摘要：以制造型企業(yè)為研究對象，分析其在信息安全管理方面存在的組織臨時化、員工上網(wǎng)無限制、個人移動設(shè)備使用泛濫等問題，并從員工信息安全意識、信息安全技術(shù)體系、信息安全事件應(yīng)急響應(yīng)機(jī)制三個方面深入探究了導(dǎo)致上述問題存在的原因，最后提出制造型企業(yè)需通過信息安全組織層級結(jié)構(gòu)的建立、人員培訓(xùn)和規(guī)范管理的加強(qiáng)、信息安全技術(shù)體系的完善和信息安全事件應(yīng)急響應(yīng)機(jī)制的建立四個方面來提升企業(yè)的信息安全管理水平，避免信息安全事件的發(fā)生。

關(guān)鍵詞：制造型企業(yè)；信息安全管理；信息安全事件

中圖分類號：F49 文獻(xiàn)標(biāo)識碼：A

DOI：10.3963/j.issn.1671-6477.2015.02.004

隨著信息技術(shù)的快速發(fā)展，信息系統(tǒng)被廣泛應(yīng)用，信息及信息系統(tǒng)已經(jīng)成為企業(yè)的重要戰(zhàn)略資源，對企業(yè)的生存和發(fā)展起著至關(guān)重要的作用。在信息化建設(shè)中，制造型企業(yè)作為產(chǎn)業(yè)鏈長、應(yīng)用系統(tǒng)數(shù)量大、對外交互信息頻繁的企業(yè)，已經(jīng)逐步建立了由辦公自動化系統(tǒng)等一系列信息系統(tǒng)構(gòu)成的支撐企業(yè)生產(chǎn)經(jīng)營活動的信息化體系，并且從中取得了一定的經(jīng)濟(jì)利益。但隨著信息化步伐的加快，制造型企業(yè)的信息安全問題也日益突出。電腦病毒感染、系統(tǒng)非法入侵、商業(yè)數(shù)據(jù)泄密、漏洞攻擊等信息安全事件頻繁發(fā)生，這些信息安全事件的發(fā)生直接影響到企業(yè)業(yè)務(wù)的開展，造成企業(yè)巨大的經(jīng)濟(jì)損失，還損害到企業(yè)的良好形象。因此，信息安全問題已經(jīng)成為制造型企業(yè)信息化建設(shè)中的重要問題，信息安全管理也已經(jīng)成為制造型企業(yè)日常管理工作中的不可缺少的一部分。

一、企業(yè)信息安全管理的相關(guān)概念

（一）信息安全

國際標(biāo)準(zhǔn)化組織對信息安全的定義是為避免數(shù)據(jù)處理系統(tǒng)以及計算機(jī)軟硬件和數(shù)據(jù)由于偶然和惡意的原因遭到破壞、篡改、泄露而采取相應(yīng)的保護(hù)措施[1]。美國NSTISSC委員會將信息安全定義為對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件進(jìn)行保護(hù)，并采取相關(guān)政策、培訓(xùn)和教育以及技術(shù)等必要手段[2]。信息安全專家沈昌祥認(rèn)為，信息安全是為了使信息和信息系統(tǒng)具有保密性、完整性、可用性、可控性和不可否認(rèn)性，讓信息和信息系統(tǒng)在保護(hù)之下免于未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞[3]。

從不同組織和學(xué)者對信息安全的定義可以看出，信息安全的定義包含兩個層面，一個是信息安全的作用層面，另一個則是信息安全的基本屬性層面。其中，信息安全的作用層面構(gòu)成了信息安全層次模型，第一層為物理安全，即使計算機(jī)與網(wǎng)絡(luò)設(shè)備硬件實體處于不受攻擊的狀態(tài)；第二層為運行安全，是指信息系統(tǒng)軟件在運行中的不受攻擊的狀態(tài)；第三層為數(shù)據(jù)安全，是指信息系統(tǒng)中所加工存儲和網(wǎng)絡(luò)中所傳遞的數(shù)據(jù)泄露、仿冒、篡改及抵賴過程所涉及的安全。

