當前位置：首頁 > 文庫 > 文案

企業信息安全評估范文8篇

時間：2024-08-15 14:14:22 50

企業信息安全評估

企業信息安全評估篇1

【關鍵詞】風險；評估；企業；信息管理

1.企業信息安全評估的內容

企業在運行中會產生大量的運營數據，這些數據既有日常辦公方面的數據，也有涉及企業生產和研發方面的數據。隨著企業規模的擴大，對這些信息的管理大都是建立在一定的信息管理系統基礎上的，如ERP資源管理系統、MES系統等。這些管理系統管理的內容包含了企業運行中的各類信息，就涉及到如何保障系統運行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風險，因此需要對企業的信息管理風險程度進行評估，在此基礎上尋找彌補信息安全隱患的策略。對企業信息安全的評估主要有以下幾個方面的內容。

1.1 評估企業的管理制度

企業管理制度是企業有序運行的基礎，企業的信息安全也和此密切相關。很多企業信息外泄的案例都和企業管理制度漏洞直接聯系。因此在評估企業信息安全時企業的管理制度是必要的環節之一。在這個層面上評估企業信息安全主要是評估以下幾類基本的管理制度。①企業信息系統的使用制度；②企業信息系統的維護制度；③企業信息系統操作人員培訓制度；④系統設備和文件管理制度。

1.2 企業信息系統計算機安全評估

實踐表明大量的企業信息外泄都和計算機系統的安全漏洞有關系，因此對企業信息系統的安全評估是必不可少的環節。這類問題的評估需要專業計算機人員來進行，彌補系統安全漏洞是保障企業信息安全的重要手段。定期或不定期的對企業信息系統的運行日志和統計資料進行檢查是一種行之有效的方法。

2.企業信息安全風險定量評估方法

對上述幾類評估內容的定量估計是衡量企業信息安全的量化手段，其衡量得出的數值就是企業信息安全的風險值或安全程度指標。企業信息安全的定量風險評估考慮因素主要有三個：資產價值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數據采集的方式來進行合成計算，安全風險的數學表達式為：。其中為風險指標，表示企業資產指標，為代表威脅，為脆弱性指標。上述三類因素的基礎數據都需要從實踐中通過調研和測試來獲得。

2.1 企業信息安全估價的描述方法

企業的資產既包括有形的資產，也包括無形的資源，表現形式也從機械設備到軟件文檔等多種多樣。企業信息安全又有其特殊性。企業信息安全的安全屬性估價需要從資產的保密性、完整性和可用性三個方面來展開評估。由于企業各類資產的形式各異，資產的安全級別無法用通用的量化標準來記性評估，因此采用的方法為定性的CIA模糊集合方式來描述，如“資產安全級別”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊語言來描述，對應的論域為｛5、4、3、2、1｝。企業信息安全安全的保密性、完整性和可用性三個方面的屬性都可以用上述模糊語言來定性描述，綜合上述三類安全屬性的公式為：。上式中分別為企業信息安全的保密性、完整性和可用性的賦值，取值為1,2…5，為綜合評定指標。筆者這里提供一些評價指標的選取標準：

（1）信息保密性的評定標準

①很高：這類級別的企業信息包含企業的核心關鍵決策信息，信息泄漏將嚴重影響企業的利益；②高：這類級別的企業信息泄露會對到企業經濟效益造成明顯損害；③中等：企業的一般性的經營、決策信息，泄露對企業不利；④低：這類企業信息一般指企業內部部門的局部信息；⑤較低：企業可對外界公布的信息類型。

（2）信息完整性的評定標準

①很高：這類級別的企業信息包含企業的核心關鍵決策信息，其完整性直接決定企業的業務完整性，一旦缺失就無法彌補；②高：這類信息修改必須經過高層授權，一旦缺失將嚴重影響業務，一旦缺失彌補難度很大；③中等：企業的一般性的經營、決策信息，其修改需授權，缺失后可彌補；④低：這類企業信息一般指企業內部部門的局部信息，缺失后對企業運行影響較小，易于彌補；⑤較低：企業可對外界公布的信息類型，缺失后對企業運行無明顯影響。

（3）信息可用性的評定標準

①很高：這類信息具有最重要的實用性，企業的運作必須依照運行的信息類型；②高：這類信息的可用性價值較高，企業運作對其依賴性較高；③中等：這類信息屬于可部分不可用的類型，部分不可用不影響企業的正常運作；④低：這類企業信息一般指企業內部部門的局部信息，信息不可用不會造成明顯影響；⑤較低：這類信息使用性不高，信息不可用的影響可以忽略。

2.2 企業信息安全威脅程度的量化方法

企業信息安全的威脅通常定義為潛在的破壞性因素或突發事件。威脅是客觀存在的，既可能來自于系統的用戶（合法用戶或非法入侵）操作，也可能來自于系統的物理組件的損壞。這兩類威脅中最大也最常見的是系統用戶在操作方面的失誤、非法用戶利用系統漏洞來竊取企業機密信息，以及計算機病毒對信息系統的侵襲等。但這些事件都不易量化，在做風險評估時需要依賴專家經驗，對各種潛在的威脅因素給出一定的概率值，對各類威脅因素可按照和上節類似的方法，用形如：“威脅程度”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊集合來表達，對應于相應的論域｛5、4、3、2、1｝。建議評定標準如下：①很高：風險事件發生的頻率很高，或對企業信息安全具有明顯的威脅，但又很難避免的情形；②高：風險事件發生的可能性較大或有發生先例；③中等：風險事件有可能發生，但尚未實際發生過的情形；④較低：風險事件發生的可能性較小，通常情況下不會發生；⑤很低：幾乎不可能發生的風險事件類型；

2.3 信息系統脆弱性的量化方法

信息系統脆弱性的評估和系統面臨的威脅是緊密相關的，所有的實際威脅都是利用系統安全的薄弱環節來發揮破壞性作用的，因此信息系統的脆弱性和威脅存點對點或單點對多點的關系。為便于計算，也采用和衡量系統威脅程度時相同的表示方法，“系統脆弱性”=｛“很高”、“高”、“中等”、“低”、“較低”｝，對應于相應的論域｛5、4、3、2、1｝。建議評定標準為：①很高：這類評定往往要基于企業信息系統存在明顯而易于攻擊的技術漏洞或者是管理規范上的缺陷，極易被非法使用的情形；②高：企業信息系統存在一定的技術漏洞或管理規范上的缺陷，容易被攻擊和利用；③中等：企業信息系統存在不易被發現（下轉第125頁）（上接第121頁）的技術漏洞，或必須經過人為非法操作才能被攻擊的管理規范上的漏洞；④低：企業信息系統不存在明顯的技術漏洞，或企業信息管理制度較為完善，不易被攻擊利用；⑤較低：企業信息系統技術較為完善，管理制度也較為合理，被攻擊點可能性很小。

