當(dāng)前位置：首頁 > 文庫 > 文案

企業(yè)信息安全評估范文8篇

時間：2024-08-15 14:14:22 73

企業(yè)信息安全評估

企業(yè)信息安全評估篇1

【關(guān)鍵詞】風(fēng)險；評估；企業(yè)；信息管理

1.企業(yè)信息安全評估的內(nèi)容

企業(yè)在運行中會產(chǎn)生大量的運營數(shù)據(jù)，這些數(shù)據(jù)既有日常辦公方面的數(shù)據(jù)，也有涉及企業(yè)生產(chǎn)和研發(fā)方面的數(shù)據(jù)。隨著企業(yè)規(guī)模的擴(kuò)大，對這些信息的管理大都是建立在一定的信息管理系統(tǒng)基礎(chǔ)上的，如ERP資源管理系統(tǒng)、MES系統(tǒng)等。這些管理系統(tǒng)管理的內(nèi)容包含了企業(yè)運行中的各類信息，就涉及到如何保障系統(tǒng)運行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風(fēng)險，因此需要對企業(yè)的信息管理風(fēng)險程度進(jìn)行評估，在此基礎(chǔ)上尋找彌補信息安全隱患的策略。對企業(yè)信息安全的評估主要有以下幾個方面的內(nèi)容。

1.1 評估企業(yè)的管理制度

企業(yè)管理制度是企業(yè)有序運行的基礎(chǔ)，企業(yè)的信息安全也和此密切相關(guān)。很多企業(yè)信息外泄的案例都和企業(yè)管理制度漏洞直接聯(lián)系。因此在評估企業(yè)信息安全時企業(yè)的管理制度是必要的環(huán)節(jié)之一。在這個層面上評估企業(yè)信息安全主要是評估以下幾類基本的管理制度。①企業(yè)信息系統(tǒng)的使用制度；②企業(yè)信息系統(tǒng)的維護(hù)制度；③企業(yè)信息系統(tǒng)操作人員培訓(xùn)制度；④系統(tǒng)設(shè)備和文件管理制度。

1.2 企業(yè)信息系統(tǒng)計算機安全評估

實踐表明大量的企業(yè)信息外泄都和計算機系統(tǒng)的安全漏洞有關(guān)系，因此對企業(yè)信息系統(tǒng)的安全評估是必不可少的環(huán)節(jié)。這類問題的評估需要專業(yè)計算機人員來進(jìn)行，彌補系統(tǒng)安全漏洞是保障企業(yè)信息安全的重要手段。定期或不定期的對企業(yè)信息系統(tǒng)的運行日志和統(tǒng)計資料進(jìn)行檢查是一種行之有效的方法。

2.企業(yè)信息安全風(fēng)險定量評估方法

對上述幾類評估內(nèi)容的定量估計是衡量企業(yè)信息安全的量化手段，其衡量得出的數(shù)值就是企業(yè)信息安全的風(fēng)險值或安全程度指標(biāo)。企業(yè)信息安全的定量風(fēng)險評估考慮因素主要有三個：資產(chǎn)價值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數(shù)據(jù)采集的方式來進(jìn)行合成計算，安全風(fēng)險的數(shù)學(xué)表達(dá)式為：。其中為風(fēng)險指標(biāo)，表示企業(yè)資產(chǎn)指標(biāo)，為代表威脅，為脆弱性指標(biāo)。上述三類因素的基礎(chǔ)數(shù)據(jù)都需要從實踐中通過調(diào)研和測試來獲得。

2.1 企業(yè)信息安全估價的描述方法

企業(yè)的資產(chǎn)既包括有形的資產(chǎn)，也包括無形的資源，表現(xiàn)形式也從機械設(shè)備到軟件文檔等多種多樣。企業(yè)信息安全又有其特殊性。企業(yè)信息安全的安全屬性估價需要從資產(chǎn)的保密性、完整性和可用性三個方面來展開評估。由于企業(yè)各類資產(chǎn)的形式各異，資產(chǎn)的安全級別無法用通用的量化標(biāo)準(zhǔn)來記性評估，因此采用的方法為定性的CIA模糊集合方式來描述，如“資產(chǎn)安全級別”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊語言來描述，對應(yīng)的論域為｛5、4、3、2、1｝。企業(yè)信息安全安全的保密性、完整性和可用性三個方面的屬性都可以用上述模糊語言來定性描述，綜合上述三類安全屬性的公式為：。上式中分別為企業(yè)信息安全的保密性、完整性和可用性的賦值，取值為1,2…5，為綜合評定指標(biāo)。筆者這里提供一些評價指標(biāo)的選取標(biāo)準(zhǔn)：

（1）信息保密性的評定標(biāo)準(zhǔn)

①很高：這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息，信息泄漏將嚴(yán)重影響企業(yè)的利益；②高：這類級別的企業(yè)信息泄露會對到企業(yè)經(jīng)濟(jì)效益造成明顯損害；③中等：企業(yè)的一般性的經(jīng)營、決策信息，泄露對企業(yè)不利；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息；⑤較低：企業(yè)可對外界公布的信息類型。

（2）信息完整性的評定標(biāo)準(zhǔn)

①很高：這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息，其完整性直接決定企業(yè)的業(yè)務(wù)完整性，一旦缺失就無法彌補；②高：這類信息修改必須經(jīng)過高層授權(quán)，一旦缺失將嚴(yán)重影響業(yè)務(wù)，一旦缺失彌補難度很大；③中等：企業(yè)的一般性的經(jīng)營、決策信息，其修改需授權(quán)，缺失后可彌補；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息，缺失后對企業(yè)運行影響較小，易于彌補；⑤較低：企業(yè)可對外界公布的信息類型，缺失后對企業(yè)運行無明顯影響。

（3）信息可用性的評定標(biāo)準(zhǔn)

①很高：這類信息具有最重要的實用性，企業(yè)的運作必須依照運行的信息類型；②高：這類信息的可用性價值較高，企業(yè)運作對其依賴性較高；③中等：這類信息屬于可部分不可用的類型，部分不可用不影響企業(yè)的正常運作；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息，信息不可用不會造成明顯影響；⑤較低：這類信息使用性不高，信息不可用的影響可以忽略。

2.2 企業(yè)信息安全威脅程度的量化方法

企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的，既可能來自于系統(tǒng)的用戶（合法用戶或非法入侵）操作，也可能來自于系統(tǒng)的物理組件的損壞。這兩類威脅中最大也最常見的是系統(tǒng)用戶在操作方面的失誤、非法用戶利用系統(tǒng)漏洞來竊取企業(yè)機密信息，以及計算機病毒對信息系統(tǒng)的侵襲等。但這些事件都不易量化，在做風(fēng)險評估時需要依賴專家經(jīng)驗，對各種潛在的威脅因素給出一定的概率值，對各類威脅因素可按照和上節(jié)類似的方法，用形如：“威脅程度”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊集合來表達(dá)，對應(yīng)于相應(yīng)的論域｛5、4、3、2、1｝。建議評定標(biāo)準(zhǔn)如下：①很高：風(fēng)險事件發(fā)生的頻率很高，或?qū)ζ髽I(yè)信息安全具有明顯的威脅，但又很難避免的情形；②高：風(fēng)險事件發(fā)生的可能性較大或有發(fā)生先例；③中等：風(fēng)險事件有可能發(fā)生，但尚未實際發(fā)生過的情形；④較低：風(fēng)險事件發(fā)生的可能性較小，通常情況下不會發(fā)生；⑤很低：幾乎不可能發(fā)生的風(fēng)險事件類型；

2.3 信息系統(tǒng)脆弱性的量化方法

信息系統(tǒng)脆弱性的評估和系統(tǒng)面臨的威脅是緊密相關(guān)的，所有的實際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來發(fā)揮破壞性作用的，因此信息系統(tǒng)的脆弱性和威脅存點對點或單點對多點的關(guān)系。為便于計算，也采用和衡量系統(tǒng)威脅程度時相同的表示方法，“系統(tǒng)脆弱性”=｛“很高”、“高”、“中等”、“低”、“較低”｝，對應(yīng)于相應(yīng)的論域｛5、4、3、2、1｝。建議評定標(biāo)準(zhǔn)為：①很高：這類評定往往要基于企業(yè)信息系統(tǒng)存在明顯而易于攻擊的技術(shù)漏洞或者是管理規(guī)范上的缺陷，極易被非法使用的情形；②高：企業(yè)信息系統(tǒng)存在一定的技術(shù)漏洞或管理規(guī)范上的缺陷，容易被攻擊和利用；③中等：企業(yè)信息系統(tǒng)存在不易被發(fā)現(xiàn)（下轉(zhuǎn)第125頁）（上接第121頁）的技術(shù)漏洞，或必須經(jīng)過人為非法操作才能被攻擊的管理規(guī)范上的漏洞；④低：企業(yè)信息系統(tǒng)不存在明顯的技術(shù)漏洞，或企業(yè)信息管理制度較為完善，不易被攻擊利用；⑤較低：企業(yè)信息系統(tǒng)技術(shù)較為完善，管理制度也較為合理，被攻擊點可能性很小。