信息安全金三角（CIA）是信息安全最為核心的基本屬性，包括信息的機(jī)密性、完整性和可用性。信息的機(jī)密性（Confidentiality）是指信息不泄露給未經(jīng)授權(quán)的人，或者非經(jīng)授權(quán)者無法理解信息的含義；信息的完整性（Integrity）是指信息在使用過程中沒有被未經(jīng)授權(quán)的人篡改；信息的可用性（Availability）是指被授權(quán)者能夠正常使用信息及信息系統(tǒng)[4]。企業(yè)信息的機(jī)密性、完整性和可用性會通過信息及信息系統(tǒng)的物理安全、運行安全和數(shù)據(jù)安全三個層面反映出來，即如果企業(yè)保證了信息及信息系統(tǒng)的物理安全、運行安全和數(shù)據(jù)安全就保障了企業(yè)信息的機(jī)密性、完整性和可用性，見圖1。

圖1 信息安全層次模型與信息安全金三角關(guān)系圖

（二）信息安全管理

信息安全需要企業(yè)對信息系統(tǒng)的全部環(huán)節(jié)進(jìn)行統(tǒng)一合理的規(guī)劃和架構(gòu)，并要結(jié)合企業(yè)內(nèi)外部的變化，任何環(huán)節(jié)上都不能出現(xiàn)缺陷，否則會對整個信息系統(tǒng)構(gòu)成威脅。因此，企業(yè)通過信息安全管理的手段可以實現(xiàn)信息安全。

信息安全管理是組織通過制定相應(yīng)的預(yù)防措施，保護(hù)組織信息和信息系統(tǒng)不被泄露或破壞，保證企業(yè)信息的可用性、機(jī)密性和完整性的活動。信息安全管理工作一般包括制定安全方針、建立組織機(jī)構(gòu)與明確職責(zé)分工、建立信息安全制度和信息安全管理文件體系、對員工進(jìn)行安全意識培訓(xùn)等，通過確保企業(yè)內(nèi)的組織安全、資產(chǎn)安全、人員安全、環(huán)境安全來實現(xiàn)企業(yè)的信息安全[5]。

二、制造型企業(yè)信息安全管理的現(xiàn)狀

（一）信息安全組織臨時化

通常，制造型企業(yè)只有在發(fā)生了信息泄露、病毒攻擊、系統(tǒng)破壞等信息安全事件時，才會臨時從信息技術(shù)部和業(yè)務(wù)部門抽調(diào)人手處理和解決信息安全事件。出現(xiàn)新的信息安全要求時，才會臨時組建項目小組，根據(jù)新的信息安全要求制定解決方案并實施計劃，項目完成后，臨時小組就會解散，沒有人會繼續(xù)跟進(jìn)和執(zhí)行解決方案。由于沒有定期的信息安全評估，安全計劃不斷地重復(fù)開始和結(jié)束，帶來大量的人財物重復(fù)投入，這將導(dǎo)致安全計劃成本不斷增加，企業(yè)的工作效率不斷降低，信息安全防護(hù)也未得到有效提升。

（二）員工上網(wǎng)無限制

雖然制造型企業(yè)為員工上網(wǎng)提供了用戶名及密碼，并且對其登錄的網(wǎng)站進(jìn)行了監(jiān)測，但是員工在工作時間還是可以無設(shè)防地利用外網(wǎng)進(jìn)行網(wǎng)頁游覽、網(wǎng)絡(luò)社交等行為，并且使用一些網(wǎng)站的免費郵箱隨意地接收和發(fā)送電子郵件，這些給黑客、病毒、釣魚軟件等創(chuàng)造了對企業(yè)內(nèi)部網(wǎng)絡(luò)攻擊的機(jī)會。于是，員工在不了解原因的情況下，使得企業(yè)的信息被泄露或者內(nèi)部網(wǎng)絡(luò)癱瘓，從而影響企業(yè)的正常工作，造成企業(yè)資產(chǎn)的損失。

（三）個人移動設(shè)備（BYOD）使用泛濫

在制造型企業(yè)的辦公場合，員工會攜帶個人移動設(shè)備（BYOD）如筆記本電腦、平板電腦、智能手機(jī)、移動硬盤等進(jìn)行辦公。企業(yè)員工可以較為隨意地使用這些移動存儲設(shè)備對內(nèi)部文件進(jìn)行拷貝，并且可以使用移動設(shè)備接入企業(yè)內(nèi)網(wǎng)的無線Wi-Fi，并擁有一定程度的內(nèi)網(wǎng)數(shù)據(jù)讀取權(quán)限，這樣做雖然節(jié)約了企業(yè)的辦公成本，提高了辦公的效率，但是也增加了企業(yè)內(nèi)網(wǎng)病毒感染及遭受黑客惡意入侵的風(fēng)險[6]。

