HI,欢迎来到好期刊网,发表咨询:400-888-9411 订阅咨询:400-888-1571证券代码(211862)

信息安全风险管理集锦9篇

时间:2022-06-10 01:58:35

信息安全风险管理

信息安全风险管理范文1

关键词:信息安全;安全生产风险管理体系;风险评估;风险控制

0引言

随着信息化建设的飞速发展和普及,各行各业的网络化、信息化水平显著提高,无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持,在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性,关系企业或国家机密,一旦面临威胁和遭遇攻击,就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域,信息安全风险管理依然研究不够深入,较多采取的基于问题的管理方式,遭到攻击或同类行业遭到攻击后,进行系统排查,查找系统漏洞,然后堵住漏洞,这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线,只有事前做好各类防范和应急处置,管控风险是实现安全生产的重要保证,在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系,降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。

1风险管理体系概述

1.1安全生产风险管理体系概念

安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上,基于电网实际情况提出的了一种安全生产风险管理思路和方法,以风险管控为主线、以“计划-实施-检查-改进(PDCA)“闭环管理为原则,系统地提出了安全生产管理的具体内容,指明了风险管控的目标、规范要求和管理途径,为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”:基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计;系统性是指企业在设计管理系统框架及业务流程节点时,保证流程节点的充分性并遵循PDCA的闭环管理模式,理清业务与业务之间的输入、输出关系;规范性是指企业应明确各项工作的执行标准,确保执行标准的唯一性、科学性,同时企业各部门、生产单位、班组能够按照标准开展工作,保证企业管理的统一性;持续改进是指企业应建立完善的问题发现机制及问题改进机制,能够及时发现系统运行过程中存在的问题并进行改进,同时不断地完善企业管理系统的策划,实现管理系统的持续改进。自2007年建立以来,全网范围内风险管控方法得到有效应用,安全生产管理基础得到进一步夯实,主要安全生产指标持续向好。

1.2基于风险的信息安全管理框架

南方电网安全生产风险管理体系,为电网企业提供了非常有效的一套安全生产管理方法,其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型,强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进,目前主要应用在电网、设备、作业和职业健康风险管控上,并取得了不错的成绩,也为信息安全管理带来了有益的启示,即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架,探索信息安全风险管理长效机制[4]。

2基于风险的信息安全风险管理体系建立的重要环节

2.1确定风险评估的目标

从管理目的出发,是安全生产风险管理体系的一个重要思想,以目的为导向,分析在现状下实现目的存在的障碍因素,也就是管理关键流程节点,从而确定业务的管理脉络,实现以基于风险的管理思路,最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性,并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性,资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求,满足相关方的要求、满足法律法规的要求等方面[4]。

2.2风险识别

风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险,找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标,同时,由于企业信息化水平的逐步提高,对于信息系统和服务技术的依赖日益增加,企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时,确保信息安全的三性,降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效,因此选择合适的风险评估办法和模型,对信息安全管理来说至关重要。

2.3信息安全风险评估

2.3.1信息安全风险评估模型

风险评估是在确定影响信息安全风险评估的三个维度的基础上,选择定性或者定量的风险评估方法,对识别出的风险发生的可能性或可能导致的后果进行衡量,并根据评估结果划分风险等级,然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险值=R(A,T,V)=R(L(T,V),F(A,V))。

2.3.2信息安全风险评估实施与运行

(1)信息安全风险概述通俗来讲,风险概述就是风险的管理方案,基于风险评估的结果,制定年度风险管控重点工作安排,为年度安全生产工作计划提供方向。概述报告编制时,应充分考虑风险数据的输出应用,为涉及相关单位(部门)的管理提供输入。风险概述报告至少包含以下信息:风险描述、风险范畴、风险细分种类、风险等级和风险控制措施,并按风险等级排序。(2)风险控制风险控制是在风险评估之后,控制措施建议应综合考虑风险控制成本与风险造成的影响,结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择:消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出,优先考虑技术措施。属于组织结构不完善的,建立信息安全组织体系。属于管理措施的融入管理办法,编制各层次的信息安全管理体系文件,包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度,明确管理要求;属于物理安全隐患的,加强机房、门控、安保系统和队伍建设;属于信息系统保护的,纳入信息安全项目建设计划,提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力;属于作业过程执行的措施,将信息安全管控要求纳入作业指导书、“两票”等作业标准,减少人的因素引发的信息安全事故事件;属于人员技能和意识的纳入教育培训计划;属于信息安全应急响应的建立信息安全应急预案或现场处置方案,并按照演练计划开展应急演练[7]。

2.4风险监测

风险控制措施制定后需要对措施的有效性进行评估,年度风险预控措施计划表。风险控制措施应明确责任单位(部门)、责任人、完成时间。在制定风险控制措施时,应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容,制定月度风险监督计划,并明确各项预控措施执行情况的各级监督部门,确保风险措施按计划落实执行。

2.5管理回顾,持续改进

PDCA闭环管理是安全生产风险管理体系核心之一,通过定期开展管理回顾,审视信息安全风险管控的有效性,进而形成长效机制持续改进。在回顾过程中注意以下几个方面:(1)识别变化,优化管控手段企业所面临的内部和外部环境不是一成不变的,当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入;当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案,并保存变化过程的相关资料。(2)建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进,通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面,纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等,并进行根本原因分析,制定纠正或预防措施,通过评估措施的有效性,进行统计输出应用,输出应用到信息安全管理制度、能力与意识提升等各个环节,进而确保企业的信息安全管理水平得到持续提升。