2.4 信息安全的風(fēng)險計算

按照風(fēng)險的定義，風(fēng)險包括風(fēng)險事件發(fā)生的可能性和相應(yīng)的后果。在企業(yè)信息系統(tǒng)中，各組成部分發(fā)生風(fēng)險事件后的后果是不一樣的，其嚴(yán)重程度也存在差異。因此在風(fēng)險計算時需要明確兩個方面的內(nèi)容，一是風(fēng)險的計算方式，二是對風(fēng)險計算量化數(shù)值的評價。各因素風(fēng)險值的計算按：來計算，即按資產(chǎn)價值、資產(chǎn)脆弱性和資產(chǎn)面臨的威脅性的乘積來衡量某種信息資產(chǎn)的風(fēng)險值。上述幾類因素的取值按照評價論域中的取值來作為乘積因子。在計算出風(fēng)險值之后，還需要建立起以風(fēng)險值為基礎(chǔ)的風(fēng)險評價體系。

由前文的分析可見，風(fēng)險的定量估計是一個由三類風(fēng)險因素的線性乘積得出的。每一類信息的最高等級論域數(shù)值為5，最低為1，因此組合情況下風(fēng)險值的最高值為125，最低值為1。由此可建立其與之對應(yīng)的風(fēng)險定量評價體系。筆者建議采用與之對應(yīng)的5級評定方式：①很高：風(fēng)險值估計范圍在100～125之間，表明企業(yè)信息系統(tǒng)存在很高的安全風(fēng)險，發(fā)生信息泄露的可能性非常高；②高：風(fēng)險估計值在75～100之間，表明企業(yè)信息系統(tǒng)存在較大的安全風(fēng)險，發(fā)生信息泄露的可能性較大；③中等：風(fēng)險估計值在50～75之間，企業(yè)信息系統(tǒng)的安全風(fēng)險一般，經(jīng)過審查后能夠避免風(fēng)險事件；④低：風(fēng)險估計值在25～50之間，企業(yè)信息系統(tǒng)發(fā)生信息泄露的可能性很小；⑤很低：風(fēng)險估計值在0～25之間，企業(yè)信息系統(tǒng)比較安全，但需要定期維護(hù)。

3.結(jié)語

企業(yè)信息系統(tǒng)安全管理關(guān)系到企業(yè)的內(nèi)部運營數(shù)據(jù)的安全，是需要引起高度重視的問題。本文將企業(yè)信息安全評估中幾類常用的信息類型進(jìn)行了風(fēng)險量化評估，給出了以線性乘積為基礎(chǔ)的風(fēng)險量化方法，最后給出了分等級的企業(yè)信息安全綜合評定。

參考文獻(xiàn)

[1]沈昌樣.關(guān)于強化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.

[2]沈昌祥,馬東平,等.信息安全工程學(xué)導(dǎo)論[M].電子工業(yè)出版社,2009,9.

[3]熊松錳,張志平.構(gòu)建網(wǎng)絡(luò)信息的安全防護(hù)體系[J].情報學(xué)報,2011,22.

企業(yè)信息安全評估篇2

1．1信息安全管理有效性測量目的

信息安全管理有效性測量的根本目的，是評估企業(yè)信息安全管理的真實水平。在企業(yè)建立信息系統(tǒng)時，通常都會依據(jù)企業(yè)的發(fā)展需要、組織結(jié)構(gòu)、信息組成、利益關(guān)系、安全標(biāo)準(zhǔn)等方面的要求，來設(shè)定企業(yè)信息系統(tǒng)的安全管理目標(biāo)，構(gòu)筑相應(yīng)的安全管理體系和措施。對企業(yè)信息安全管理有效性進(jìn)行測量，不僅可以對企業(yè)信息安全管理目標(biāo)實現(xiàn)程度進(jìn)行科學(xué)準(zhǔn)確的評估，還能準(zhǔn)確地評測企業(yè)信息安全管理系統(tǒng)的效能，作為企業(yè)信息安全管理考核的依據(jù)。實際上，如果不進(jìn)行有效性測量，只依賴于信息系統(tǒng)安全測量標(biāo)準(zhǔn)來評估企業(yè)信息系統(tǒng)安全管理水平，將會造成極大的誤差，甚至產(chǎn)生很多安全漏洞，使企業(yè)實際信息安全管理水平與所需達(dá)到的水平相差甚遠(yuǎn)，如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無法得到有效的解決，造成巨大的信息安全隱患。通過有效性測量，能更好地找出企業(yè)信息安全管理需要改進(jìn)的地方，充分反應(yīng)企業(yè)信息安全管理存在的問題和嚴(yán)重程度，為企業(yè)信息安全管理工作的改進(jìn)提供依據(jù)。

1．2信息安全管理有效性測量指標(biāo)

信息安全管理不僅是國內(nèi)企業(yè)的需要，也是國外企業(yè)的需要，相對來說，國外在信息安全管理方面的水平更高。目前，在國際上普遍采用ISO／IEC27002作為信息安全管理標(biāo)準(zhǔn)，以此來實施信息安全管理，這一標(biāo)準(zhǔn)是當(dāng)前最權(quán)威和最科學(xué)的信息安全管理標(biāo)準(zhǔn)，在這一標(biāo)準(zhǔn)中從信息安全方針、組織、管理等方面，提出了100余個控制措施，信息安全管理中可以根據(jù)企業(yè)的需要選擇相應(yīng)的措施進(jìn)行信息安全管理，該標(biāo)準(zhǔn)所提出的措施，基本覆蓋了企業(yè)信息安全管理的各個方面。在構(gòu)建信息安全管理有效性測量指標(biāo)體系時，也可以按照ISO／IEC27002標(biāo)準(zhǔn)進(jìn)行，將測量內(nèi)容分解為管理控制、運行控制、技術(shù)控制3個方面，并根據(jù)企業(yè)實際情況采用具有代表性、可測量的指標(biāo)建立起測量指標(biāo)集，對這些指標(biāo)實施情況進(jìn)行采集分析，再通過專家咨詢評測最終得到企業(yè)信息安全管理有效性的具體指標(biāo)，評估企業(yè)信息安全達(dá)到的水平，找出企業(yè)信息安全管理的不足。

2測量方法和指標(biāo)計算

2．1測量方法

在信息安全管理有效性測量中，應(yīng)當(dāng)對指標(biāo)進(jìn)行量化處理，最終形成量化測量結(jié)果。不同的指標(biāo)，所采用的測量方法并不相同，通常采用的測量方法有風(fēng)險分析、風(fēng)險評估、問卷調(diào)查、個人訪談、內(nèi)部審核、報表統(tǒng)計、滲透性測試、內(nèi)外對比等方法。對不同的指標(biāo)采用相應(yīng)的測量方法進(jìn)行測量后，得到各指標(biāo)的基本測度結(jié)果，再運用不同的技術(shù)對所獲得的基本測度結(jié)果進(jìn)行取值，賦予不同指標(biāo)以不同的安全風(fēng)險權(quán)重，最終算出企業(yè)信息安全管理有效性水平。例如在信息安全管理控制方面，需要對信息系統(tǒng)安全性，信息處理、信息傳輸、信息存儲安全性進(jìn)行評價，并評估這些風(fēng)險可能對企業(yè)資產(chǎn)造成的威脅以及威脅程度，結(jié)合安全問題所涉及的資產(chǎn)價值來判斷可能造成的影響，以評估信息安全管理控制的有效性，這其中，就需要將信息安全管理控制分解為多個指標(biāo)進(jìn)行測量，并根據(jù)對資產(chǎn)價值的影響能力賦予不同的權(quán)重和取值，才能最終確定出企業(yè)信息安全管理控制方面的有效性水平。再如在信息安全管理運行有效性方面，需要對人員安全、安全意識、環(huán)境安全、業(yè)務(wù)聯(lián)系、事件管理等進(jìn)行有效性評估，其中人員安全包括各個人員的安全評級和安全管理情況，安全意識包括企業(yè)安全教育、人員安全技術(shù)水平等，環(huán)境安全包括物理安全環(huán)境、技術(shù)安全環(huán)境等。

2．2指標(biāo)計算

在信息安全管理有效性測量中，各指標(biāo)的在安全管理有效性中的權(quán)重并不相同，因此信息安全管理有效性測量結(jié)果，不是對各指標(biāo)的測量結(jié)果進(jìn)行簡單相加，而是要對不同的指標(biāo)賦予不同的權(quán)重，構(gòu)建起評測矩陣，并充分考慮各指標(biāo)之間的聯(lián)系賦值，如極端重要、強烈重要、明顯重要、稍微重要等，根據(jù)不同指標(biāo)的權(quán)重進(jìn)行重要性排序后，對其特征向量進(jìn)行求解，確定各指標(biāo)在企業(yè)信息安全管理中的影響能力。各指標(biāo)的權(quán)重，并沒有統(tǒng)一的標(biāo)準(zhǔn)，也不可能簡單地借鑒其他企業(yè)的測量權(quán)重，根據(jù)不同企業(yè)有不同的特點，在進(jìn)行測量時，應(yīng)當(dāng)有相當(dāng)數(shù)量的專家參與權(quán)重賦值，在消除偶然因素的影響后建立起符合企業(yè)特點的指標(biāo)權(quán)重體系，得出較為科學(xué)合理的指標(biāo)權(quán)重，這樣才能使最重的測量結(jié)果更為科學(xué)合理。

