企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究

陳瑜

摘要：隨著信息時(shí)代的到來(lái)，信息化技術(shù)在企業(yè)中發(fā)揮的作用愈發(fā)重要，在目前的網(wǎng)絡(luò)環(huán)境中，大量的病毒頻繁地攻擊企業(yè)的信息系統(tǒng)，甚至造成系統(tǒng)無(wú)法及時(shí)處理攻擊的情況。因此，企業(yè)信息安全應(yīng)變被動(dòng)處理為主動(dòng)防御，在信息系統(tǒng)中建立風(fēng)險(xiǎn)管理框架，合理利用企業(yè)內(nèi)部資源，提高企業(yè)信息系統(tǒng)安全性。本文將對(duì)企業(yè)信息安全風(fēng)險(xiǎn)管理的框架進(jìn)行研究，探討企業(yè)信息安全風(fēng)險(xiǎn)管理的需求、過(guò)程以及實(shí)施等細(xì)節(jié)。

Abstract： With the advent of the information age， information technology plays an increasingly important role in the enterprise， and in the current network environment， a large number of virus frequently attacks the enterprise's information system， and even cause system cannot deal with the attacks. Therefore， the enterprise information security should change passive treatment into active defense， establish risk management framework in the information system， rationally use internal resources， and improve enterprise information system security. In this paper， the framework of enterprise information security risk management is studied， and the requirements， process and implementation of enterprise information security risk management are discussed.

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)管理；框架探究

Key words： information security；risk management；framework research

中圖分類(lèi)號(hào)：F270 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2017）18-0053-03

0 引言

在社會(huì)不斷發(fā)展的同時(shí)，信息化技術(shù)也獲得了長(zhǎng)足的進(jìn)步，并且已經(jīng)廣泛地應(yīng)用到人們的生活與工作中。對(duì)于企業(yè)單位而言，信息資源是保證正常運(yùn)營(yíng)的關(guān)鍵因素，企業(yè)運(yùn)營(yíng)的重要數(shù)據(jù)、客戶資料以及知識(shí)產(chǎn)權(quán)等信息都是重要的信息資源，這些資源一旦泄露或丟失，會(huì)對(duì)企業(yè)造成極大的影響。因此，企業(yè)必須重視自身信息系統(tǒng)安全風(fēng)險(xiǎn)管理的框架的建設(shè)，有效防止來(lái)自網(wǎng)絡(luò)的惡意攻擊，防止內(nèi)部重要信息泄露或丟失，保證企業(yè)信息安全。

1 企業(yè)信息安全實(shí)踐的需求分析

在信息時(shí)代的大背景下，企業(yè)的信息化程度是衡量其發(fā)展水平的重要因素。但是，我國(guó)的信息安全形勢(shì)不容樂(lè)觀，大部分企業(yè)沒(méi)有樹(shù)立信息安全風(fēng)險(xiǎn)管理概念，企業(yè)的信息安全無(wú)法得到良好的保障。信息安全是一項(xiàng)綜合性的工程，不能僅憑企業(yè)短期內(nèi)需要就采取某些措施，無(wú)法從根本上提高信息安全水平。想要做好企業(yè)信息安全實(shí)踐工作，必須事先做好企業(yè)對(duì)信息安全的需求分析，形成全面的分析報(bào)告，并根據(jù)報(bào)告中的內(nèi)容采取相應(yīng)的措施，改善企業(yè)信息安全現(xiàn)狀。但是，需求分析的具體過(guò)程也不是始終不變的，而是會(huì)根據(jù)企業(yè)的發(fā)展與信息技術(shù)的進(jìn)步發(fā)生改變的。信息安全風(fēng)險(xiǎn)的獨(dú)特性必須在框架中體現(xiàn)出來(lái)。信息安全風(fēng)險(xiǎn)源于信息，信息本身具有不斷發(fā)生變化的特性，從其以數(shù)據(jù)的形勢(shì)出現(xiàn)開(kāi)始，直至在各項(xiàng)功能中發(fā)揮相關(guān)的作用，這個(gè)周期內(nèi)的每個(gè)階段都有相應(yīng)的價(jià)值。信息安全管理就是要對(duì)企業(yè)的信息資源進(jìn)行全面的保護(hù)，避免因這些資源受到損失而對(duì)企業(yè)的運(yùn)營(yíng)造成影響。企業(yè)信息安全風(fēng)險(xiǎn)管理框架中，必須能夠發(fā)現(xiàn)信息資源即將受到的威脅，評(píng)估這些威脅會(huì)對(duì)信息資源造成的后果，以確定應(yīng)對(duì)這些威脅的順序。在制定風(fēng)險(xiǎn)計(jì)劃時(shí)，需要明確對(duì)于風(fēng)險(xiǎn)的應(yīng)對(duì)方式以及合理的控制措施。在風(fēng)險(xiǎn)的監(jiān)督與改進(jìn)過(guò)程中，需要根據(jù)這些風(fēng)險(xiǎn)采取適當(dāng)?shù)谋O(jiān)控手段?？傊?，在此過(guò)程框架每個(gè)過(guò)程要素的分析中，都必須體現(xiàn)信息安全風(fēng)險(xiǎn)的獨(dú)特性。