3结语

信息安全风险管理范文2

 

一、引言

 

信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。

 

二、风险评估过程

 

信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。

 

1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。

 

2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。

 

3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。

 

4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。

 

5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。

 

6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。

 

三、系统设计

 

1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。

 

2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。

 

3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。

 

四、结束语

 

该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念——PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标。

信息安全风险管理范文3

论文关键词:软件企业;信息安全;风险管理

随着国家大力推动软件外包行业和it行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和it技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2007年5月~2008年5月间,有62.7%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为85.5%,遭到端口扫描或网络攻击的占31.4%,垃圾邮件占25.4%。

信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。

(1)网络共享与恶意代码防控。

网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的qos下降,甚至系统瘫痪不可用。

(2)信息化建设超速与安全规范不协调。

网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。

(3)信息产品国外引进与安全自主控制。

国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。

(4)it产品单一性和大规模攻击问题。

信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。

(5)it产品类型繁多和安全管理滞后矛盾。

目前,信息系统部署了众多的it产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。

(6)it系统复杂性和漏洞管理。

多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。

(7)攻击突发性和防范响应滞后。

网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。

(8)口令安全设置和口令易记性难题。

在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、ftp口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。

(9)远程移动办公和内网安全。

随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。

(10)内外网络隔离安全和数据交换方便性。

由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。

(11)业务快速发展与安全建设滞后。

在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。

(12)网络资源健康应用与管理手段提升。

复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。

(13)信息系统用户安全意识差和安全整体提高困难。

目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如dns服务配置信息。

(14)安全岗位设置和安全管理策略实施难题。

根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。

(15)信息安全成本投入和经济效益回报可见性。

由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。

为了解决信息安全问题,保护企业信息的安全,建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全,通过建设信息安全管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全管理体系的一个重要环节,也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。

1.信息安全风险管理概述

我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理,风险管理被认为是良好管理的一个组成部分,其过程如图1所示。

2.确定范围

在建立信息安全管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织isms的范围,那么风险管理的范围应该和我们确定的isms的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中

3.风险分析

风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:

(1)识别评估资产。

在isms中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。

在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:

①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;

②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;

③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。

(2)识别评估威胁。

我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。

(3)识别评估脆弱性。

脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。

(4)识别评估控制措施。

在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:

①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;

②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;

③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全管理要求。

控制措施的有效性是我们风险评价的依据之一。

4.风险评价

风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:

(1)分析评估可能性和影响。

“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:

①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;

②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;

③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。

在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:

①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;

②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。

③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。

参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。

可能性和影响都是我们进行风险评价的依据。

(2)评价风险。

在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:

①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;

②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;

③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。

5.风险处置。

风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:

①行动优先级排序。

行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。

②评估建议的安全选项

评估建议的安全选项主要考虑安全选项的可行性和有效性。

③实施成本效益分析。

对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。

④选择控制措施。

在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。

⑤责任分配。

根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。

⑥制定控制措施的实施计划。

明确控制措施的具体行动时间表。

⑦实现所选择的安全防护措施。

根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织管理者批示,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。

信息安全风险管理范文4

查找信息资产存在的漏洞,结合现有控制措施,分析这些威胁被利用的可能性和造成的影响,根据可能性和影响评估风险的大小,提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在2003年9月被提上日程(简称27号文),提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神,进一步识别信息系统存在的风险,并对其进行控制,很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目,有其自身的特点。

2信息安全风险评估项目的过程管理

可以从五个方面解释信息安全风险评估项目的生命周期,即数据收集、计划准备、数据分析、项目验收、报告撰写,其中一三五是风险评估的主要实施阶段。

2.1计划准备阶段

(1)制定项目章程。在信息安全风险评估项目中,应尽早确认并任命项目经理,最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程,而该章程则具有授权的作用,即它能够使得经理能够运用组织资源来进行项目的实施。显而易见,项目经理是被授权的一方,必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源,他们能够参与章程的编制。

(2)确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能,例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等,甚至一些人为的因素也是重要的参考。

(3)明确风险评估成果。在信息安全风险评估项目中,应该在项目开始之前,与客户将项目提交的成果及要求确定下来。明确风险评估成果之后,在项目执行过程中,该目标也应该作为项目验收的标准。

(4)制定项目实施方案。项目实施方案是项目活动实施的具体流程,主要用来为项目实施提供技术指导。

(5)制定项目管理计划。如果想要计划实施过程一切顺利,或者说对定义等计划行动的过程需要记录的话,就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余,相反应该极其精炼,但是精炼并不意味着简单,相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。

(6)组建项目团队。一个优秀的项目团队是完成项目所必不可少的,是一种必须的人力资源。在项目开始时,一般而言,由项目经理来决定优秀团队的组成,并且在组建团队时应该注意谈判技巧。

(7)召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作,是一个项目的启动阶段,在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。

(8)风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训,以便项目能顺利实施。

2.2数据收集阶段

主要包括收集资料、现场技术评估、现场管理评估三项任务。

(1)收集资料。数据收集阶段最开始的步骤肯定是收集资料,简而言之,收集资料就是采取一切可行的方法,尽可能详细地获得和项目相关的一些信息,例如客户的行为习惯、客户业务相关的文档,甚至信息安全系统、信息化流程等信息都要尽量详细化。

