陳瑜

摘要：隨著信息時代的到來，信息化技術(shù)在企業(yè)中發(fā)揮的作用愈發(fā)重要，在目前的網(wǎng)絡(luò)環(huán)境中，大量的病毒頻繁地攻擊企業(yè)的信息系統(tǒng)，甚至造成系統(tǒng)無法及時處理攻擊的情況。因此，企業(yè)信息安全應(yīng)變被動處理為主動防御，在信息系統(tǒng)中建立風(fēng)險(xiǎn)管理框架，合理利用企業(yè)內(nèi)部資源，提高企業(yè)信息系統(tǒng)安全性。本文將對企業(yè)信息安全風(fēng)險(xiǎn)管理的框架進(jìn)行研究，探討企業(yè)信息安全風(fēng)險(xiǎn)管理的需求、過程以及實(shí)施等細(xì)節(jié)。

Abstract： With the advent of the information age， information technology plays an increasingly important role in the enterprise， and in the current network environment， a large number of virus frequently attacks the enterprise's information system， and even cause system cannot deal with the attacks. Therefore， the enterprise information security should change passive treatment into active defense， establish risk management framework in the information system， rationally use internal resources， and improve enterprise information system security. In this paper， the framework of enterprise information security risk management is studied， and the requirements， process and implementation of enterprise information security risk management are discussed.

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)管理；框架探究

Key words： information security；risk management；framework research

中圖分類號：F270 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2017）18-0053-03

0 引言

在社會不斷發(fā)展的同時，信息化技術(shù)也獲得了長足的進(jìn)步，并且已經(jīng)廣泛地應(yīng)用到人們的生活與工作中。對于企業(yè)單位而言，信息資源是保證正常運(yùn)營的關(guān)鍵因素，企業(yè)運(yùn)營的重要數(shù)據(jù)、客戶資料以及知識產(chǎn)權(quán)等信息都是重要的信息資源，這些資源一旦泄露或丟失，會對企業(yè)造成極大的影響。因此，企業(yè)必須重視自身信息系統(tǒng)安全風(fēng)險(xiǎn)管理的框架的建設(shè)，有效防止來自網(wǎng)絡(luò)的惡意攻擊，防止內(nèi)部重要信息泄露或丟失，保證企業(yè)信息安全。

1 企業(yè)信息安全實(shí)踐的需求分析

在信息時代的大背景下，企業(yè)的信息化程度是衡量其發(fā)展水平的重要因素。但是，我國的信息安全形勢不容樂觀，大部分企業(yè)沒有樹立信息安全風(fēng)險(xiǎn)管理概念，企業(yè)的信息安全無法得到良好的保障。信息安全是一項(xiàng)綜合性的工程，不能僅憑企業(yè)短期內(nèi)需要就采取某些措施，無法從根本上提高信息安全水平。想要做好企業(yè)信息安全實(shí)踐工作，必須事先做好企業(yè)對信息安全的需求分析，形成全面的分析報(bào)告，并根據(jù)報(bào)告中的內(nèi)容采取相應(yīng)的措施，改善企業(yè)信息安全現(xiàn)狀。但是，需求分析的具體過程也不是始終不變的，而是會根據(jù)企業(yè)的發(fā)展與信息技術(shù)的進(jìn)步發(fā)生改變的。信息安全風(fēng)險(xiǎn)的獨(dú)特性必須在框架中體現(xiàn)出來。信息安全風(fēng)險(xiǎn)源于信息，信息本身具有不斷發(fā)生變化的特性，從其以數(shù)據(jù)的形勢出現(xiàn)開始，直至在各項(xiàng)功能中發(fā)揮相關(guān)的作用，這個周期內(nèi)的每個階段都有相應(yīng)的價值。信息安全管理就是要對企業(yè)的信息資源進(jìn)行全面的保護(hù)，避免因這些資源受到損失而對企業(yè)的運(yùn)營造成影響。企業(yè)信息安全風(fēng)險(xiǎn)管理框架中，必須能夠發(fā)現(xiàn)信息資源即將受到的威脅，評估這些威脅會對信息資源造成的后果，以確定應(yīng)對這些威脅的順序。在制定風(fēng)險(xiǎn)計(jì)劃時，需要明確對于風(fēng)險(xiǎn)的應(yīng)對方式以及合理的控制措施。在風(fēng)險(xiǎn)的監(jiān)督與改進(jìn)過程中，需要根據(jù)這些風(fēng)險(xiǎn)采取適當(dāng)?shù)谋O(jiān)控手段。總之，在此過程框架每個過程要素的分析中，都必須體現(xiàn)信息安全風(fēng)險(xiǎn)的獨(dú)特性。