3結(jié)束語

信息安全問題關(guān)系著企業(yè)的競爭發(fā)展，在企業(yè)信息安全管理中，并不是構(gòu)建了先進(jìn)的硬件平臺和軟件系統(tǒng)就能切實提高企業(yè)信息安全管理水平，還需要保證信息安全管理的有效性，因此信息安全管理有效性測量極為重要。不過當(dāng)前我國信息安全管理有效性測量才剛剛起步，雖然有很多先進(jìn)的國內(nèi)外經(jīng)驗可供借鑒，但信息安全管理有效性測量有極大的個性化特點，需要根據(jù)不同企業(yè)采用不同的測量方法，建立起不同的指標(biāo)體系，運用不同的權(quán)重賦值進(jìn)行有效性評估，這樣才能提高測量的科學(xué)性和合理性，降低測量誤差。

企業(yè)信息安全評估篇3

關(guān)鍵詞：信息安全；安全生產(chǎn)風(fēng)險管理體系；風(fēng)險評估；風(fēng)險控制

0引言

隨著信息化建設(shè)的飛速發(fā)展和普及，各行各業(yè)的網(wǎng)絡(luò)化、信息化水平顯著提高，無論是電網(wǎng)安全穩(wěn)定經(jīng)濟(jì)運行還是企業(yè)管理業(yè)務(wù)運轉(zhuǎn)都離不開信息化系統(tǒng)的支持，在信息化帶來高效率的同時不得不考慮網(wǎng)絡(luò)化帶來的安全問題。企業(yè)信息安全管理的有效性，關(guān)系企業(yè)或國家機密，一旦面臨威脅和遭遇攻擊，就會給企業(yè)或國家?guī)韲?yán)重的損失[1]。目前在我國電力企業(yè)信息安全管理領(lǐng)域，信息安全風(fēng)險管理依然研究不夠深入，較多采取的基于問題的管理方式，遭到攻擊或同類行業(yè)遭到攻擊后，進(jìn)行系統(tǒng)排查，查找系統(tǒng)漏洞，然后堵住漏洞，這種被動式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線，只有事前做好各類防范和應(yīng)急處置，管控風(fēng)險是實現(xiàn)安全生產(chǎn)的重要保證，在電力企業(yè)信息化建設(shè)過程中建立一套基于風(fēng)險的信息安全管理體系，降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問題[2]。

1風(fēng)險管理體系概述

1.1安全生產(chǎn)風(fēng)險管理體系概念

安全生產(chǎn)風(fēng)險管理體系是南方電網(wǎng)借鑒國際先進(jìn)安全管理理念的基礎(chǔ)上，基于電網(wǎng)實際情況提出的了一種安全生產(chǎn)風(fēng)險管理思路和方法，以風(fēng)險管控為主線、以“計劃-實施-檢查-改進(jìn)（PDCA）“閉環(huán)管理為原則，系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容，指明了風(fēng)險管控的目標(biāo)、規(guī)范要求和管理途徑，為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風(fēng)險管理體系核心思想為“基于風(fēng)險、系統(tǒng)性、規(guī)范性、持續(xù)改進(jìn)”：基于風(fēng)險是指企業(yè)應(yīng)基于實際面臨的風(fēng)險確定核心業(yè)務(wù)和基于各類風(fēng)險管控脈絡(luò)及影響業(yè)務(wù)目的性的風(fēng)險因素業(yè)務(wù)流程節(jié)點的設(shè)計；系統(tǒng)性是指企業(yè)在設(shè)計管理系統(tǒng)框架及業(yè)務(wù)流程節(jié)點時，保證流程節(jié)點的充分性并遵循PDCA的閉環(huán)管理模式，理清業(yè)務(wù)與業(yè)務(wù)之間的輸入、輸出關(guān)系；規(guī)范性是指企業(yè)應(yīng)明確各項工作的執(zhí)行標(biāo)準(zhǔn)，確保執(zhí)行標(biāo)準(zhǔn)的唯一性、科學(xué)性，同時企業(yè)各部門、生產(chǎn)單位、班組能夠按照標(biāo)準(zhǔn)開展工作，保證企業(yè)管理的統(tǒng)一性；持續(xù)改進(jìn)是指企業(yè)應(yīng)建立完善的問題發(fā)現(xiàn)機制及問題改進(jìn)機制，能夠及時發(fā)現(xiàn)系統(tǒng)運行過程中存在的問題并進(jìn)行改進(jìn)，同時不斷地完善企業(yè)管理系統(tǒng)的策劃，實現(xiàn)管理系統(tǒng)的持續(xù)改進(jìn)。自2007年建立以來，全網(wǎng)范圍內(nèi)風(fēng)險管控方法得到有效應(yīng)用，安全生產(chǎn)管理基礎(chǔ)得到進(jìn)一步夯實，主要安全生產(chǎn)指標(biāo)持續(xù)向好。

1.2基于風(fēng)險的信息安全管理框架

南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系，為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法，其基于風(fēng)險的管理思路遵循國際通用的“危害識別、風(fēng)險評估、風(fēng)險控制、風(fēng)險回顧”風(fēng)險管控模型，強調(diào)事前風(fēng)險分析和評估、事中落實管控措施、事后總結(jié)回顧和改進(jìn)，目前主要應(yīng)用在電網(wǎng)、設(shè)備、作業(yè)和職業(yè)健康風(fēng)險管控上，并取得了不錯的成績，也為信息安全管理帶來了有益的啟示，即可以通過引入該方法和結(jié)合業(yè)務(wù)實踐建立基于風(fēng)險的信息安全管理框架，探索信息安全風(fēng)險管理長效機制[4]。

2基于風(fēng)險的信息安全風(fēng)險管理體系建立的重要環(huán)節(jié)

2.1確定風(fēng)險評估的目標(biāo)

從管理目的出發(fā)，是安全生產(chǎn)風(fēng)險管理體系的一個重要思想，以目的為導(dǎo)向，分析在現(xiàn)狀下實現(xiàn)目的存在的障礙因素，也就是管理關(guān)鍵流程節(jié)點，從而確定業(yè)務(wù)的管理脈絡(luò)，實現(xiàn)以基于風(fēng)險的管理思路，最終達(dá)到業(yè)務(wù)工作的系統(tǒng)化和規(guī)范化。信息安全管理目標(biāo)就是要實現(xiàn)信息系統(tǒng)的基本安全特性，并達(dá)到所需要的保障級別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性，資產(chǎn)的三性對于維持現(xiàn)金流動、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風(fēng)險評估目標(biāo)來源于企業(yè)中長期發(fā)展戰(zhàn)略目標(biāo)的需求，滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面[4]。

2.2風(fēng)險識別

風(fēng)險識別是指在運用各種方法全面、系統(tǒng)地識別出在信息安全管理中的風(fēng)險，找出潛在的原因。一個組織的信息系統(tǒng)和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo)，同時，由于企業(yè)信息化水平的逐步提高，對于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加，企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個角度識別風(fēng)險。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟(jì)價值來衡量，而是由資產(chǎn)的三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響[6]。信息安全管理的最終目標(biāo)是在滿足企業(yè)中長期發(fā)展對信息化水平要求的同時，確保信息安全的三性，降低信息安全事故事件發(fā)生的概率。影響該目標(biāo)實現(xiàn)的因素有危害因素識別是否全面、風(fēng)險評估結(jié)果是否準(zhǔn)確、措施是否有效，因此選擇合適的風(fēng)險評估辦法和模型，對信息安全管理來說至關(guān)重要。

2.3信息安全風(fēng)險評估

2.3.1信息安全風(fēng)險評估模型

風(fēng)險評估是在確定影響信息安全風(fēng)險評估的三個維度的基礎(chǔ)上，選擇定性或者定量的風(fēng)險評估方法，對識別出的風(fēng)險發(fā)生的可能性或可能導(dǎo)致的后果進(jìn)行衡量，并根據(jù)評估結(jié)果劃分風(fēng)險等級，然后建立分層分級的管控措施。在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險值=R（A,T,V）=R(L(T,V)，F(xiàn)(A,V))。