(2)现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。

(3)现场管理评估。现场管理评估是最后一个步骤,但是却非常重要,它不仅关系着此次项目运行成功与否,还关系到以后项目效率的改进,现场评估需要对项目进展的流程进行综合分析,找出不足之处,寻出与优秀的项目管理之间的差距,归纳总结,从而完善管理程序。

2.3数据分析阶段

收集数据阶段已经收集了很多的数据存量,想要发现数据的内在规律,从而发现有用的东西,就必须对数据进行详细分析,只有仔细分析数据,才能够发现项目的风险所在,从而确定风险的大小,找出其资产、弱点、风险。

2.4报告撰写阶段

对收集到的数据进行了详细分析,得到初步的结论以后,就到了报告撰写阶段,即在数据分析的基础上,制作一份报告,论述项目的风险问题。

(1)撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来,让管理层清楚地了解当前信息系统存在的风险。

(2)撰写整改报告。整改报告则是根据风险评估的结果,提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。

2.5项目验收阶段

在完成了以上的步骤以后,理论上就可以对项目进行验收了,项目验收即对前期风险评估成果的检验,一般包括三项内容,即报告的评审、组织会议讨论验收事宜以及内部项目总结。

(1)报告评审报告评审就是对风险评估报告及整改报告进行评审。

(2)召开项目验收会即对项目的成果进行汇报。

(3)内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾,还是一个经验总结的过程,回顾过去,把握现在,争取在以后的项目中不再犯同样的错误。

3信息安全风险评估项目的重点领域管理

信息安全问题影响深远,其风险评估应根据项目的特点及具体过程,且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。

3.1项目沟通管理

为了达到项目目标,项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持;其次,为了获得客户的支持与配合,提高项目满意度,项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望,首先应该识别干系人,识别他们的需求与期望,制定沟通计划,在项目实施过程中管理干系人的需求与期望。

(1)识别干系人。很显然,与项目的相关程度不同,不同的人对项目信息安全风险具有不同的影响,作为客户方与项目实施方,其公司企业的信息安全风险是不一样的,一般而言客户方具有最大的影响力,公司方则次之,干系人对项目的态度也是影响项目信息安全风险的重要因素,态度一般分为无关、支持和反对三个。

(2)了解干系人的需求与期望。应该在充分了解项目背景的基础上,运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书,甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的,一般而言会分成很多的情况,比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求,然后通过换位思考、沟通交流等手段,进一步确认干系人的需求与期望。

(3)制定沟通计划。信息安全风险评估项目需要沟通,所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划,而应该详细地分析相关的影响因素,重点关注利益相关者的沟通情况,从而降低影响,提高效率。

(4)管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理,最重要的是要明确期望与需求,进行类别的划分。可分为A、B、C三类:A类:必须做(need),这一类如不做,将难以通过验收;B类:应该做(want),这一类如不做,会影响验收效果;C类:可以做(wish),这一类是可做可不做的,做了客户会更加满意,不做也不会影响验收。其次,在管理干系人的需求与期望时,应该遵循80/20规则,即完成20%的任务实现80%的价值,这部分任务必须作为重点。另外,可能还有20%的任务花费80%的成本,在资源及时间允许的情况下处理此类需求与期望。再次,在管理干系人的需求与期望时也可以根据干系人的职权(权力)进行管理。①在第一象限中的干系人权力高,但对项目关注程度低,采用令其满意的管理策略。②在第二象限中的干系人权力高,且对项目关注程度高,要对其重点管理,优先满足其需要与期望。③第三象限的人员对项目关注程度高,但权力较低,采用随时告知的策略,尽量不要影响其个人利益。④第四象限的人权力低,且对项目不关注,要监督他们对项目的反应,不引起负面影响。最后,为了满足干系人的需求与期望,需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。

3.2项目范围管理

范围是一个空间的范畴,一个项目管理的范围规定了一个项目的权限范围,规定了项目可以做哪些事情,而哪些事情是不能做的,实际上是对必要工作的坚持和对不必要工作的摒弃。

(1)明确风险评估范围。项目计划准备时就要考虑风险评估范围,在这一阶段就应该定义项目范围的广泛性以及纵深等内容,并且考虑客户的需求,从而明确项目管理范围。项目范围的确定不是一方所能够决定的,相反这是一个博弈的过程,应该照顾各方的利益,制定出一个符合各方利益的项目管理范围。

(2)明确风险评估成果。应该在项目开始之前,与客户将项目提交的成果及要求确定下来。一是在项目执行过程中,以此为目标;二是设定一个验收项目的标准。

(3)创建工作分解结构。顾名思义,创建工作分解结构即将解构分解,即把项目的最后结果和其工作流程明细化,从而使得每一步变得简单,更加容易操作。在信息安全风险评估项目中,第一层一般就放置项目成果,而第二层则更加侧重中间成果。显而易见,分解工作结构并不是一件简单的事情,也不是只有一种方法,各层次都是可以相互变化的。

(4)风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程:首先不能明确拒绝,然后要分析客户变更的原因及目的,快速反应变更所需要的人工及预算对时间和质量的影响,然后再做出决定。

