企業(yè)信息安全評(píng)估篇1
【關(guān)鍵詞】風(fēng)險(xiǎn);評(píng)估;企業(yè);信息管理
1.企業(yè)信息安全評(píng)估的內(nèi)容
企業(yè)在運(yùn)行中會(huì)產(chǎn)生大量的運(yùn)營(yíng)數(shù)據(jù),這些數(shù)據(jù)既有日常辦公方面的數(shù)據(jù),也有涉及企業(yè)生產(chǎn)和研發(fā)方面的數(shù)據(jù)。隨著企業(yè)規(guī)模的擴(kuò)大,對(duì)這些信息的管理大都是建立在一定的信息管理系統(tǒng)基礎(chǔ)上的,如ERP資源管理系統(tǒng)、MES系統(tǒng)等。這些管理系統(tǒng)管理的內(nèi)容包含了企業(yè)運(yùn)行中的各類信息,就涉及到如何保障系統(tǒng)運(yùn)行中信息安全的問(wèn)題。不同的信息管理模式會(huì)伴隨不同的信息泄露風(fēng)險(xiǎn),因此需要對(duì)企業(yè)的信息管理風(fēng)險(xiǎn)程度進(jìn)行評(píng)估,在此基礎(chǔ)上尋找彌補(bǔ)信息安全隱患的策略。對(duì)企業(yè)信息安全的評(píng)估主要有以下幾個(gè)方面的內(nèi)容。
1.1 評(píng)估企業(yè)的管理制度
企業(yè)管理制度是企業(yè)有序運(yùn)行的基礎(chǔ),企業(yè)的信息安全也和此密切相關(guān)。很多企業(yè)信息外泄的案例都和企業(yè)管理制度漏洞直接聯(lián)系。因此在評(píng)估企業(yè)信息安全時(shí)企業(yè)的管理制度是必要的環(huán)節(jié)之一。在這個(gè)層面上評(píng)估企業(yè)信息安全主要是評(píng)估以下幾類基本的管理制度。①企業(yè)信息系統(tǒng)的使用制度;②企業(yè)信息系統(tǒng)的維護(hù)制度;③企業(yè)信息系統(tǒng)操作人員培訓(xùn)制度;④系統(tǒng)設(shè)備和文件管理制度。
1.2 企業(yè)信息系統(tǒng)計(jì)算機(jī)安全評(píng)估
實(shí)踐表明大量的企業(yè)信息外泄都和計(jì)算機(jī)系統(tǒng)的安全漏洞有關(guān)系,因此對(duì)企業(yè)信息系統(tǒng)的安全評(píng)估是必不可少的環(huán)節(jié)。這類問(wèn)題的評(píng)估需要專業(yè)計(jì)算機(jī)人員來(lái)進(jìn)行,彌補(bǔ)系統(tǒng)安全漏洞是保障企業(yè)信息安全的重要手段。定期或不定期的對(duì)企業(yè)信息系統(tǒng)的運(yùn)行日志和統(tǒng)計(jì)資料進(jìn)行檢查是一種行之有效的方法。
2.企業(yè)信息安全風(fēng)險(xiǎn)定量評(píng)估方法
對(duì)上述幾類評(píng)估內(nèi)容的定量估計(jì)是衡量企業(yè)信息安全的量化手段,其衡量得出的數(shù)值就是企業(yè)信息安全的風(fēng)險(xiǎn)值或安全程度指標(biāo)。企業(yè)信息安全的定量風(fēng)險(xiǎn)評(píng)估考慮因素主要有三個(gè):資產(chǎn)價(jià)值、威脅和脆弱性。在定量評(píng)估中這三類因素都需要用定量數(shù)據(jù)采集的方式來(lái)進(jìn)行合成計(jì)算,安全風(fēng)險(xiǎn)的數(shù)學(xué)表達(dá)式為:。其中為風(fēng)險(xiǎn)指標(biāo),表示企業(yè)資產(chǎn)指標(biāo),為代表威脅,為脆弱性指標(biāo)。上述三類因素的基礎(chǔ)數(shù)據(jù)都需要從實(shí)踐中通過(guò)調(diào)研和測(cè)試來(lái)獲得。
2.1 企業(yè)信息安全估價(jià)的描述方法
企業(yè)的資產(chǎn)既包括有形的資產(chǎn),也包括無(wú)形的資源,表現(xiàn)形式也從機(jī)械設(shè)備到軟件文檔等多種多樣。企業(yè)信息安全又有其特殊性。企業(yè)信息安全的安全屬性估價(jià)需要從資產(chǎn)的保密性、完整性和可用性三個(gè)方面來(lái)展開(kāi)評(píng)估。由于企業(yè)各類資產(chǎn)的形式各異,資產(chǎn)的安全級(jí)別無(wú)法用通用的量化標(biāo)準(zhǔn)來(lái)記性評(píng)估,因此采用的方法為定性的CIA模糊集合方式來(lái)描述,如“資產(chǎn)安全級(jí)別”={“很高”、“高”、“中等”、“低”、“較低”}等模糊語(yǔ)言來(lái)描述,對(duì)應(yīng)的論域?yàn)椋?、4、3、2、1}。企業(yè)信息安全安全的保密性、完整性和可用性三個(gè)方面的屬性都可以用上述模糊語(yǔ)言來(lái)定性描述,綜合上述三類安全屬性的公式為:。上式中分別為企業(yè)信息安全的保密性、完整性和可用性的賦值,取值為1,2…5,為綜合評(píng)定指標(biāo)。筆者這里提供一些評(píng)價(jià)指標(biāo)的選取標(biāo)準(zhǔn):
(1)信息保密性的評(píng)定標(biāo)準(zhǔn)
①很高:這類級(jí)別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,信息泄漏將嚴(yán)重影響企業(yè)的利益;②高:這類級(jí)別的企業(yè)信息泄露會(huì)對(duì)到企業(yè)經(jīng)濟(jì)效益造成明顯損害;③中等:企業(yè)的一般性的經(jīng)營(yíng)、決策信息,泄露對(duì)企業(yè)不利;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息;⑤較低:企業(yè)可對(duì)外界公布的信息類型。
(2)信息完整性的評(píng)定標(biāo)準(zhǔn)
①很高:這類級(jí)別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,其完整性直接決定企業(yè)的業(yè)務(wù)完整性,一旦缺失就無(wú)法彌補(bǔ);②高:這類信息修改必須經(jīng)過(guò)高層授權(quán),一旦缺失將嚴(yán)重影響業(yè)務(wù),一旦缺失彌補(bǔ)難度很大;③中等:企業(yè)的一般性的經(jīng)營(yíng)、決策信息,其修改需授權(quán),缺失后可彌補(bǔ);④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息,缺失后對(duì)企業(yè)運(yùn)行影響較小,易于彌補(bǔ);⑤較低:企業(yè)可對(duì)外界公布的信息類型,缺失后對(duì)企業(yè)運(yùn)行無(wú)明顯影響。
(3)信息可用性的評(píng)定標(biāo)準(zhǔn)
①很高:這類信息具有最重要的實(shí)用性,企業(yè)的運(yùn)作必須依照運(yùn)行的信息類型;②高:這類信息的可用性價(jià)值較高,企業(yè)運(yùn)作對(duì)其依賴性較高;③中等:這類信息屬于可部分不可用的類型,部分不可用不影響企業(yè)的正常運(yùn)作;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息,信息不可用不會(huì)造成明顯影響;⑤較低:這類信息使用性不高,信息不可用的影響可以忽略。
2.2 企業(yè)信息安全威脅程度的量化方法
企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的,既可能來(lái)自于系統(tǒng)的用戶(合法用戶或非法入侵)操作,也可能來(lái)自于系統(tǒng)的物理組件的損壞。這兩類威脅中最大也最常見(jiàn)的是系統(tǒng)用戶在操作方面的失誤、非法用戶利用系統(tǒng)漏洞來(lái)竊取企業(yè)機(jī)密信息,以及計(jì)算機(jī)病毒對(duì)信息系統(tǒng)的侵襲等。但這些事件都不易量化,在做風(fēng)險(xiǎn)評(píng)估時(shí)需要依賴專家經(jīng)驗(yàn),對(duì)各種潛在的威脅因素給出一定的概率值,對(duì)各類威脅因素可按照和上節(jié)類似的方法,用形如:“威脅程度”={“很高”、“高”、“中等”、“低”、“較低”}等模糊集合來(lái)表達(dá),對(duì)應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評(píng)定標(biāo)準(zhǔn)如下:①很高:風(fēng)險(xiǎn)事件發(fā)生的頻率很高,或?qū)ζ髽I(yè)信息安全具有明顯的威脅,但又很難避免的情形;②高:風(fēng)險(xiǎn)事件發(fā)生的可能性較大或有發(fā)生先例;③中等:風(fēng)險(xiǎn)事件有可能發(fā)生,但尚未實(shí)際發(fā)生過(guò)的情形;④較低:風(fēng)險(xiǎn)事件發(fā)生的可能性較小,通常情況下不會(huì)發(fā)生;⑤很低:幾乎不可能發(fā)生的風(fēng)險(xiǎn)事件類型;
2.3 信息系統(tǒng)脆弱性的量化方法
信息系統(tǒng)脆弱性的評(píng)估和系統(tǒng)面臨的威脅是緊密相關(guān)的,所有的實(shí)際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來(lái)發(fā)揮破壞性作用的,因此信息系統(tǒng)的脆弱性和威脅存點(diǎn)對(duì)點(diǎn)或單點(diǎn)對(duì)多點(diǎn)的關(guān)系。為便于計(jì)算,也采用和衡量系統(tǒng)威脅程度時(shí)相同的表示方法,“系統(tǒng)脆弱性”={“很高”、“高”、“中等”、“低”、“較低”},對(duì)應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評(píng)定標(biāo)準(zhǔn)為:①很高:這類評(píng)定往往要基于企業(yè)信息系統(tǒng)存在明顯而易于攻擊的技術(shù)漏洞或者是管理規(guī)范上的缺陷,極易被非法使用的情形;②高:企業(yè)信息系統(tǒng)存在一定的技術(shù)漏洞或管理規(guī)范上的缺陷,容易被攻擊和利用;③中等:企業(yè)信息系統(tǒng)存在不易被發(fā)現(xiàn)(下轉(zhuǎn)第125頁(yè))(上接第121頁(yè))的技術(shù)漏洞,或必須經(jīng)過(guò)人為非法操作才能被攻擊的管理規(guī)范上的漏洞;④低:企業(yè)信息系統(tǒng)不存在明顯的技術(shù)漏洞,或企業(yè)信息管理制度較為完善,不易被攻擊利用;⑤較低:企業(yè)信息系統(tǒng)技術(shù)較為完善,管理制度也較為合理,被攻擊點(diǎn)可能性很小。
2.4 信息安全的風(fēng)險(xiǎn)計(jì)算
按照風(fēng)險(xiǎn)的定義,風(fēng)險(xiǎn)包括風(fēng)險(xiǎn)事件發(fā)生的可能性和相應(yīng)的后果。在企業(yè)信息系統(tǒng)中,各組成部分發(fā)生風(fēng)險(xiǎn)事件后的后果是不一樣的,其嚴(yán)重程度也存在差異。因此在風(fēng)險(xiǎn)計(jì)算時(shí)需要明確兩個(gè)方面的內(nèi)容,一是風(fēng)險(xiǎn)的計(jì)算方式,二是對(duì)風(fēng)險(xiǎn)計(jì)算量化數(shù)值的評(píng)價(jià)。各因素風(fēng)險(xiǎn)值的計(jì)算按:來(lái)計(jì)算,即按資產(chǎn)價(jià)值、資產(chǎn)脆弱性和資產(chǎn)面臨的威脅性的乘積來(lái)衡量某種信息資產(chǎn)的風(fēng)險(xiǎn)值。上述幾類因素的取值按照評(píng)價(jià)論域中的取值來(lái)作為乘積因子。在計(jì)算出風(fēng)險(xiǎn)值之后,還需要建立起以風(fēng)險(xiǎn)值為基礎(chǔ)的風(fēng)險(xiǎn)評(píng)價(jià)體系。
由前文的分析可見(jiàn),風(fēng)險(xiǎn)的定量估計(jì)是一個(gè)由三類風(fēng)險(xiǎn)因素的線性乘積得出的。每一類信息的最高等級(jí)論域數(shù)值為5,最低為1,因此組合情況下風(fēng)險(xiǎn)值的最高值為125,最低值為1。由此可建立其與之對(duì)應(yīng)的風(fēng)險(xiǎn)定量評(píng)價(jià)體系。筆者建議采用與之對(duì)應(yīng)的5級(jí)評(píng)定方式:①很高:風(fēng)險(xiǎn)值估計(jì)范圍在100~125之間,表明企業(yè)信息系統(tǒng)存在很高的安全風(fēng)險(xiǎn),發(fā)生信息泄露的可能性非常高;②高:風(fēng)險(xiǎn)估計(jì)值在75~100之間,表明企業(yè)信息系統(tǒng)存在較大的安全風(fēng)險(xiǎn),發(fā)生信息泄露的可能性較大;③中等:風(fēng)險(xiǎn)估計(jì)值在50~75之間,企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)一般,經(jīng)過(guò)審查后能夠避免風(fēng)險(xiǎn)事件;④低:風(fēng)險(xiǎn)估計(jì)值在25~50之間,企業(yè)信息系統(tǒng)發(fā)生信息泄露的可能性很?。虎莺艿停猴L(fēng)險(xiǎn)估計(jì)值在0~25之間,企業(yè)信息系統(tǒng)比較安全,但需要定期維護(hù)。
3.結(jié)語(yǔ)
企業(yè)信息系統(tǒng)安全管理關(guān)系到企業(yè)的內(nèi)部運(yùn)營(yíng)數(shù)據(jù)的安全,是需要引起高度重視的問(wèn)題。本文將企業(yè)信息安全評(píng)估中幾類常用的信息類型進(jìn)行了風(fēng)險(xiǎn)量化評(píng)估,給出了以線性乘積為基礎(chǔ)的風(fēng)險(xiǎn)量化方法,最后給出了分等級(jí)的企業(yè)信息安全綜合評(píng)定。
參考文獻(xiàn)
[1]沈昌樣.關(guān)于強(qiáng)化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.