2.3.2信息安全風(fēng)險評估實施與運行

（1）信息安全風(fēng)險概述通俗來講，風(fēng)險概述就是風(fēng)險的管理方案，基于風(fēng)險評估的結(jié)果，制定年度風(fēng)險管控重點工作安排，為年度安全生產(chǎn)工作計劃提供方向。概述報告編制時，應(yīng)充分考慮風(fēng)險數(shù)據(jù)的輸出應(yīng)用，為涉及相關(guān)單位（部門）的管理提供輸入。風(fēng)險概述報告至少包含以下信息：風(fēng)險描述、風(fēng)險范疇、風(fēng)險細(xì)分種類、風(fēng)險等級和風(fēng)險控制措施，并按風(fēng)險等級排序。（2）風(fēng)險控制風(fēng)險控制是在風(fēng)險評估之后，控制措施建議應(yīng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，結(jié)合法律法規(guī)、國家、行業(yè)、上級主管單位和公司有關(guān)政策要求以及當(dāng)前的重點任務(wù)統(tǒng)籌考慮選擇合適的風(fēng)險控制措施。風(fēng)險控制方法一般按照以下順序進(jìn)行選擇：消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個人防護(hù)等。總的來說控制措施從管理措施和技術(shù)措施兩個方面提出，優(yōu)先考慮技術(shù)措施。屬于組織結(jié)構(gòu)不完善的，建立信息安全組織體系。屬于管理措施的融入管理辦法，編制各層次的信息安全管理體系文件，包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項目建設(shè)管理制度、信息系統(tǒng)運維管理制度，明確管理要求；屬于物理安全隱患的，加強機房、門控、安保系統(tǒng)和隊伍建設(shè)；屬于信息系統(tǒng)保護(hù)的，納入信息安全項目建設(shè)計劃，提高防病毒、漏洞補丁、安全配置、安全認(rèn)證、訪問控制、數(shù)據(jù)加密、入侵檢測等保護(hù)能力；屬于作業(yè)過程執(zhí)行的措施，將信息安全管控要求納入作業(yè)指導(dǎo)書、“兩票”等作業(yè)標(biāo)準(zhǔn)，減少人的因素引發(fā)的信息安全事故事件；屬于人員技能和意識的納入教育培訓(xùn)計劃；屬于信息安全應(yīng)急響應(yīng)的建立信息安全應(yīng)急預(yù)案或現(xiàn)場處置方案，并按照演練計劃開展應(yīng)急演練[7]。

2.4風(fēng)險監(jiān)測

風(fēng)險控制措施制定后需要對措施的有效性進(jìn)行評估，發(fā)布年度風(fēng)險預(yù)控措施計劃表。風(fēng)險控制措施應(yīng)明確責(zé)任單位（部門）、責(zé)任人、完成時間。在制定風(fēng)險控制措施時，應(yīng)避免控制措施帶來新的風(fēng)險。結(jié)合年度風(fēng)險預(yù)控措施表和變化識別內(nèi)容，制定月度風(fēng)險監(jiān)督計劃，并明確各項預(yù)控措施執(zhí)行情況的各級監(jiān)督部門，確保風(fēng)險措施按計劃落實執(zhí)行。

2.5管理回顧，持續(xù)改進(jìn)

PDCA閉環(huán)管理是安全生產(chǎn)風(fēng)險管理體系核心之一，通過定期開展管理回顧，審視信息安全風(fēng)險管控的有效性，進(jìn)而形成長效機制持續(xù)改進(jìn)。在回顧過程中注意以下幾個方面：（1）識別變化，優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的，當(dāng)變化產(chǎn)生時需要及時識別也調(diào)整管控措施。當(dāng)法律法規(guī)變化時需要及時對法律法規(guī)風(fēng)險進(jìn)行識別和融入；當(dāng)國際、國內(nèi)信息安全態(tài)勢發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時及時更新防護(hù)技術(shù)手段、優(yōu)化管理標(biāo)準(zhǔn)、更新應(yīng)急處置方案，并保存變化過程的相關(guān)資料。（2）建立糾正與預(yù)防系統(tǒng)安全生產(chǎn)風(fēng)險管理體系核心思想之一就是持續(xù)改進(jìn)，通過建立問題發(fā)現(xiàn)機制和問題改進(jìn)機制最終實現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面，糾正與預(yù)防的來源包括信息安全防護(hù)系統(tǒng)檢測情況、系統(tǒng)運行分析統(tǒng)計、外部信息安全形勢、檢查發(fā)現(xiàn)問題等，并進(jìn)行根本原因分析，制定糾正或預(yù)防措施，通過評估措施的有效性，進(jìn)行統(tǒng)計輸出應(yīng)用，輸出應(yīng)用到信息安全管理制度、能力與意識提升等各個環(huán)節(jié)，進(jìn)而確保企業(yè)的信息安全管理水平得到持續(xù)提升。

3結(jié)語

企業(yè)信息安全評估篇4

一、運用系統(tǒng)的思想和方法，查找信息安全管理的“短扳”

隨著企業(yè)信息化的快速發(fā)展，信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點和要求，越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對象，對外來人員也缺乏有效的識別管理；管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標(biāo)準(zhǔn)，當(dāng)信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū)，有些制度內(nèi)容重復(fù)、交叉、不一致，有些制度不切實際，往往束之高閣；風(fēng)險評估不夠科學(xué)。以往的信息風(fēng)險評估不夠系統(tǒng)，主觀性過強，缺乏綜合平衡，抓不住重點，或過度保護(hù)，或產(chǎn)生管理死角，事后控制多，事前預(yù)控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設(shè)中普遍感覺到的問題。隨著科學(xué)技術(shù)的進(jìn)步，企業(yè)信息運行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實的基礎(chǔ)。為此，嘉興電力局根據(jù)國際上信息安全管理的最佳實踐，結(jié)合供電企業(yè)的實際，從信息安全風(fēng)險評估管理入手，貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，建立了信息安全管理體系。通過體系有效運作，達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。

二、從資產(chǎn)識別入手，搞好信息安全風(fēng)險評估

按《信息安全風(fēng)險評估控制程序》，對所有的資產(chǎn)進(jìn)行了列表識別，并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險評估中，共識別資產(chǎn)2810項，其中確定的重要資產(chǎn)總數(shù)為312項，形成了《重要資產(chǎn)清單》。

圖1.《重要信息資產(chǎn)按部門分布圖》

對重要的信息資產(chǎn)，由資產(chǎn)的所有者（歸口管理部門）對其可能遭受的威脅及自身的薄弱點進(jìn)行識別，并對威脅利用薄弱點發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析，確定風(fēng)險等級和可接受程度，形成了《重要資產(chǎn)風(fēng)險評估表》。針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定措施失效發(fā)生的可能性，計算風(fēng)險等級，判斷風(fēng)險為可接受的還是需要處理的。根據(jù)風(fēng)險評估的結(jié)果，形成風(fēng)險處理計劃。對于信息安全風(fēng)險，應(yīng)考慮控制措施與費用的平衡原則，選用適當(dāng)?shù)拇胧_定是接受風(fēng)險、避免風(fēng)險，還是轉(zhuǎn)移風(fēng)險。

嘉興電力局經(jīng)過風(fēng)險評估，確定了不可接受風(fēng)險84項，其中硬件和設(shè)施52項，軟件和系統(tǒng)0項，文檔和數(shù)據(jù)8項，服務(wù)0項，人力資源24項。

根據(jù)風(fēng)險評估的結(jié)果，對可接受風(fēng)險，保持原有的控制措施，同時按ISO/IEC17799：**《信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則》和系統(tǒng)應(yīng)用的要求，對控制措施進(jìn)行完善。針對不可接受風(fēng)險，由各部門制定了相應(yīng)的安全控制措施。制訂控制措施主要考慮了風(fēng)險評估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求，以期達(dá)到風(fēng)險降低的目的。控制措施的實施將從避免風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險等方面，將風(fēng)險降低到可接受的水平。

圖2.《各類不可接受風(fēng)險按系統(tǒng)分布圖》。

三、按照ISO標(biāo)準(zhǔn)要求，建立信息安全管理體系

嘉興電力局在涉及生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動的信息系統(tǒng)，按ISO/IEC27001：**《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》規(guī)定，參照ISO/IEC17799：**《信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則》，建立信息安全管理體系，簡稱ISMS。確定信息安全管理體系覆蓋范圍，主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況，涉及電力生產(chǎn)、營銷、服務(wù)和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是：“全面、完整、務(wù)實、有效。”

為實現(xiàn)信息安全管理體系方針，嘉興電力局在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)；識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進(jìn)行信息安全風(fēng)險評估，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實現(xiàn)信息共享；對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和能力；制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求，制訂的信息安全管理目標(biāo)是：2級以上信息安全事件為0；不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密；不發(fā)生導(dǎo)致供電中斷的信息事故；減少有關(guān)的法律風(fēng)險。

嘉興電力局根據(jù)風(fēng)險評估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀，按照ISO/IEC27001：**標(biāo)準(zhǔn)要求，整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度，形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架，包括信息安全管理手冊；《信息安全風(fēng)險評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個程序文件，制定了16個支撐性作業(yè)文件。

四、運用過程方法，實施信息安全管理體系

在信息安全管理過程中，重點是抓好人員安全、風(fēng)險評估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié)，采取明確職責(zé)、動態(tài)檢查、嚴(yán)格考核等措施，使信息安全走上常態(tài)管理之路。

圖3：信息安全管理體系實施過程

重視信息系統(tǒng)安全管理。因為信息系統(tǒng)支撐著企業(yè)的各項業(yè)務(wù)，信息安全管理體系實施涵蓋信息系統(tǒng)的生命周期，表現(xiàn)在信息系統(tǒng)的軟（硬）件購置、設(shè)備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)（權(quán)限）變更等方面，嚴(yán)格執(zhí)行體系的相關(guān)控制程序。