2.4 信息安全的風險計算

按照風險的定義，風險包括風險事件發生的可能性和相應的后果。在企業信息系統中，各組成部分發生風險事件后的后果是不一樣的，其嚴重程度也存在差異。因此在風險計算時需要明確兩個方面的內容，一是風險的計算方式，二是對風險計算量化數值的評價。各因素風險值的計算按：來計算，即按資產價值、資產脆弱性和資產面臨的威脅性的乘積來衡量某種信息資產的風險值。上述幾類因素的取值按照評價論域中的取值來作為乘積因子。在計算出風險值之后，還需要建立起以風險值為基礎的風險評價體系。

由前文的分析可見，風險的定量估計是一個由三類風險因素的線性乘積得出的。每一類信息的最高等級論域數值為5，最低為1，因此組合情況下風險值的最高值為125，最低值為1。由此可建立其與之對應的風險定量評價體系。筆者建議采用與之對應的5級評定方式：①很高：風險值估計范圍在100～125之間，表明企業信息系統存在很高的安全風險，發生信息泄露的可能性非常高；②高：風險估計值在75～100之間，表明企業信息系統存在較大的安全風險，發生信息泄露的可能性較大；③中等：風險估計值在50～75之間，企業信息系統的安全風險一般，經過審查后能夠避免風險事件；④低：風險估計值在25～50之間，企業信息系統發生信息泄露的可能性很小；⑤很低：風險估計值在0～25之間，企業信息系統比較安全，但需要定期維護。

3.結語

企業信息系統安全管理關系到企業的內部運營數據的安全，是需要引起高度重視的問題。本文將企業信息安全評估中幾類常用的信息類型進行了風險量化評估，給出了以線性乘積為基礎的風險量化方法，最后給出了分等級的企業信息安全綜合評定。

參考文獻

[1]沈昌樣.關于強化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.

[2]沈昌祥,馬東平,等.信息安全工程學導論[M].電子工業出版社,2009,9.

[3]熊松錳,張志平.構建網絡信息的安全防護體系[J].情報學報,2011,22.

企業信息安全評估篇2

1．1信息安全管理有效性測量目的

信息安全管理有效性測量的根本目的，是評估企業信息安全管理的真實水平。在企業建立信息系統時，通常都會依據企業的發展需要、組織結構、信息組成、利益關系、安全標準等方面的要求，來設定企業信息系統的安全管理目標，構筑相應的安全管理體系和措施。對企業信息安全管理有效性進行測量，不僅可以對企業信息安全管理目標實現程度進行科學準確的評估，還能準確地評測企業信息安全管理系統的效能，作為企業信息安全管理考核的依據。實際上，如果不進行有效性測量，只依賴于信息系統安全測量標準來評估企業信息系統安全管理水平，將會造成極大的誤差，甚至產生很多安全漏洞，使企業實際信息安全管理水平與所需達到的水平相差甚遠，如果僅依賴于表面的數據將使這些漏洞和不足無法得到有效的解決，造成巨大的信息安全隱患。通過有效性測量，能更好地找出企業信息安全管理需要改進的地方，充分反應企業信息安全管理存在的問題和嚴重程度，為企業信息安全管理工作的改進提供依據。

1．2信息安全管理有效性測量指標

信息安全管理不僅是國內企業的需要，也是國外企業的需要，相對來說，國外在信息安全管理方面的水平更高。目前，在國際上普遍采用ISO／IEC27002作為信息安全管理標準，以此來實施信息安全管理，這一標準是當前最權威和最科學的信息安全管理標準，在這一標準中從信息安全方針、組織、管理等方面，提出了100余個控制措施，信息安全管理中可以根據企業的需要選擇相應的措施進行信息安全管理，該標準所提出的措施，基本覆蓋了企業信息安全管理的各個方面。在構建信息安全管理有效性測量指標體系時，也可以按照ISO／IEC27002標準進行，將測量內容分解為管理控制、運行控制、技術控制3個方面，并根據企業實際情況采用具有代表性、可測量的指標建立起測量指標集，對這些指標實施情況進行采集分析，再通過專家咨詢評測最終得到企業信息安全管理有效性的具體指標，評估企業信息安全達到的水平，找出企業信息安全管理的不足。

2測量方法和指標計算

2．1測量方法

在信息安全管理有效性測量中，應當對指標進行量化處理，最終形成量化測量結果。不同的指標，所采用的測量方法并不相同，通常采用的測量方法有風險分析、風險評估、問卷調查、個人訪談、內部審核、報表統計、滲透性測試、內外對比等方法。對不同的指標采用相應的測量方法進行測量后，得到各指標的基本測度結果，再運用不同的技術對所獲得的基本測度結果進行取值，賦予不同指標以不同的安全風險權重，最終算出企業信息安全管理有效性水平。例如在信息安全管理控制方面，需要對信息系統安全性，信息處理、信息傳輸、信息存儲安全性進行評價，并評估這些風險可能對企業資產造成的威脅以及威脅程度，結合安全問題所涉及的資產價值來判斷可能造成的影響，以評估信息安全管理控制的有效性，這其中，就需要將信息安全管理控制分解為多個指標進行測量，并根據對資產價值的影響能力賦予不同的權重和取值，才能最終確定出企業信息安全管理控制方面的有效性水平。再如在信息安全管理運行有效性方面，需要對人員安全、安全意識、環境安全、業務聯系、事件管理等進行有效性評估，其中人員安全包括各個人員的安全評級和安全管理情況，安全意識包括企業安全教育、人員安全技術水平等，環境安全包括物理安全環境、技術安全環境等。

2．2指標計算

在信息安全管理有效性測量中，各指標的在安全管理有效性中的權重并不相同，因此信息安全管理有效性測量結果，不是對各指標的測量結果進行簡單相加，而是要對不同的指標賦予不同的權重，構建起評測矩陣，并充分考慮各指標之間的聯系賦值，如極端重要、強烈重要、明顯重要、稍微重要等，根據不同指標的權重進行重要性排序后，對其特征向量進行求解，確定各指標在企業信息安全管理中的影響能力。各指標的權重，并沒有統一的標準，也不可能簡單地借鑒其他企業的測量權重，根據不同企業有不同的特點，在進行測量時，應當有相當數量的專家參與權重賦值，在消除偶然因素的影響后建立起符合企業特點的指標權重體系，得出較為科學合理的指標權重，這樣才能使最重的測量結果更為科學合理。

3結束語

信息安全問題關系著企業的競爭發展，在企業信息安全管理中，并不是構建了先進的硬件平臺和軟件系統就能切實提高企業信息安全管理水平，還需要保證信息安全管理的有效性，因此信息安全管理有效性測量極為重要。不過當前我國信息安全管理有效性測量才剛剛起步，雖然有很多先進的國內外經驗可供借鑒，但信息安全管理有效性測量有極大的個性化特點，需要根據不同企業采用不同的測量方法，建立起不同的指標體系，運用不同的權重賦值進行有效性評估，這樣才能提高測量的科學性和合理性，降低測量誤差。

