随着互联网信息技术的蓬勃发展,越来越多企业通过网站或应用程序为互联网用户提供各类服务,企业在享受信息技术带来各种红利的同时也面临着来自信息安全方面的威胁与挑战。随着互联网病毒的多样化和黑客行为的组织化,信息安全俨然已成为一个突出问题。企业一旦发生严重的信息安全事件,对其资产、名誉甚至持续运营将造成严重影响。Y公司作为一家涵盖社交、电子商务、短视频等业务领域的互联网服务提供商,公司业务的持续发展对自身信息安全能力提出了更高的要求,如何保障公司的信息资产安全,降低信息安全风险,是企业管理者必须要解决的问题。本文基于信息安全管理视角,以Y公司为研究对象,探讨了企业以ISO27001信息安全管理标准及测量模型为指导对自身信息安全管理中的问题进行优化的研究过程。通过对信息安全管理有效性测量的方式进行问题调研,得到各信息安全管理控制领域与合格基准线的差距,并找出Y公司信息安全管理的问题,接着从管理角度剖析问题产生的原因,并提出相应的优化方案,以期为提高Y公司信息安全管理水平和安全防护能力提供支撑。有鉴于此,本文围绕Y公司信息安全管理的优化策略研究,从以下几个方面展开论述:首先,在问题调研中,利用ISO27001信息安全管理标准及测量模型为指导,构建二级三层的信息安全管理有效性测量指标模型,利用层次分析法确定一级和二级指标权重,通过资料调阅,技术调研,人员访谈和问卷调查等方法的综合运用收集测量原始数据,通过专家评分的方法综合度量信息安全管理各控制领域的有效性。运用ISO27001信息安全管理标准定义的各个领域的知识点,对Y公司信息安全管理问题进行调研,在调研中发现当前存在问题有:信息安全策略未有效落实、人员信息安全意识薄弱、信息资产管理不规范、系统开发管理中未能识别安全风险。其次,根据问题调研的结果,对照Y公司当前现状及ISO27001信息安全管理标准的要求,对公司信息安全管理中的问题所涉及的四个领域内容开展详细论述。在信息安全策略方面,制度完整性、符合度、执行监督等几方面存在不足导致了信息安全策略未能有效落实;人员信息安全方面,在信息安全培训及考核机制的缺失是人员信息安全意识薄弱的原因所在;信息资产管理方面,资产分级管理及管理职责的不明晰导致了信息资产管理不规范;系统开发管理方面,业务系统建设未充分考虑安全要求,系统上线缺少安全测试和评审是系统开发管理中未能识别安全风险的根本原因。再次,基于对Y公司信息安全管理中存在问题的分析结果,在明确优化目标和原则的基础上,以ISO27001信息安全管理标准为理论框架,运用PDCA循环、安全开发生命周期等理论从管理角度分别对信息安全策略、人员信息安全、信息资产管理、系统开发管理等存在问题的领域提出相应的优化方案及建议。信息安全策略方面,通过完善信息安全文件体系架构,建立可持续改善的制度并配合定期的审计监督机制,使得信息安全管理策略得到有效落实;人员信息安全方面,从信息安全文化的宣贯、人员安全培训、考核机制的建立等方面全面提升人员的信息安全意识;信息资产管理方面,完善信息资产分级管理机制,梳理并落实资产管理的职责及流程等规范化管理Y公司的信息资产;系统开发管理方面,以安全开发生命周期理论为指导思想,从业务系统的设计、开发、上线、运维等各个环节介入安全管理活动以提升业务系统的安全性。最后,从组织保障、审计监督、绩效考核三个方面设计优化的保障措施,以确保信息安全管理优化方案的有效落实。本文从管理角度对Y公司信息安全管理问题进行深入研究,分析其问题的成因,并提出相应的优化方案。研究结果在提升Y公司信息安全管理水平和降低公司经营中信息安全风险的同时,对行业信息安全管理体系的建设也具有一定的借鉴意义。