[2]沈昌祥,馬東平,等.信息安全工程學(xué)導(dǎo)論[M].電子工業(yè)出版社,2009,9.
[3]熊松錳,張志平.構(gòu)建網(wǎng)絡(luò)信息的安全防護(hù)體系[J].情報(bào)學(xué)報(bào),2011,22.
企業(yè)信息安全評(píng)估篇2
1.1信息安全管理有效性測(cè)量目的
信息安全管理有效性測(cè)量的根本目的,是評(píng)估企業(yè)信息安全管理的真實(shí)水平。在企業(yè)建立信息系統(tǒng)時(shí),通常都會(huì)依據(jù)企業(yè)的發(fā)展需要、組織結(jié)構(gòu)、信息組成、利益關(guān)系、安全標(biāo)準(zhǔn)等方面的要求,來(lái)設(shè)定企業(yè)信息系統(tǒng)的安全管理目標(biāo),構(gòu)筑相應(yīng)的安全管理體系和措施。對(duì)企業(yè)信息安全管理有效性進(jìn)行測(cè)量,不僅可以對(duì)企業(yè)信息安全管理目標(biāo)實(shí)現(xiàn)程度進(jìn)行科學(xué)準(zhǔn)確的評(píng)估,還能準(zhǔn)確地評(píng)測(cè)企業(yè)信息安全管理系統(tǒng)的效能,作為企業(yè)信息安全管理考核的依據(jù)。實(shí)際上,如果不進(jìn)行有效性測(cè)量,只依賴于信息系統(tǒng)安全測(cè)量標(biāo)準(zhǔn)來(lái)評(píng)估企業(yè)信息系統(tǒng)安全管理水平,將會(huì)造成極大的誤差,甚至產(chǎn)生很多安全漏洞,使企業(yè)實(shí)際信息安全管理水平與所需達(dá)到的水平相差甚遠(yuǎn),如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無(wú)法得到有效的解決,造成巨大的信息安全隱患。通過(guò)有效性測(cè)量,能更好地找出企業(yè)信息安全管理需要改進(jìn)的地方,充分反應(yīng)企業(yè)信息安全管理存在的問(wèn)題和嚴(yán)重程度,為企業(yè)信息安全管理工作的改進(jìn)提供依據(jù)。
1.2信息安全管理有效性測(cè)量指標(biāo)
信息安全管理不僅是國(guó)內(nèi)企業(yè)的需要,也是國(guó)外企業(yè)的需要,相對(duì)來(lái)說(shuō),國(guó)外在信息安全管理方面的水平更高。目前,在國(guó)際上普遍采用ISO/IEC27002作為信息安全管理標(biāo)準(zhǔn),以此來(lái)實(shí)施信息安全管理,這一標(biāo)準(zhǔn)是當(dāng)前最權(quán)威和最科學(xué)的信息安全管理標(biāo)準(zhǔn),在這一標(biāo)準(zhǔn)中從信息安全方針、組織、管理等方面,提出了100余個(gè)控制措施,信息安全管理中可以根據(jù)企業(yè)的需要選擇相應(yīng)的措施進(jìn)行信息安全管理,該標(biāo)準(zhǔn)所提出的措施,基本覆蓋了企業(yè)信息安全管理的各個(gè)方面。在構(gòu)建信息安全管理有效性測(cè)量指標(biāo)體系時(shí),也可以按照ISO/IEC27002標(biāo)準(zhǔn)進(jìn)行,將測(cè)量?jī)?nèi)容分解為管理控制、運(yùn)行控制、技術(shù)控制3個(gè)方面,并根據(jù)企業(yè)實(shí)際情況采用具有代表性、可測(cè)量的指標(biāo)建立起測(cè)量指標(biāo)集,對(duì)這些指標(biāo)實(shí)施情況進(jìn)行采集分析,再通過(guò)專家咨詢?cè)u(píng)測(cè)最終得到企業(yè)信息安全管理有效性的具體指標(biāo),評(píng)估企業(yè)信息安全達(dá)到的水平,找出企業(yè)信息安全管理的不足。
2測(cè)量方法和指標(biāo)計(jì)算
2.1測(cè)量方法
在信息安全管理有效性測(cè)量中,應(yīng)當(dāng)對(duì)指標(biāo)進(jìn)行量化處理,最終形成量化測(cè)量結(jié)果。不同的指標(biāo),所采用的測(cè)量方法并不相同,通常采用的測(cè)量方法有風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、問(wèn)卷調(diào)查、個(gè)人訪談、內(nèi)部審核、報(bào)表統(tǒng)計(jì)、滲透性測(cè)試、內(nèi)外對(duì)比等方法。對(duì)不同的指標(biāo)采用相應(yīng)的測(cè)量方法進(jìn)行測(cè)量后,得到各指標(biāo)的基本測(cè)度結(jié)果,再運(yùn)用不同的技術(shù)對(duì)所獲得的基本測(cè)度結(jié)果進(jìn)行取值,賦予不同指標(biāo)以不同的安全風(fēng)險(xiǎn)權(quán)重,最終算出企業(yè)信息安全管理有效性水平。例如在信息安全管理控制方面,需要對(duì)信息系統(tǒng)安全性,信息處理、信息傳輸、信息存儲(chǔ)安全性進(jìn)行評(píng)價(jià),并評(píng)估這些風(fēng)險(xiǎn)可能對(duì)企業(yè)資產(chǎn)造成的威脅以及威脅程度,結(jié)合安全問(wèn)題所涉及的資產(chǎn)價(jià)值來(lái)判斷可能造成的影響,以評(píng)估信息安全管理控制的有效性,這其中,就需要將信息安全管理控制分解為多個(gè)指標(biāo)進(jìn)行測(cè)量,并根據(jù)對(duì)資產(chǎn)價(jià)值的影響能力賦予不同的權(quán)重和取值,才能最終確定出企業(yè)信息安全管理控制方面的有效性水平。再如在信息安全管理運(yùn)行有效性方面,需要對(duì)人員安全、安全意識(shí)、環(huán)境安全、業(yè)務(wù)聯(lián)系、事件管理等進(jìn)行有效性評(píng)估,其中人員安全包括各個(gè)人員的安全評(píng)級(jí)和安全管理情況,安全意識(shí)包括企業(yè)安全教育、人員安全技術(shù)水平等,環(huán)境安全包括物理安全環(huán)境、技術(shù)安全環(huán)境等。
2.2指標(biāo)計(jì)算
在信息安全管理有效性測(cè)量中,各指標(biāo)的在安全管理有效性中的權(quán)重并不相同,因此信息安全管理有效性測(cè)量結(jié)果,不是對(duì)各指標(biāo)的測(cè)量結(jié)果進(jìn)行簡(jiǎn)單相加,而是要對(duì)不同的指標(biāo)賦予不同的權(quán)重,構(gòu)建起評(píng)測(cè)矩陣,并充分考慮各指標(biāo)之間的聯(lián)系賦值,如極端重要、強(qiáng)烈重要、明顯重要、稍微重要等,根據(jù)不同指標(biāo)的權(quán)重進(jìn)行重要性排序后,對(duì)其特征向量進(jìn)行求解,確定各指標(biāo)在企業(yè)信息安全管理中的影響能力。各指標(biāo)的權(quán)重,并沒(méi)有統(tǒng)一的標(biāo)準(zhǔn),也不可能簡(jiǎn)單地借鑒其他企業(yè)的測(cè)量權(quán)重,根據(jù)不同企業(yè)有不同的特點(diǎn),在進(jìn)行測(cè)量時(shí),應(yīng)當(dāng)有相當(dāng)數(shù)量的專家參與權(quán)重賦值,在消除偶然因素的影響后建立起符合企業(yè)特點(diǎn)的指標(biāo)權(quán)重體系,得出較為科學(xué)合理的指標(biāo)權(quán)重,這樣才能使最重的測(cè)量結(jié)果更為科學(xué)合理。
3結(jié)束語(yǔ)
信息安全問(wèn)題關(guān)系著企業(yè)的競(jìng)爭(zhēng)發(fā)展,在企業(yè)信息安全管理中,并不是構(gòu)建了先進(jìn)的硬件平臺(tái)和軟件系統(tǒng)就能切實(shí)提高企業(yè)信息安全管理水平,還需要保證信息安全管理的有效性,因此信息安全管理有效性測(cè)量極為重要。不過(guò)當(dāng)前我國(guó)信息安全管理有效性測(cè)量才剛剛起步,雖然有很多先進(jìn)的國(guó)內(nèi)外經(jīng)驗(yàn)可供借鑒,但信息安全管理有效性測(cè)量有極大的個(gè)性化特點(diǎn),需要根據(jù)不同企業(yè)采用不同的測(cè)量方法,建立起不同的指標(biāo)體系,運(yùn)用不同的權(quán)重賦值進(jìn)行有效性評(píng)估,這樣才能提高測(cè)量的科學(xué)性和合理性,降低測(cè)量誤差。
企業(yè)信息安全評(píng)估篇3
關(guān)鍵詞:信息安全;安全生產(chǎn)風(fēng)險(xiǎn)管理體系;風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)控制
0引言
隨著信息化建設(shè)的飛速發(fā)展和普及,各行各業(yè)的網(wǎng)絡(luò)化、信息化水平顯著提高,無(wú)論是電網(wǎng)安全穩(wěn)定經(jīng)濟(jì)運(yùn)行還是企業(yè)管理業(yè)務(wù)運(yùn)轉(zhuǎn)都離不開(kāi)信息化系統(tǒng)的支持,在信息化帶來(lái)高效率的同時(shí)不得不考慮網(wǎng)絡(luò)化帶來(lái)的安全問(wèn)題。企業(yè)信息安全管理的有效性,關(guān)系企業(yè)或國(guó)家機(jī)密,一旦面臨威脅和遭遇攻擊,就會(huì)給企業(yè)或國(guó)家?guī)?lái)嚴(yán)重的損失[1]。目前在我國(guó)電力企業(yè)信息安全管理領(lǐng)域,信息安全風(fēng)險(xiǎn)管理依然研究不夠深入,較多采取的基于問(wèn)題的管理方式,遭到攻擊或同類行業(yè)遭到攻擊后,進(jìn)行系統(tǒng)排查,查找系統(tǒng)漏洞,然后堵住漏洞,這種被動(dòng)式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線,只有事前做好各類防范和應(yīng)急處置,管控風(fēng)險(xiǎn)是實(shí)現(xiàn)安全生產(chǎn)的重要保證,在電力企業(yè)信息化建設(shè)過(guò)程中建立一套基于風(fēng)險(xiǎn)的信息安全管理體系,降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問(wèn)題[2]。
1風(fēng)險(xiǎn)管理體系概述
1.1安全生產(chǎn)風(fēng)險(xiǎn)管理體系概念
安全生產(chǎn)風(fēng)險(xiǎn)管理體系是南方電網(wǎng)借鑒國(guó)際先進(jìn)安全管理理念的基礎(chǔ)上,基于電網(wǎng)實(shí)際情況提出的了一種安全生產(chǎn)風(fēng)險(xiǎn)管理思路和方法,以風(fēng)險(xiǎn)管控為主線、以“計(jì)劃-實(shí)施-檢查-改進(jìn)(PDCA)“閉環(huán)管理為原則,系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容,指明了風(fēng)險(xiǎn)管控的目標(biāo)、規(guī)范要求和管理途徑,為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風(fēng)險(xiǎn)管理體系核心思想為“基于風(fēng)險(xiǎn)、系統(tǒng)性、規(guī)范性、持續(xù)改進(jìn)”:基于風(fēng)險(xiǎn)是指企業(yè)應(yīng)基于實(shí)際面臨的風(fēng)險(xiǎn)確定核心業(yè)務(wù)和基于各類風(fēng)險(xiǎn)管控脈絡(luò)及影響業(yè)務(wù)目的性的風(fēng)險(xiǎn)因素業(yè)務(wù)流程節(jié)點(diǎn)的設(shè)計(jì);系統(tǒng)性是指企業(yè)在設(shè)計(jì)管理系統(tǒng)框架及業(yè)務(wù)流程節(jié)點(diǎn)時(shí),保證流程節(jié)點(diǎn)的充分性并遵循PDCA的閉環(huán)管理模式,理清業(yè)務(wù)與業(yè)務(wù)之間的輸入、輸出關(guān)系;規(guī)范性是指企業(yè)應(yīng)明確各項(xiàng)工作的執(zhí)行標(biāo)準(zhǔn),確保執(zhí)行標(biāo)準(zhǔn)的唯一性、科學(xué)性,同時(shí)企業(yè)各部門、生產(chǎn)單位、班組能夠按照標(biāo)準(zhǔn)開(kāi)展工作,保證企業(yè)管理的統(tǒng)一性;持續(xù)改進(jìn)是指企業(yè)應(yīng)建立完善的問(wèn)題發(fā)現(xiàn)機(jī)制及問(wèn)題改進(jìn)機(jī)制,能夠及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中存在的問(wèn)題并進(jìn)行改進(jìn),同時(shí)不斷地完善企業(yè)管理系統(tǒng)的策劃,實(shí)現(xiàn)管理系統(tǒng)的持續(xù)改進(jìn)。自2007年建立以來(lái),全網(wǎng)范圍內(nèi)風(fēng)險(xiǎn)管控方法得到有效應(yīng)用,安全生產(chǎn)管理基礎(chǔ)得到進(jìn)一步夯實(shí),主要安全生產(chǎn)指標(biāo)持續(xù)向好。
1.2基于風(fēng)險(xiǎn)的信息安全管理框架
南方電網(wǎng)安全生產(chǎn)風(fēng)險(xiǎn)管理體系,為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法,其基于風(fēng)險(xiǎn)的管理思路遵循國(guó)際通用的“危害識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)回顧”風(fēng)險(xiǎn)管控模型,強(qiáng)調(diào)事前風(fēng)險(xiǎn)分析和評(píng)估、事中落實(shí)管控措施、事后總結(jié)回顧和改進(jìn),目前主要應(yīng)用在電網(wǎng)、設(shè)備、作業(yè)和職業(yè)健康風(fēng)險(xiǎn)管控上,并取得了不錯(cuò)的成績(jī),也為信息安全管理帶來(lái)了有益的啟示,即可以通過(guò)引入該方法和結(jié)合業(yè)務(wù)實(shí)踐建立基于風(fēng)險(xiǎn)的信息安全管理框架,探索信息安全風(fēng)險(xiǎn)管理長(zhǎng)效機(jī)制[4]。
