COSO框架下企业信息安全风险管理研究——以搜狐邮箱被盗为例

来源 :山西财经大学 | 被引量 : 0次 | 上传用户:beiwei72
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
互联网已经渗透到了人们生活以及企业运营的方方面面,使得信息安全风险管理在企业风险管理中愈发重要,受到人们的日益重视。其中钓鱼邮件攻击因其技术门槛低、诈骗成功率高而成为最普遍的诈骗手段之一,因此企业如何进行邮箱安全管理以防范信息安全风险就显得尤为重要。本文以2022年5月发生的搜狐公司邮箱被盗事件为例,运用COSO框架五要素理论深入研究了信息安全风险管理问题。本文首先运用案例分析法分析了该事件中搜狐公司信息安全风险管理存在的问题:邮箱管理制度未有效落实、员工邮箱安全意识薄弱、邮箱安全保护机制不充分、邮箱系统运行过程的监控不足以及缺少常态化的钓鱼邮件演练机制等。然后运用比较分析法和因素分析法,基于COSO框架五要素理论对导致搜狐信息安全风险管理失效的原因进行分析,发现原因主要有:在控制环境方面,没有形成重视邮箱安全的企业文化氛围,并且信息安全的相关人力资源管理有所欠缺以及组织架构设计也不合理;在风险评估方面,没有合理确定企业邮箱所涉及的风险,在邮箱被盗事件中没有采用合适的风险应对策略;在控制活动方面,搜狐公司的邮箱安全风险治理模式没有严格执行,邮箱管理审批授权管控不足并且邮箱安全系统也存在一定的缺陷;在信息与沟通方面,邮箱可传递的信息内容不明确,信息的沟通与报告不及时、不积极并流于形式;在监督方面,搜狐公司的邮箱安全内部控制监督体系不完善,邮箱系统运行过程中的监控也存在不足。最后本文同样基于COSO框架五要素理论,依据导致问题的原因有针对性地提出了相应的优化建议。通过本文的分析,可以为搜狐公司信息安全风险管理提供优化方案,使得搜狐公司内部邮箱系统的运行和管理更具有安全性,弥补了搜狐公司内部邮箱系统的风险和安全漏洞,同时对COSO框架在企业信息安全风险管理方面的应用提供建设性的意见,提供应对企业信息安全风险的新视角,丰富企业信息安全风险管理的理论体系。
其他文献
在环境问题日益严重、能源结构转型升级的背景下,我国于2020年提出了双碳目标,即在2030年前实现碳达峰,2060年前实现碳中和。双碳目标的提出将对煤炭企业的碳排放量进行限制,甚至会影响煤炭企业产销情况,煤炭企业可能面临较大的财务风险,因此本文分析S集团双碳背景下可能加剧的财务风险以及可能产生的新财务风险,对宏观环境变化下S集团的财务风险进行识别、评价和应对,以提升企业风险抵抗能力,促进企业可持续
学位
2013年之后,国家一直都在努力推动国有企业进行混合所有制改革,国企的员工持股计划也在大力推行。如果员工持股计划是合理有效的,它能够较好地将外部资本引入,从而加强国有企业的改革力度,将民营和国有经济结合在一起,各自汲取对方的优势,进而促进企业价值增值。员工持股计划是怎么影响一个公司的公司价值的?以及为了提高公司的价值,在实施员工持股计划的时候,公司要如何设计才能取得更好的效果?针对这些问题,本文选
学位
最近几年,以新大地公司、万福生科公司、雅百特公司等为代表的公司业绩造假事件频频发生。根据研究数据显示,在过去的二十年中,在证券交易所所惩罚案例中,营业收入欺诈频率排在首位。因此,为了保证财务信息真实性,收入确认的合规性,建立完善的销售业务内部控制就显得至关重要。长园股份作为原先的一只“白马股”,一夜之间股价暴跌,给资本市场带来了极大的消极影响,这是一个极具典型意义的案例。本文将内控制度理论分析与长
学位
上市公司的股东和管理层利益追求不同产生了委托代理问题,股权激励是一种长效激励机制,可以有效解决委托代理问题。通过授予公司管理者一定数量的股权,使公司管理者和所有者利益趋同,提高激励对象工作积极性,降低委托代理成本,同时提高企业业绩。现在,人力资本在企业竞争中发挥着越来越重要的作用,更好地激励经营管理团队、核心技术骨干,有利于增强企业竞争力,于是股权激励也成为现代公司留住核心人才、吸引优秀人才的方式
学位
近年来,随着资本市场的不断完善以及国家政策的相继出台,我国上市公司进行现金分红的企业不断增多,派现金额也不断增加,高额的现金分红使其受到了社会各界的普遍关注。格力电器作为家电行业的领军企业之一,自1996年上市以来已进行现金分红28次,分红总额高达1009.28亿元,特别是近几年分红率不断提高。而股利政策作为一项重要财务决策,对于投资者利益、上市公司的发展及资本市场的完善都有重要影响。因此,本文以
学位
随着我国经济与科技实力的不断提升,我国的软件行业迎来了快速发展新阶段。国内软件规模稳步扩大,市场竞争也愈加激烈,越来越多的软件企业面临着多项目并行管理的难题。所以,在有限的资源条件下,企业如何科学合理地编制项目进度计划、尽量减少项目资源冲突,以推动多个项目有序地实施,进而实现多个项目按期交付是公司管理层急需解决的问题。实践已经证明了关键链技术在多项目进度管理中有着较强的实用性,因此本文将关键链技术
学位
目的 分析探讨64排螺旋CT应用在多间隙腰椎间盘突出症诊断中的特异性及灵敏性。方法 选取平凉市康复中心医院2019年12月-2021年12月接收确诊为多间隙腰椎间盘突出症患者100例为观察对象,对所有患者先后进行X线与64排螺旋CT诊断,以将两种诊断方式的检出率、特异性、灵敏性与腰椎间盘突出的类型进行比较。结果 X线诊断检出率为60.0%、误诊率为10.0%、漏诊率为30.0%;64排螺旋C
期刊
美国食品药品监督管理局(FDA)于2023年1月发布了“人用处方药和生物制品说明书的用法用量项目——内容和格式”的供企业用的指导原则草案,同时撤回了2010年3月发布的“人用处方药和生物制品说明书的用法用量项目——内容和格式”的供企业用的指导原则。目的是帮助申请人,确保药品说明书“用法用量”项目包括安全有效使用药物所需的用法用量相关信息,并且将信息清晰、简洁并以相关和易于理解的方式呈现给医疗人员。
期刊
近年来,随着新一轮技术与工业发展的不断深化,企业实现了数字经济的快速发展。在十三届全国人民代表大会第四次会议上发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中,提出了“要以数字为核心,加速推进数字经济发展,强化数字基础设施,健全数字经济管理体制,赋能传统产业转型升级,促进数字经济的发展,建设数字中国”。随着数字经济的快速发展,企业开始认识到,进行数字化转型不但可
学位
本文依据深化产教融合的国家战略背景,回顾新冠疫情以来笔者所在高校实施基于超星学习通校企合作培训新教师的实践,认为校企合作培训新教师是培养高素质教师的重要途径,双方应凝聚发展共同体的理念,合作共研培训目标、合作设计培训内容,形成校企合作新教师线上线下协同治理模型。本文展望,校企合作应基于产教融合的理论和实践框架,搭建长效合作机制,聚焦产教融合标志性动作,纳入长期合作规划。
期刊