企業信息安全評估篇3

關鍵詞：信息安全；安全生產風險管理體系；風險評估；風險控制

0引言

隨著信息化建設的飛速發展和普及，各行各業的網絡化、信息化水平顯著提高，無論是電網安全穩定經濟運行還是企業管理業務運轉都離不開信息化系統的支持，在信息化帶來高效率的同時不得不考慮網絡化帶來的安全問題。企業信息安全管理的有效性，關系企業或國家機密，一旦面臨威脅和遭遇攻擊，就會給企業或國家帶來嚴重的損失[1]。目前在我國電力企業信息安全管理領域，信息安全風險管理依然研究不夠深入，較多采取的基于問題的管理方式，遭到攻擊或同類行業遭到攻擊后，進行系統排查，查找系統漏洞，然后堵住漏洞，這種被動式的管理方式為企業的安全生產埋下較大安全隱患。安全是企業的生命線，只有事前做好各類防范和應急處置，管控風險是實現安全生產的重要保證，在電力企業信息化建設過程中建立一套基于風險的信息安全管理體系，降低信息安全事件發生概率是現代電力企業需要深入研究的問題[2]。

1風險管理體系概述

1.1安全生產風險管理體系概念

安全生產風險管理體系是南方電網借鑒國際先進安全管理理念的基礎上，基于電網實際情況提出的了一種安全生產風險管理思路和方法，以風險管控為主線、以“計劃-實施-檢查-改進（PDCA）“閉環管理為原則，系統地提出了安全生產管理的具體內容，指明了風險管控的目標、規范要求和管理途徑，為南方電網安全生產管理和作業提出了具體的工作指引[3]。安全生產風險管理體系核心思想為“基于風險、系統性、規范性、持續改進”：基于風險是指企業應基于實際面臨的風險確定核心業務和基于各類風險管控脈絡及影響業務目的性的風險因素業務流程節點的設計；系統性是指企業在設計管理系統框架及業務流程節點時，保證流程節點的充分性并遵循PDCA的閉環管理模式，理清業務與業務之間的輸入、輸出關系；規范性是指企業應明確各項工作的執行標準，確保執行標準的唯一性、科學性，同時企業各部門、生產單位、班組能夠按照標準開展工作，保證企業管理的統一性；持續改進是指企業應建立完善的問題發現機制及問題改進機制，能夠及時發現系統運行過程中存在的問題并進行改進，同時不斷地完善企業管理系統的策劃，實現管理系統的持續改進。自2007年建立以來，全網范圍內風險管控方法得到有效應用，安全生產管理基礎得到進一步夯實，主要安全生產指標持續向好。

1.2基于風險的信息安全管理框架

南方電網安全生產風險管理體系，為電網企業提供了非常有效的一套安全生產管理方法，其基于風險的管理思路遵循國際通用的“危害識別、風險評估、風險控制、風險回顧”風險管控模型，強調事前風險分析和評估、事中落實管控措施、事后總結回顧和改進，目前主要應用在電網、設備、作業和職業健康風險管控上，并取得了不錯的成績，也為信息安全管理帶來了有益的啟示，即可以通過引入該方法和結合業務實踐建立基于風險的信息安全管理框架，探索信息安全風險管理長效機制[4]。

2基于風險的信息安全風險管理體系建立的重要環節

2.1確定風險評估的目標

從管理目的出發，是安全生產風險管理體系的一個重要思想，以目的為導向，分析在現狀下實現目的存在的障礙因素，也就是管理關鍵流程節點，從而確定業務的管理脈絡，實現以基于風險的管理思路，最終達到業務工作的系統化和規范化。信息安全管理目標就是要實現信息系統的基本安全特性，并達到所需要的保障級別[3]。信息安全的基本安全屬性包括資產的保密性、完整性和可用性，資產的三性對于維持現金流動、企業效益、法律法規要求等是非常必要的。企業的風險評估目標來源于企業中長期發展戰略目標的需求，滿足相關方的要求、滿足法律法規的要求等方面[4]。

2.2風險識別

風險識別是指在運用各種方法全面、系統地識別出在信息安全管理中的風險，找出潛在的原因。一個組織的信息系統和網絡可能是嚴重威脅的目標，同時，由于企業信息化水平的逐步提高，對于信息系統和服務技術的依賴日益增加，企業可能出現更多的脆弱性[5]。在信息安全管理中主要從資產、威脅、脆弱性三個角度識別風險。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產的三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產安全屬性的達成程度產生影響[6]。信息安全管理的最終目標是在滿足企業中長期發展對信息化水平要求的同時，確保信息安全的三性，降低信息安全事故事件發生的概率。影響該目標實現的因素有危害因素識別是否全面、風險評估結果是否準確、措施是否有效，因此選擇合適的風險評估辦法和模型，對信息安全管理來說至關重要。

2.3信息安全風險評估

2.3.1信息安全風險評估模型

風險評估是在確定影響信息安全風險評估的三個維度的基礎上，選擇定性或者定量的風險評估方法，對識別出的風險發生的可能性或可能導致的后果進行衡量，并根據評估結果劃分風險等級，然后建立分層分級的管控措施。在完成了資產識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險值=R（A,T,V）=R(L(T,V)，F(A,V))。

2.3.2信息安全風險評估實施與運行

（1）信息安全風險概述通俗來講，風險概述就是風險的管理方案，基于風險評估的結果，制定年度風險管控重點工作安排，為年度安全生產工作計劃提供方向。概述報告編制時，應充分考慮風險數據的輸出應用，為涉及相關單位（部門）的管理提供輸入。風險概述報告至少包含以下信息：風險描述、風險范疇、風險細分種類、風險等級和風險控制措施，并按風險等級排序。（2）風險控制風險控制是在風險評估之后，控制措施建議應綜合考慮風險控制成本與風險造成的影響，結合法律法規、國家、行業、上級主管單位和公司有關政策要求以及當前的重點任務統籌考慮選擇合適的風險控制措施。風險控制方法一般按照以下順序進行選擇：消除/終止、替代、轉移、工程、隔離/閉鎖、行政管理、個人防護等。總的來說控制措施從管理措施和技術措施兩個方面提出，優先考慮技術措施。屬于組織結構不完善的，建立信息安全組織體系。屬于管理措施的融入管理辦法，編制各層次的信息安全管理體系文件，包括信息安全管理制度、人員安全管理制度、信息系統項目建設管理制度、信息系統運維管理制度，明確管理要求；屬于物理安全隱患的，加強機房、門控、安保系統和隊伍建設；屬于信息系統保護的，納入信息安全項目建設計劃，提高防病毒、漏洞補丁、安全配置、安全認證、訪問控制、數據加密、入侵檢測等保護能力；屬于作業過程執行的措施，將信息安全管控要求納入作業指導書、“兩票”等作業標準，減少人的因素引發的信息安全事故事件；屬于人員技能和意識的納入教育培訓計劃；屬于信息安全應急響應的建立信息安全應急預案或現場處置方案，并按照演練計劃開展應急演練[7]。