2基于風(fēng)險(xiǎn)的信息安全風(fēng)險(xiǎn)管理體系建立的重要環(huán)節(jié)
2.1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)
從管理目的出發(fā),是安全生產(chǎn)風(fēng)險(xiǎn)管理體系的一個(gè)重要思想,以目的為導(dǎo)向,分析在現(xiàn)狀下實(shí)現(xiàn)目的存在的障礙因素,也就是管理關(guān)鍵流程節(jié)點(diǎn),從而確定業(yè)務(wù)的管理脈絡(luò),實(shí)現(xiàn)以基于風(fēng)險(xiǎn)的管理思路,最終達(dá)到業(yè)務(wù)工作的系統(tǒng)化和規(guī)范化。信息安全管理目標(biāo)就是要實(shí)現(xiàn)信息系統(tǒng)的基本安全特性,并達(dá)到所需要的保障級(jí)別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性,資產(chǎn)的三性對(duì)于維持現(xiàn)金流動(dòng)、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風(fēng)險(xiǎn)評(píng)估目標(biāo)來(lái)源于企業(yè)中長(zhǎng)期發(fā)展戰(zhàn)略目標(biāo)的需求,滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面[4]。
2.2風(fēng)險(xiǎn)識(shí)別
風(fēng)險(xiǎn)識(shí)別是指在運(yùn)用各種方法全面、系統(tǒng)地識(shí)別出在信息安全管理中的風(fēng)險(xiǎn),找出潛在的原因。一個(gè)組織的信息系統(tǒng)和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo),同時(shí),由于企業(yè)信息化水平的逐步提高,對(duì)于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加,企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個(gè)角度識(shí)別風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量,而是由資產(chǎn)的三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響[6]。信息安全管理的最終目標(biāo)是在滿足企業(yè)中長(zhǎng)期發(fā)展對(duì)信息化水平要求的同時(shí),確保信息安全的三性,降低信息安全事故事件發(fā)生的概率。影響該目標(biāo)實(shí)現(xiàn)的因素有危害因素識(shí)別是否全面、風(fēng)險(xiǎn)評(píng)估結(jié)果是否準(zhǔn)確、措施是否有效,因此選擇合適的風(fēng)險(xiǎn)評(píng)估辦法和模型,對(duì)信息安全管理來(lái)說(shuō)至關(guān)重要。
2.3信息安全風(fēng)險(xiǎn)評(píng)估
2.3.1信息安全風(fēng)險(xiǎn)評(píng)估模型
風(fēng)險(xiǎn)評(píng)估是在確定影響信息安全風(fēng)險(xiǎn)評(píng)估的三個(gè)維度的基礎(chǔ)上,選擇定性或者定量的風(fēng)險(xiǎn)評(píng)估方法,對(duì)識(shí)別出的風(fēng)險(xiǎn)發(fā)生的可能性或可能導(dǎo)致的后果進(jìn)行衡量,并根據(jù)評(píng)估結(jié)果劃分風(fēng)險(xiǎn)等級(jí),然后建立分層分級(jí)的管控措施。在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別,以及已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,判斷安全事件造成的損失對(duì)組織的影響,即安全風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(xiàn)(A,V))。
2.3.2信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施與運(yùn)行
(1)信息安全風(fēng)險(xiǎn)概述通俗來(lái)講,風(fēng)險(xiǎn)概述就是風(fēng)險(xiǎn)的管理方案,基于風(fēng)險(xiǎn)評(píng)估的結(jié)果,制定年度風(fēng)險(xiǎn)管控重點(diǎn)工作安排,為年度安全生產(chǎn)工作計(jì)劃提供方向。概述報(bào)告編制時(shí),應(yīng)充分考慮風(fēng)險(xiǎn)數(shù)據(jù)的輸出應(yīng)用,為涉及相關(guān)單位(部門)的管理提供輸入。風(fēng)險(xiǎn)概述報(bào)告至少包含以下信息:風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)范疇、風(fēng)險(xiǎn)細(xì)分種類、風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)控制措施,并按風(fēng)險(xiǎn)等級(jí)排序。(2)風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制是在風(fēng)險(xiǎn)評(píng)估之后,控制措施建議應(yīng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響,結(jié)合法律法規(guī)、國(guó)家、行業(yè)、上級(jí)主管單位和公司有關(guān)政策要求以及當(dāng)前的重點(diǎn)任務(wù)統(tǒng)籌考慮選擇合適的風(fēng)險(xiǎn)控制措施。風(fēng)險(xiǎn)控制方法一般按照以下順序進(jìn)行選擇:消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個(gè)人防護(hù)等。總的來(lái)說(shuō)控制措施從管理措施和技術(shù)措施兩個(gè)方面提出,優(yōu)先考慮技術(shù)措施。屬于組織結(jié)構(gòu)不完善的,建立信息安全組織體系。屬于管理措施的融入管理辦法,編制各層次的信息安全管理體系文件,包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項(xiàng)目建設(shè)管理制度、信息系統(tǒng)運(yùn)維管理制度,明確管理要求;屬于物理安全隱患的,加強(qiáng)機(jī)房、門控、安保系統(tǒng)和隊(duì)伍建設(shè);屬于信息系統(tǒng)保護(hù)的,納入信息安全項(xiàng)目建設(shè)計(jì)劃,提高防病毒、漏洞補(bǔ)丁、安全配置、安全認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、入侵檢測(cè)等保護(hù)能力;屬于作業(yè)過(guò)程執(zhí)行的措施,將信息安全管控要求納入作業(yè)指導(dǎo)書、“兩票”等作業(yè)標(biāo)準(zhǔn),減少人的因素引發(fā)的信息安全事故事件;屬于人員技能和意識(shí)的納入教育培訓(xùn)計(jì)劃;屬于信息安全應(yīng)急響應(yīng)的建立信息安全應(yīng)急預(yù)案或現(xiàn)場(chǎng)處置方案,并按照演練計(jì)劃開(kāi)展應(yīng)急演練[7]。
2.4風(fēng)險(xiǎn)監(jiān)測(cè)
風(fēng)險(xiǎn)控制措施制定后需要對(duì)措施的有效性進(jìn)行評(píng)估,發(fā)布年度風(fēng)險(xiǎn)預(yù)控措施計(jì)劃表。風(fēng)險(xiǎn)控制措施應(yīng)明確責(zé)任單位(部門)、責(zé)任人、完成時(shí)間。在制定風(fēng)險(xiǎn)控制措施時(shí),應(yīng)避免控制措施帶來(lái)新的風(fēng)險(xiǎn)。結(jié)合年度風(fēng)險(xiǎn)預(yù)控措施表和變化識(shí)別內(nèi)容,制定月度風(fēng)險(xiǎn)監(jiān)督計(jì)劃,并明確各項(xiàng)預(yù)控措施執(zhí)行情況的各級(jí)監(jiān)督部門,確保風(fēng)險(xiǎn)措施按計(jì)劃落實(shí)執(zhí)行。
2.5管理回顧,持續(xù)改進(jìn)
PDCA閉環(huán)管理是安全生產(chǎn)風(fēng)險(xiǎn)管理體系核心之一,通過(guò)定期開(kāi)展管理回顧,審視信息安全風(fēng)險(xiǎn)管控的有效性,進(jìn)而形成長(zhǎng)效機(jī)制持續(xù)改進(jìn)。在回顧過(guò)程中注意以下幾個(gè)方面:(1)識(shí)別變化,優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的,當(dāng)變化產(chǎn)生時(shí)需要及時(shí)識(shí)別也調(diào)整管控措施。當(dāng)法律法規(guī)變化時(shí)需要及時(shí)對(duì)法律法規(guī)風(fēng)險(xiǎn)進(jìn)行識(shí)別和融入;當(dāng)國(guó)際、國(guó)內(nèi)信息安全態(tài)勢(shì)發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時(shí)及時(shí)更新防護(hù)技術(shù)手段、優(yōu)化管理標(biāo)準(zhǔn)、更新應(yīng)急處置方案,并保存變化過(guò)程的相關(guān)資料。(2)建立糾正與預(yù)防系統(tǒng)安全生產(chǎn)風(fēng)險(xiǎn)管理體系核心思想之一就是持續(xù)改進(jìn),通過(guò)建立問(wèn)題發(fā)現(xiàn)機(jī)制和問(wèn)題改進(jìn)機(jī)制最終實(shí)現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面,糾正與預(yù)防的來(lái)源包括信息安全防護(hù)系統(tǒng)檢測(cè)情況、系統(tǒng)運(yùn)行分析統(tǒng)計(jì)、外部信息安全形勢(shì)、檢查發(fā)現(xiàn)問(wèn)題等,并進(jìn)行根本原因分析,制定糾正或預(yù)防措施,通過(guò)評(píng)估措施的有效性,進(jìn)行統(tǒng)計(jì)輸出應(yīng)用,輸出應(yīng)用到信息安全管理制度、能力與意識(shí)提升等各個(gè)環(huán)節(jié),進(jìn)而確保企業(yè)的信息安全管理水平得到持續(xù)提升。
3結(jié)語(yǔ)
企業(yè)信息安全評(píng)估篇4
一、運(yùn)用系統(tǒng)的思想和方法,查找信息安全管理的“短扳”
隨著企業(yè)信息化的快速發(fā)展,信息安全管理工作顯得相對(duì)滯后。管理思想和方法落后。過(guò)去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法,沒(méi)有體現(xiàn)信息化特點(diǎn)和要求,越來(lái)越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革;管理不夠全面。以往只考慮硬件、軟件,忽視了人、數(shù)據(jù)和文檔、服務(wù)、無(wú)形資產(chǎn)等重要對(duì)象,對(duì)外來(lái)人員也缺乏有效的識(shí)別管理;管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標(biāo)準(zhǔn),當(dāng)信息化發(fā)展到一定程度,這些制度就顯得很單薄,就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū),有些制度內(nèi)容重復(fù)、交叉、不一致,有些制度不切實(shí)際,往往束之高閣;風(fēng)險(xiǎn)評(píng)估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評(píng)估不夠系統(tǒng),主觀性過(guò)強(qiáng),缺乏綜合平衡,抓不住重點(diǎn),或過(guò)度保護(hù),或產(chǎn)生管理死角,事后控制多,事前預(yù)控少,不能涵蓋信息系統(tǒng)的生命周期。
上述情形是企業(yè)在信息化建設(shè)中普遍感覺(jué)到的問(wèn)題。隨著科學(xué)技術(shù)的進(jìn)步,企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化,為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此,嘉興電力局根據(jù)國(guó)際上信息安全管理的最佳實(shí)踐,結(jié)合供電企業(yè)的實(shí)際,從信息安全風(fēng)險(xiǎn)評(píng)估管理入手,貫徹ISO/IEC27001:**信息安全管理標(biāo)準(zhǔn),建立了信息安全管理體系。通過(guò)體系有效運(yùn)作,達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。
