中车株洲所是一家锐意创新的制造型企业,部分业务在香港和上海股票交易所上市。为提高信息技术对业务的有效支持和应对上市企业合规性需求,中车株洲所陆续通过了ISO27001信息安全管理国际认证、ISO20000信息服务管理国际认证和国家信息安全等级保护二级测评。为不断提高中车株洲所的信息安全水平,为后续通过ISO27001、ISO20000的新版本认证,为应对可能的等级保护三级测评,展开了对中车株洲所信息安全管理策略研究。研究首先详细分析了株洲所在信息化和信息安全方面的现状特别是不足之处,然后以ISO27001、ISO20000和国家信息安全等级保护标准为主线,参考企业的历史发展轨迹,结合企业目前的现状以及中车株洲所将来通过各种更高认证的期望,深入剖析了这些国际国内信息安全标准的具体内容和内在运行逻辑,在此基础上分析了各个标准中的管理要素,对比分析各个标准中类似的内容,并在此基础上进行了补充加强,最后制定出了适合于中车株洲所的信息安全管理策略,具体体现为五大维度,包括:安全管理制度、安全管理机构、人员安全管理、信息化流程的安全、信息化安全技术。以此策略为基础,本文具体分析了这五大维度上中车株洲所应该采取的具体措施。结合株洲所在信息安全方面的短板,对各个维度进一步分解,规定了信息安全改进的具体内容。针对这些内容和改进措施,还结合株洲所的实际情况,对各个方面措施的重要程度和紧急程度进行了详细的分析,进一步制定了一个对中车株洲所有可行性的实施方案。本文探讨的是关于中车株洲所的信息安全管理改进。要切实保证这些信息安全策略、维度和具体改进措施的落地,还需要从人员组织和实施策略等方面,详细地加以考虑和保障。本文提出的信息安全管理策略可以进行指导中车株洲所的信息安全评估、建设和改进。同时,由于此策略考虑到了目前大型集团化企业的信息化现状和信息安全现状,因此它对类似企业的信息安全管理建设具有参考借鉴价值。