，客戶(hù)滿(mǎn)意度等的影響。在評估執行后的一段特殊時(shí)間內，與外包商共享結果二互相討論并決定是否需要解決方案和/或開(kāi)發(fā)計劃程序以應對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過(guò)程中都應該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務(wù)績(jì)效進(jìn)行考核。評估結束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應的文件中，以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。

　　3.4制定信息安全外包服務(wù)的控制規則

　　依照信息安全外包服務(wù)的控制規則，主要分為三部分內容:第一部分定義了服務(wù)規則的框架，主要闡明信息安全服務(wù)要如何執行，執行的通用標準和量度，服務(wù)外包商以及各方的任務(wù)和職責;第二部分是信息安全服務(wù)的相關(guān)要求，這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結構;服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報告要求，服務(wù)范圍等方面的內容;第三部分是安全要求，包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪(fǎng)問(wèn)控制;軟件完整性;安全資產(chǎn)配置;備份;監控和審計;事故管理等內容。

　　3.5信息安全外包的企業(yè)結構管理具體的優(yōu)化方案如下:

　　(1)首席安全官:CSO是公司的高層安全執行者，他需要直接向高層執行者進(jìn)行工作匯報，主要包括:首席執行官、首席運營(yíng)官、首席財務(wù)官、主要管理部門(mén)的領(lǐng)導、首席法律顧問(wèn)。CSO需要監督和協(xié)調各項安全措施在公司的執行情況，并確定安全工作的標準和主動(dòng)性，包括信息技術(shù)、人力資源、通信、法律、設備管理等部門(mén)。

　　(2)安全小組:安全小組的人員組成包括信息安全外包商的專(zhuān)業(yè)人員以及客戶(hù)企業(yè)的內部IT人員和信息安全專(zhuān)員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規則來(lái)進(jìn)行信息安全的技術(shù)性服務(wù)。

　　(3)管理委員會(huì ):這是信息安全服務(wù)外包商和客戶(hù)雙方高層解決問(wèn)題的機構。組成人員包括雙方的首席執行官，客戶(hù)企業(yè)的CIO和CSO，外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì )每年召開(kāi)一次會(huì )議，負責審核年度的服務(wù)水平、企業(yè)的適應性、評估結果、關(guān)系變化等內容。

　　(4)咨詢(xún)委員會(huì ):咨詢(xún)委員會(huì )的會(huì )議主要解決計劃性問(wèn)題。如服務(wù)水平的變更，新的技術(shù)手段的應用，服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問(wèn)題等，咨詢(xún)委員會(huì )的成員包括企業(yè)內部的TI’人員和安全專(zhuān)員，還有財務(wù)部門(mén)、人力資源部門(mén)、業(yè)務(wù)部門(mén)的相關(guān)人員，以及外包商的具體項目的負責人。

　　(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問(wèn)題，工作組的人員組成也是來(lái)自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問(wèn)題組建成項目進(jìn)行解決，并將無(wú)法解決的問(wèn)題提交給咨詢(xún)委員會(huì )。

　　(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內部的各個(gè)業(yè)務(wù)部門(mén)中與信息安全相關(guān)的人員。他們負責聯(lián)絡(luò )各個(gè)業(yè)務(wù)部門(mén)，發(fā)掘出企業(yè)中潛在的信息安全的問(wèn)題和漏洞，并將這些問(wèn)題報告給安全工作組。

　　(8)指令問(wèn)題管理小組:這個(gè)小組的人員組成全部為企業(yè)內部人員，包括信息安全專(zhuān)員以及各個(gè)業(yè)務(wù)部門(mén)的負責人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問(wèn)題之后，或者，是當CSO發(fā)布了關(guān)于信息安全的企業(yè)改進(jìn)方案之后，這些解決方案都將傳送給指令問(wèn)題管理小組，這個(gè)小組的人員經(jīng)過(guò)學(xué)習討論后，繼而將其發(fā)布到各個(gè)業(yè)務(wù)部門(mén)。

　　(9)監督委員會(huì ):這個(gè)委員會(huì )全部由企業(yè)內部人員組成。負責對外包商的服務(wù)過(guò)程的監督。

　　3.6管理與外包商的關(guān)系

　　管理好與外包商之間的關(guān)系，意味著(zhù)企業(yè)應致力于和外包商建立長(cháng)期合作關(guān)系，這將有助于安全服務(wù)的外包商更多地了解企業(yè)文化，從而提供更好的服務(wù)。在管理與外包商關(guān)系的過(guò)程中，企業(yè)應該在注重監督與控制的同時(shí)，同樣注重對外包商的激勵和協(xié)作。以建立良好的可發(fā)展的關(guān)系為關(guān)系管理的基礎。保持外包商行為規范的基本方法就是監督和控制。監督是用來(lái)觀(guān)察外包商是否在做他應該做的事情。如果通過(guò)監督發(fā)現外包商正在偏離預定的行為目標，此時(shí)就需要控制，控制就是使外包商返回到正確的軌道上去。在有了控制規則來(lái)規范外包商服務(wù)績(jì)效之后，要保持外包商和企業(yè)客戶(hù)經(jīng)常的溝通，以便能夠及時(shí)發(fā)現問(wèn)題，進(jìn)行標準化的控制活動(dòng)。

【大學(xué)工商管理畢業(yè)論文】相關(guān)文章：

工商管理畢業(yè)論文05-27

有關(guān)工商管理畢業(yè)論文09-08

（精華）工商管理畢業(yè)論文06-13

優(yōu)秀工商管理畢業(yè)論文提綱08-17

工商管理畢業(yè)論文提綱范文08-21

工商管理碩士畢業(yè)論文致謝10-03

工商管理畢業(yè)論文提綱模板10-03

工商管理專(zhuān)業(yè)畢業(yè)論文大綱08-19

工商管理專(zhuān)業(yè)的畢業(yè)論文提綱06-12

工商管理碩士畢業(yè)論文提綱07-11