二、從資產(chǎn)識(shí)別入手,搞好信息安全風(fēng)險(xiǎn)評(píng)估
按《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》,對(duì)所有的資產(chǎn)進(jìn)行了列表識(shí)別,并識(shí)別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評(píng)估中,共識(shí)別資產(chǎn)2810項(xiàng),其中確定的重要資產(chǎn)總數(shù)為312項(xiàng),形成了《重要資產(chǎn)清單》。
圖1.《重要信息資產(chǎn)按部門分布圖》
對(duì)重要的信息資產(chǎn),由資產(chǎn)的所有者(歸口管理部門)對(duì)其可能遭受的威脅及自身的薄弱點(diǎn)進(jìn)行識(shí)別,并對(duì)威脅利用薄弱點(diǎn)發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析,確定風(fēng)險(xiǎn)等級(jí)和可接受程度,形成了《重要資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn),對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定措施失效發(fā)生的可能性,計(jì)算風(fēng)險(xiǎn)等級(jí),判斷風(fēng)險(xiǎn)為可接受的還是需要處理的。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成風(fēng)險(xiǎn)處理計(jì)劃。對(duì)于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用適當(dāng)?shù)拇胧?,確定是接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn),還是轉(zhuǎn)移風(fēng)險(xiǎn)。
嘉興電力局經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估,確定了不可接受風(fēng)險(xiǎn)84項(xiàng),其中硬件和設(shè)施52項(xiàng),軟件和系統(tǒng)0項(xiàng),文檔和數(shù)據(jù)8項(xiàng),服務(wù)0項(xiàng),人力資源24項(xiàng)。
根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)可接受風(fēng)險(xiǎn),保持原有的控制措施,同時(shí)按ISO/IEC17799:**《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》和系統(tǒng)應(yīng)用的要求,對(duì)控制措施進(jìn)行完善。針對(duì)不可接受風(fēng)險(xiǎn),由各部門制定了相應(yīng)的安全控制措施。制訂控制措施主要考慮了風(fēng)險(xiǎn)評(píng)估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求,以期達(dá)到風(fēng)險(xiǎn)降低的目的。控制措施的實(shí)施將從避免風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面,將風(fēng)險(xiǎn)降低到可接受的水平。
圖2.《各類不可接受風(fēng)險(xiǎn)按系統(tǒng)分布圖》。
三、按照ISO標(biāo)準(zhǔn)要求,建立信息安全管理體系
嘉興電力局在涉及生產(chǎn)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)的信息系統(tǒng),按ISO/IEC27001:**《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》規(guī)定,參照ISO/IEC17799:**《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》,建立信息安全管理體系,簡(jiǎn)稱ISMS。確定信息安全管理體系覆蓋范圍,主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況,涉及電力生產(chǎn)、營(yíng)銷、服務(wù)和日常管理的40個(gè)重要信息系統(tǒng)。信息安全管理的方針是:“全面、完整、務(wù)實(shí)、有效?!?span style="display:none">lr8萬(wàn)博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
為實(shí)現(xiàn)信息安全管理體系方針,嘉興電力局在各層次建立完整的信息安全管理組織機(jī)構(gòu),確定信息安全目標(biāo)和控制措施,明確信息安全的管理職責(zé);識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,采取糾正預(yù)防措施,保證體系的持續(xù)有效性;采用先進(jìn)有效的設(shè)施和技術(shù),處理、傳遞、儲(chǔ)存和保護(hù)各類信息,實(shí)現(xiàn)信息共享;對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn),不斷增強(qiáng)員工的信息安全意識(shí)和能力;制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃,實(shí)現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求,制訂的信息安全管理目標(biāo)是:2級(jí)以上信息安全事件為0;不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密;不發(fā)生導(dǎo)致供電中斷的信息事故;減少有關(guān)的法律風(fēng)險(xiǎn)。
嘉興電力局根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀,按照ISO/IEC27001:**標(biāo)準(zhǔn)要求,整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度,形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架,包括信息安全管理手冊(cè);《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個(gè)程序文件,制定了16個(gè)支撐性作業(yè)文件。
四、運(yùn)用過(guò)程方法,實(shí)施信息安全管理體系
在信息安全管理過(guò)程中,重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評(píng)估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié),采取明確職責(zé)、動(dòng)態(tài)檢查、嚴(yán)格考核等措施,使信息安全走上常態(tài)管理之路。
圖3:信息安全管理體系實(shí)施過(guò)程
重視信息系統(tǒng)安全管理。因?yàn)樾畔⑾到y(tǒng)支撐著企業(yè)的各項(xiàng)業(yè)務(wù),信息安全管理體系實(shí)施涵蓋信息系統(tǒng)的生命周期,表現(xiàn)在信息系統(tǒng)的軟(硬)件購(gòu)置、設(shè)備安裝、軟件開(kāi)發(fā)和系統(tǒng)測(cè)試、上線、系統(tǒng)(權(quán)限)變更等方面,嚴(yán)格執(zhí)行體系的相關(guān)控制程序。
強(qiáng)化人員安全管理。在勞動(dòng)合同、崗位說(shuō)明書中,明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任,對(duì)信息關(guān)鍵崗位實(shí)行備案制度。對(duì)崗位調(diào)動(dòng)或離職人員,及時(shí)調(diào)整安全職責(zé)和權(quán)限。定期對(duì)員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。
重視相關(guān)方管理。對(duì)軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員,明確安全要求和安全職責(zé)。簽訂保密協(xié)議、辦理入網(wǎng)申請(qǐng)、進(jìn)行入網(wǎng)教育等。識(shí)別客戶、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求,采取措施,保證滿足安全要求。
企業(yè)信息安全評(píng)估篇5
論文摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架,并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風(fēng)險(xiǎn)
1.1信任風(fēng)險(xiǎn)
企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系,仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問(wèn)到企業(yè)的敏感信息,并全面了解其企業(yè)和系統(tǒng)的安全狀況,而這些重要的信息如果被有意或無(wú)意地對(duì)公眾散播出去,則會(huì)對(duì)企業(yè)造成巨大的損害。并且,如若企業(yè)無(wú)法信任外包商,不對(duì)外包商提供一些關(guān)鍵信息的話,則會(huì)造成外包商在運(yùn)作過(guò)程中的信息不完全,從而導(dǎo)致某些環(huán)節(jié)的失效,這也會(huì)對(duì)服務(wù)質(zhì)量造成影響。因此,信任是雙方合作的基礎(chǔ),也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。
1.2依賴風(fēng)險(xiǎn)
企業(yè)很容易對(duì)某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性,并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響,恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商,但相應(yīng)地會(huì)加大支出并造成管理上的困難,企業(yè)將失去三種靈活性:第一種是短期靈活性,即企業(yè)重組資源的能力以及在經(jīng)營(yíng)環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力,即在短期到中期的事件范圍內(nèi)所需的靈活性,這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力,再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性,其本質(zhì)是中期到長(zhǎng)期的靈活性,它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對(duì)技術(shù)趨勢(shì)、商業(yè)趨勢(shì)的準(zhǔn)確預(yù)測(cè)和確保雙方建立最佳聯(lián)盟的能力。
1.3所有權(quán)風(fēng)險(xiǎn)
不管外包商提供服務(wù)的范圍如何,企業(yè)都對(duì)基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé),并且其服務(wù)級(jí)別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級(jí)別的相關(guān)人員意識(shí)到,應(yīng)該將信息安全作為其首要責(zé)任,并進(jìn)行安全培訓(xùn)課程,增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。
1.4共享環(huán)境風(fēng)臉
信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn),因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器),這將會(huì)增加一個(gè)企業(yè)訪問(wèn)另一企業(yè)敏感信息的可能性。這對(duì)企業(yè)而言也是一種風(fēng)險(xiǎn)。
1.5實(shí)施過(guò)程風(fēng)險(xiǎn)
啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商,或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過(guò)程、硬件、軟件或其他資產(chǎn)的復(fù)雜過(guò)渡,這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說(shuō)明其高級(jí)實(shí)施計(jì)劃,并注明完成日期和所用時(shí)間。這樣在某種程度上就對(duì)實(shí)施過(guò)程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。
1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)