2 企業(yè)信息安全風(fēng)險(xiǎn)的類型及內(nèi)容

一般來說，在企業(yè)運(yùn)營過程中，信息安全系統(tǒng)通常面臨以下風(fēng)險(xiǎn)因素：

①因線路故障、停電、網(wǎng)絡(luò)通信設(shè)備損壞等導(dǎo)致網(wǎng)絡(luò)突然中斷。

②網(wǎng)站遭到非法攻擊，主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規(guī)、歪曲事實(shí)、散布謠言的言論，以及破壞社會穩(wěn)定、損害公司名譽(yù)的不當(dāng)言論等。

③公司內(nèi)部網(wǎng)絡(luò)服務(wù)器或他服務(wù)器被非法入侵，相關(guān)網(wǎng)絡(luò)設(shè)置被非法拷貝、修改、刪除，發(fā)生泄密事件。

④公司內(nèi)外網(wǎng)終端混用，被國網(wǎng)公司信息管理部門查處，造成公司信息泄露、丟失事件。

信息系統(tǒng)是企業(yè)正常開展生產(chǎn)運(yùn)營工作的基本前提，信息管理系統(tǒng)一旦出現(xiàn)問題，輕則影響企業(yè)內(nèi)部業(yè)務(wù)項(xiàng)目的正常進(jìn)行，重則導(dǎo)致企業(yè)蒙受巨大的經(jīng)濟(jì)虧損。因此，針對信息安全風(fēng)險(xiǎn)加強(qiáng)管控對企業(yè)來說意義重大。

3 企業(yè)信息安全風(fēng)險(xiǎn)管理方案

3.1 建立信息安全風(fēng)險(xiǎn)管理流程

企業(yè)信息安全風(fēng)險(xiǎn)管理工作可按照圖1所示流程逐步展開。

3.2 完善信息安全風(fēng)險(xiǎn)管理措施

對信息安全風(fēng)險(xiǎn)的管理可以以階段化的管理模式逐步展開，具體措施如下：

3.2.1 實(shí)施準(zhǔn)備階段

信息安全風(fēng)險(xiǎn)管理實(shí)施的準(zhǔn)備階段主要包括管理開端的建立、風(fēng)險(xiǎn)評估以及制定行動方案三個步驟。第一，在管理開端的建立中，首先要獲得企業(yè)管理部門與業(yè)務(wù)部門的支持，并且建立完善的管理質(zhì)素，明確參與到管理過程中的工作人員的職責(zé)；第二，在風(fēng)險(xiǎn)評估步驟中，首先，確定風(fēng)險(xiǎn)評估對象的范圍，其次，確定評估小組的成員，并且制定評估方案；最后，對評估小組成員進(jìn)行與評估方案有關(guān)的培訓(xùn)。在這些準(zhǔn)備工作結(jié)束后，評估人員就可以開始通過訪談或調(diào)查的形式來確定公司信息資源的具體情況，明確用戶對信息安全的需求。再通過對風(fēng)險(xiǎn)進(jìn)行識別與分析，發(fā)現(xiàn)企業(yè)信息系統(tǒng)中存在的風(fēng)險(xiǎn)。第三，在制定行動方案的步驟中，需要完成保護(hù)方案的制定以及確定風(fēng)險(xiǎn)處理方式兩部分工作。通常情況下，保護(hù)方案就是需要企業(yè)長期持續(xù)執(zhí)行，能夠幫助企業(yè)保證自身信息安全的方案，但不足以滿足企業(yè)在短期內(nèi)提高信息安全性的需求。因此，企業(yè)必須對所有控制措施制定相應(yīng)的處理方式，在短期內(nèi)解決企業(yè)最需要解決的問題。

3.2.2 部署與執(zhí)行階段

行動的部署與執(zhí)行階段主要有計(jì)劃的部署與安全培訓(xùn)兩方面工作組成。第一，行動計(jì)劃部署。在這個過程中，安全風(fēng)險(xiǎn)管理計(jì)劃中的所有措施都必須被執(zhí)行，需要對具體行動方案進(jìn)行必要的理解并執(zhí)行。首先，要與企業(yè)中的員工進(jìn)行事先溝通，防止在實(shí)施中遇到反對或抵觸的情緒。其次，確保被安排到行動計(jì)劃的員工能夠把握這些工作的優(yōu)先級。此外，必須制定行動執(zhí)行保障制度，為計(jì)劃執(zhí)行準(zhǔn)備足夠的資源，以保證計(jì)劃順利執(zhí)行。第二，安全培訓(xùn)工作的實(shí)施。在企業(yè)內(nèi)部，從事安全風(fēng)險(xiǎn)管理工作的員工有時會將普通工作人員視為技術(shù)人員，顯然這種想法是有問題的，并不是企業(yè)內(nèi)的所有員工都了解信息安全風(fēng)險(xiǎn)管理。所以，我們必須了解企業(yè)中大部分員工知識利用信息系統(tǒng)完成自己的工作任務(wù)，信息安全的保護(hù)是需要專業(yè)的信息安全人員進(jìn)行的。所以，企業(yè)必須組織安全培訓(xùn)，通過培訓(xùn)提高員工安全意識，保證他們在信息系統(tǒng)遇到危險(xiǎn)時能夠采取一些有效的行動，對系統(tǒng)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。