強化人員安全管理。在勞動合同、崗位說明書中，明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任，對信息關(guān)鍵崗位實行備案制度。對崗位調(diào)動或離職人員，及時調(diào)整安全職責(zé)和權(quán)限。定期對員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。

重視相關(guān)方管理。對軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員，明確安全要求和安全職責(zé)。簽訂保密協(xié)議、辦理入網(wǎng)申請、進(jìn)行入網(wǎng)教育等。識別客戶、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。

企業(yè)信息安全評估篇5

論文摘要:文章首先分析了信息安全外包存在的風(fēng)險，根據(jù)風(fēng)險提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險與管理的具體實施。文章以期時信息安全外包的風(fēng)險進(jìn)行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風(fēng)險

1.1信任風(fēng)險

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時候?qū)踩?wù)外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對外包商提供一些關(guān)鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會對服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風(fēng)險規(guī)避的重點內(nèi)容。

1.2依賴風(fēng)險

企業(yè)很容易對某個信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當(dāng)?shù)娘L(fēng)險緩釋方法是將安全服務(wù)外包給多個服務(wù)外包商，但相應(yīng)地會加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應(yīng)變能力;第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性，其本質(zhì)是中期到長期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時期。進(jìn)化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準(zhǔn)確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風(fēng)險

不管外包商提供服務(wù)的范圍如何，企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé)，并且其服務(wù)級別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到，應(yīng)該將信息安全作為其首要責(zé)任，并進(jìn)行安全培訓(xùn)課程，增強常規(guī)企業(yè)的安全意識。

1.4共享環(huán)境風(fēng)臉

信息安全服務(wù)的外包商使用的向多個企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風(fēng)險。

1.5實施過程風(fēng)險

啟動一個可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個服務(wù)外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡，這一切都可能引起新的風(fēng)險。企業(yè)應(yīng)該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風(fēng)險的時間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風(fēng)險。合作關(guān)系失敗帶來的經(jīng)濟(jì)損失、時間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。

2信息安全外包的管理框架

要進(jìn)行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業(yè)實施和管理外包活動，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風(fēng)險，從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn)，然后是對企業(yè)遭受的風(fēng)險進(jìn)行系統(tǒng)的評估.并根據(jù)方針和風(fēng)險程度.決定風(fēng)險管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時加強管理與外包商的關(guān)系。

3信息安全外包風(fēng)險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業(yè)內(nèi)，指導(dǎo)如何對資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡要說明，以及遵守這些原則和標(biāo)準(zhǔn)對企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義，而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。

3.2選擇信息安全管理的標(biāo)準(zhǔn)

信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會指定的信息安全管理標(biāo)準(zhǔn)，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進(jìn)行界定。界定的時候需要考慮如下兩個方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風(fēng)險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風(fēng)險評估和風(fēng)險管理方案，然后進(jìn)行合乎規(guī)范的評估，識別目前面臨的風(fēng)險。企業(yè)可以定期的選擇對服務(wù)外包商的站點和服務(wù)進(jìn)行獨立評估，或者在年度檢查中進(jìn)行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達(dá)成書面一致后，外包商授予企業(yè)獨立評估方評估權(quán)限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié)，以減少任何對可用性，服務(wù)程度，客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務(wù)績效進(jìn)行考核。評估結(jié)束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標(biāo)準(zhǔn)和量度，服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求，這個部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計;事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進(jìn)行工作匯報，主要包括:首席執(zhí)行官、首席運營官、首席財務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進(jìn)行信息安全的技術(shù)性服務(wù)。

(3)管理委員會:這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的CIO和CSO，外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議，負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問題等，咨詢委員會的成員包括企業(yè)內(nèi)部的TI’人員和安全專員，還有財務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項目的負(fù)責(zé)人。

(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問題，工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問題組建成項目進(jìn)行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后，或者，是當(dāng)CSO發(fā)布了關(guān)于信息安全的企業(yè)改進(jìn)方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經(jīng)過學(xué)習(xí)討論后，繼而將其發(fā)布到各個業(yè)務(wù)部門。

(9)監(jiān)督委員會:這個委員會全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對外包商的服務(wù)過程的監(jiān)督。

3.6管理與外包商的關(guān)系

企業(yè)信息安全評估篇6

1、引言

隨著信息化建設(shè)的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]：1)網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜取;2)網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓;3)信息發(fā)布的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息發(fā)布沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響;4)計算機病毒的危害，相關(guān)系統(tǒng)不及時更新補丁和升級，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當(dāng)前，有關(guān)信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué)，而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評價體系，并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā)，如技術(shù)、管理、過程、人員等，著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實踐規(guī)范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架，很多評估準(zhǔn)則和指標(biāo)沒有與被評價對象的實際運行情況和信息安全保障的效果結(jié)合起來。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個科學(xué)、合理的管理體系，并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進(jìn)行評價，對信息安全管理績效進(jìn)行考核。

2、大型企業(yè)信息安全管理體系的內(nèi)涵

通過管理體系的應(yīng)用，將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng)，認(rèn)識企業(yè)信息安全存在的不足之處，發(fā)揮考評體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動的進(jìn)程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標(biāo)：對于信息安全方面出現(xiàn)的問題，達(dá)到防范目的;對于信息安全工作進(jìn)行查漏補缺，加強管理;通過評估體系的考核，落實相關(guān)信息安全文件、推進(jìn)信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時注重管理體系整體的時效性，根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時更新。

1) 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計。信息安全體系設(shè)計共分為三級，包含9個一級指標(biāo)，14個二級指標(biāo)，27個三級指標(biāo)。一級指標(biāo)和二級指標(biāo)為共性指標(biāo)，三級指標(biāo)為數(shù)據(jù)采集項。一級指標(biāo)包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息發(fā)布安全、移動信息化安全、服務(wù)器掃描情況。一級和二級指標(biāo)結(jié)構(gòu)圖如下：

2)信息安全考評指標(biāo)的權(quán)重設(shè)計

指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標(biāo)權(quán)重確定方法設(shè)計過程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，確定各指標(biāo)的相對重要性，采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，對各指標(biāo)按百分制進(jìn)行賦值，確定各指標(biāo)的權(quán)重。綜合兩組專家的意見，初步確定各指標(biāo)的權(quán)重，再組織專家研討會，最終確定各指標(biāo)的權(quán)重。

企業(yè)信息安全考評指標(biāo)總分計算方法：

I=Σ(Pi*Wi) (1)

I表示指標(biāo)體系的總得分;Pi表示第i個指標(biāo)的得分，各指標(biāo)得滿分都是100分;Wi表示第i個指標(biāo)的權(quán)重，所有指標(biāo)權(quán)重的和為100%。

3)建設(shè)大型企業(yè)信息化評價管理系統(tǒng)

為了實施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負(fù)擔(dān)，填報和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報數(shù)據(jù)為基礎(chǔ)，可以自動、實時地形成各種統(tǒng)計、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作，大大減輕了信息化管理部門的工作強度，增加了信息化管理部門對新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評價初始化、基層初評、數(shù)據(jù)提交、部門權(quán)限管理(含單位、指標(biāo)項)、管理部門復(fù)評、信息稽核、數(shù)據(jù)計算、統(tǒng)計管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報送平臺，提高企業(yè)信息整合水平。

建立在線交流及公告發(fā)布平臺。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析，可自動、實時地形成各種統(tǒng)計分析圖表、報告等，例如：信息化評級、信息化水平評測報告。

4、結(jié)束語

通過大型企業(yè)信息安全管理體系的實施，使企業(yè)信息化水平評估體系更加完善，在考評信息化建設(shè)水平的同時，又對信息安全水平等級有所提升。

企業(yè)信息安全評估篇7

(1)IT治理風(fēng)險。IT治理風(fēng)險的宏觀體現(xiàn)是最高管理層對信息化理解的不確定性、以及企業(yè)領(lǐng)導(dǎo)力影響的不確定性;微觀體現(xiàn)是缺乏制度化與標(biāo)準(zhǔn)化的約束，缺乏部門之間及流程之間協(xié)調(diào)、溝通的機制，造成IT系統(tǒng)與業(yè)務(wù)需求的脫離，以及IT系統(tǒng)和企業(yè)信息資源間的孤立。

(2)遵從性風(fēng)險。指企業(yè)內(nèi)部IT策略與外部法律法規(guī)的遵從(Compliance)所導(dǎo)致的風(fēng)險。伴隨信息技術(shù)的發(fā)展，國內(nèi)外出臺大量法律法規(guī)加強了對信息系統(tǒng)的監(jiān)管。例如，2002年美國國會的《薩班斯—奧克斯利法案》雖然沒有直接明確對信息系統(tǒng)的要求，但據(jù)統(tǒng)計，企業(yè)在實施符合法案要求的工作中，信息系統(tǒng)方面的工作量占比超過40%;2006年中國銀監(jiān)會《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》，也直接對技術(shù)風(fēng)險較大的電子銀行提出了進(jìn)行獨立的或相對獨立的信息系統(tǒng)審計的要求。