如果企業(yè)和服務(wù)商的合作關(guān)系失敗,企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來(lái)的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的,而這種合作關(guān)系的失敗歸根究底來(lái)自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗,如同其他商業(yè)關(guān)系一樣,它需要給予足夠的重視、關(guān)注,同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。
2信息安全外包的管理框架
要進(jìn)行成功的信息安全外包活動(dòng),就要建立起一個(gè)完善的管理框架,這對(duì)于企業(yè)實(shí)施和管理外包活動(dòng),協(xié)調(diào)與外包商的關(guān)系,最大可能降低外包風(fēng)險(xiǎn),從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分,分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn),然后是對(duì)企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后,雙方共同制定適合企業(yè)的信息安全外包的控制方法,協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu),同時(shí)加強(qiáng)管理與外包商的關(guān)系。
3信息安全外包風(fēng)險(xiǎn)管理的實(shí)施
3.1制定信息安全方針
信息安全方針在很多時(shí)候又稱為信息安全策略,信息安全方針指的是在一個(gè)企業(yè)內(nèi),指導(dǎo)如何對(duì)資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義,定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對(duì)信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡(jiǎn)要說(shuō)明,以及遵守這些原則和標(biāo)準(zhǔn)對(duì)企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對(duì)企業(yè)的各個(gè)部門的安全職能給出概括性的定義,而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來(lái)闡明。
3.2選擇信息安全管理的標(biāo)準(zhǔn)
信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):
(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn),是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分,分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。
3.3確定信息安全外包的流程
企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來(lái)對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場(chǎng)所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度,識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案,然后進(jìn)行合乎規(guī)范的評(píng)估,識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估,或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書面一致后,外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限,并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié),以減少任何對(duì)可用性,服務(wù)程度,客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi),與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開(kāi)發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過(guò)程中都應(yīng)該予以建立和保存,企業(yè)將這些文檔作為評(píng)估的重要工具,對(duì)外包商的服務(wù)績(jī)效進(jìn)行考核。評(píng)估結(jié)束后,對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中,以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。
3.4制定信息安全外包服務(wù)的控制規(guī)則
依照信息安全外包服務(wù)的控制規(guī)則,主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架,主要闡明信息安全服務(wù)要如何執(zhí)行,執(zhí)行的通用標(biāo)準(zhǔn)和量度,服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求,這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求,服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求,包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問(wèn)控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。
3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:
(1)首席安全官:CSO是公司的高層安全執(zhí)行者,他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào),主要包括:首席執(zhí)行官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問(wèn)。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況,并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性,包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來(lái)進(jìn)行信息安全的技術(shù)性服務(wù)。
(3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問(wèn)題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官,客戶企業(yè)的CIO和CSO,外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開(kāi)一次會(huì)議,負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。
(4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問(wèn)題。如服務(wù)水平的變更,新的技術(shù)手段的應(yīng)用,服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問(wèn)題等,咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員,還有財(cái)務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員,以及外包商的具體項(xiàng)目的負(fù)責(zé)人。
(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問(wèn)題,工作組的人員組成也是來(lái)自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系,將突出的問(wèn)題組建成項(xiàng)目進(jìn)行解決,并將無(wú)法解決的問(wèn)題提交給咨詢委員會(huì)。
(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成,其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門,發(fā)掘出企業(yè)中潛在的信息安全的問(wèn)題和漏洞,并將這些問(wèn)題報(bào)告給安全工作組。
(8)指令問(wèn)題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員,包括信息安全專員以及各個(gè)業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問(wèn)題之后,或者,是當(dāng)CSO發(fā)布了關(guān)于信息安全的企業(yè)改進(jìn)方案之后,這些解決方案都將傳送給指令問(wèn)題管理小組,這個(gè)小組的人員經(jīng)過(guò)學(xué)習(xí)討論后,繼而將其發(fā)布到各個(gè)業(yè)務(wù)部門。
(9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過(guò)程的監(jiān)督。
3.6管理與外包商的關(guān)系
企業(yè)信息安全評(píng)估篇6
1、 引言
隨著信息化建設(shè)的發(fā)展,信息安全越來(lái)越多的受到人們的重視,企業(yè)信息安全重點(diǎn)面臨的問(wèn)題主要表現(xiàn)在[1]:1)網(wǎng)絡(luò)受到外部的惡意攻擊,部分單位無(wú)終端接入控制措施,使企業(yè)的正常業(yè)務(wù)無(wú)法開(kāi)展或相關(guān)重要數(shù)據(jù)被盜取;2)網(wǎng)站受到黑客攻擊,由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞,加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限,使得網(wǎng)站陷入癱瘓;3)信息發(fā)布的監(jiān)管不利產(chǎn)生不良的影響,通常情況下信息發(fā)布沒(méi)有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位,那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上,造成不良影響;4)計(jì)算機(jī)病毒的危害,相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級(jí),受到病毒入侵并加以利用,篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限,使得應(yīng)用系統(tǒng)丟失重要信息。
當(dāng)前,有關(guān)信息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式,但在目前還沒(méi)有形成系統(tǒng)化和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué),而評(píng)價(jià)方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合,建立了安全評(píng)價(jià)體系,并運(yùn)用隸屬函數(shù)和隸屬度確定待評(píng)對(duì)象的安全狀況。上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā),如技術(shù)、管理、過(guò)程、人員等,著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng),其評(píng)估過(guò)程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的、系統(tǒng)化的安全評(píng)估框架,很多評(píng)估準(zhǔn)則和指標(biāo)沒(méi)有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來(lái)。
大型企業(yè)信息安全管理體系的研究,就是為了尋找一個(gè)科學(xué)、合理的管理體系,并根據(jù)該體系和方法對(duì)大型企業(yè)的信息安全狀況和水平進(jìn)行評(píng)價(jià),對(duì)信息安全管理績(jī)效進(jìn)行考核。
2、 大型企業(yè)信息安全管理體系的內(nèi)涵
通過(guò)管理體系的應(yīng)用,將對(duì)大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對(duì)企業(yè)信息安全的水平做出客觀的反應(yīng),認(rèn)識(shí)企業(yè)信息安全存在的不足之處,發(fā)揮考評(píng)體系的指導(dǎo)作用,引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向,為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng),有效控制信息化活動(dòng)的進(jìn)程,提高信息安全級(jí)別,減少因信息安全事件引起的損失,有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè),指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。