(5)风险评估成果核实。风险评估成果核实过程应该严谨而且细心,因为这是一个正式验收项目的过程,需要由客户和项目的执行人一起认真核实项目的最终结果。

(6)取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果,以保证一切均已正确无误且令人满意地完成。

3.3项目时间管理

时间管理至关重要,因为优秀的时间管理保证项目能够不延期交付。

(1)定义活动。定义活动从字面上理解就是一个识别的过程,定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。

(2)排列活动顺序。活动顺序涉及到的是一个排列的问题,指的是一种依赖关系,即识别和记录项目活动的依赖关系,是一种逻辑的过程。一般而言,这里所指的依赖关系指的是信息安全风险评估项目中,各个活动之间所具有的特性,如强制性、选择性和外部依赖性。确定完活动之间的依赖关系,就可以对他们进行排序了,可以采用网络图的方法来表达他们之间的顺序,常有三种关系,即完成-开始,开始-开始,结束-结束。

(3)估算活动持续时间。估算活动持续时间是一个时间上的范畴,指的是估计资源运用和消耗,以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意,应该具有严格的依据。工时估算时,常采用三点估算法。即估算工时=(最乐观时间+4×最可能时间+最悲观时间)/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析,从而确定活动的顺序,并且在时间和空间上确定一个相对准确的点,估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情,而是极其复杂的过程,在这期间需要一遍又一遍分析,从而确定一个合适的时间跨度,并且对项目结果有一个合适的预期。即使制订了进度计划,也不是一成不变的,而是要根据相关审查部门的意见适当地修改计划,从而使得计划在时间和资源应用上更加合理。只有审查通过以后,这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂,很多因素无论是内部的还是外部的,都对项目有很大的影响,并且鉴于有限的项目组成员,所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程,这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序:一般分为四个步骤,即先要分析一个项目所散发的状态信息;然后如果需要调整进度,就要调整影响进度的相关参数;再次分析以后,要确定一个项目是否在原定的轨道上;如果进度脱离了轨道,就要进行相应的管理。

3.4项目成本管理

成本管理包括估算成本、制定预算、控制成本三项任务。

(1)估算成本。对成本的估算需要囊括整个项目的进程,时间跨度和空间跨度上均要全面。成本估算是在某特定时点,根据已知信息所做出的成本预测。信息安全风险评估项目的主要成本是人工成本及实施直接成本,因为人工成本占了所有成本的一大部分,所以精确地估算人工成本是成本估算最基础的一面。估算人工成本有个前提,即进度计划是准确的,从而对团队成员的人工估算做到精确。项目成本即使估算出来了,也不一定是准确的,需要时时修正,因为越到了项目的后期,需要估计的越少,影响估算准确性的因素也越少,所以成本估算需要不断进行。

(2)制定预算。制定预算也是一个估算的过程,是对一个项目的所有方面进行一个全面的评估,从而为以后资金的拨付制订了基础和基准。只有制定预算,才能够根据预算的需求来划拨资金,并且影响到了项目的实施全过程和成果评估部分。

(3)控制成本。成本的控制一般而言指的是成本不应该超出预算,控制成本是一个动态的过程,是监督项目状态,从而获得有用信息以更新项目预算。项目成本控制包括:找出影响项目成本的因素,并作相应的修改;保证修改项目参数能够成功;在修改成功以后,要随时动态地监督;控制成本,使得成本控制在预算的范围之内,甚至应该精确到每一项开支;分析成本与预算成本基准之间的差距;对照资金支出,监督工作绩效;严格禁止不相关的支出,使得每一项成本都合情合理;向有关干系人汇报项目进展和成本控制的工作;即使项目超支了,也要尽量减少成本。

3.5人力资源管理

人力资源管理在一个项目执行时包括很多方面的内容,例如管理组织一个实施团队、人员分工等。

(1)制定人力资源计划。制定人力资源计划是在项目实施之前对实施项目的团队、人员、职务、报酬等方面的规划,并且对各个人和团队的责任进行详细划分。人力资源计划包含项目角色与职责记录、分成的各个部门等。一些信息安全风险评估项目执行时间比较长,因此需要更加有效的团队,这就需要对人员进行培训以及制定团队建设策略等。风险评估项目的责任分配并不复杂,可采用责任分配矩阵(RAM),这个矩阵能够显示工作包或活动与项目团队成员之间的联系。并且根据需求的不同,制定不同层次的矩阵。

(2)组建项目团队。组建项目团队实际上是对人力资源使用和分配的过程,需要了解人力资源的各种特性,从而组建最合适的管理团队,在组建团队时需要注意:项目经理所要做的是积极地与人力资源人员进行交流,充分掌握各方面的信息,从而获得最合适和最有效率的人才。但是有时候项目经理并不能总是如愿地获得自己想要的人力资源,而是会受到如经济等其他项目对资源的占用等因素的影响,从而制约了项目的实施,作为替代,项目经理可能不可避免地使用不合适的人力资源。