（四）信息安全防護(hù)水平有限

出于性能、技術(shù)等因素的考慮，加之國內(nèi)自主研發(fā)的信息安全產(chǎn)品較少，目前進(jìn)口的信息安全產(chǎn)品受到許多制造型企業(yè)的廣泛采用。盡管這些企業(yè)的信息安全需求以此得到了滿足，但近幾年來，進(jìn)口產(chǎn)品設(shè)備故障的頻繁發(fā)生也對制造型企業(yè)的業(yè)務(wù)帶來了不同程度的影響。同時，進(jìn)口信息安全產(chǎn)品已經(jīng)占據(jù)了這些企業(yè)信息系統(tǒng)的關(guān)鍵節(jié)點，這使得企業(yè)的商業(yè)機(jī)密時刻處于高危狀態(tài)。不僅如此，部分制造型企業(yè)仍舊停留在使用免費的個人版殺毒軟件階段，而這些軟件不僅無法解決病毒交叉感染的問題，也沒有統(tǒng)一的管理平臺對企業(yè)內(nèi)網(wǎng)的安全系統(tǒng)進(jìn)行統(tǒng)一的升級與維護(hù)。另外，信息安全產(chǎn)品在企業(yè)內(nèi)的無序堆疊不僅使得各安全產(chǎn)品存在兼容性問題，同時也使得各產(chǎn)品廠商只能提供與自己產(chǎn)品有關(guān)的技術(shù)支持，導(dǎo)致企業(yè)對問題很難進(jìn)行跟蹤和排查。最后，企業(yè)電腦終端上的防毒程序未開啟或者未升級至最新版本，以及系統(tǒng)漏洞修補(bǔ)的不及時都造成了多病毒大面積入侵企業(yè)內(nèi)網(wǎng)。

（五）信息安全事件處理不及時

制造型企業(yè)在發(fā)生信息安全事件時，即使有相關(guān)的信息安全管理產(chǎn)品，但無法迅速定位安全事件，更無法快速進(jìn)行安全事件響應(yīng)處理，常處于混亂、無序的運維管理狀態(tài)。由于企業(yè)的安全管理人員無法全面了解整個企業(yè)網(wǎng)絡(luò)中正在發(fā)生的內(nèi)部越權(quán)訪問和外部攻擊，出現(xiàn)問題時，他們多表現(xiàn)得無從下手或者手忙腳亂。而且，企業(yè)各部門各自為政，對發(fā)生信息安全事件無法進(jìn)行統(tǒng)一規(guī)范的快速處理。

三、制造型企業(yè)信息安全管理薄弱的原因

（一）員工信息安全意識淡薄

制造型企業(yè)員工信息安全意識比較淡薄，主要表現(xiàn)為企業(yè)管理層沒有充分認(rèn)識到信息安全的重要性，沒有將信息安全管理工作與企業(yè)生產(chǎn)安全管理工作放在同等重要的高度來對待，更沒有把它作為日常管理工作的一部分。管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業(yè)帶來經(jīng)濟(jì)效益，反而需要投入大量的時間和資源，尤其是對于受部門業(yè)績壓力和資源限制的業(yè)務(wù)部門來說，他們不愿意把時間和資源放在信息安全防護(hù)工作上，并且他們還認(rèn)為不采取安全防護(hù)措施不一定會造成損失。普通員工則表現(xiàn)在他們不了解什么信息安全，不知道遵守和執(zhí)行信息安全制度對自己及企業(yè)帶來的影響，缺少必要的信息安全教育與培訓(xùn)，有意或無意地導(dǎo)致信息安全事件的發(fā)生。

（二）信息安全技術(shù)體系不完善

信息安全防護(hù)水平受到限制除了受上述因素影響外，還有就是沒有完善的物理安全、運行安全和數(shù)據(jù)安全相統(tǒng)一的信息安全技術(shù)體系，具體體現(xiàn)在企業(yè)使用的軟件設(shè)計存在缺陷或者技術(shù)漏洞、殺毒軟件不及時更新；信息系統(tǒng)設(shè)計沒有以風(fēng)險評估為基礎(chǔ)、業(yè)務(wù)流程描述錯誤或漏洞、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒有備份等因素；物理安全邊界不明確、設(shè)備或存儲介質(zhì)缺乏安全措施、電纜損壞、不可抗力的自然災(zāi)害等。