3、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立,提出了管理體系的目標(biāo):對(duì)于信息安全方面出現(xiàn)的問(wèn)題,達(dá)到防范目的;對(duì)于信息安全工作進(jìn)行查漏補(bǔ)缺,加強(qiáng)管理;通過(guò)評(píng)估體系的考核,落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作,為企業(yè)信息安全的建設(shè)指明方向,同時(shí)注重管理體系整體的時(shí)效性,根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級(jí),包含9個(gè)一級(jí)指標(biāo),14個(gè)二級(jí)指標(biāo),27個(gè)三級(jí)指標(biāo)。一級(jí)指標(biāo)和二級(jí)指標(biāo)為共性指標(biāo),三級(jí)指標(biāo)為數(shù)據(jù)采集項(xiàng)。一級(jí)指標(biāo)包括:網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息發(fā)布安全、移動(dòng)信息化安全、服務(wù)器掃描情況。一級(jí)和二級(jí)指標(biāo)結(jié)構(gòu)圖如下:
2)信息安全考評(píng)指標(biāo)的權(quán)重設(shè)計(jì)
指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德?tīng)柗品╗4]、層次分析法,結(jié)合政策導(dǎo)向確定。
管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過(guò)程中,選取兩組技術(shù)、管理等方面的專家,其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,確定各指標(biāo)的相對(duì)重要性,采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,對(duì)各指標(biāo)按百分制進(jìn)行賦值,確定各指標(biāo)的權(quán)重。綜合兩組專家的意見(jiàn),初步確定各指標(biāo)的權(quán)重,再組織專家研討會(huì),最終確定各指標(biāo)的權(quán)重。
企業(yè)信息安全考評(píng)指標(biāo)總分計(jì)算方法:
I=Σ(Pi*Wi) (1)
I表示指標(biāo)體系的總得分;Pi表示第i個(gè)指標(biāo)的得分,各指標(biāo)得滿分都是100分;Wi表示第i個(gè)指標(biāo)的權(quán)重,所有指標(biāo)權(quán)重的和為100%。
3)建設(shè)大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)
為了實(shí)施信息安全措施體系,以信息安全體系、信息安全文件和考評(píng)制度為基礎(chǔ),研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)。通過(guò)使用該系統(tǒng),將減輕信息化管理部門的負(fù)擔(dān),填報(bào)和匯總數(shù)據(jù)的效率顯著提高,最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ),可以自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)、分析圖表,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作,大大減輕了信息化管理部門的工作強(qiáng)度,增加了信息化管理部門對(duì)新情況快速反應(yīng)能力。
系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫(kù)層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成,系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層,并在此基礎(chǔ)上開(kāi)發(fā)了業(yè)務(wù)系統(tǒng)。
系統(tǒng)主要實(shí)現(xiàn)了如下功能:
編碼同步、基層權(quán)限管理、評(píng)價(jià)初始化、基層初評(píng)、數(shù)據(jù)提交、部門權(quán)限管理(含單位、指標(biāo)項(xiàng))、管理部門復(fù)評(píng)、信息稽核、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。
建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺(tái),提高企業(yè)信息整合水平。
建立在線交流及公告發(fā)布平臺(tái)。
系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析,可自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等,例如:信息化評(píng)級(jí)、信息化水平評(píng)測(cè)報(bào)告。
4、 結(jié)束語(yǔ)
通過(guò)大型企業(yè)信息安全管理體系的實(shí)施,使企業(yè)信息化水平評(píng)估體系更加完善,在考評(píng)信息化建設(shè)水平的同時(shí),又對(duì)信息安全水平等級(jí)有所提升。
企業(yè)信息安全評(píng)估篇7
(1)IT治理風(fēng)險(xiǎn)。IT治理風(fēng)險(xiǎn)的宏觀體現(xiàn)是最高管理層對(duì)信息化理解的不確定性、以及企業(yè)領(lǐng)導(dǎo)力影響的不確定性;微觀體現(xiàn)是缺乏制度化與標(biāo)準(zhǔn)化的約束,缺乏部門之間及流程之間協(xié)調(diào)、溝通的機(jī)制,造成IT系統(tǒng)與業(yè)務(wù)需求的脫離,以及IT系統(tǒng)和企業(yè)信息資源間的孤立。
(2)遵從性風(fēng)險(xiǎn)。指企業(yè)內(nèi)部IT策略與外部法律法規(guī)的遵從(Compliance)所導(dǎo)致的風(fēng)險(xiǎn)。伴隨信息技術(shù)的發(fā)展,國(guó)內(nèi)外出臺(tái)大量法律法規(guī)加強(qiáng)了對(duì)信息系統(tǒng)的監(jiān)管。例如,2002年美國(guó)國(guó)會(huì)的《薩班斯—奧克斯利法案》雖然沒(méi)有直接明確對(duì)信息系統(tǒng)的要求,但據(jù)統(tǒng)計(jì),企業(yè)在實(shí)施符合法案要求的工作中,信息系統(tǒng)方面的工作量占比超過(guò)40%;2006年中國(guó)銀監(jiān)會(huì)《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》,也直接對(duì)技術(shù)風(fēng)險(xiǎn)較大的電子銀行提出了進(jìn)行獨(dú)立的或相對(duì)獨(dú)立的信息系統(tǒng)審計(jì)的要求。
(3)信息安全風(fēng)險(xiǎn)。企業(yè)信息系統(tǒng)不斷開(kāi)放和復(fù)雜,使得信息安全面臨來(lái)自內(nèi)外部的嚴(yán)峻挑戰(zhàn)。針對(duì)企業(yè)信息系統(tǒng)的攻擊方式簡(jiǎn)單易學(xué)、攻擊對(duì)象身份隱匿,造成企業(yè)信息安全風(fēng)險(xiǎn)極易轉(zhuǎn)化為現(xiàn)實(shí)的業(yè)務(wù)威脅,如支持員工移動(dòng)辦公給企業(yè)資產(chǎn)安全性和可用性帶來(lái)的壓力倍增,許多敏感機(jī)密信息被輕易泄露。
(4)可用性風(fēng)險(xiǎn)??捎眯燥L(fēng)險(xiǎn)主要來(lái)自三個(gè)方面,一是IT平臺(tái)系統(tǒng)自身漏洞導(dǎo)致的系統(tǒng)停機(jī)事件越發(fā)難以掌控;二是由于事件管理、變更管理、配置管理、連續(xù)性計(jì)劃等IT服務(wù)管理流程缺失或不到位,導(dǎo)致IT系統(tǒng)不可用;三是來(lái)自自然的災(zāi)害威脅著IT系統(tǒng)的可用性。
(5)績(jī)效風(fēng)險(xiǎn)。若IT投資行為不能帶來(lái)合理的回報(bào),如規(guī)劃不當(dāng)、控制不嚴(yán)等,將使組織面臨巨大財(cái)務(wù)風(fēng)險(xiǎn)。同時(shí),如果對(duì)IT的投資績(jī)效和運(yùn)行績(jī)效不能進(jìn)行有效測(cè)量,就不能有效地發(fā)現(xiàn)存在的問(wèn)題,并采取針對(duì)性的改進(jìn)措施。隨著信息系統(tǒng)日益成為企業(yè)經(jīng)營(yíng)成功的核心,且貫穿在完整的流程過(guò)程中,企業(yè)業(yè)務(wù)和支撐業(yè)務(wù)的信息系統(tǒng)愈加無(wú)法分割,形成有機(jī)的整體。因此,IT風(fēng)險(xiǎn)帶來(lái)的挑戰(zhàn)不僅影響到信息系統(tǒng)本身,也同時(shí)會(huì)影響到業(yè)務(wù)的穩(wěn)定運(yùn)行及發(fā)展,更有可能影響到外部的業(yè)務(wù)客戶。在應(yīng)對(duì)這些IT風(fēng)險(xiǎn)時(shí),傳統(tǒng)的方式大多是采用事后反應(yīng)式的控制措施,使得技術(shù)人員疲于應(yīng)付各種層出不窮的風(fēng)險(xiǎn),且在面對(duì)制度、流程、人員行為等方面帶來(lái)的風(fēng)險(xiǎn)時(shí),傳統(tǒng)的控制方法存在明顯不足,而降低企業(yè)IT風(fēng)險(xiǎn)的關(guān)鍵是需要有一個(gè)主動(dòng)、科學(xué)的風(fēng)險(xiǎn)管理體系。
2企業(yè)IT風(fēng)險(xiǎn)管理及其標(biāo)準(zhǔn)指南
企業(yè)IT風(fēng)險(xiǎn)管理是圍繞企業(yè)信息化戰(zhàn)略目標(biāo),通過(guò)在信息系統(tǒng)的規(guī)劃、開(kāi)發(fā)、運(yùn)行、維護(hù)、監(jiān)控與評(píng)價(jià)的各個(gè)階段中降低企業(yè)風(fēng)險(xiǎn)的科學(xué)化管理流程,包括風(fēng)險(xiǎn)管理的策略制定、風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)的評(píng)估、風(fēng)險(xiǎn)的處置等環(huán)節(jié),以達(dá)到企業(yè)信息化可持續(xù)發(fā)展的目標(biāo)。一個(gè)科學(xué)的IT風(fēng)險(xiǎn)管理體系是一個(gè)具有前瞻性、全局性的控制機(jī)制,能綜合防范和應(yīng)對(duì)IT治理、法規(guī)遵從、系統(tǒng)可用、信息安全、IT外包、業(yè)務(wù)連續(xù)性、IT績(jī)效等諸多方面的企業(yè)風(fēng)險(xiǎn),并能使企業(yè)IT戰(zhàn)略與企業(yè)綜合戰(zhàn)略相融合,以實(shí)現(xiàn)有效益、可持續(xù)的信息化發(fā)展。信息社會(huì)環(huán)境下,無(wú)論何種規(guī)模、什么類型的企業(yè),都需要面臨圍繞信息系統(tǒng)制定一套管理體系和控制指南,有效地管理企業(yè)面臨的各種各樣的風(fēng)險(xiǎn),并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新。
在此方面,國(guó)內(nèi)外已經(jīng)有一些較為成熟的企業(yè)IT風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)或指南。例如美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)(COSO)于2004年頒布的《COSO企業(yè)風(fēng)險(xiǎn)管理框架》,此框架要求企業(yè)管理者以風(fēng)險(xiǎn)組合的觀點(diǎn)看待企業(yè)風(fēng)險(xiǎn),對(duì)包括IT風(fēng)險(xiǎn)在內(nèi)的所有風(fēng)險(xiǎn)進(jìn)行識(shí)別,并采取措施使企業(yè)所承擔(dān)的風(fēng)險(xiǎn)在風(fēng)險(xiǎn)容納量(RiskAppetite)的范圍內(nèi)。而美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的COBIT標(biāo)準(zhǔn)自1996年誕生以來(lái)已經(jīng)更新到了第四版,已成為全球通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)每一次更新都在不斷強(qiáng)化IT風(fēng)險(xiǎn)控制的目標(biāo)內(nèi)容,為企業(yè)信息系統(tǒng)安全審計(jì)提出了具體指導(dǎo)。此外,國(guó)際知名的信息安全標(biāo)準(zhǔn)也都提出了各自的IT風(fēng)險(xiǎn)管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技術(shù)基礎(chǔ)架構(gòu)庫(kù))、ISO27001(信息安全管理使用規(guī)則)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控環(huán)境下的項(xiàng)目)等。