(3)管理项目团队。管理项目团队是选出来运营项目的人所组成的团队,他们具有多样化的目标,例如继续学习,提高团队成员的专业技能,增强团队的执行能力从而保证项目结果的按时交付;以最低的成本完成最高质量的项目;按时完成项目,团队成员之间相互协作,增加团队效率,丰富团队成员的知识,增强其跨学科运作能力,提高团队的凝聚力,无论整体上还是个人上都有效率的提升等。项目经理在期间应该全权负责项目团队的管理运作,增加项目绩效,在团队出现问题时,分析导致问题的原因,然后解决问题。团队建设一般要经过5个阶段:①形成阶段,这个阶段是团队形成的最初阶段,团队成员只是互相认识,并没有相应的合作。②震荡阶段,指的是团队已经开始运作,但是成员之间需要磨合的阶段。③规范阶段,过了磨合期以后,团队成员彼此之间逐渐适应了彼此的节奏,能够进行初步合作了,团队开始有成为一个有效整体的趋向。④成熟阶段,这一阶段团队成员之间已经能够精诚合作,互补余缺,相互学习,团队效率较高。⑤解散阶段,即当项目完成以后,各成员完成了职责,从而脱离团队。因为各种各样的原因,例如缺乏充足的资金、进度安排不合理、团队成员之间缺乏配合等,会造成项目环境的冲突。如果项目经理能有效管理,则意见分歧能够转变为团队的多样化管理,不仅能够提高团队创造力还有利于做出更好的决策。如果管理不当,团队之间的分歧没有得到解决,就可能会加大团队成员之间的鸿沟,从而对项目的实施产生负面的影响。要建设高效的项目团队,项目经理需要获得高层管理者的支持,获得团队成员的承诺,采用适当的奖励和认可机制,创建团队认同感,有效管理冲突,团队成员间增进信任和开放式沟通,特别是要有良好的团队领导力。项目团队管理的一些工具与技术包括:①人际关系技能。通过了解项目团队成员的感情来预测其行动,了解其后顾之忧,并尽力帮助解决问题,项目管理团队可大大减少麻烦并促进合作。②培训。旨在提高项目团队成员能力的全部活动,培训可以是正式或非正式的。应该按人力资源计划中的安排来实施预定的培训。③制定管理规范,对项目团队成员的可接受行为做出明确规定。尽早制定并遵守明确的规则,可减少误解,提高生产力。规则一旦建立,全体项目团队成员都必须遵守。④认可与奖励。如果想要提高项目团队的效率,使得每个人更加尽心和更加富有责任感,就应在团队建设过程中引进相应的激励机制,在制定项目计划时就应该考虑到团队成员的奖惩问题。在管理项目团队的过程中,团队成员的奖励不是随意而发的,而是通过项目绩效评价,以正式或非正式的方式做出奖励决定。只有优良行为才能得到奖励。

3.6项目风险管理

项目风险管理旨在降低风险,或者把风险控制在可控范围之内。其目标是尽力使得项目运行向着有利的方面转化,对消极负面的一部分则注意防范。信息安全风险评估项目不属于特别大的项目,所以一般分为识别风险、评价风险、规划风险应对、监控风险四个过程。

(1)识别风险。识别风险是风险管理的前提,是一个信息处理的过程,在这个过程中判断分析什么样的风险会影响项目。可采用核对表的方式进行风险识别。

(2)评价风险。对于信息安全风险评估项目,评价风险只需要定性评价即可。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素来评估已识别风险的优先级。

(3)规划风险应对。规划风险应对是风险管理最重要的步骤,其规划的是项目的目标及降低风险的步骤。对于消极风险,常有回避、转移、减轻、接受四种方式;对于积极风险,常有开拓、分享、提高、接受四种方式。

(4)监控风险。监控风险是风险管理的最后一步,也是第一步,因为它是贯穿在整个项目之中,是一个制定风险应对计划、监控已知风险、加强管理以解决风险以及发现新风险的过程。

4结语

信息安全风险管理范文5

关键词 银行业;信息科技;风险安全

中图分类号:F832.2 文献标识码:A 文章编号:1671―7597(2013)031-140-01

1 安全评估概念及作用

安全评估是信息科技风险安全评估的简称,是指组织依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。安全评估是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出决策的过程。信息安全管理应基于安全评估,只有在正确地、全面地识别风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,并决定需要调动多少资源、以什么的代价、采取什么样的措施去化解、控制风险。

2 安全评估主要标准及实践

信息安全评估涉及范围广,相关安全标准也十分庞杂。其中ISO27005-2008明确了安全评估方法及流程,在全球范围内得到了广泛的应用。国内安全评估标准《信息安全技术 信息安全风险评估规范》(GB20984-2007)采用的评估方法基本与ISO27005一致,明确了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

3 银行业安全评估现状及存在问题分析

随着业务发展需要及监管要求,国内商业银行越来越重视信息科技风险管理工作,信息安全评估逐渐成为信息科技风险管理的基础性工作,但国内商业银行信息安全评估管理与国外银行相比存在较大差距。一是安全评估体系不健全。大部分商行银行未明确安全评估管理的组织机构,缺少安全评估管理制度,未建立符合本行风险管理需要的安全评估体系。二是安全评估流程不规范。很多商业银行安全评估尤其是自评估缺少标准的流程控制,安全评估工作随意性强,大部分评估流于形式或依赖于个人经验,安全评估的结果不能真实的反映客观存在的风险。三是安全评估人才匮乏。安全评估工作具有较强的专业性,对评估人员的能力要求较高,而很多商业银行评估人员未经过相应的培训,缺少经验,并不真正具备安全评估的能力。四是安全评估方法不科学。商业银行评估尤其是自评估主要依据制度列表或个人经验,很难发现深层次问题并对风险准确定性,评估结果对风险处置的指导意见有限。五是安全评估数据积累不足。国内外主要的安全评估方法,需要根据历史事件统计事件发生概率,目前,很多商业银行尚未建立事件统计分析机制。

