随着企业信息化水平的提高，电子邮件、企业管理信息系统、远程办公等广泛 应用，企业的管理越来越依赖于计算机等信息系统，信息系统给企业管理带来便捷 的同时，也带来了信息安全的问题。近年来，企业信息安全问题越来越突出，许多 企业因对信息安全管理不善，给企业带来了巨大损失。如何给企业构建一个安全可 靠的信息安全管理体系，是各个企业迫切需要解决的实际问题。长期以来，很多企 业习惯于通过单纯的技术手段来解决信息安全问题，但信息安全问题不只是涉及到 信息相关的技术，更涉及利用信息的人员的管理，是个系统工程，只有通过技术和 管理相结合才能真正解决信息安全问题。国际上有专门的信息安全标准，但各种标 准缺乏量化的测量指标，如何清楚的知道企业目前信息安全处于何种水平，哪些信 息安全问题是需要迫切解决的，需要对这些信息安全问题量化并赋予权重。 SC分公司是一家主要为国外客户做代工的电子制造公司。产品应用于通信、汽 车、医疗、金融等行业。随着客户对信息安全管理的日益重视，对SC分公司信息安 全的要求也越来越高，近年来，客户加大了对SC分公司信息安全管理的审计力度， 甚至委托第三方的信息安全专业机构对SC分公司审计，信息安全管理水平的高低直 接影响到能否保留现有的客户订单和获得新客户订单。长期以来，SC分公司的信息 安全管理事务主要由信息部门一个部门承担，没有系统的信息安全管理规划，主要 依据各个客户对信息安全管理审计发现的问题，做一些针对性的改善措施，但问题 并没有彻底解决，客户审计通过一段时间后，问题又复发，或者解决了这个客户提 出的信息安全问题，另一个客户又发现了其他的信息安全问题。如何系统的发现SC 分公司信息安全管理存在的真正问题，并能区分这些问题的严重程度，为SC分公司 管理层提升信息安全管理水平提供建议，已经成为SC分公司需要迫切解决的实际问 题。 本文以ISO27001和GB/T 36627-2018标准为基础，充分考虑SC分公司战略客 户的要求并结合自身的实际情况，建立SC分公司信息安全管理测量与评价指标体系 的各控制项和控制措施，并采用层次分析法将各个具体指标量化并赋予权重，完成 SC分公司信息安全管理测量与评价指标体系的构建。将SC分公司的实际情况和指 标对比，找出SC分公司信息安全管理存在的问题，并分析问题存在的根本原因，提 出信息安全管理优化的建议策略，以提升SC分公司的信息安全管理水平。将这些信 西南大学工商管理硕士学位论文 II 息安全管理优化的建议策略付诸实施，并评估实施后的效果，为其他相关企业的信 息安全管理建设提供参考。