3.2.3 風(fēng)險(xiǎn)監(jiān)督檢查階段

在信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)中，必須組建風(fēng)險(xiǎn)監(jiān)督小組，在風(fēng)險(xiǎn)管理的整個過程中對其進(jìn)行監(jiān)督與檢查，小組應(yīng)由小組負(fù)責(zé)人與檢查人員組成。實(shí)施風(fēng)險(xiǎn)監(jiān)督檢查的目的就是為了掌握企業(yè)信息安全的實(shí)際狀態(tài)，并且收集信息安全環(huán)境變更信息，方便對未來的風(fēng)險(xiǎn)進(jìn)行預(yù)測。風(fēng)險(xiǎn)監(jiān)督小組在獲得這些信息后，必須及時向風(fēng)險(xiǎn)管理團(tuán)隊(duì)反饋，確保他們能夠掌握企業(yè)最近的信息安全狀態(tài)。

3.2.4 風(fēng)險(xiǎn)改進(jìn)階段

在這一階段，我們必須做好以下工作：制定詳細(xì)的風(fēng)險(xiǎn)改進(jìn)措施。風(fēng)險(xiǎn)管理團(tuán)隊(duì)需要根據(jù)企業(yè)的信息安全狀態(tài)制定詳細(xì)的風(fēng)險(xiǎn)改進(jìn)措施。通過對監(jiān)督檢查過程中發(fā)現(xiàn)的問題進(jìn)行分析，可以找出導(dǎo)致問題產(chǎn)生的原因，制定相應(yīng)的改進(jìn)措施并限期完成，檢查人員則要負(fù)責(zé)對具體的實(shí)施情況進(jìn)行檢查。在改進(jìn)過程中，需要注意的是，改進(jìn)措施必須獲得最高管理者的批準(zhǔn)，特別是關(guān)系到整個企業(yè)或大多數(shù)部門的改進(jìn)措施。風(fēng)險(xiǎn)監(jiān)督小組必須隨時跟蹤糾正措施實(shí)施情況，驗(yàn)證改進(jìn)措施的執(zhí)行是否符合標(biāo)準(zhǔn)。

3.3 建立企業(yè)信息安全風(fēng)險(xiǎn)評估體系，促進(jìn)信息管理工作不斷優(yōu)化改進(jìn)

3.3.1 明確信息安全風(fēng)險(xiǎn)評估流程

企業(yè)信息安全風(fēng)險(xiǎn)評估工作可以參照圖2逐步實(shí)行。

3.3.2 信息安全風(fēng)險(xiǎn)的計(jì)算及處理措施

企業(yè)的風(fēng)險(xiǎn)可以通過多種計(jì)算方法得到，但通常資產(chǎn)的風(fēng)險(xiǎn)值可以定義為：風(fēng)險(xiǎn)值=f（安全事件發(fā)生的可能性，安全事件發(fā)生的危害性）=g（資產(chǎn)，威脅，脆弱性，已實(shí)施的控制措施）。評估人員根據(jù)這樣的函數(shù)形式，可以采用一種類似5×5形式的矩陣來計(jì)算風(fēng)險(xiǎn)，其中行和列分別代表了安全事件發(fā)生的可能性或發(fā)生的危害性等級。當(dāng)然，評估人員為了細(xì)化這些風(fēng)險(xiǎn)可以采用維數(shù)更多（更細(xì)）的矩陣。

4 結(jié)論及建議

企業(yè)通過信息安全風(fēng)險(xiǎn)管理的實(shí)施，能夠確定長時間的安全風(fēng)險(xiǎn)管理計(jì)劃，并且可以有效地緩解企業(yè)信息系統(tǒng)中的安全風(fēng)險(xiǎn)，提高工作人員對與信息安全風(fēng)險(xiǎn)的認(rèn)識，建立健康的安全風(fēng)險(xiǎn)管理氛圍，推動企業(yè)信息化發(fā)展。

另外，建議企業(yè)在實(shí)施信息風(fēng)險(xiǎn)管理的同時，及時建立信息安全風(fēng)險(xiǎn)預(yù)警系統(tǒng)，特別要加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理，充分發(fā)揮技術(shù)支撐、機(jī)制保障作用，不斷完善預(yù)防與搶險(xiǎn)相結(jié)合，有效地預(yù)防和減少信息系統(tǒng)安全事故的發(fā)生，保障信息安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]王淳萱.大數(shù)據(jù)環(huán)境下國有企業(yè)的信息安全探析[J].冶金經(jīng)濟(jì)與管理，2016（02）.

[2]惠志斌.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)路徑[J].科技管理研究，2014（02）.

[3]周家文.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)探討[J].科技展望，2015（32）.