近年來(lái),我國(guó)的信息化主管部門以及各行業(yè)也積極加強(qiáng)了企業(yè)風(fēng)險(xiǎn)管理。以金融業(yè)為例,2004年9月銀監(jiān)會(huì)了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》,其中包括了對(duì)銀行計(jì)算機(jī)系統(tǒng)的IT風(fēng)險(xiǎn)控制要求;2009年銀監(jiān)會(huì)出臺(tái)了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》,2011年銀監(jiān)會(huì)了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》。與此同時(shí),其他行業(yè)監(jiān)管部門也已經(jīng)或計(jì)劃出臺(tái)類似的風(fēng)險(xiǎn)管理措施。上述標(biāo)準(zhǔn)或指南為企業(yè)IT風(fēng)險(xiǎn)管理提供了原則指導(dǎo)和對(duì)策框架,如何將這些原則性建議與企業(yè)自身的工作實(shí)際相結(jié)合,如何將IT風(fēng)險(xiǎn)管理融入常態(tài)化的企業(yè)管理機(jī)制,仍然是企業(yè)管理實(shí)踐中的難點(diǎn)。因此,本文以我國(guó)企業(yè)IT風(fēng)險(xiǎn)管理的先行行業(yè)———金融業(yè)的管理實(shí)踐為例,詳細(xì)探討企業(yè)IT風(fēng)險(xiǎn)管理的體系結(jié)構(gòu)及其關(guān)系,并就企業(yè)IT風(fēng)險(xiǎn)管理的實(shí)施提出具體建議。
3企業(yè)IT風(fēng)險(xiǎn)管理的體系框架
企業(yè)IT風(fēng)險(xiǎn)管理框架通過(guò)對(duì)企業(yè)信息安全各個(gè)層面實(shí)際需求和風(fēng)險(xiǎn)的分析,引入恰當(dāng)?shù)陌踩刂拼胧⑶彝畔⑾到y(tǒng)審計(jì)相結(jié)合,從而保證企業(yè)信息資產(chǎn)的安全性、完整性和可用性。企業(yè)IT風(fēng)險(xiǎn)管理框架可分為風(fēng)險(xiǎn)治理、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)三個(gè)主要的方面,并通過(guò)風(fēng)險(xiǎn)溝通和監(jiān)控等手段將三方面有效結(jié)合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能確保企業(yè)IT風(fēng)險(xiǎn)管理始終保持在可持續(xù)發(fā)展的軌道上,并通過(guò)階段性地進(jìn)行信息系統(tǒng)審計(jì),以發(fā)現(xiàn)存在的偏離,及時(shí)調(diào)整到信息化的最終目標(biāo)上來(lái)。
3.1風(fēng)險(xiǎn)治理
主要內(nèi)容包括建立基于風(fēng)險(xiǎn)的信息科技決策、定義風(fēng)險(xiǎn)策略、建立風(fēng)險(xiǎn)組織和風(fēng)險(xiǎn)整合等內(nèi)容。例如宣傳IT風(fēng)險(xiǎn)對(duì)于決策的價(jià)值、將IT風(fēng)險(xiǎn)考慮納入業(yè)務(wù)和IT決策、整合IT風(fēng)險(xiǎn)策略和業(yè)務(wù)風(fēng)險(xiǎn)策略等都屬于風(fēng)險(xiǎn)治理的內(nèi)容。
3.2風(fēng)險(xiǎn)評(píng)估
主要內(nèi)容包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)維護(hù)等內(nèi)容。諸多國(guó)際標(biāo)準(zhǔn)都提出了信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn),如ISO27001(信息安全管理體系規(guī)范)、ISO/IECTR13335(信息技術(shù)安全管理指南)、NISTSP800-30(信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南)等,可作為企業(yè)實(shí)施風(fēng)險(xiǎn)評(píng)估實(shí)踐的參考。風(fēng)險(xiǎn)評(píng)估包括識(shí)別具體的風(fēng)險(xiǎn)管理對(duì)象、識(shí)別風(fēng)險(xiǎn)、根據(jù)模型進(jìn)行評(píng)估、識(shí)別現(xiàn)有控制、分析剩余風(fēng)險(xiǎn)等步驟。風(fēng)險(xiǎn)維護(hù)就是對(duì)企業(yè)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理,跟蹤風(fēng)險(xiǎn)處置情況,更新風(fēng)險(xiǎn)清單,可通過(guò)創(chuàng)建和維護(hù)風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)。風(fēng)險(xiǎn)維護(hù)也是風(fēng)險(xiǎn)評(píng)估的重要內(nèi)容,以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的持續(xù)管理和改進(jìn)。
3.3風(fēng)險(xiǎn)應(yīng)對(duì)
風(fēng)險(xiǎn)應(yīng)對(duì)就是對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)估后,制定并落實(shí)相應(yīng)的措施和整體策略,使剩余風(fēng)險(xiǎn)處于可控的范圍。風(fēng)險(xiǎn)應(yīng)對(duì)措施包括接受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)應(yīng)對(duì)活動(dòng)包括確定風(fēng)險(xiǎn)處置方案、實(shí)施風(fēng)險(xiǎn)處置、響應(yīng)和處理風(fēng)險(xiǎn)事件等。
3.險(xiǎn)監(jiān)控/溝通
風(fēng)險(xiǎn)監(jiān)控/溝通是鏈接企業(yè)IT風(fēng)險(xiǎn)管理各要素的關(guān)鍵環(huán)節(jié),是企業(yè)IT風(fēng)險(xiǎn)管理體系得以運(yùn)轉(zhuǎn)的重要方面,包括建立和運(yùn)行風(fēng)險(xiǎn)指標(biāo)體系、IT風(fēng)險(xiǎn)內(nèi)部監(jiān)督體系、風(fēng)險(xiǎn)報(bào)告體系以及風(fēng)險(xiǎn)溝通渠道等。風(fēng)險(xiǎn)管理需要從管理層到普通員工的共同參與,這需要將風(fēng)險(xiǎn)直觀準(zhǔn)確地展現(xiàn)、橫向和縱向的溝通、并持續(xù)進(jìn)行監(jiān)控。
4企業(yè)IT風(fēng)險(xiǎn)管理的實(shí)施步驟
為了推進(jìn)企業(yè)IT風(fēng)險(xiǎn)管理體系的實(shí)施,本文在總結(jié)金融企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理的實(shí)施過(guò)程,得出企業(yè)IT風(fēng)險(xiǎn)管理可行的實(shí)施步驟,具體包括識(shí)別管理對(duì)象、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、風(fēng)險(xiǎn)監(jiān)控/溝通等五大關(guān)鍵步驟。
4.1管理對(duì)象識(shí)別
明確風(fēng)險(xiǎn)管理對(duì)象是企業(yè)實(shí)施風(fēng)險(xiǎn)管理的首要步驟,本文提出風(fēng)險(xiǎn)地圖(RiskMap)的概念,即實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估對(duì)象的可視化,明確識(shí)別出全部或特定領(lǐng)域的所有管理對(duì)象,只有保證企業(yè)風(fēng)險(xiǎn)地圖的全面性和準(zhǔn)確性,才能準(zhǔn)確識(shí)別并標(biāo)示出IT風(fēng)險(xiǎn)所在的位置,從而進(jìn)行有效的管理,一個(gè)全面的IT風(fēng)險(xiǎn)管理可從如下三大維度進(jìn)行風(fēng)險(xiǎn)管理對(duì)象的識(shí)別:(1)從資產(chǎn)的角度進(jìn)行識(shí)別,即對(duì)組成信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)進(jìn)行全面識(shí)別和統(tǒng)計(jì),具體實(shí)施細(xì)則可參照ISO27001。(2)從管理領(lǐng)域的角度進(jìn)行識(shí)別,如變更管理、事件管理、配置管理等,具體實(shí)施細(xì)則可參照COBIT。(3)從服務(wù)的角度進(jìn)行識(shí)別,具體實(shí)施細(xì)可參照ISO20000執(zhí)行。
4.2風(fēng)險(xiǎn)識(shí)別
風(fēng)險(xiǎn)識(shí)別是通過(guò)科學(xué)方法了解企業(yè)所面臨的IT風(fēng)險(xiǎn),分析風(fēng)險(xiǎn)的來(lái)源、性質(zhì),并進(jìn)行風(fēng)險(xiǎn)處置和風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)識(shí)別通常采用以下方法:(1)頭腦風(fēng)暴;(2)德?tīng)柗品椒?(3)故障樹分析法,又稱分解分析法;(4)業(yè)務(wù)流程分析法;(5)情景分析法;(6)專家預(yù)測(cè)法,包括個(gè)人經(jīng)驗(yàn)法、專家會(huì)議等形式;(7)篩選、監(jiān)測(cè)、診斷法;(8)資產(chǎn)財(cái)務(wù)狀況分析法。其中,德?tīng)柗品椒ㄊ亲畛S玫腎T風(fēng)險(xiǎn)分析方法之一,具體是指采用“背對(duì)背”的溝通方式征詢專家小組成員的預(yù)測(cè)意見(jiàn),經(jīng)過(guò)幾輪征詢,使專家小組的意見(jiàn)趨于集中,最后做出合理的預(yù)測(cè)結(jié)論,利用德?tīng)柗品ㄟM(jìn)行IT風(fēng)險(xiǎn)分析的具體流程如下。除了按照上述方法識(shí)別風(fēng)險(xiǎn),也可直接從風(fēng)險(xiǎn)來(lái)源入手建立企業(yè)的IT風(fēng)險(xiǎn)清單,如行業(yè)公認(rèn)的風(fēng)險(xiǎn)清單、監(jiān)管要求、監(jiān)管機(jī)構(gòu)風(fēng)險(xiǎn)提示、過(guò)往事件、自我或外部風(fēng)險(xiǎn)評(píng)估結(jié)果、內(nèi)部審計(jì)發(fā)現(xiàn)、管理層和內(nèi)部員工在工作中的認(rèn)識(shí)等。
4.3風(fēng)險(xiǎn)分析評(píng)估
IT風(fēng)險(xiǎn)分析評(píng)估是根據(jù)一定的評(píng)估模型,評(píng)估企業(yè)IT固有風(fēng)險(xiǎn)值、控制風(fēng)險(xiǎn)值,再根據(jù)固有風(fēng)險(xiǎn)值和控制風(fēng)險(xiǎn)值計(jì)算出剩余風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)分析是IT風(fēng)險(xiǎn)管理中較難實(shí)施的一個(gè)環(huán)節(jié),尤其是評(píng)估模型的制定,可以采用較易開(kāi)展的定性方式,也可采用準(zhǔn)確度較高的定量計(jì)算,也可以定量和定性綜合使用。以下是一種較為通用的風(fēng)險(xiǎn)分析模型和流程,可以對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估,具體流程包括:(1)計(jì)算固有風(fēng)險(xiǎn)值。從影響程度和發(fā)生可能性兩個(gè)維度進(jìn)行評(píng)分,可得出固有風(fēng)險(xiǎn)分值。如下是風(fēng)險(xiǎn)評(píng)估的量化模型和公式。其中風(fēng)險(xiǎn)評(píng)分從影響程度和發(fā)生可能性兩方面進(jìn)行計(jì)算,并給出影響程度和發(fā)生可能性兩方面的評(píng)估參數(shù)示例。(2)計(jì)算控制風(fēng)險(xiǎn)值。結(jié)合現(xiàn)有控制評(píng)估的結(jié)果,從設(shè)計(jì)、執(zhí)行、補(bǔ)償性控制三個(gè)層面,參照衡量標(biāo)準(zhǔn),最終確認(rèn)控制風(fēng)險(xiǎn)分值。(3)計(jì)算剩余風(fēng)險(xiǎn)評(píng)估。在獲得每一個(gè)風(fēng)險(xiǎn)的固有風(fēng)險(xiǎn)等級(jí)和控制風(fēng)險(xiǎn)等級(jí)后,可根據(jù)矩陣獲得剩余風(fēng)險(xiǎn)等級(jí)值。
4.險(xiǎn)應(yīng)對(duì)