（三）信息安全事件應(yīng)急響應(yīng)機(jī)制缺失

信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應(yīng)急響應(yīng)機(jī)制。制造型企業(yè)沒有對信息安全事件進(jìn)行分級響應(yīng)與處置，也沒有結(jié)合企業(yè)的實際情況通過預(yù)測、評估和分析安全事件對企業(yè)造成的后果程度進(jìn)行等級劃分，并針對不同的安全事件制定相應(yīng)的應(yīng)急預(yù)案。同時，大部分制造型企業(yè)在處理信息安全事件時更多依靠的是人的經(jīng)驗和責(zé)任心，缺少標(biāo)準(zhǔn)化的信息安全事件處理流程，以及必要的審核和工具支撐[7]。

四、改進(jìn)制造型企業(yè)信息安全管理的對策

通過上述分析可知，信息安全問題不僅出現(xiàn)在技術(shù)方面，還更多地出現(xiàn)在管理方面。因此，為了保障企業(yè)的業(yè)務(wù)持續(xù)運行，加強(qiáng)企業(yè)的股東、客戶以及服務(wù)提供商對企業(yè)信息安全的信任，增強(qiáng)企業(yè)的核心競爭能力，制造型企業(yè)可以將管理、技術(shù)和運維三方面有效地結(jié)合起來，促進(jìn)企業(yè)的可持續(xù)發(fā)展。

（一）建立健全的信息安全組織層級結(jié)構(gòu)

企業(yè)信息安全組織架構(gòu)的建立是圍繞企業(yè)信息安全管理的戰(zhàn)略目標(biāo)，對企業(yè)的信息資源、人力資源、安全技術(shù)產(chǎn)品等進(jìn)行合理安排和配置，構(gòu)成相互協(xié)作的有機(jī)整體，使企業(yè)的信息安全活動協(xié)調(diào)有效地運行[8]。制造型企業(yè)通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執(zhí)行部的層級結(jié)構(gòu)，不僅能在企業(yè)中形成一張網(wǎng)，覆蓋企業(yè)的各個部門，有利于信息安全措施的實施和針對信息安全事件的快速響應(yīng)，而且還能為后續(xù)建立信息安全管理體系提供組織上的保證。信息安全決策委員會主要負(fù)責(zé)制定信息安全制度和策略、明確各部門信息安全職責(zé)、協(xié)調(diào)各部門實施信息安全控制措施以及信息安全活動的實施等。信息安全工作部由各部門負(fù)責(zé)信息安全管理的工作人員構(gòu)成，實施決策委員會制定的信息安全策略、制度和方針，并負(fù)責(zé)各部門的信息安全管理工作。信息安全執(zhí)行部具體有三個部門，即信息安全規(guī)劃部、信息安全監(jiān)督審計部、信息安全運行保障部，并且由各部門進(jìn)行業(yè)務(wù)支撐，制造型企業(yè)信息安全管理組織架構(gòu)見圖2。

圖2 制造型企業(yè)信息安全管理組織層級結(jié)構(gòu)

（二）加強(qiáng)人員教育培訓(xùn)和規(guī)范管理

信息安全最大的威脅不是來自于企業(yè)外部的攻擊或是企業(yè)信息安全技術(shù)的缺陷，而是企業(yè)人員缺乏信息安全意識。為了能夠有效地提高企業(yè)員工的信息安全意識，企業(yè)需要對員工進(jìn)行完善的信息安全教育培訓(xùn)，這不僅能提高員工的信息安全保護(hù)技能，還能更好地保護(hù)企業(yè)的信息安全。制造型企業(yè)在制定信息安全教育培訓(xùn)內(nèi)容時，可以根據(jù)員工在企業(yè)中所處的職位高低和工作性質(zhì)的不同有針對性地制定。對于企業(yè)管理者而言，教育培訓(xùn)以信息安全核心知識、風(fēng)險管理、信息安全政策等為主；企業(yè)的信息技術(shù)人員，則是以信息安全技術(shù)教育培訓(xùn)為主；一般員工結(jié)合所在部門的業(yè)務(wù)特點以信息安全意識培訓(xùn)為主。

除了對企業(yè)的人員進(jìn)行教育培訓(xùn)，還需對其進(jìn)行規(guī)范化管理。對掌握產(chǎn)品生產(chǎn)、原材料采購等核心信息的管理者實施更加嚴(yán)格的信息安全監(jiān)督管理制度；對負(fù)責(zé)計算機(jī)系統(tǒng)及日常維護(hù)的人員界定其工作權(quán)限；規(guī)范化管理員工的上網(wǎng)行為，合理利用網(wǎng)絡(luò)資源，避免人為的網(wǎng)絡(luò)安全隱患。同時在規(guī)范管理中引入績效考核機(jī)制，這樣不僅使信息安全管理的指標(biāo)量化，而且，通過信息安全監(jiān)督審計工作組對員工信息安全工作進(jìn)行考核，使員工更加重視企業(yè)信息安全。