4 安全评估管理的主要思路

通过研究国内外信息科技风险安全评估标准、规范及实践,提出了商业银行信息科技风险安全评估管理思路。

4.1 建立安全评估组织体系

信息安全风险评估组织体系建设应充分考虑安全评估自身特点,并应结合商业银行的风险管理体系,安全评估的组织体系应包括两个方面:一是建立安全评估日常管理体系。该部分体系应在信息科技风险管理体系的基础上,明确高管层、信息科技风险管理部门、信息科技管理部门及其它相关部门的安全评估职责;二是建立安全评估项目管理机制。商业银行组织安全评估时应成立项目管理组织,并严格按照项目管理的流程对安全评估进行有效控制。

4.2 建立信息安全风险评估标准流程

安全评估流程是安全评估标准化的控制手段,能够有效的控制安全评估的目标、范围、过程及质量,安全评估需要建立以下标准流程:一是安全评估的组织流程,即安全评估审批、总结、汇报等流程;二是安全评估的项目管理流程,安全评估应采用项目的管理方式进行组织,并按项目管理流程组织评估并形成项目阶段成果;三是安全评估的评估方法流程。安全评估根据标准的评估方法,并结合评估对象的特点,从资产识别、威胁识别、脆弱性识别、风险评估、已有措施确认等方面,建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。

4.3 培养专业信息安全风险评估人员

专业的安全评估人员是安全评估的基本保证,应加大对信息安全风险评估人员的培训力度,培训主要从以下几个方面进行:一是加大评估管理要求、评估流程的培训力度,让评估人员能够了解信息科技安全管理的要求,掌握安全评估组织、项目及方法流程;二是加大信息安全知识培训力度,评估人员应全面学习信息安全的相关知识,了解目前信息安全面临的主要威胁及存在风险;三是加大安全评估技术培训力度,评估人员应了解安全评估相关技术,熟练掌握常用的安全评估工具;四是加大信息系统相关技术培训力度,安全评估要求评估人员应了解主机、网络及应系统等相关技术细节,应组织相应的技术培训,扩大评估人员的知识范围,并使评估人员深入了解各系统的技术细节。

4.4 引入安全评估工具

为实现安全评估的专业化,商业银行应逐步引入和使用风险评估工具,风险评估工具包括以下三类:一是专业安全评估设备及软件,如漏洞扫描设备、安全审计平台等。二是专门的风险计算工具,如风险统计及计算表格,该类表格根据标准的计算方式,能够给出相对准确的风险量化值。二是风险管理系统,对风险进行汇总、统计及处置跟踪。

4.5 建立风险评估数据积累机制

安全风险评估的准确与否依赖于大量信息安全相关数据,因此,需要建立风险评估数据积累机制:一是确定信息安全事件的收集、整理及汇总机制,信息安全事件统计来源分为外部和内部两个渠道,外部事件应根据安全部门、监管部门的通报进行收集,内部事件通过安全事件报告汇总。二是建立信息系统数据积累机制,统计和汇总不同设备及系统的安全要求,按标准格式形成评估要点文档,作为相关评估的主要依据。

参考文献

[1]ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系要求[M].

[2]ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则[M].

[3]ISOIEC 27005-2008 信息技术 安全技术 信息安全风险管理[M].

[4]GBT 20984-2007 信息安全技术信息安全风险评估规范[M].

[5]GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求[M].

信息安全风险管理范文6

【关键词】信息系统;风险;安全管理

0.引言

任何信息系统的应用,都会有风险相伴生,风险是永远客观存在的,怎样防范风险、怎样控制风险,是信息化建设过程中必须应对的问题。只有对于风险有全面的认识和正确的把握,才能有效应对风险的挑战。中国农业发展银行(本文简称农发行)会计综合业务系统和CM2006信贷管理系统的应用,一方面为农发行的业务提供了有力的科技支撑,而另一方面,系统在应用中也会存在各种各样的潜在风险。客观分析、正确认识系统应用中存在的风险, 积极探索、采取有效措施解决存在的风险至关重要。

1.信息系统风险分析

1.1对系统应用风险的认识不足

信息科技的特点决定了风险无轻重,漏洞无大小,大问题往往都是由小问题、小漏洞引起的。在实际工作中,大家往往对应用风险问题都表现出不同程度的漠视,或者错误的认识,认为信息系统应该达到安全可靠,要求系统提供商承诺软件系统功能无差错,要求系统提供商承担系统错误造成的损失和影响。

1.2系统硬件环境风险

系统的运用,依赖于特定的硬件环境,例如服务器、网络等等,这些环境依赖大量的硬件设备,这些设备自身都存在一定的故障率,这类故障发生时必然影响系统正常运行。

1.3系统所采用的技术带来的风险

任何信息系统的建设总是利用一定的技术手段进行实现,会计综合业务系统和CM2006系统使用了JAVA、ORACLE数据库、中间件、应用服务器等,这些技术手段虽然都是商业化的,但其自身也是一个信息产品,受制各种客观因素,依然不可能根除出现错误的可能,在这些技术手段之上构建的信息系统自然会受到这些风险的影响。