(3)信息安全風(fēng)險。企業(yè)信息系統(tǒng)不斷開放和復(fù)雜，使得信息安全面臨來自內(nèi)外部的嚴(yán)峻挑戰(zhàn)。針對企業(yè)信息系統(tǒng)的攻擊方式簡單易學(xué)、攻擊對象身份隱匿，造成企業(yè)信息安全風(fēng)險極易轉(zhuǎn)化為現(xiàn)實的業(yè)務(wù)威脅，如支持員工移動辦公給企業(yè)資產(chǎn)安全性和可用性帶來的壓力倍增，許多敏感機密信息被輕易泄露。

(4)可用性風(fēng)險。可用性風(fēng)險主要來自三個方面，一是IT平臺系統(tǒng)自身漏洞導(dǎo)致的系統(tǒng)停機事件越發(fā)難以掌控;二是由于事件管理、變更管理、配置管理、連續(xù)性計劃等IT服務(wù)管理流程缺失或不到位，導(dǎo)致IT系統(tǒng)不可用;三是來自自然的災(zāi)害威脅著IT系統(tǒng)的可用性。

(5)績效風(fēng)險。若IT投資行為不能帶來合理的回報，如規(guī)劃不當(dāng)、控制不嚴(yán)等，將使組織面臨巨大財務(wù)風(fēng)險。同時，如果對IT的投資績效和運行績效不能進(jìn)行有效測量，就不能有效地發(fā)現(xiàn)存在的問題，并采取針對性的改進(jìn)措施。隨著信息系統(tǒng)日益成為企業(yè)經(jīng)營成功的核心，且貫穿在完整的流程過程中，企業(yè)業(yè)務(wù)和支撐業(yè)務(wù)的信息系統(tǒng)愈加無法分割，形成有機的整體。因此，IT風(fēng)險帶來的挑戰(zhàn)不僅影響到信息系統(tǒng)本身，也同時會影響到業(yè)務(wù)的穩(wěn)定運行及發(fā)展，更有可能影響到外部的業(yè)務(wù)客戶。在應(yīng)對這些IT風(fēng)險時，傳統(tǒng)的方式大多是采用事后反應(yīng)式的控制措施，使得技術(shù)人員疲于應(yīng)付各種層出不窮的風(fēng)險，且在面對制度、流程、人員行為等方面帶來的風(fēng)險時，傳統(tǒng)的控制方法存在明顯不足，而降低企業(yè)IT風(fēng)險的關(guān)鍵是需要有一個主動、科學(xué)的風(fēng)險管理體系。

2企業(yè)IT風(fēng)險管理及其標(biāo)準(zhǔn)指南

企業(yè)IT風(fēng)險管理是圍繞企業(yè)信息化戰(zhàn)略目標(biāo)，通過在信息系統(tǒng)的規(guī)劃、開發(fā)、運行、維護(hù)、監(jiān)控與評價的各個階段中降低企業(yè)風(fēng)險的科學(xué)化管理流程，包括風(fēng)險管理的策略制定、風(fēng)險的識別、風(fēng)險的評估、風(fēng)險的處置等環(huán)節(jié)，以達(dá)到企業(yè)信息化可持續(xù)發(fā)展的目標(biāo)。一個科學(xué)的IT風(fēng)險管理體系是一個具有前瞻性、全局性的控制機制，能綜合防范和應(yīng)對IT治理、法規(guī)遵從、系統(tǒng)可用、信息安全、IT外包、業(yè)務(wù)連續(xù)性、IT績效等諸多方面的企業(yè)風(fēng)險，并能使企業(yè)IT戰(zhàn)略與企業(yè)綜合戰(zhàn)略相融合，以實現(xiàn)有效益、可持續(xù)的信息化發(fā)展。信息社會環(huán)境下，無論何種規(guī)模、什么類型的企業(yè)，都需要面臨圍繞信息系統(tǒng)制定一套管理體系和控制指南，有效地管理企業(yè)面臨的各種各樣的風(fēng)險，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新。

在此方面，國內(nèi)外已經(jīng)有一些較為成熟的企業(yè)IT風(fēng)險管理的標(biāo)準(zhǔn)或指南。例如美國反虛假財務(wù)報告委員會(COSO)于2004年頒布的《COSO企業(yè)風(fēng)險管理框架》，此框架要求企業(yè)管理者以風(fēng)險組合的觀點看待企業(yè)風(fēng)險，對包括IT風(fēng)險在內(nèi)的所有風(fēng)險進(jìn)行識別，并采取措施使企業(yè)所承擔(dān)的風(fēng)險在風(fēng)險容納量(RiskAppetite)的范圍內(nèi)。而美國信息系統(tǒng)審計與控制協(xié)會的COBIT標(biāo)準(zhǔn)自1996年誕生以來已經(jīng)更新到了第四版，已成為全球通用的信息系統(tǒng)審計標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)每一次更新都在不斷強化IT風(fēng)險控制的目標(biāo)內(nèi)容，為企業(yè)信息系統(tǒng)安全審計提出了具體指導(dǎo)。此外，國際知名的信息安全標(biāo)準(zhǔn)也都提出了各自的IT風(fēng)險管理控制框架，包括ITIL(Infor-mationTechnologyInfrastructureLibrary，信息技術(shù)基礎(chǔ)架構(gòu)庫)、ISO27001(信息安全管理使用規(guī)則)、CMMI(CapabilityMaturityModelIntegration，能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments，受控環(huán)境下的項目)等。

近年來，我國的信息化主管部門以及各行業(yè)也積極加強了企業(yè)風(fēng)險管理。以金融業(yè)為例，2004年9月銀監(jiān)會了《商業(yè)銀行內(nèi)部控制評價試行辦法》，其中包括了對銀行計算機系統(tǒng)的IT風(fēng)險控制要求;2009年銀監(jiān)會出臺了《商業(yè)銀行信息科技風(fēng)險管理指引》，2011年銀監(jiān)會了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》。與此同時，其他行業(yè)監(jiān)管部門也已經(jīng)或計劃出臺類似的風(fēng)險管理措施。上述標(biāo)準(zhǔn)或指南為企業(yè)IT風(fēng)險管理提供了原則指導(dǎo)和對策框架，如何將這些原則性建議與企業(yè)自身的工作實際相結(jié)合，如何將IT風(fēng)險管理融入常態(tài)化的企業(yè)管理機制，仍然是企業(yè)管理實踐中的難點。因此，本文以我國企業(yè)IT風(fēng)險管理的先行行業(yè)———金融業(yè)的管理實踐為例，詳細(xì)探討企業(yè)IT風(fēng)險管理的體系結(jié)構(gòu)及其關(guān)系，并就企業(yè)IT風(fēng)險管理的實施提出具體建議。

3企業(yè)IT風(fēng)險管理的體系框架

企業(yè)IT風(fēng)險管理框架通過對企業(yè)信息安全各個層面實際需求和風(fēng)險的分析，引入恰當(dāng)?shù)陌踩刂拼胧⑶彝畔⑾到y(tǒng)審計相結(jié)合，從而保證企業(yè)信息資產(chǎn)的安全性、完整性和可用性。企業(yè)IT風(fēng)險管理框架可分為風(fēng)險治理、風(fēng)險評估和風(fēng)險應(yīng)對三個主要的方面，并通過風(fēng)險溝通和監(jiān)控等手段將三方面有效結(jié)合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式，能確保企業(yè)IT風(fēng)險管理始終保持在可持續(xù)發(fā)展的軌道上，并通過階段性地進(jìn)行信息系統(tǒng)審計，以發(fā)現(xiàn)存在的偏離，及時調(diào)整到信息化的最終目標(biāo)上來。

3.1風(fēng)險治理

主要內(nèi)容包括建立基于風(fēng)險的信息科技決策、定義風(fēng)險策略、建立風(fēng)險組織和風(fēng)險整合等內(nèi)容。例如宣傳IT風(fēng)險對于決策的價值、將IT風(fēng)險考慮納入業(yè)務(wù)和IT決策、整合IT風(fēng)險策略和業(yè)務(wù)風(fēng)險策略等都屬于風(fēng)險治理的內(nèi)容。

3.2風(fēng)險評估

主要內(nèi)容包括風(fēng)險識別、風(fēng)險分析和風(fēng)險維護(hù)等內(nèi)容。諸多國際標(biāo)準(zhǔn)都提出了信息安全風(fēng)險評估的標(biāo)準(zhǔn)，如ISO27001(信息安全管理體系規(guī)范)、ISO/IECTR13335(信息技術(shù)安全管理指南)、NISTSP800－30(信息技術(shù)系統(tǒng)風(fēng)險管理指南)等，可作為企業(yè)實施風(fēng)險評估實踐的參考。風(fēng)險評估包括識別具體的風(fēng)險管理對象、識別風(fēng)險、根據(jù)模型進(jìn)行評估、識別現(xiàn)有控制、分析剩余風(fēng)險等步驟。風(fēng)險維護(hù)就是對企業(yè)識別出的風(fēng)險進(jìn)行管理，跟蹤風(fēng)險處置情況，更新風(fēng)險清單，可通過創(chuàng)建和維護(hù)風(fēng)險數(shù)據(jù)庫來實現(xiàn)。風(fēng)險維護(hù)也是風(fēng)險評估的重要內(nèi)容，以實現(xiàn)對風(fēng)險的持續(xù)管理和改進(jìn)。