2.4風險監測

風險控制措施制定后需要對措施的有效性進行評估，發布年度風險預控措施計劃表。風險控制措施應明確責任單位（部門）、責任人、完成時間。在制定風險控制措施時，應避免控制措施帶來新的風險。結合年度風險預控措施表和變化識別內容，制定月度風險監督計劃，并明確各項預控措施執行情況的各級監督部門，確保風險措施按計劃落實執行。

2.5管理回顧，持續改進

PDCA閉環管理是安全生產風險管理體系核心之一，通過定期開展管理回顧，審視信息安全風險管控的有效性，進而形成長效機制持續改進。在回顧過程中注意以下幾個方面：（1）識別變化，優化管控手段企業所面臨的內部和外部環境不是一成不變的，當變化產生時需要及時識別也調整管控措施。當法律法規變化時需要及時對法律法規風險進行識別和融入；當國際、國內信息安全態勢發生變化、信息安全漏洞不斷涌現時及時更新防護技術手段、優化管理標準、更新應急處置方案，并保存變化過程的相關資料。（2）建立糾正與預防系統安全生產風險管理體系核心思想之一就是持續改進，通過建立問題發現機制和問題改進機制最終實現企業的管理水平持續提升[8]。在信息安全管理方面，糾正與預防的來源包括信息安全防護系統檢測情況、系統運行分析統計、外部信息安全形勢、檢查發現問題等，并進行根本原因分析，制定糾正或預防措施，通過評估措施的有效性，進行統計輸出應用，輸出應用到信息安全管理制度、能力與意識提升等各個環節，進而確保企業的信息安全管理水平得到持續提升。

3結語

企業信息安全評估篇4

一、運用系統的思想和方法，查找信息安全管理的“短扳”

隨著企業信息化的快速發展，信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網安全管理一些傳統做法，沒有體現信息化特點和要求，越來越不適應信息系統的快速發展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數據和文檔、服務、無形資產等重要對象，對外來人員也缺乏有效的識別管理；管理制度不夠系統。以前雖然制訂了較多的制度和標準，當信息化發展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產生安全管理的盲區，有些制度內容重復、交叉、不一致，有些制度不切實際，往往束之高閣；風險評估不夠科學。以往的信息風險評估不夠系統，主觀性過強，缺乏綜合平衡，抓不住重點，或過度保護，或產生管理死角，事后控制多，事前預控少，不能涵蓋信息系統的生命周期。

上述情形是企業在信息化建設中普遍感覺到的問題。隨著科學技術的進步，企業信息運行管理模式也發生了巨大的變化，為企業采用先進管理方式、建立信息安全管理體系打下了扎實的基礎。為此，嘉興電力局根據國際上信息安全管理的最佳實踐，結合供電企業的實際，從信息安全風險評估管理入手，貫徹ISO/IEC27001：**信息安全管理標準，建立了信息安全管理體系。通過體系有效運作，達到了供電企業信息安全管理“預控、能控、可控、在控”的目的。

二、從資產識別入手，搞好信息安全風險評估

按《信息安全風險評估控制程序》，對所有的資產進行了列表識別，并識別了資產的所有者。這些資產包括硬件與設施、軟件與系統、數據與文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規符合性要求進行了量化賦值。在風險評估中，共識別資產2810項，其中確定的重要資產總數為312項，形成了《重要資產清單》。

圖1.《重要信息資產按部門分布圖》

對重要的信息資產，由資產的所有者（歸口管理部門）對其可能遭受的威脅及自身的薄弱點進行識別，并對威脅利用薄弱點發生安全事件的可能性以及潛在影響進行了賦值分析，確定風險等級和可接受程度，形成了《重要資產風險評估表》。針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判定措施失效發生的可能性，計算風險等級，判斷風險為可接受的還是需要處理的。根據風險評估的結果，形成風險處理計劃。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用適當的措施，確定是接受風險、避免風險，還是轉移風險。

嘉興電力局經過風險評估，確定了不可接受風險84項，其中硬件和設施52項，軟件和系統0項，文檔和數據8項，服務0項，人力資源24項。

根據風險評估的結果，對可接受風險，保持原有的控制措施，同時按ISO/IEC17799：**《信息技術-安全技術-信息安全管理實施細則》和系統應用的要求，對控制措施進行完善。針對不可接受風險，由各部門制定了相應的安全控制措施。制訂控制措施主要考慮了風險評估的結果、管理與技術上的可行性、法律法規的要求，以期達到風險降低的目的?？刂拼胧┑膶嵤谋苊怙L險、降低風險、轉移風險等方面，將風險降低到可接受的水平。

圖2.《各類不可接受風險按系統分布圖》。

三、按照ISO標準要求，建立信息安全管理體系

嘉興電力局在涉及生產、經營、服務和日常管理活動的信息系統，按ISO/IEC27001：**《信息技術-安全技術-信息安全管理體系要求》規定，參照ISO/IEC17799：**《信息技術-安全技術-信息安全管理實施細則》，建立信息安全管理體系，簡稱ISMS。確定信息安全管理體系覆蓋范圍，主要是根據業務特征、組織結構、地理位置、資產分布情況，涉及電力生產、營銷、服務和日常管理的40個重要信息系統。信息安全管理的方針是：“全面、完整、務實、有效。”

為實現信息安全管理體系方針，嘉興電力局在各層次建立完整的信息安全管理組織機構，確定信息安全目標和控制措施，明確信息安全的管理職責；識別并滿足適用法律、法規和相關方信息安全要求；定期進行信息安全風險評估，采取糾正預防措施，保證體系的持續有效性；采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現信息共享；對全體員工進行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；制定并保持完善的業務連續性計劃，實現可持續發展。按照信息安全管理方針的要求，制訂的信息安全管理目標是：2級以上信息安全事件為0；不發生信息系統的中斷、數據的丟失、敏感信息的泄密；不發生導致供電中斷的信息事故；減少有關的法律風險。

嘉興電力局根據風險評估的結果、企業的系統現狀和管理現狀，按照ISO/IEC27001：**標準要求，整合原有的企業信息安全管理標準、規章制度，形成了科學、嚴密的信息安全管理體系文件框架，包括信息安全管理手冊；《信息安全風險評估管理程序》、《業務持續性管理程序》等53個程序文件，制定了16個支撐性作業文件。

四、運用過程方法，實施信息安全管理體系

在信息安全管理過程中，重點是抓好人員安全、風險評估、信息安全事件、保持業務持續性等重要環節，采取明確職責、動態檢查、嚴格考核等措施，使信息安全走上常態管理之路。

圖3：信息安全管理體系實施過程

重視信息系統安全管理。因為信息系統支撐著企業的各項業務，信息安全管理體系實施涵蓋信息系統的生命周期，表現在信息系統的軟（硬）件購置、設備安裝、軟件開發和系統測試、上線、系統（權限）變更等方面，嚴格執行體系的相關控制程序。

強化人員安全管理。在勞動合同、崗位說明書中，明確員工信息安全職責。特殊崗位的人員規定特別的安全責任，對信息關鍵崗位實行備案制度。對崗位調動或離職人員，及時調整安全職責和權限。定期對員工進行信息安全教育和技能培訓、比武、考試。