因此，加強(qiáng)企業(yè)員工的教育培訓(xùn)和規(guī)范化管理，不僅可以營造企業(yè)信息安全文化氛圍，還可以約束員工的行為，減少人為因素導(dǎo)致的信息安全事件發(fā)生。

（三）完善信息安全技術(shù)體系

信息安全技術(shù)是企業(yè)信息安全的保障，完善的信息安全技術(shù)體系可以防止由于技術(shù)因素導(dǎo)致的信息安全漏洞，避免給外部攻擊者留下可乘之機(jī)，從而減少技術(shù)因素導(dǎo)致的信息安全事件發(fā)生。制造型企業(yè)需從以下六個方面去建立完善的信息安全技術(shù)體系，并采用“適度防御”的原則，選擇合適的安全技術(shù)與產(chǎn)品，形成企業(yè)適用的安全技術(shù)防線[9]。

一是保障并完善數(shù)據(jù)安全，制造型企業(yè)需通過加密的手段保護(hù)企業(yè)系統(tǒng)中數(shù)據(jù)的機(jī)密性和完整性，從而提高數(shù)據(jù)訪問的抗抵賴性，同時加強(qiáng)數(shù)據(jù)的異地災(zāi)難恢復(fù)機(jī)制，實現(xiàn)本地數(shù)據(jù)的實時遠(yuǎn)程復(fù)制與備份，避免本地系統(tǒng)遭受災(zāi)難性破壞導(dǎo)致企業(yè)系統(tǒng)中數(shù)據(jù)的遺失。二是保障并完善終端安全，制造型企業(yè)除了要采用全面可靠的防病毒體系和防火墻技術(shù)外，還需制定嚴(yán)格的移動終端設(shè)備使用制度，一方面是為了避免內(nèi)部員工利用移動終端設(shè)備隨意拷貝企業(yè)內(nèi)部文件，導(dǎo)致企業(yè)內(nèi)部信息向外泄露，另一方面是為了防止移動終端設(shè)備攜帶的病毒漏過企業(yè)系統(tǒng)設(shè)置的防火墻而直接在系統(tǒng)內(nèi)部傳播。三是保障和完善應(yīng)用安全，除了提供用戶名和口令外其他身份驗證機(jī)制，必要時還需支持雙因素認(rèn)證和具備登錄控制模塊，同時在日常工作不受影響的情況下，控制員工訪問權(quán)限，減少越權(quán)操作的現(xiàn)象，最大限度地保障個人系統(tǒng)的安全。四是保障和完善網(wǎng)絡(luò)安全，制造型企業(yè)還需通過內(nèi)外部署相應(yīng)的網(wǎng)絡(luò)與信息安全設(shè)施使計算機(jī)設(shè)備的物理管理得到加強(qiáng)，并對入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)進(jìn)行內(nèi)外部攻擊和誤操作的實時保護(hù)的安全設(shè)計，使系統(tǒng)免于網(wǎng)絡(luò)攻擊的同時，也提升了系統(tǒng)管理人員的安全管理水平。五是保障主機(jī)安全，除了采用系統(tǒng)掃描技術(shù)對操作系統(tǒng)層設(shè)備和系統(tǒng)進(jìn)行智能化檢測來幫助網(wǎng)絡(luò)管理人員高效地完成定期檢測和操作系統(tǒng)安全漏洞修復(fù)的工作，還應(yīng)采用系統(tǒng)實時入侵探測技術(shù)來監(jiān)控主機(jī)系統(tǒng)事件，檢測攻擊的可疑特征，并給予響應(yīng)和處理。六是保證物理安全，制造型企業(yè)需要保證機(jī)房與設(shè)施的安全，針對環(huán)境的物理災(zāi)害、自然災(zāi)害和人為的蓄意破壞采取安全措施，并通過防盜、防毀、防電磁干擾來保證設(shè)備的安全。