2 企業(yè)信息安全風(fēng)險(xiǎn)的類(lèi)型及內(nèi)容

一般來(lái)說(shuō)，在企業(yè)運(yùn)營(yíng)過(guò)程中，信息安全系統(tǒng)通常面臨以下風(fēng)險(xiǎn)因素：

①因線路故障、停電、網(wǎng)絡(luò)通信設(shè)備損壞等導(dǎo)致網(wǎng)絡(luò)突然中斷。

②網(wǎng)站遭到非法攻擊，主頁(yè)被惡意篡改或者被非法植入煽動(dòng)國(guó)家分裂或抗拒法律法規(guī)、歪曲事實(shí)、散布謠言的言論，以及破壞社會(huì)穩(wěn)定、損害公司名譽(yù)的不當(dāng)言論等。

③公司內(nèi)部網(wǎng)絡(luò)服務(wù)器或他服務(wù)器被非法入侵，相關(guān)網(wǎng)絡(luò)設(shè)置被非法拷貝、修改、刪除，發(fā)生泄密事件。

④公司內(nèi)外網(wǎng)終端混用，被國(guó)網(wǎng)公司信息管理部門(mén)查處，造成公司信息泄露、丟失事件。

信息系統(tǒng)是企業(yè)正常開(kāi)展生產(chǎn)運(yùn)營(yíng)工作的基本前提，信息管理系統(tǒng)一旦出現(xiàn)問(wèn)題，輕則影響企業(yè)內(nèi)部業(yè)務(wù)項(xiàng)目的正常進(jìn)行，重則導(dǎo)致企業(yè)蒙受巨大的經(jīng)濟(jì)虧損。因此，針對(duì)信息安全風(fēng)險(xiǎn)加強(qiáng)管控對(duì)企業(yè)來(lái)說(shuō)意義重大。