重視相關方管理。對軟硬件供應商、服務商、保衛、消防、保潔等人員，明確安全要求和安全職責。簽訂保密協議、辦理入網申請、進行入網教育等。識別客戶、合作方、相關方、法律法規對信息安全的要求，采取措施，保證滿足安全要求。

企業信息安全評估篇5

論文摘要:文章首先分析了信息安全外包存在的風險，根據風險提出信息安全外包的管理框架，并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風險

1.1信任風險

企業是否能與信息安全服務的外包商建立良好的工作和信任關系，仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息，并全面了解其企業和系統的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業造成巨大的損害。并且，如若企業無法信任外包商，不對外包商提供一些關鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導致某些環節的失效，這也會對服務質量造成影響。因此，信任是雙方合作的基礎，也是很大程度上風險規避的重點內容。

1.2依賴風險

企業很容易對某個信息安全服務的外包商產生依賴性，并受其商業變化、商業伙伴和其他企業的影響，恰當的風險緩釋方法是將安全服務外包給多個服務外包商，但相應地會加大支出并造成管理上的困難，企業將失去三種靈活性:第一種是短期靈活性，即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力，即在短期到中期的事件范圍內所需的靈活性，這是一種以新的方式處理變革而再造業務流程和戰略的能力，再造能力即包括了信息技術;第三種靈活性就是進化性，其本質是中期到長期的靈活性，它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。

1.3所有權風險

不管外包商提供服務的范圍如何，企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責，并且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到，應該將信息安全作為其首要責任，并進行安全培訓課程，增強常規企業的安全意識。

1.4共享環境風臉

信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險，因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器)，這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。

1.5實施過程風險

啟動一個可管理的安全服務關系可能引起企業到服務外包商，或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產的復雜過渡，這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。

1.6合作關系失敗將導致的風險

如果企業和服務商的合作關系失敗，企業將面臨極大的風險。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的，而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗，如同其他商業關系一樣，它需要給予足夠的重視、關注，同時還需要合作關系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業實施和管理外包活動，協調與外包商的關系，最大可能降低外包風險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分，分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準，然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程。之后，雙方共同制定適合企業的信息安全外包的控制方法，協調優化企業的信息安全相關部門的企業結構，同時加強管理與外包商的關系。

3信息安全外包風險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業內，指導如何對資產，包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義，定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明，以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。

3.2選擇信息安全管理的標準

信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:

(1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分，分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規范的評估，識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業獨立評估方評估權限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節，以減少任何對可用性，服務程度，客戶滿意度等的影響。在評估執行后的一段特殊時間內，與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存，企業將這些文檔作為評估的重要工具，對外包商的服務績效進行考核。評估結束后，對事件解決方案和優先級的檢查都將記錄在相應的文件中，以便今后雙方在服務和信息安全管理上進行改進。

3.4制定信息安全外包服務的控制規則

依照信息安全外包服務的控制規則，主要分為三部分內容:第一部分定義了服務規則的框架，主要闡明信息安全服務要如何執行，執行的通用標準和量度，服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求，這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求，服務范圍等方面的內容;第三部分是安全要求，包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。

3.5信息安全外包的企業結構管理具體的優化方案如下:

(1)首席安全官:CSO是公司的高層安全執行者，他需要直接向高層執行者進行工作匯報，主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況，并確定安全工作的標準和主動性，包括信息技術、人力資源、通信、法律、設備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術性服務。

(3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官，客戶企業的CIO和CSO，外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更，新的技術手段的應用，服務優先等級的更換以及服務的財政問題等，咨詢委員會的成員包括企業內部的TI’人員和安全專員，還有財務部門、人力資源部門、業務部門的相關人員，以及外包商的具體項目的負責人。

(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務交換中心:服務交換中心由雙方人員組成，其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門，發掘出企業中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業內部人員，包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后，或者，是當CSO發布了關于信息安全的企業改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經過學習討論后，繼而將其發布到各個業務部門。

(9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。

3.6管理與外包商的關系

企業信息安全評估篇6

1、引言

隨著信息化建設的發展，信息安全越來越多的受到人們的重視，企業信息安全重點面臨的問題主要表現在[1]：1)網絡受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業的正常業務無法開展或相關重要數據被盜取;2)網站受到黑客攻擊，由于部分掌握網絡技術的不法人員查詢到破解網站所存在的漏洞，加以利用并篡改網站信息及獲取網站管理權限，使得網站陷入癱瘓;3)信息發布的監管不利產生不良的影響，通常情況下信息發布沒有主管部門負責審核導致監管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網站上，造成不良影響;4)計算機病毒的危害，相關系統不及時更新補丁和升級，受到病毒入侵并加以利用，篡改應用系統信息或獲取管理權限，使得應用系統丟失重要信息。

當前，有關信息系統的安全評價雖然存在著多種多樣的具體實踐方式，但在目前還沒有形成系統化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數學，而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數結合，建立了安全評價體系，并運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出發，如技術、管理、過程、人員等，著重于評估網絡系統安全某一方面的實踐規范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術水平和對網絡系統的了解程度，缺乏統一的、系統化的安全評估框架，很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。

大型企業信息安全管理體系的研究，就是為了尋找一個科學、合理的管理體系，并根據該體系和方法對大型企業的信息安全狀況和水平進行評價，對信息安全管理績效進行考核。

2、大型企業信息安全管理體系的內涵

通過管理體系的應用，將對大型企業信息安全產生非常重要的作用。一是可以對企業信息安全的水平做出客觀的反應，認識企業信息安全存在的不足之處，發揮考評體系的指導作用，引導企業“信息安全”工作健康科學發展;二是可以為企業信息安全的建設指明方向，為信息安全的發展提供有力支撐;三是可以幫助企業管理者建立起一套科學的信息安全管理系統，有效控制信息化活動的進程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導和規范企業的信息化建設，指導企業科學發展具有重要的意義。

3、大型企業信息安全管理體系的主要做法

為了大型企業信息安全管理體系的建立，提出了管理體系的目標：對于信息安全方面出現的問題，達到防范目的;對于信息安全工作進行查漏補缺，加強管理;通過評估體系的考核，落實相關信息安全文件、推進信息安全工作，為企業信息安全的建設指明方向，同時注重管理體系整體的時效性，根據信息安全發展的不同階段進行及時更新。

1) 建立大型企業信息安全體系

信息安全體系總體設計。信息安全體系設計共分為三級，包含9個一級指標，14個二級指標，27個三級指標。一級指標和二級指標為共性指標，三級指標為數據采集項。一級指標包括：網絡安全管理、環境安全管理、應用系統安全管理、數據安全管理、終端安全管理、操作安全管理、網絡信息發布安全、移動信息化安全、服務器掃描情況。一級和二級指標結構圖如下：