3.3風(fēng)險應(yīng)對

風(fēng)險應(yīng)對就是對已識別的風(fēng)險進(jìn)行評估后，制定并落實相應(yīng)的措施和整體策略，使剩余風(fēng)險處于可控的范圍。風(fēng)險應(yīng)對措施包括接受風(fēng)險、轉(zhuǎn)移風(fēng)險、避免風(fēng)險和降低風(fēng)險。風(fēng)險應(yīng)對活動包括確定風(fēng)險處置方案、實施風(fēng)險處置、響應(yīng)和處理風(fēng)險事件等。

3.險監(jiān)控/溝通

風(fēng)險監(jiān)控/溝通是鏈接企業(yè)IT風(fēng)險管理各要素的關(guān)鍵環(huán)節(jié)，是企業(yè)IT風(fēng)險管理體系得以運轉(zhuǎn)的重要方面，包括建立和運行風(fēng)險指標(biāo)體系、IT風(fēng)險內(nèi)部監(jiān)督體系、風(fēng)險報告體系以及風(fēng)險溝通渠道等。風(fēng)險管理需要從管理層到普通員工的共同參與，這需要將風(fēng)險直觀準(zhǔn)確地展現(xiàn)、橫向和縱向的溝通、并持續(xù)進(jìn)行監(jiān)控。

4企業(yè)IT風(fēng)險管理的實施步驟

為了推進(jìn)企業(yè)IT風(fēng)險管理體系的實施，本文在總結(jié)金融企業(yè)信息系統(tǒng)安全風(fēng)險管理的實施過程，得出企業(yè)IT風(fēng)險管理可行的實施步驟，具體包括識別管理對象、風(fēng)險識別、風(fēng)險分析評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)控/溝通等五大關(guān)鍵步驟。

4.1管理對象識別

明確風(fēng)險管理對象是企業(yè)實施風(fēng)險管理的首要步驟，本文提出風(fēng)險地圖(RiskMap)的概念，即實現(xiàn)風(fēng)險評估對象的可視化，明確識別出全部或特定領(lǐng)域的所有管理對象，只有保證企業(yè)風(fēng)險地圖的全面性和準(zhǔn)確性，才能準(zhǔn)確識別并標(biāo)示出IT風(fēng)險所在的位置，從而進(jìn)行有效的管理，一個全面的IT風(fēng)險管理可從如下三大維度進(jìn)行風(fēng)險管理對象的識別:(1)從資產(chǎn)的角度進(jìn)行識別，即對組成信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)進(jìn)行全面識別和統(tǒng)計，具體實施細(xì)則可參照ISO27001。(2)從管理領(lǐng)域的角度進(jìn)行識別，如變更管理、事件管理、配置管理等，具體實施細(xì)則可參照COBIT。(3)從服務(wù)的角度進(jìn)行識別，具體實施細(xì)可參照ISO20000執(zhí)行。

4.2風(fēng)險識別

風(fēng)險識別是通過科學(xué)方法了解企業(yè)所面臨的IT風(fēng)險，分析風(fēng)險的來源、性質(zhì)，并進(jìn)行風(fēng)險處置和風(fēng)險管理。風(fēng)險識別通常采用以下方法:(1)頭腦風(fēng)暴;(2)德爾菲方法;(3)故障樹分析法，又稱分解分析法;(4)業(yè)務(wù)流程分析法;(5)情景分析法;(6)專家預(yù)測法，包括個人經(jīng)驗法、專家會議等形式;(7)篩選、監(jiān)測、診斷法;(8)資產(chǎn)財務(wù)狀況分析法。其中，德爾菲方法是最常用的IT風(fēng)險分析方法之一，具體是指采用“背對背”的溝通方式征詢專家小組成員的預(yù)測意見，經(jīng)過幾輪征詢，使專家小組的意見趨于集中，最后做出合理的預(yù)測結(jié)論，利用德爾菲法進(jìn)行IT風(fēng)險分析的具體流程如下。除了按照上述方法識別風(fēng)險，也可直接從風(fēng)險來源入手建立企業(yè)的IT風(fēng)險清單，如行業(yè)公認(rèn)的風(fēng)險清單、監(jiān)管要求、監(jiān)管機構(gòu)風(fēng)險提示、過往事件、自我或外部風(fēng)險評估結(jié)果、內(nèi)部審計發(fā)現(xiàn)、管理層和內(nèi)部員工在工作中的認(rèn)識等。

4.3風(fēng)險分析評估

IT風(fēng)險分析評估是根據(jù)一定的評估模型，評估企業(yè)IT固有風(fēng)險值、控制風(fēng)險值，再根據(jù)固有風(fēng)險值和控制風(fēng)險值計算出剩余風(fēng)險值。風(fēng)險分析是IT風(fēng)險管理中較難實施的一個環(huán)節(jié)，尤其是評估模型的制定，可以采用較易開展的定性方式，也可采用準(zhǔn)確度較高的定量計算，也可以定量和定性綜合使用。以下是一種較為通用的風(fēng)險分析模型和流程，可以對風(fēng)險進(jìn)行量化評估，具體流程包括:(1)計算固有風(fēng)險值。從影響程度和發(fā)生可能性兩個維度進(jìn)行評分，可得出固有風(fēng)險分值。如下是風(fēng)險評估的量化模型和公式。其中風(fēng)險評分從影響程度和發(fā)生可能性兩方面進(jìn)行計算，并給出影響程度和發(fā)生可能性兩方面的評估參數(shù)示例。(2)計算控制風(fēng)險值。結(jié)合現(xiàn)有控制評估的結(jié)果，從設(shè)計、執(zhí)行、補償性控制三個層面，參照衡量標(biāo)準(zhǔn)，最終確認(rèn)控制風(fēng)險分值。(3)計算剩余風(fēng)險評估。在獲得每一個風(fēng)險的固有風(fēng)險等級和控制風(fēng)險等級后，可根據(jù)矩陣獲得剩余風(fēng)險等級值。

4.險應(yīng)對

首選需要確定管理層的風(fēng)險偏好等級。風(fēng)險偏好是為了實現(xiàn)目標(biāo)，企業(yè)在承擔(dān)風(fēng)險的種類、大小等方面的基本態(tài)度。然后根據(jù)剩余風(fēng)險評估結(jié)果及風(fēng)險偏好，依據(jù)內(nèi)外部需求，并結(jié)合實際情況，針對剩余風(fēng)險提供恰當(dāng)?shù)目刂聘倪M(jìn)建議，以將剩余風(fēng)險降低到可接受的水平。風(fēng)險處置措施包括接受風(fēng)險、轉(zhuǎn)移風(fēng)險、避免風(fēng)險和降低風(fēng)險。在風(fēng)險處置計劃方面，一方面需要體現(xiàn)可操作性，如分為短期(半年)，中期(1年)，長期(2－3年)，同時也需要考慮多個維度，如組織架構(gòu)、人員、制度流程和技術(shù)等。

4.5IT風(fēng)險監(jiān)控/溝通

風(fēng)險指標(biāo)是有效進(jìn)行風(fēng)險監(jiān)控和溝通的重要手段。指標(biāo)是一種可量化的、被事先認(rèn)可的、用來反映組織目標(biāo)實現(xiàn)程度的重要標(biāo)識，是績效管理的有效手段。企業(yè)IT風(fēng)險管理引入指標(biāo)體系，可以促進(jìn)整個活動的有效開展。指標(biāo)的功能主要表現(xiàn)在以下三個方面:(1)在準(zhǔn)備階段，可以清楚的反映目前企業(yè)的信息安全現(xiàn)狀，并為制定目標(biāo)提供依據(jù);(2)在實施過程中，階段性地反映進(jìn)展情況;(3)便于各層人員把握活動的進(jìn)展情況:使高層領(lǐng)導(dǎo)清晰地了解關(guān)鍵要素的進(jìn)展和改進(jìn)情況;使管理者集中精力于對活動中的重要和關(guān)鍵要素，及時診斷活動中出現(xiàn)的問題并采取措施。在實踐中，應(yīng)針對關(guān)鍵的風(fēng)險領(lǐng)域，即根據(jù)企業(yè)及領(lǐng)導(dǎo)層的風(fēng)險偏好，建立可監(jiān)控、可量化的IT關(guān)鍵風(fēng)險指標(biāo)。IT關(guān)鍵風(fēng)險指標(biāo)來源可包括內(nèi)外部監(jiān)管機構(gòu)數(shù)據(jù)、自動監(jiān)控平臺數(shù)據(jù)、IT風(fēng)險檢查果、IT風(fēng)險自報結(jié)果等。關(guān)鍵風(fēng)險指標(biāo)可分為風(fēng)險指標(biāo)(KRI)、控制指標(biāo)(KCI)。以變更管理的風(fēng)險管理指標(biāo)，可設(shè)置緊急變更次數(shù)、變更失敗比例、變更導(dǎo)致的事件數(shù)量等，針對每個變更管理風(fēng)險管理指標(biāo)，制定出相應(yīng)的控制指標(biāo)，如預(yù)警閥值和容忍閥值。