3 企業(yè)信息安全風(fēng)險(xiǎn)管理方案

3.1 建立信息安全風(fēng)險(xiǎn)管理流程

企業(yè)信息安全風(fēng)險(xiǎn)管理工作可按照?qǐng)D1所示流程逐步展開(kāi)。

3.2 完善信息安全風(fēng)險(xiǎn)管理措施

對(duì)信息安全風(fēng)險(xiǎn)的管理可以以階段化的管理模式逐步展開(kāi)，具體措施如下：

3.2.1 實(shí)施準(zhǔn)備階段

信息安全風(fēng)險(xiǎn)管理實(shí)施的準(zhǔn)備階段主要包括管理開(kāi)端的建立、風(fēng)險(xiǎn)評(píng)估以及制定行動(dòng)方案三個(gè)步驟。第一，在管理開(kāi)端的建立中，首先要獲得企業(yè)管理部門(mén)與業(yè)務(wù)部門(mén)的支持，并且建立完善的管理質(zhì)素，明確參與到管理過(guò)程中的工作人員的職責(zé)；第二，在風(fēng)險(xiǎn)評(píng)估步驟中，首先，確定風(fēng)險(xiǎn)評(píng)估對(duì)象的范圍，其次，確定評(píng)估小組的成員，并且制定評(píng)估方案；最后，對(duì)評(píng)估小組成員進(jìn)行與評(píng)估方案有關(guān)的培訓(xùn)。在這些準(zhǔn)備工作結(jié)束后，評(píng)估人員就可以開(kāi)始通過(guò)訪談或調(diào)查的形式來(lái)確定公司信息資源的具體情況，明確用戶對(duì)信息安全的需求。再通過(guò)對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別與分析，發(fā)現(xiàn)企業(yè)信息系統(tǒng)中存在的風(fēng)險(xiǎn)。第三，在制定行動(dòng)方案的步驟中，需要完成保護(hù)方案的制定以及確定風(fēng)險(xiǎn)處理方式兩部分工作。通常情況下，保護(hù)方案就是需要企業(yè)長(zhǎng)期持續(xù)執(zhí)行，能夠幫助企業(yè)保證自身信息安全的方案，但不足以滿足企業(yè)在短期內(nèi)提高信息安全性的需求。因此，企業(yè)必須對(duì)所有控制措施制定相應(yīng)的處理方式，在短期內(nèi)解決企業(yè)最需要解決的問(wèn)題。

3.2.2 部署與執(zhí)行階段

行動(dòng)的部署與執(zhí)行階段主要有計(jì)劃的部署與安全培訓(xùn)兩方面工作組成。第一，行動(dòng)計(jì)劃部署。在這個(gè)過(guò)程中，安全風(fēng)險(xiǎn)管理計(jì)劃中的所有措施都必須被執(zhí)行，需要對(duì)具體行動(dòng)方案進(jìn)行必要的理解并執(zhí)行。首先，要與企業(yè)中的員工進(jìn)行事先溝通，防止在實(shí)施中遇到反對(duì)或抵觸的情緒。其次，確保被安排到行動(dòng)計(jì)劃的員工能夠把握這些工作的優(yōu)先級(jí)。此外，必須制定行動(dòng)執(zhí)行保障制度，為計(jì)劃執(zhí)行準(zhǔn)備足夠的資源，以保證計(jì)劃順利執(zhí)行。第二，安全培訓(xùn)工作的實(shí)施。在企業(yè)內(nèi)部，從事安全風(fēng)險(xiǎn)管理工作的員工有時(shí)會(huì)將普通工作人員視為技術(shù)人員，顯然這種想法是有問(wèn)題的，并不是企業(yè)內(nèi)的所有員工都了解信息安全風(fēng)險(xiǎn)管理。所以，我們必須了解企業(yè)中大部分員工知識(shí)利用信息系統(tǒng)完成自己的工作任務(wù)，信息安全的保護(hù)是需要專(zhuān)業(yè)的信息安全人員進(jìn)行的。所以，企業(yè)必須組織安全培訓(xùn)，通過(guò)培訓(xùn)提高員工安全意識(shí)，保證他們?cè)谛畔⑾到y(tǒng)遇到危險(xiǎn)時(shí)能夠采取一些有效的行動(dòng)，對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。

3.2.3 風(fēng)險(xiǎn)監(jiān)督檢查階段

在信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)中，必須組建風(fēng)險(xiǎn)監(jiān)督小組，在風(fēng)險(xiǎn)管理的整個(gè)過(guò)程中對(duì)其進(jìn)行監(jiān)督與檢查，小組應(yīng)由小組負(fù)責(zé)人與檢查人員組成。實(shí)施風(fēng)險(xiǎn)監(jiān)督檢查的目的就是為了掌握企業(yè)信息安全的實(shí)際狀態(tài)，并且收集信息安全環(huán)境變更信息，方便對(duì)未來(lái)的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)。風(fēng)險(xiǎn)監(jiān)督小組在獲得這些信息后，必須及時(shí)向風(fēng)險(xiǎn)管理團(tuán)隊(duì)反饋，確保他們能夠掌握企業(yè)最近的信息安全狀態(tài)。