2)信息安全考評指標的權重設計

指標權重理論思路。具體權重根據德爾菲法[4]、層次分析法，結合政策導向確定。

管理體系的指標權重確定方法設計過程中，選取兩組技術、管理等方面的專家，其中一組專家根據各指標在企業信息化中的重要程度，確定各指標的相對重要性，采用層次分析法確定各指標的權重。另外一組專家根據各指標在企業信息化中的重要程度，對各指標按百分制進行賦值，確定各指標的權重。綜合兩組專家的意見，初步確定各指標的權重，再組織專家研討會，最終確定各指標的權重。

企業信息安全考評指標總分計算方法：

I=Σ(Pi*Wi) (1)

I表示指標體系的總得分;Pi表示第i個指標的得分，各指標得滿分都是100分;Wi表示第i個指標的權重，所有指標權重的和為100%。

3)建設大型企業信息化評價管理系統

為了實施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎，研發包括信息安全在內的大型企業信息化評價管理系統。通過使用該系統，將減輕信息化管理部門的負擔，填報和匯總數據的效率顯著提高，最為突出的是以上報數據為基礎，可以自動、實時地形成各種統計、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統計工作，大大減輕了信息化管理部門的工作強度，增加了信息化管理部門對新情況快速反應能力。

系統整體架構由數據庫層、框架服務層、應用邏輯層、界面表現層組成，系統部署了tomcat下運行的I@Report和BI@Report作為框架服務層，并在此基礎上開發了業務系統。

系統主要實現了如下功能：

編碼同步、基層權限管理、評價初始化、基層初評、數據提交、部門權限管理(含單位、指標項)、管理部門復評、信息稽核、數據計算、統計管理、查詢管理、決策模型。

建立統一的數據報送平臺，提高企業信息整合水平。

建立在線交流及公告發布平臺。

系統根據建立的數學模型進行綜合分析，可自動、實時地形成各種統計分析圖表、報告等，例如：信息化評級、信息化水平評測報告。

4、結束語

通過大型企業信息安全管理體系的實施，使企業信息化水平評估體系更加完善，在考評信息化建設水平的同時，又對信息安全水平等級有所提升。

企業信息安全評估篇7

(1)IT治理風險。IT治理風險的宏觀體現是最高管理層對信息化理解的不確定性、以及企業領導力影響的不確定性;微觀體現是缺乏制度化與標準化的約束，缺乏部門之間及流程之間協調、溝通的機制，造成IT系統與業務需求的脫離，以及IT系統和企業信息資源間的孤立。

(2)遵從性風險。指企業內部IT策略與外部法律法規的遵從(Compliance)所導致的風險。伴隨信息技術的發展，國內外出臺大量法律法規加強了對信息系統的監管。例如，2002年美國國會的《薩班斯—奧克斯利法案》雖然沒有直接明確對信息系統的要求，但據統計，企業在實施符合法案要求的工作中，信息系統方面的工作量占比超過40%;2006年中國銀監會《電子銀行業務管理辦法》和《電子銀行安全評估指引》，也直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統審計的要求。

(3)信息安全風險。企業信息系統不斷開放和復雜，使得信息安全面臨來自內外部的嚴峻挑戰。針對企業信息系統的攻擊方式簡單易學、攻擊對象身份隱匿，造成企業信息安全風險極易轉化為現實的業務威脅，如支持員工移動辦公給企業資產安全性和可用性帶來的壓力倍增，許多敏感機密信息被輕易泄露。

(4)可用性風險?？捎眯燥L險主要來自三個方面，一是IT平臺系統自身漏洞導致的系統停機事件越發難以掌控;二是由于事件管理、變更管理、配置管理、連續性計劃等IT服務管理流程缺失或不到位，導致IT系統不可用;三是來自自然的災害威脅著IT系統的可用性。

(5)績效風險。若IT投資行為不能帶來合理的回報，如規劃不當、控制不嚴等，將使組織面臨巨大財務風險。同時，如果對IT的投資績效和運行績效不能進行有效測量，就不能有效地發現存在的問題，并采取針對性的改進措施。隨著信息系統日益成為企業經營成功的核心，且貫穿在完整的流程過程中，企業業務和支撐業務的信息系統愈加無法分割，形成有機的整體。因此，IT風險帶來的挑戰不僅影響到信息系統本身，也同時會影響到業務的穩定運行及發展，更有可能影響到外部的業務客戶。在應對這些IT風險時，傳統的方式大多是采用事后反應式的控制措施，使得技術人員疲于應付各種層出不窮的風險，且在面對制度、流程、人員行為等方面帶來的風險時，傳統的控制方法存在明顯不足，而降低企業IT風險的關鍵是需要有一個主動、科學的風險管理體系。

2企業IT風險管理及其標準指南

企業IT風險管理是圍繞企業信息化戰略目標，通過在信息系統的規劃、開發、運行、維護、監控與評價的各個階段中降低企業風險的科學化管理流程，包括風險管理的策略制定、風險的識別、風險的評估、風險的處置等環節，以達到企業信息化可持續發展的目標。一個科學的IT風險管理體系是一個具有前瞻性、全局性的控制機制，能綜合防范和應對IT治理、法規遵從、系統可用、信息安全、IT外包、業務連續性、IT績效等諸多方面的企業風險，并能使企業IT戰略與企業綜合戰略相融合，以實現有效益、可持續的信息化發展。信息社會環境下，無論何種規模、什么類型的企業，都需要面臨圍繞信息系統制定一套管理體系和控制指南，有效地管理企業面臨的各種各樣的風險，并隨著業務環境的變化和新技術的發展及時更新。

在此方面，國內外已經有一些較為成熟的企業IT風險管理的標準或指南。例如美國反虛假財務報告委員會(COSO)于2004年頒布的《COSO企業風險管理框架》，此框架要求企業管理者以風險組合的觀點看待企業風險，對包括IT風險在內的所有風險進行識別，并采取措施使企業所承擔的風險在風險容納量(RiskAppetite)的范圍內。而美國信息系統審計與控制協會的COBIT標準自1996年誕生以來已經更新到了第四版，已成為全球通用的信息系統審計標準，該標準每一次更新都在不斷強化IT風險控制的目標內容，為企業信息系統安全審計提出了具體指導。此外，國際知名的信息安全標準也都提出了各自的IT風險管理控制框架，包括ITIL(Infor-mationTechnologyInfrastructureLibrary，信息技術基礎架構庫)、ISO27001(信息安全管理使用規則)、CMMI(CapabilityMaturityModelIntegration，能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments，受控環境下的項目)等。

近年來，我國的信息化主管部門以及各行業也積極加強了企業風險管理。以金融業為例，2004年9月銀監會了《商業銀行內部控制評價試行辦法》，其中包括了對銀行計算機系統的IT風險控制要求;2009年銀監會出臺了《商業銀行信息科技風險管理指引》，2011年銀監會了《商業銀行業務連續性監管指引》。與此同時，其他行業監管部門也已經或計劃出臺類似的風險管理措施。上述標準或指南為企業IT風險管理提供了原則指導和對策框架，如何將這些原則性建議與企業自身的工作實際相結合，如何將IT風險管理融入常態化的企業管理機制，仍然是企業管理實踐中的難點。因此，本文以我國企業IT風險管理的先行行業———金融業的管理實踐為例，詳細探討企業IT風險管理的體系結構及其關系，并就企業IT風險管理的實施提出具體建議。