5結(jié)語

本文從IT風(fēng)險管理框架和風(fēng)險評估實踐兩個方面，分別闡述了企業(yè)實施IT風(fēng)險管理的重點和實施方法。通過直觀的圖表清晰地展現(xiàn)了企業(yè)IT風(fēng)險管理體系的結(jié)構(gòu)、關(guān)聯(lián)和主要活動。同時結(jié)合多年對信息安全風(fēng)險管理理論和實踐的研究，較為全面和具體地提出了企業(yè)IT風(fēng)險管理實施的步驟建議，旨在為企業(yè)提供切實可行的風(fēng)險管理實踐參考。限于篇幅，本文無法對IT風(fēng)險管理的所有環(huán)節(jié)進(jìn)行深入探討，且不同的企業(yè)有不同的安全需求和偏好，因此在實施IT風(fēng)險管理的過程中還需根據(jù)自身的實際情況應(yīng)地制宜、靈活應(yīng)用。

企業(yè)信息安全評估篇8

云計算（Cloud Computing）是分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網(wǎng)格計算（Grid Computing）的發(fā)展，或者說是這些計算機科學(xué)概念的實現(xiàn)。

云計算不僅帶來了是技術(shù)上的革新，更改變了傳統(tǒng)的管理理念和服務(wù)模式。在云計算時代，人們對資源的管理與利用將會更加集成化，虛擬化，并且不再受時間、地域、物理條件的限制。在全球化背景下，人們可以方便地對云端的資源進(jìn)行統(tǒng)一的管理調(diào)度，還可以利用云端強大的數(shù)據(jù)處理能力進(jìn)行信息的深入開發(fā)。

2 企業(yè)信息安全管理應(yīng)用云計算技術(shù)的必要性分析

從企業(yè)層面來說，目前的信息安全管理出現(xiàn)了許多新問題，比如呈幾何級數(shù)增長的信息需要大型的存儲設(shè)備和處理器進(jìn)行存儲和管理、人們對企業(yè)信息的共享需求日益增多、企業(yè)信息安全管理流程日益繁雜等等，這些都需要云計算技術(shù)加以解決。從外圍環(huán)境來說，如筆者開頭提到的，云計算的發(fā)展普及是大勢所趨，而且云計算技術(shù)主要涉及的就是信息的存儲、管理、開發(fā)等環(huán)節(jié)，企業(yè)作為社會發(fā)展的主要力量，在今后的發(fā)展中不可能離開信息與云計算，尤其是信息安全管理環(huán)節(jié)。

信息安全要掌握主動性原則，越早采取措施越好。因為如果越晚發(fā)現(xiàn)存在的風(fēng)險，那么需要彌補的時間就越長，花費的成本就越多，對企業(yè)的造成的損失也越大。而且企業(yè)信息安全的基礎(chǔ)數(shù)據(jù)、標(biāo)準(zhǔn)往往是在初期設(shè)定好的，如果后期出現(xiàn)問題需要更改，將會耗費巨大的工作量。

基于上述分析，盡管云計算才剛剛到來，但是企業(yè)已經(jīng)有必要將強對云計算的了解和研究，并逐步開始涉及基于云計算的信息安全管理。

3 云計算環(huán)境下信息安全管理的新特點

云計算對信息安全管理的影響主要體現(xiàn)在技術(shù)和管理模式這兩個方面。云計算的特點之一便是高安全性。“云”使用了數(shù)據(jù)多副本容錯、計算節(jié)點同構(gòu)可互換等措施來保障服務(wù)的高可靠性，使用云計算比使用本地計算機可靠。同時，有專業(yè)的團(tuán)隊負(fù)責(zé)云端數(shù)據(jù)的安全維護(hù)，保證云端服務(wù)器的正常運行和信息安全。云計算的構(gòu)成有天然的優(yōu)勢，包括云計算的云端集中管理，超大規(guī)模服務(wù)器的同時運作，還有近期提出的“共有云”、“私有云“等等都從各個方面分散了信息安全的風(fēng)險。

但與之相對應(yīng)的，目前的云端往往存儲著多個用戶的數(shù)據(jù)，而且存儲的數(shù)據(jù)的規(guī)模和設(shè)計范圍都極為廣泛，這樣也就造成了風(fēng)險的集中，一旦出現(xiàn)問題，損失也會加大。

在傳統(tǒng)環(huán)境下，企業(yè)的信息安全管理多是相對封閉的，因為按照一些人的理解就是“越封閉，越安全”。封閉只能是先對的，完全封閉更是不可能的。企業(yè)的運作管理需要時刻保持與外界的交流，其中很大一部分就是信息的交流；而且在信息的價值越來越被人們重視的今天，企業(yè)對自身信息資源的開發(fā)與利用越來越多的展開，在這種背景下談封閉無異于明清時期的“閉關(guān)鎖國”。云計算技術(shù)是以網(wǎng)絡(luò)為基礎(chǔ)的，也就是說是一個相對開放的平臺。根據(jù)目前的發(fā)展來看，在控制好權(quán)限，做好軟硬件維護(hù)的前提下，云計算環(huán)境下（亦或網(wǎng)絡(luò)環(huán)境下）的信息安全管理的安全性是完全可以保障的。

4 云時代的信息安全風(fēng)險管理

云計算環(huán)境下，由于云端與用戶端的功能、作用、管理工作環(huán)節(jié)的不同，云端與用戶端的風(fēng)險來源也會有明顯的不同。

云端的風(fēng)險主要來自實體的、技術(shù)性的，操作性的，用戶端的風(fēng)險則主要來自內(nèi)部人員和組織管理的漏洞。

本文結(jié)合傳統(tǒng)的信息安全評估方法，參照《信息安全管理》（人民郵電出版社），云計算特點，從資產(chǎn)的識別與估價，威脅的識別與評估，脆弱性評估、現(xiàn)有安全控制確認(rèn)的角度給出基于云計算的測評分析方法。

（1）、資產(chǎn)的識別與估價。在云計算環(huán)境下，云服務(wù)商擁有大多數(shù)的實體資產(chǎn)，而企業(yè)用則輸出自己的信息資產(chǎn)。因而在對資產(chǎn)進(jìn)行評估的時候也是雙向的，尤其是信息資產(chǎn)，企業(yè)和云服務(wù)商可能對其價值會有不同的理解。但是雙方又比較能夠達(dá)成一致，因為對信息資產(chǎn)的不同估價涉及到之后對不同價值信息的不同強度的保管。企業(yè)和云服務(wù)商會在信息安全和保管成本之間找到平衡。

（2）、威脅的識別與評估。威脅識別與評估的主要任務(wù)是識別產(chǎn)生威脅的原因、確認(rèn)威脅的目標(biāo)以及評估威脅發(fā)生的可能性。云計算環(huán)境由以往的封閉環(huán)境轉(zhuǎn)變?yōu)殚_放的網(wǎng)絡(luò)環(huán)境，所面臨的威脅更為復(fù)雜。就目前云計算的發(fā)展情況來看，云計算的威脅主要來自人員威脅和系統(tǒng)威脅。谷歌公司、亞馬遜公司和微軟公司的云計算服務(wù)都曾因為代碼編寫失誤、軟件故障、硬件故障等造成中斷，給用戶造成了損失。

（3）脆弱性評估。脆弱性評估一般分為技術(shù)脆弱性、操作脆弱性和管理脆弱性。云計算的脆弱性主要表現(xiàn)在技術(shù)脆弱性方面。云服務(wù)商的平臺都是統(tǒng)一的，就如電腦的操作系統(tǒng)一樣。如果其中某一個小小的文件或者某一句代碼出現(xiàn)問題，都可能對整個系統(tǒng)以及上面運行的服務(wù)造成極大地影響，可以說是牽一發(fā)而動全身。

（4）現(xiàn)有安全控制確認(rèn)。在風(fēng)險評估過程中，應(yīng)當(dāng)識別已有的安全控制措施，分析安全控制措施效力，有效地安全措施繼續(xù)保持，而對于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否被取消，或者用更合適的控制代替。

5 結(jié)語

本文鏈接：http://www.svtrjb.com/v-141-3264.html企業(yè)信息安全評估范文8篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn)，不代表本站觀點，本站不承擔(dān)任何法律責(zé)任。天上不會到餡餅，請大家謹(jǐn)防詐騙！若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。

上一篇：企業(yè)文化管理方案范文8篇

下一篇：青年紀(jì)律教育范文8篇

相關(guān)文章：

飲食調(diào)查報告12-28

學(xué)生禮儀教育培訓(xùn)計劃方案12-28

新學(xué)期的學(xué)習(xí)計劃和目標(biāo)07-26

贊美同學(xué)的句子12-31

房地產(chǎn)實習(xí)報告08-17