3.2.4 風(fēng)險(xiǎn)改進(jìn)階段

在這一階段，我們必須做好以下工作：制定詳細(xì)的風(fēng)險(xiǎn)改進(jìn)措施。風(fēng)險(xiǎn)管理團(tuán)隊(duì)需要根據(jù)企業(yè)的信息安全狀態(tài)制定詳細(xì)的風(fēng)險(xiǎn)改進(jìn)措施。通過(guò)對(duì)監(jiān)督檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行分析，可以找出導(dǎo)致問(wèn)題產(chǎn)生的原因，制定相應(yīng)的改進(jìn)措施并限期完成，檢查人員則要負(fù)責(zé)對(duì)具體的實(shí)施情況進(jìn)行檢查。在改進(jìn)過(guò)程中，需要注意的是，改進(jìn)措施必須獲得最高管理者的批準(zhǔn)，特別是關(guān)系到整個(gè)企業(yè)或大多數(shù)部門(mén)的改進(jìn)措施。風(fēng)險(xiǎn)監(jiān)督小組必須隨時(shí)跟蹤糾正措施實(shí)施情況，驗(yàn)證改進(jìn)措施的執(zhí)行是否符合標(biāo)準(zhǔn)。

3.3 建立企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估體系，促進(jìn)信息管理工作不斷優(yōu)化改進(jìn)

3.3.1 明確信息安全風(fēng)險(xiǎn)評(píng)估流程

企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作可以參照?qǐng)D2逐步實(shí)行。

3.3.2 信息安全風(fēng)險(xiǎn)的計(jì)算及處理措施

企業(yè)的風(fēng)險(xiǎn)可以通過(guò)多種計(jì)算方法得到，但通常資產(chǎn)的風(fēng)險(xiǎn)值可以定義為：風(fēng)險(xiǎn)值=f（安全事件發(fā)生的可能性，安全事件發(fā)生的危害性）=g（資產(chǎn)，威脅，脆弱性，已實(shí)施的控制措施）。評(píng)估人員根據(jù)這樣的函數(shù)形式，可以采用一種類(lèi)似5×5形式的矩陣來(lái)計(jì)算風(fēng)險(xiǎn)，其中行和列分別代表了安全事件發(fā)生的可能性或發(fā)生的危害性等級(jí)。當(dāng)然，評(píng)估人員為了細(xì)化這些風(fēng)險(xiǎn)可以采用維數(shù)更多（更細(xì)）的矩陣。

4 結(jié)論及建議

企業(yè)通過(guò)信息安全風(fēng)險(xiǎn)管理的實(shí)施，能夠確定長(zhǎng)時(shí)間的安全風(fēng)險(xiǎn)管理計(jì)劃，并且可以有效地緩解企業(yè)信息系統(tǒng)中的安全風(fēng)險(xiǎn)，提高工作人員對(duì)與信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)，建立健康的安全風(fēng)險(xiǎn)管理氛圍，推動(dòng)企業(yè)信息化發(fā)展。

另外，建議企業(yè)在實(shí)施信息風(fēng)險(xiǎn)管理的同時(shí)，及時(shí)建立信息安全風(fēng)險(xiǎn)預(yù)警系統(tǒng)，特別要加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理，充分發(fā)揮技術(shù)支撐、機(jī)制保障作用，不斷完善預(yù)防與搶險(xiǎn)相結(jié)合，有效地預(yù)防和減少信息系統(tǒng)安全事故的發(fā)生，保障信息安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]王淳萱.大數(shù)據(jù)環(huán)境下國(guó)有企業(yè)的信息安全探析[J].冶金經(jīng)濟(jì)與管理，2016（02）.

[2]惠志斌.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)路徑[J].科技管理研究，2014（02）.

[3]周家文.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)探討[J].科技展望，2015（32）.