3企業IT風險管理的體系框架

企業IT風險管理框架通過對企業信息安全各個層面實際需求和風險的分析，引入恰當的安全控制措施，并且同信息系統審計相結合，從而保證企業信息資產的安全性、完整性和可用性。企業IT風險管理框架可分為風險治理、風險評估和風險應對三個主要的方面，并通過風險溝通和監控等手段將三方面有效結合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式，能確保企業IT風險管理始終保持在可持續發展的軌道上，并通過階段性地進行信息系統審計，以發現存在的偏離，及時調整到信息化的最終目標上來。

3.1風險治理

主要內容包括建立基于風險的信息科技決策、定義風險策略、建立風險組織和風險整合等內容。例如宣傳IT風險對于決策的價值、將IT風險考慮納入業務和IT決策、整合IT風險策略和業務風險策略等都屬于風險治理的內容。

3.2風險評估

主要內容包括風險識別、風險分析和風險維護等內容。諸多國際標準都提出了信息安全風險評估的標準，如ISO27001(信息安全管理體系規范)、ISO/IECTR13335(信息技術安全管理指南)、NISTSP800－30(信息技術系統風險管理指南)等，可作為企業實施風險評估實踐的參考。風險評估包括識別具體的風險管理對象、識別風險、根據模型進行評估、識別現有控制、分析剩余風險等步驟。風險維護就是對企業識別出的風險進行管理，跟蹤風險處置情況，更新風險清單，可通過創建和維護風險數據庫來實現。風險維護也是風險評估的重要內容，以實現對風險的持續管理和改進。

3.3風險應對

風險應對就是對已識別的風險進行評估后，制定并落實相應的措施和整體策略，使剩余風險處于可控的范圍。風險應對措施包括接受風險、轉移風險、避免風險和降低風險。風險應對活動包括確定風險處置方案、實施風險處置、響應和處理風險事件等。

3.險監控/溝通

風險監控/溝通是鏈接企業IT風險管理各要素的關鍵環節，是企業IT風險管理體系得以運轉的重要方面，包括建立和運行風險指標體系、IT風險內部監督體系、風險報告體系以及風險溝通渠道等。風險管理需要從管理層到普通員工的共同參與，這需要將風險直觀準確地展現、橫向和縱向的溝通、并持續進行監控。

4企業IT風險管理的實施步驟

為了推進企業IT風險管理體系的實施，本文在總結金融企業信息系統安全風險管理的實施過程，得出企業IT風險管理可行的實施步驟，具體包括識別管理對象、風險識別、風險分析評估、風險應對、風險監控/溝通等五大關鍵步驟。

4.1管理對象識別

明確風險管理對象是企業實施風險管理的首要步驟，本文提出風險地圖(RiskMap)的概念，即實現風險評估對象的可視化，明確識別出全部或特定領域的所有管理對象，只有保證企業風險地圖的全面性和準確性，才能準確識別并標示出IT風險所在的位置，從而進行有效的管理，一個全面的IT風險管理可從如下三大維度進行風險管理對象的識別:(1)從資產的角度進行識別，即對組成信息系統的系統、設備和數據等信息資產進行全面識別和統計，具體實施細則可參照ISO27001。(2)從管理領域的角度進行識別，如變更管理、事件管理、配置管理等，具體實施細則可參照COBIT。(3)從服務的角度進行識別，具體實施細可參照ISO20000執行。

4.2風險識別

風險識別是通過科學方法了解企業所面臨的IT風險，分析風險的來源、性質，并進行風險處置和風險管理。風險識別通常采用以下方法:(1)頭腦風暴;(2)德爾菲方法;(3)故障樹分析法，又稱分解分析法;(4)業務流程分析法;(5)情景分析法;(6)專家預測法，包括個人經驗法、專家會議等形式;(7)篩選、監測、診斷法;(8)資產財務狀況分析法。其中，德爾菲方法是最常用的IT風險分析方法之一，具體是指采用“背對背”的溝通方式征詢專家小組成員的預測意見，經過幾輪征詢，使專家小組的意見趨于集中，最后做出合理的預測結論，利用德爾菲法進行IT風險分析的具體流程如下。除了按照上述方法識別風險，也可直接從風險來源入手建立企業的IT風險清單，如行業公認的風險清單、監管要求、監管機構風險提示、過往事件、自我或外部風險評估結果、內部審計發現、管理層和內部員工在工作中的認識等。

4.3風險分析評估

IT風險分析評估是根據一定的評估模型，評估企業IT固有風險值、控制風險值，再根據固有風險值和控制風險值計算出剩余風險值。風險分析是IT風險管理中較難實施的一個環節，尤其是評估模型的制定，可以采用較易開展的定性方式，也可采用準確度較高的定量計算，也可以定量和定性綜合使用。以下是一種較為通用的風險分析模型和流程，可以對風險進行量化評估，具體流程包括:(1)計算固有風險值。從影響程度和發生可能性兩個維度進行評分，可得出固有風險分值。如下是風險評估的量化模型和公式。其中風險評分從影響程度和發生可能性兩方面進行計算，并給出影響程度和發生可能性兩方面的評估參數示例。(2)計算控制風險值。結合現有控制評估的結果，從設計、執行、補償性控制三個層面，參照衡量標準，最終確認控制風險分值。(3)計算剩余風險評估。在獲得每一個風險的固有風險等級和控制風險等級后，可根據矩陣獲得剩余風險等級值。

4.險應對

首選需要確定管理層的風險偏好等級。風險偏好是為了實現目標，企業在承擔風險的種類、大小等方面的基本態度。然后根據剩余風險評估結果及風險偏好，依據內外部需求，并結合實際情況，針對剩余風險提供恰當的控制改進建議，以將剩余風險降低到可接受的水平。風險處置措施包括接受風險、轉移風險、避免風險和降低風險。在風險處置計劃方面，一方面需要體現可操作性，如分為短期(半年)，中期(1年)，長期(2－3年)，同時也需要考慮多個維度，如組織架構、人員、制度流程和技術等。

4.5IT風險監控/溝通

風險指標是有效進行風險監控和溝通的重要手段。指標是一種可量化的、被事先認可的、用來反映組織目標實現程度的重要標識，是績效管理的有效手段。企業IT風險管理引入指標體系，可以促進整個活動的有效開展。指標的功能主要表現在以下三個方面:(1)在準備階段，可以清楚的反映目前企業的信息安全現狀，并為制定目標提供依據;(2)在實施過程中，階段性地反映進展情況;(3)便于各層人員把握活動的進展情況:使高層領導清晰地了解關鍵要素的進展和改進情況;使管理者集中精力于對活動中的重要和關鍵要素，及時診斷活動中出現的問題并采取措施。在實踐中，應針對關鍵的風險領域，即根據企業及領導層的風險偏好，建立可監控、可量化的IT關鍵風險指標。IT關鍵風險指標來源可包括內外部監管機構數據、自動監控平臺數據、IT風險檢查果、IT風險自報結果等。關鍵風險指標可分為風險指標(KRI)、控制指標(KCI)。以變更管理的風險管理指標，可設置緊急變更次數、變更失敗比例、變更導致的事件數量等，針對每個變更管理風險管理指標，制定出相應的控制指標，如預警閥值和容忍閥值。