（四）建立信息安全事件應(yīng)急響應(yīng)機(jī)制

由于信息安全事件會給制造型企業(yè)造成巨大的損失，因此作為補(bǔ)救性質(zhì)的信息安全事件應(yīng)急響應(yīng)機(jī)制的建立就是必不可少的。信息安全事件應(yīng)急響應(yīng)機(jī)制是指在信息安全事件的發(fā)生之前企業(yè)對各種可能情況所做的全部準(zhǔn)備和在信息安全事件發(fā)生后所采取的相應(yīng)措施的方法和過程，其目的是為了使企業(yè)盡可能地減少信息安全事件帶來的損失。

制造型企業(yè)應(yīng)首先在信息安全運行保障部中創(chuàng)建信息安全事件應(yīng)急響應(yīng)中心，中心成員由企業(yè)內(nèi)部的管理者、計算機(jī)和網(wǎng)絡(luò)等方面的技術(shù)專家共同組成，并聯(lián)合外部技術(shù)支持企業(yè)，針對企業(yè)的信息安全事件進(jìn)行應(yīng)急響應(yīng)，及時地處理信息安全事件，使企業(yè)的風(fēng)險和損失最小。其次是制定標(biāo)準(zhǔn)的信息安全事件應(yīng)急響應(yīng)的措施與流程，要求應(yīng)急響應(yīng)中心進(jìn)行規(guī)范化的管理和運作，并且建立及時精確的信息安全事件上報體系。最后還需建立信息安全事件應(yīng)急響應(yīng)案件庫，目的是為了實現(xiàn)對事件處理過程的備案和綜合查詢，幫助企業(yè)在處理事件時查找歷史處理記錄和流程，從而縮短應(yīng)急響應(yīng)的時間。

制造型企業(yè)信息安全事件應(yīng)急響應(yīng)處理的具體流程是：首先，對信息安全事件進(jìn)行封鎖，為避免信息安全事件的擴(kuò)散，應(yīng)關(guān)閉其與網(wǎng)絡(luò)的連接；其次，為緩解信息安全事件帶來的影響，應(yīng)采取相應(yīng)措施，保障系統(tǒng)的正常運行；再次，根據(jù)安全記錄日志或當(dāng)前實時監(jiān)控和審計的結(jié)果進(jìn)行分析與判斷，采取措施消除信息安全事件，然后對系統(tǒng)進(jìn)行恢復(fù)，讓受侵害的業(yè)務(wù)系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等恢復(fù)到正常的運行狀態(tài)；最后，對系統(tǒng)恢復(fù)后的安全狀況進(jìn)行追蹤，對現(xiàn)有的一些處理流程進(jìn)行重新評估，并修改不適宜的環(huán)節(jié)[10]，制造型企業(yè)信息安全事件應(yīng)急響應(yīng)處理流程見圖3。

圖3 制造型企業(yè)信息安全事件應(yīng)急響應(yīng)處理流程

[參考文獻(xiàn)]

[1]ISO.ISO/IEC27002：2005[S/OL].[2015-01-18].https：∥www.iso.org/obp/ui/#iso：std：iso-iec：27002：ed-1：v1：en.

[2]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-01-18].Available online，http：∥csrc.nist.gov/publications/history/dod85.pdf.

[3]沈昌祥，張煥國， 馮登國，等.信息安全綜述[J].中國科學(xué)（E輯：信息科學(xué)），2007（2）：129-150.

[4]戴 川，葉春明.淺談制造企業(yè)日常信息安全管理的必要性與對策[J].中國集體經(jīng)濟(jì)（下半月），2007（6）：54-55.

[5]劉曉松，郭玲玲.基于管理因素的企業(yè)信息安全事故分析[J].企業(yè)經(jīng)濟(jì)，2013（1）：55-58.

[6]瑞 星.2012年中國信息安全綜合報告[J].信息安全與通信保密，2013（2）：42-49.

[7]王艷瑋，曾思慧.信息安全管理缺口模式及彌補(bǔ)建議[J].圖書館學(xué)研究，2011（13）：68-73.

[8]田 麗.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理組織機(jī)構(gòu)設(shè)計[J].東北財經(jīng)大學(xué)學(xué)報，2008（3）：70-72.

[9]雷萬云.信息安全保衛(wèi)戰(zhàn)：企業(yè)信息安全建設(shè)策略與實踐 [M].北京：清華大學(xué)出版社，2013：193-201.

[10]孫 磊，劉玉英，董如楠，等.汽車制造業(yè)信息安全保障管理實施關(guān)鍵過程[J].信息安全與通信保密，2012（9）：108-112.

（責(zé)任編輯 王婷婷）