王金玨 立信會計師事務(wù)所（特殊普通合伙）江蘇分所

對信息系統(tǒng)管理中信息安全風險評估研究

王金玨 立信會計師事務(wù)所（特殊普通合伙）江蘇分所

隨著信息科學(xué)技術(shù)的逐漸普及，互聯(lián)網(wǎng)技術(shù)已經(jīng)在全球范圍內(nèi)得到了廣泛的應(yīng)用，目前有很多行業(yè)已經(jīng)習(xí)慣使用信息技術(shù)與網(wǎng)絡(luò)操作的方式，網(wǎng)絡(luò)信息技術(shù)已經(jīng)滲透到人們的日常生活以及學(xué)習(xí)之中，為此，加強對信息的安全管理已經(jīng)成為人們關(guān)注的重點，人們對信息安全的要求也逐漸提升。從未來信息化發(fā)展以及信息安全體系的建設(shè)過程中來看，建立完善的、科學(xué)的、合理的信息安全風險評估系統(tǒng)是非常重要的。本文主要分析信息系統(tǒng)管理中信息安全風險，并且探討了信息系統(tǒng)管理中信息安全風險評核手段。

信息系統(tǒng)安全 風險評估 指標體系

近幾年，隨著信息技術(shù)的快速發(fā)展以及網(wǎng)絡(luò)技術(shù)在全世界范圍之內(nèi)的普及，網(wǎng)絡(luò)以及信息系統(tǒng)的穩(wěn)定運行被很多行業(yè)應(yīng)用到各個領(lǐng)域當中，信息技術(shù)幾乎滲透到了社會的各個方面。網(wǎng)絡(luò)信息技術(shù)與信息技術(shù)在說的過程當中對于信息和服務(wù)安全方面的要求是非常重要的，當信息與服務(wù)出現(xiàn)安全問題的時候，會對使用人員產(chǎn)生不利的影響，所以必須加強對信息系統(tǒng)安全的重視。根據(jù)加強對信息系統(tǒng)安全風險評估可以知道信息運行的具體環(huán)境，這樣就可以采取相應(yīng)的措施來有效地提高信息系統(tǒng)的安全性。

1 信息安全風險在信息系統(tǒng)管理中分析

1.1 信息系統(tǒng)與信息安全彼此之間的關(guān)聯(lián)

信息系統(tǒng)主要是由計算機以及其他的設(shè)備組成的，在使用的過程當中可以根據(jù)事先制定好的目標，對信息進行收集保存、儲存、傳輸?shù)裙δ?，在運行的過程當中可以將人與計算機結(jié)合在一起，其中非常關(guān)鍵的部分就是計算機技術(shù)以及網(wǎng)絡(luò)技術(shù)。信息安全主要包括數(shù)據(jù)信息的完整性、可操作性、信息的嚴密性。信息系統(tǒng)當中的信息安全主要指的是使用人員、互聯(lián)網(wǎng)以及信息運行環(huán)境有關(guān)的操作安全技術(shù)、信息的安全監(jiān)督管理等，在有效地保障信息傳輸過程中安全性的同時，還可以有效地保障信息的完整性、嚴密性。

1.2 威脅評估

互聯(lián)網(wǎng)技術(shù)在使用的過程當中具有全球性、開放性的優(yōu)點，在方便人們?nèi)粘Ｉ畹耐瑫r，還對信息系統(tǒng)的安全性帶來了很大的影響。部分影響可能是人為故意產(chǎn)生的，也有可能是因為偶然的事件而導(dǎo)致系統(tǒng)收到攻擊。部分威脅還可以通過組織的資產(chǎn)而引發(fā)人們不希望發(fā)生的事件，這樣就會威脅到信息系統(tǒng)的安全性。對信息系統(tǒng)運行過程當中信息資產(chǎn)可能受到的危害進行評估被稱作是威脅評估。因為每一個信息在運行的過程當中都可能會受到多方面的威脅，并且每一種威脅都會利用信息自身的脆弱性而產(chǎn)生不利的影響。對信息系統(tǒng)安全造成威脅的負擔有環(huán)境因素還是有人為因素。所以，必須要對信息運行過程當中的每一項資產(chǎn)都加強威脅識別。