1.4系统建设和改造过程中的风险

系统建设和改造中,经历了需求调研分析、系统规划设计、系统开发测试、系统实施等几个过程,这些过程中都存在导致日后系统出现错误造成损失的风险。例如:改造的需求调研阶段,技术人员对需求认识的局限性,将造成未来系统的局限性。在日后系统应用过程中,当这种局限性的条件满足时,可能对系统的使用产生影响;系统改造中的开发测试阶段,每一项功能都是由技术人员编写程序代码实现,此项工作繁琐且复杂,人非机器,错误是不可绝对避免,开发的质量需要测试工作来保证。测试工作只是模拟未来的使用方式来验证系统,不可能对系统进行全方位的验证,系统出错的可能性永远存在。

1.5系统使用、维护过程中人的风险

系统的最终价值是通过人的使用发挥出来的,在系统的使用中,操作人员不当操作可能造成错误;系统维护中,维护人员的能力、经验的欠缺,可能对系统引入新的错误,这些都是导致损失发生的风险。

1.6系统的应用高度集中,风险扩大

信息技术对农发行业务发展的支持,经历了从最初的单机、单点应用,演变到现在的通过网络化应用,以数据集中、业务处理逻辑集中为代表的综合业务系统和CM2006系统是具体的表现;目前的自动化、集中化处理降低了信息化建设的成本、增强了系统的灵活性,这些进步既是技术发展的方向,也是农发行管理变革的要求。但同时,风险也相应增大了,一个小小的错误,可能会影响到全国农发行系统整个业务的连续性。

1.7网络风险

信息技术发展到今天,网络技术创新和迅速普及,为信息技术的广泛应用奠定了基础,网络成为提升服务质量、扩宽业务的一个重要的手段。但另一方面,随着信息技术的飞速发展,网络环境日益严峻复杂,各种威胁信息安全的事件也大幅增加,入侵手段也越来越复杂,这一切,给我行的网络安全带来了更加严峻的考验。2007年2月7日农发行发生了一次网络风暴,整个系统因各种原因导致达2个小时的生产网络无法正常通信,产生了较为严重的后果。

2.安全管理对策

2.1提高思想认识

(1)领导要高度重视。各级行领导层应从关系到银行生死存亡的高度来认识信息技术风险防范工作的重要性,持之以恒地抓好信息安全工作,实行“安全工作一把手”负责制,落实安全工作“一票否决制”。

(2)要全员参与。信息技术风险控制涉及各个部门、各个环节,仅靠一个部门是做不好的,必须建立各部门共同参与的协调工作机制,齐抓共管。

(3)要有忧患意识。不要在技术上近乎完美,却因一时主观疏忽而满盘皆输。如严格规定不准任何员工随意进入机房,但却忘了防范清洁工;花大手笔购置故障率为千万分之一的服务器,却忘防范监控录像带轻易流入二手市场。

2.2加强技术防范

(1)建立密码技术信息安全保障体系。建成身份识别与认证、信息保密、数字签名、密钥管理以及银行卡安全应用等需要的密码技术信息安全保障体系。

(2)建立网络漏洞扫描和入侵检测系统;同时还安装内网非法外联检测系统,及时发现银行内网非法外联情况。

(3)建立防火墙系统,给防火墙制定安全可靠的访问控制策略,对外隐藏内部重要业务系统。

(4)建立计算机病毒防治系统和补丁自动分发系统,并将银行计算机病毒防治系统纳入国家计算机病毒应急中心应急体系。

(5)建立网络安全控制策略,如按资金业务和办公业务将银行内部网进行划分,实现资金业务和办公业务在局域网的Vlan划分和访问控制,在广域网的分道传输和负载均衡,重点保障资金业务安全运行,并防止内部员工作案。

(6)加强银行信息系统软件平台的安全,如采用安全级别较高的操作系统,防范黑客利用操作系统平台本身的漏洞来攻击银行信息系统、同时可屏蔽掉应用系统的部分安全漏洞。

(7)加强计算机机房实体防护。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,安装电视监控系统和环境检测系统。对重要计算机应安装电磁屏蔽,以防止电磁辐射和干扰。安装机房设备远程监控系统,随时监控电源、空调、服务器、网络设备等的运行情况。

(8)定期做好银行技术维护资料的收集、整理与汇编,使科技人员在日常技术维护中,找到窍门、少走弯路,增强对业务系统故障高效处理的能力。

2.3完善内控制度

完善内部控制制度,制订相应的人防、物防、技防和联防制度。其中,人防制度是指针对与计算机信息系统相关的人而建立起来的安全防范制度,包括岗位责任制、业务运行管理制度、人员管理制度等;物防制度是指保证计算机信息系统各种设备实体安全而建立起来的相应制度,包括环境安全、设备安全、媒体安全等;技防制度是指技术防范制度,主要包括保证操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与信息鉴别等方面的制度;联防制度是指在计算机系统中的各个不同个体间的横向防范制度,如业务系统主管、业务操作员、程序维护员之间的相互制约制度,行业安全管理部门与公安部门、设备与软件供应商、生产商之间的横向协调及分工负责制度等。