5結語

本文從IT風險管理框架和風險評估實踐兩個方面，分別闡述了企業實施IT風險管理的重點和實施方法。通過直觀的圖表清晰地展現了企業IT風險管理體系的結構、關聯和主要活動。同時結合多年對信息安全風險管理理論和實踐的研究，較為全面和具體地提出了企業IT風險管理實施的步驟建議，旨在為企業提供切實可行的風險管理實踐參考。限于篇幅，本文無法對IT風險管理的所有環節進行深入探討，且不同的企業有不同的安全需求和偏好，因此在實施IT風險管理的過程中還需根據自身的實際情況應地制宜、靈活應用。

企業信息安全評估篇8

云計算（Cloud Computing）是分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網格計算（Grid Computing）的發展，或者說是這些計算機科學概念的實現。

云計算不僅帶來了是技術上的革新，更改變了傳統的管理理念和服務模式。在云計算時代，人們對資源的管理與利用將會更加集成化，虛擬化，并且不再受時間、地域、物理條件的限制。在全球化背景下，人們可以方便地對云端的資源進行統一的管理調度，還可以利用云端強大的數據處理能力進行信息的深入開發。

2 企業信息安全管理應用云計算技術的必要性分析

從企業層面來說，目前的信息安全管理出現了許多新問題，比如呈幾何級數增長的信息需要大型的存儲設備和處理器進行存儲和管理、人們對企業信息的共享需求日益增多、企業信息安全管理流程日益繁雜等等，這些都需要云計算技術加以解決。從外圍環境來說，如筆者開頭提到的，云計算的發展普及是大勢所趨，而且云計算技術主要涉及的就是信息的存儲、管理、開發等環節，企業作為社會發展的主要力量，在今后的發展中不可能離開信息與云計算，尤其是信息安全管理環節。

信息安全要掌握主動性原則，越早采取措施越好。因為如果越晚發現存在的風險，那么需要彌補的時間就越長，花費的成本就越多，對企業的造成的損失也越大。而且企業信息安全的基礎數據、標準往往是在初期設定好的，如果后期出現問題需要更改，將會耗費巨大的工作量。

基于上述分析，盡管云計算才剛剛到來，但是企業已經有必要將強對云計算的了解和研究，并逐步開始涉及基于云計算的信息安全管理。

3 云計算環境下信息安全管理的新特點

云計算對信息安全管理的影響主要體現在技術和管理模式這兩個方面。云計算的特點之一便是高安全性。“云”使用了數據多副本容錯、計算節點同構可互換等措施來保障服務的高可靠性，使用云計算比使用本地計算機可靠。同時，有專業的團隊負責云端數據的安全維護，保證云端服務器的正常運行和信息安全。云計算的構成有天然的優勢，包括云計算的云端集中管理，超大規模服務器的同時運作，還有近期提出的“共有云”、“私有云“等等都從各個方面分散了信息安全的風險。

但與之相對應的，目前的云端往往存儲著多個用戶的數據，而且存儲的數據的規模和設計范圍都極為廣泛，這樣也就造成了風險的集中，一旦出現問題，損失也會加大。

在傳統環境下，企業的信息安全管理多是相對封閉的，因為按照一些人的理解就是“越封閉，越安全”。封閉只能是先對的，完全封閉更是不可能的。企業的運作管理需要時刻保持與外界的交流，其中很大一部分就是信息的交流；而且在信息的價值越來越被人們重視的今天，企業對自身信息資源的開發與利用越來越多的展開，在這種背景下談封閉無異于明清時期的“閉關鎖國”。云計算技術是以網絡為基礎的，也就是說是一個相對開放的平臺。根據目前的發展來看，在控制好權限，做好軟硬件維護的前提下，云計算環境下（亦或網絡環境下）的信息安全管理的安全性是完全可以保障的。

4 云時代的信息安全風險管理

云計算環境下，由于云端與用戶端的功能、作用、管理工作環節的不同，云端與用戶端的風險來源也會有明顯的不同。

云端的風險主要來自實體的、技術性的，操作性的，用戶端的風險則主要來自內部人員和組織管理的漏洞。

本文結合傳統的信息安全評估方法，參照《信息安全管理》（人民郵電出版社），云計算特點，從資產的識別與估價，威脅的識別與評估，脆弱性評估、現有安全控制確認的角度給出基于云計算的測評分析方法。

（1）、資產的識別與估價。在云計算環境下，云服務商擁有大多數的實體資產，而企業用則輸出自己的信息資產。因而在對資產進行評估的時候也是雙向的，尤其是信息資產，企業和云服務商可能對其價值會有不同的理解。但是雙方又比較能夠達成一致，因為對信息資產的不同估價涉及到之后對不同價值信息的不同強度的保管。企業和云服務商會在信息安全和保管成本之間找到平衡。

（2）、威脅的識別與評估。威脅識別與評估的主要任務是識別產生威脅的原因、確認威脅的目標以及評估威脅發生的可能性。云計算環境由以往的封閉環境轉變為開放的網絡環境，所面臨的威脅更為復雜。就目前云計算的發展情況來看，云計算的威脅主要來自人員威脅和系統威脅。谷歌公司、亞馬遜公司和微軟公司的云計算服務都曾因為代碼編寫失誤、軟件故障、硬件故障等造成中斷，給用戶造成了損失。

（3）脆弱性評估。脆弱性評估一般分為技術脆弱性、操作脆弱性和管理脆弱性。云計算的脆弱性主要表現在技術脆弱性方面。云服務商的平臺都是統一的，就如電腦的操作系統一樣。如果其中某一個小小的文件或者某一句代碼出現問題，都可能對整個系統以及上面運行的服務造成極大地影響，可以說是牽一發而動全身。

（4）現有安全控制確認。在風險評估過程中，應當識別已有的安全控制措施，分析安全控制措施效力，有效地安全措施繼續保持，而對于那些不適當的控制應當核查是否被取消，或者用更合適的控制代替。

5 結語

本文鏈接：http://www.svtrjb.com/v-141-3264.html企業信息安全評估范文8篇

聲明：本網頁內容由互聯網博主自發貢獻，不代表本站觀點，本站不承擔任何法律責任。天上不會到餡餅，請大家謹防詐騙！若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。

上一篇：企業文化管理方案范文8篇

下一篇：青年紀律教育范文8篇

最新客服試用期轉正工作總結報告物業客服試用期轉正工作總結(模板五篇)01-10