首選需要確定管理層的風(fēng)險(xiǎn)偏好等級(jí)。風(fēng)險(xiǎn)偏好是為了實(shí)現(xiàn)目標(biāo),企業(yè)在承擔(dān)風(fēng)險(xiǎn)的種類、大小等方面的基本態(tài)度。然后根據(jù)剩余風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)偏好,依據(jù)內(nèi)外部需求,并結(jié)合實(shí)際情況,針對(duì)剩余風(fēng)險(xiǎn)提供恰當(dāng)?shù)目刂聘倪M(jìn)建議,以將剩余風(fēng)險(xiǎn)降低到可接受的水平。風(fēng)險(xiǎn)處置措施包括接受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)處置計(jì)劃方面,一方面需要體現(xiàn)可操作性,如分為短期(半年),中期(1年),長(zhǎng)期(2-3年),同時(shí)也需要考慮多個(gè)維度,如組織架構(gòu)、人員、制度流程和技術(shù)等。
4.5IT風(fēng)險(xiǎn)監(jiān)控/溝通
風(fēng)險(xiǎn)指標(biāo)是有效進(jìn)行風(fēng)險(xiǎn)監(jiān)控和溝通的重要手段。指標(biāo)是一種可量化的、被事先認(rèn)可的、用來(lái)反映組織目標(biāo)實(shí)現(xiàn)程度的重要標(biāo)識(shí),是績(jī)效管理的有效手段。企業(yè)IT風(fēng)險(xiǎn)管理引入指標(biāo)體系,可以促進(jìn)整個(gè)活動(dòng)的有效開(kāi)展。指標(biāo)的功能主要表現(xiàn)在以下三個(gè)方面:(1)在準(zhǔn)備階段,可以清楚的反映目前企業(yè)的信息安全現(xiàn)狀,并為制定目標(biāo)提供依據(jù);(2)在實(shí)施過(guò)程中,階段性地反映進(jìn)展情況;(3)便于各層人員把握活動(dòng)的進(jìn)展情況:使高層領(lǐng)導(dǎo)清晰地了解關(guān)鍵要素的進(jìn)展和改進(jìn)情況;使管理者集中精力于對(duì)活動(dòng)中的重要和關(guān)鍵要素,及時(shí)診斷活動(dòng)中出現(xiàn)的問(wèn)題并采取措施。在實(shí)踐中,應(yīng)針對(duì)關(guān)鍵的風(fēng)險(xiǎn)領(lǐng)域,即根據(jù)企業(yè)及領(lǐng)導(dǎo)層的風(fēng)險(xiǎn)偏好,建立可監(jiān)控、可量化的IT關(guān)鍵風(fēng)險(xiǎn)指標(biāo)。IT關(guān)鍵風(fēng)險(xiǎn)指標(biāo)來(lái)源可包括內(nèi)外部監(jiān)管機(jī)構(gòu)數(shù)據(jù)、自動(dòng)監(jiān)控平臺(tái)數(shù)據(jù)、IT風(fēng)險(xiǎn)檢查果、IT風(fēng)險(xiǎn)自報(bào)結(jié)果等。關(guān)鍵風(fēng)險(xiǎn)指標(biāo)可分為風(fēng)險(xiǎn)指標(biāo)(KRI)、控制指標(biāo)(KCI)。以變更管理的風(fēng)險(xiǎn)管理指標(biāo),可設(shè)置緊急變更次數(shù)、變更失敗比例、變更導(dǎo)致的事件數(shù)量等,針對(duì)每個(gè)變更管理風(fēng)險(xiǎn)管理指標(biāo),制定出相應(yīng)的控制指標(biāo),如預(yù)警閥值和容忍閥值。
5結(jié)語(yǔ)
本文從IT風(fēng)險(xiǎn)管理框架和風(fēng)險(xiǎn)評(píng)估實(shí)踐兩個(gè)方面,分別闡述了企業(yè)實(shí)施IT風(fēng)險(xiǎn)管理的重點(diǎn)和實(shí)施方法。通過(guò)直觀的圖表清晰地展現(xiàn)了企業(yè)IT風(fēng)險(xiǎn)管理體系的結(jié)構(gòu)、關(guān)聯(lián)和主要活動(dòng)。同時(shí)結(jié)合多年對(duì)信息安全風(fēng)險(xiǎn)管理理論和實(shí)踐的研究,較為全面和具體地提出了企業(yè)IT風(fēng)險(xiǎn)管理實(shí)施的步驟建議,旨在為企業(yè)提供切實(shí)可行的風(fēng)險(xiǎn)管理實(shí)踐參考。限于篇幅,本文無(wú)法對(duì)IT風(fēng)險(xiǎn)管理的所有環(huán)節(jié)進(jìn)行深入探討,且不同的企業(yè)有不同的安全需求和偏好,因此在實(shí)施IT風(fēng)險(xiǎn)管理的過(guò)程中還需根據(jù)自身的實(shí)際情況應(yīng)地制宜、靈活應(yīng)用。
企業(yè)信息安全評(píng)估篇8
云計(jì)算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計(jì)算(Grid Computing)的發(fā)展,或者說(shuō)是這些計(jì)算機(jī)科學(xué)概念的實(shí)現(xiàn)。
云計(jì)算不僅帶來(lái)了是技術(shù)上的革新,更改變了傳統(tǒng)的管理理念和服務(wù)模式。在云計(jì)算時(shí)代,人們對(duì)資源的管理與利用將會(huì)更加集成化,虛擬化,并且不再受時(shí)間、地域、物理?xiàng)l件的限制。在全球化背景下,人們可以方便地對(duì)云端的資源進(jìn)行統(tǒng)一的管理調(diào)度,還可以利用云端強(qiáng)大的數(shù)據(jù)處理能力進(jìn)行信息的深入開(kāi)發(fā)。
2 企業(yè)信息安全管理應(yīng)用云計(jì)算技術(shù)的必要性分析
從企業(yè)層面來(lái)說(shuō),目前的信息安全管理出現(xiàn)了許多新問(wèn)題,比如呈幾何級(jí)數(shù)增長(zhǎng)的信息需要大型的存儲(chǔ)設(shè)備和處理器進(jìn)行存儲(chǔ)和管理、人們對(duì)企業(yè)信息的共享需求日益增多、企業(yè)信息安全管理流程日益繁雜等等,這些都需要云計(jì)算技術(shù)加以解決。從外圍環(huán)境來(lái)說(shuō),如筆者開(kāi)頭提到的,云計(jì)算的發(fā)展普及是大勢(shì)所趨,而且云計(jì)算技術(shù)主要涉及的就是信息的存儲(chǔ)、管理、開(kāi)發(fā)等環(huán)節(jié),企業(yè)作為社會(huì)發(fā)展的主要力量,在今后的發(fā)展中不可能離開(kāi)信息與云計(jì)算,尤其是信息安全管理環(huán)節(jié)。
信息安全要掌握主動(dòng)性原則,越早采取措施越好。因?yàn)槿绻酵戆l(fā)現(xiàn)存在的風(fēng)險(xiǎn),那么需要彌補(bǔ)的時(shí)間就越長(zhǎng),花費(fèi)的成本就越多,對(duì)企業(yè)的造成的損失也越大。而且企業(yè)信息安全的基礎(chǔ)數(shù)據(jù)、標(biāo)準(zhǔn)往往是在初期設(shè)定好的,如果后期出現(xiàn)問(wèn)題需要更改,將會(huì)耗費(fèi)巨大的工作量。
基于上述分析,盡管云計(jì)算才剛剛到來(lái),但是企業(yè)已經(jīng)有必要將強(qiáng)對(duì)云計(jì)算的了解和研究,并逐步開(kāi)始涉及基于云計(jì)算的信息安全管理。
3 云計(jì)算環(huán)境下信息安全管理的新特點(diǎn)
云計(jì)算對(duì)信息安全管理的影響主要體現(xiàn)在技術(shù)和管理模式這兩個(gè)方面。云計(jì)算的特點(diǎn)之一便是高安全性。“云”使用了數(shù)據(jù)多副本容錯(cuò)、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來(lái)保障服務(wù)的高可靠性,使用云計(jì)算比使用本地計(jì)算機(jī)可靠。同時(shí),有專業(yè)的團(tuán)隊(duì)負(fù)責(zé)云端數(shù)據(jù)的安全維護(hù),保證云端服務(wù)器的正常運(yùn)行和信息安全。云計(jì)算的構(gòu)成有天然的優(yōu)勢(shì),包括云計(jì)算的云端集中管理,超大規(guī)模服務(wù)器的同時(shí)運(yùn)作,還有近期提出的“共有云”、“私有云“等等都從各個(gè)方面分散了信息安全的風(fēng)險(xiǎn)。
但與之相對(duì)應(yīng)的,目前的云端往往存儲(chǔ)著多個(gè)用戶的數(shù)據(jù),而且存儲(chǔ)的數(shù)據(jù)的規(guī)模和設(shè)計(jì)范圍都極為廣泛,這樣也就造成了風(fēng)險(xiǎn)的集中,一旦出現(xiàn)問(wèn)題,損失也會(huì)加大。
在傳統(tǒng)環(huán)境下,企業(yè)的信息安全管理多是相對(duì)封閉的,因?yàn)榘凑找恍┤说睦斫饩褪恰霸椒忾],越安全”。封閉只能是先對(duì)的,完全封閉更是不可能的。企業(yè)的運(yùn)作管理需要時(shí)刻保持與外界的交流,其中很大一部分就是信息的交流;而且在信息的價(jià)值越來(lái)越被人們重視的今天,企業(yè)對(duì)自身信息資源的開(kāi)發(fā)與利用越來(lái)越多的展開(kāi),在這種背景下談封閉無(wú)異于明清時(shí)期的“閉關(guān)鎖國(guó)”。云計(jì)算技術(shù)是以網(wǎng)絡(luò)為基礎(chǔ)的,也就是說(shuō)是一個(gè)相對(duì)開(kāi)放的平臺(tái)。根據(jù)目前的發(fā)展來(lái)看,在控制好權(quán)限,做好軟硬件維護(hù)的前提下,云計(jì)算環(huán)境下(亦或網(wǎng)絡(luò)環(huán)境下)的信息安全管理的安全性是完全可以保障的。
4 云時(shí)代的信息安全風(fēng)險(xiǎn)管理
云計(jì)算環(huán)境下,由于云端與用戶端的功能、作用、管理工作環(huán)節(jié)的不同,云端與用戶端的風(fēng)險(xiǎn)來(lái)源也會(huì)有明顯的不同。
云端的風(fēng)險(xiǎn)主要來(lái)自實(shí)體的、技術(shù)性的,操作性的,用戶端的風(fēng)險(xiǎn)則主要來(lái)自內(nèi)部人員和組織管理的漏洞。
本文結(jié)合傳統(tǒng)的信息安全評(píng)估方法,參照《信息安全管理》(人民郵電出版社),云計(jì)算特點(diǎn),從資產(chǎn)的識(shí)別與估價(jià),威脅的識(shí)別與評(píng)估,脆弱性評(píng)估、現(xiàn)有安全控制確認(rèn)的角度給出基于云計(jì)算的測(cè)評(píng)分析方法。
(1)、資產(chǎn)的識(shí)別與估價(jià)。在云計(jì)算環(huán)境下,云服務(wù)商擁有大多數(shù)的實(shí)體資產(chǎn),而企業(yè)用則輸出自己的信息資產(chǎn)。因而在對(duì)資產(chǎn)進(jìn)行評(píng)估的時(shí)候也是雙向的,尤其是信息資產(chǎn),企業(yè)和云服務(wù)商可能對(duì)其價(jià)值會(huì)有不同的理解。但是雙方又比較能夠達(dá)成一致,因?yàn)閷?duì)信息資產(chǎn)的不同估價(jià)涉及到之后對(duì)不同價(jià)值信息的不同強(qiáng)度的保管。企業(yè)和云服務(wù)商會(huì)在信息安全和保管成本之間找到平衡。
(2)、威脅的識(shí)別與評(píng)估。威脅識(shí)別與評(píng)估的主要任務(wù)是識(shí)別產(chǎn)生威脅的原因、確認(rèn)威脅的目標(biāo)以及評(píng)估威脅發(fā)生的可能性。云計(jì)算環(huán)境由以往的封閉環(huán)境轉(zhuǎn)變?yōu)殚_(kāi)放的網(wǎng)絡(luò)環(huán)境,所面臨的威脅更為復(fù)雜。就目前云計(jì)算的發(fā)展情況來(lái)看,云計(jì)算的威脅主要來(lái)自人員威脅和系統(tǒng)威脅。谷歌公司、亞馬遜公司和微軟公司的云計(jì)算服務(wù)都曾因?yàn)榇a編寫失誤、軟件故障、硬件故障等造成中斷,給用戶造成了損失。
(3)脆弱性評(píng)估。脆弱性評(píng)估一般分為技術(shù)脆弱性、操作脆弱性和管理脆弱性。云計(jì)算的脆弱性主要表現(xiàn)在技術(shù)脆弱性方面。云服務(wù)商的平臺(tái)都是統(tǒng)一的,就如電腦的操作系統(tǒng)一樣。如果其中某一個(gè)小小的文件或者某一句代碼出現(xiàn)問(wèn)題,都可能對(duì)整個(gè)系統(tǒng)以及上面運(yùn)行的服務(wù)造成極大地影響,可以說(shuō)是牽一發(fā)而動(dòng)全身。
(4)現(xiàn)有安全控制確認(rèn)。在風(fēng)險(xiǎn)評(píng)估過(guò)程中,應(yīng)當(dāng)識(shí)別已有的安全控制措施,分析安全控制措施效力,有效地安全措施繼續(xù)保持,而對(duì)于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否被取消,或者用更合適的控制代替。
5 結(jié)語(yǔ)
本文鏈接:http://www.svtrjb.com/v-141-3264.html企業(yè)信息安全評(píng)估范文8篇
相關(guān)文章:
夏天高級(jí)感文案11-09
大暑手抄報(bào)07-21
最新情侶感言句子08-23
平面設(shè)計(jì)實(shí)習(xí)報(bào)告11-09
醫(yī)學(xué)類實(shí)習(xí)報(bào)告10-08
初中化學(xué)教學(xué)工作總結(jié)08-02
小學(xué)春季開(kāi)學(xué)典禮校長(zhǎng)發(fā)言稿10-10
關(guān)于大學(xué)軍訓(xùn)活動(dòng)心得怎么寫08-16
長(zhǎng)隆一日游作文10-26
柳侯公園作文10-14
洪澤湖作文08-10
梅花二年級(jí)作文08-02
2024年中級(jí)經(jīng)濟(jì)師《中級(jí)金融》新課開(kāi)通 考試時(shí)間11月16-17日10-20
河南化工職業(yè)技術(shù)學(xué)院都有哪些專業(yè)10-10
幼兒交通安全教案10-16
《折桂令?春情》原文賞析07-20