2 信息系統(tǒng)管理中信息安全風險評核手段

2.1 信息安全風險評核具體內(nèi)容

信息系統(tǒng)的安全風險評估大體上主要包括評估資產(chǎn)的安全性以及脆弱性，對已經(jīng)制定的安全措施進行風險評估。信息資產(chǎn)主要指的是信息產(chǎn)生的機頂應(yīng)用價值，信息資產(chǎn)時對信息系統(tǒng)進行安全評估的過程當中非常重要的保護目標，其中主要包括人力、相關(guān)信息、軟件以及硬件等方面，按照信息相關(guān)的安全性、可操作性進行安全評估等級劃分，對信息系統(tǒng)中整體的信息資產(chǎn)進行安全評估，其主要的目的是對安全風險的要求進行分析，根據(jù)存在的安全風險創(chuàng)建風險防范措施，這樣就可以有效地降低信息安全的威脅性。

2.2 信息安全風險

對信息系統(tǒng)的信息安全進行風險評估主要是在各種設(shè)備的安全運作前提下進行的，在既定的時間之內(nèi)，黑客可以使用網(wǎng)絡(luò)安全風險中比較脆弱的部分對整個網(wǎng)絡(luò)系統(tǒng)進行攻擊，非法獲得重要信息的訪問權(quán)限，這樣就會使得與信息有關(guān)的對象安全性失去相應(yīng)的作用，引發(fā)非常嚴重的網(wǎng)絡(luò)安全風險，這樣就會導(dǎo)致客戶的信息被竊取，導(dǎo)致嚴重的后果。對于信息系統(tǒng)來講，信息在傳輸?shù)倪^程當中安全風險的產(chǎn)生不是不安全的體現(xiàn)，因為存在的風險只要可以控制就表示系統(tǒng)可以穩(wěn)定地運行。信息安全風險的評估可以為信息系統(tǒng)的安全運行提供有效的保障，為信息安全系統(tǒng)的運行提供有效的技術(shù)支持。

2.3 層次分析方法

在建立完善的信息安全評估體系的時候，可以使用層次分析的方法對信息系統(tǒng)中的安全風險進行評價。為了能夠給信息系統(tǒng)信息安全的風險評估提供有效的依據(jù)，可以通過使用層次分析的方法對信息安全中的風險進行有效的評價，在分析的過程當中可以結(jié)合網(wǎng)絡(luò)信息所有要素的排序情況進行橫向的比較分析，這樣就可以評估信息安全存在的風險。在對信息安全風險進行評估的過程當中使用層次分析法可以有效地提高風險評估的科學(xué)性以及準確性。

3 結(jié)束語

綜上所述，在這個信息管理系統(tǒng)進行安全風險評估的過程當中，通過對信息安全風險評估的主體進行研究，在評估的過程當中使用層次分析法可以對風險進行有效的評價，這樣就可以有效解決信息系統(tǒng)管理過程當中存在的安全風險。通過對信息系統(tǒng)進行風險評價可以對存在的風險進行等級劃分，這樣就可以制定出合理的解決措施，有效地實現(xiàn)降低信息安全風險的效果，通過對信息系統(tǒng)當中各種要素進行合理的排序，就可以很快地找出信息系統(tǒng)當中存在的薄弱部分，并且使用相應(yīng)的安全措施加以完善，這樣就可以有效地保障信息系統(tǒng)管理過程當中信息的安全性。

[1] 黃仲. 信息安全風險評估發(fā)展現(xiàn)狀及前景分析[J]. 企業(yè)科技與發(fā)展. 2014（14）.

[2] 張良乾. 信息系統(tǒng)信息安全風險管理方法研究[J]. 信息通信，2014，05（12）：158.