2.4强化队伍建设

银行内部员工,既是信息系统的最大潜在威胁,也是最可靠的安全防线。这就需从以下几个方面来强化内部队伍建设。

(1)加强思想道德建设。

(2)加强业务技术培训。

(3)建立分级管理体制,使各级管理人员的权利和责任明确划分。

(4)留住技术人才,建立一个与科技人员相适应的弹性人事制度。

(5)加强信息安全人才建设,从科技人员中选拔政治立场坚定、事业心强,技术过硬的人员来充实信息技术安全管理队伍。

2.5实施等级保护实施等级保护

首先就是要根据国家风险评估有关标准,采取以自评为主、委托评估和检查评估为辅的方式,在银行信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估,加强对银行信息系统投产运行和重要应用变更前的风险评估。重要的信息系统,如与资金业务密切相关的支付清算系统等,要求每两年至少要进行一次评估,根据评估结果,及时整改存在的问题,实施安全加固。完成风险评估后,根据银行信息资产重要程度,合理定级,将不同资产和对象划分为关键、重要和一般三个级别,实施等级保护。

2.6建立应急体系

针对数据大集中新格局,农发行要建立应急体系,也应同步规划、同步建立灾难备份系统。同时,要建立应急预案演练制度,定期组织有业务部门参与的演练和生产系统实战演练,定期对双机热备系统进行切换演练。

3.结束语

随着当今信息技术的飞速发展,我们还应不断地完善各种信息系统风险防范的技术和制度,并一丝不苟地将各种制度、技术落到实处,才能保证信息系统的始终正常稳定运行。

【参考文献】

[1]谌玺,张洋.企业网络整体安全.电子工业出版社,2011,(08).

信息安全风险管理范文7

【关键词】数字化 医院 信息管理系统 安全风险

伴随着信息化技术的飞速发展,数字化开始受到了人们的普遍关注,在越来越多的领域得到了应用。现阶段,医院普遍都建立起了相应的信息管理系统,并且其正逐渐由单纯的信息管理向其它业务延伸,在医院正常运转中发挥着越来越重要的作用。针对当前医院信息管理系统中存在的安全风险,管理人员应该制定切实可行的风险应对策略,保障系统的运行的安全性和可靠性。

一、医院信息管理系统的安全风险

医院信息管理系统是指在医院管理以及医疗活动中,进行信息管理和联机操作的计算机应用系统,同时也是覆盖医院所有业务以及业务所有流程的信息管理系统,能够利用计算机以及通讯设备,为医院各部门提供病人诊疗信息、行政管理信息等,实现信息的收集、存储、整理、提取以及交换,可以满足授权用户功能需求的平台。医院信息管理系统的安全直接影响着医院网络服务的质量,关系着医院的正常运转,其重要性不言而喻。

从目前来看,在医院信息管理系统中,存在着大量的安全风险,包括了硬件风险、软件风险、管理风险以及环境风险四个方面的内容,之所以会如此,一方面,医院管理人员并没有认识到信息管理系统安全的重要性,将目光更多的放在了系统的实用性而非安全性上,因此并没有投入相应的经费去进行系统安全防护模块的建设及维护,导致系统中存在着较大的缺陷和漏洞,给系统安全带来很大的隐患;另一方面,医院病没有制定与信息管理系统密切相关的制度和措施,导致在系统管理方面缺乏严谨性与可靠性,加上缺乏先进的技术支撑,在系统的安全维护方面相对薄弱,影响了系统的运行安全。

二、医院信息管理系统安全风险的应对策略

(一)提高系统安全意识

只有意识到了信息管理系统安全的重要性,树立起了相应的系统安全意识,才能够真正确保风险防范措施的有效落实。因此,对于医院而言,应该加强信息系统的安全教育,成立相应的安全领导小组,对任务进行分配和落实,确保其都能够认识到系统安全的重要性。同时,应该制定出切实可行的管理制度,对领导小组和管理团队的行为进行约束,确保其能够全身心地投入到各自的工作中去,强化责任意识。另外,医院财政管理部门应该设置专门的系统安全管理资金,对一些影响系统安全的薄弱环节进行统计,增大设备、技术以及管理方面的资金投入力度,避免由于设备缺陷、技术不足以及管理漏洞影响系统安全管理工作的成效。

(二)构筑风险评估机制

相关统计数据显示,在医院信息管理系统中,多数安全风险都可能会带来难以估量和弥补的损失,严重时甚至可能会间接导致病患的伤亡。而对安全风险进行分析,其多数都是由于没有能够及时发现和排除风险因素。对此,医院应该结合自身实际,构筑相应的风险评估与检测机制,及时做好系统检测工作,发现其中存在的不足和漏洞,寻找问题的解决策略。对于一些尚未表现出的问题,应该通过系统的日常维护管理,发现其潜在风险,做好必要的预防和规避措施,尽可能消除其对于医院的影响[2]。从机制的落实层面考虑,应该设置完整的安全检测计划,安排专门的计划执行人员,成立系统安全管理小组,确保其能够在医院各部门的配合下,对安全检测计划进行有效落实,确保各项工作的有序、规范进行。

(三)选择可靠硬件设备

硬件设备的质量在很大程度上关系着系统的运行安全,要想确保医院信息管理系统的安全运行,离开了高稳定、高可靠和高性能的硬件设备的支持是不可能的。对于医院而言,应该认识到这一点,不能为了缩减资金而使用一些缺乏保障的产品。对于一些关键性设备,如交换机等,不仅需要确保其可靠性,还必须设置备用,确保设备出现突发性故障时可以迅速替换,保障信息管理系统的正常运行。应该做好硬件设备的维护管理和检测工作,及时对一些老化的设备和部件进行更换,对设备内部的积尘进行清理,对设备运行的环境进行优化,确保硬件设备的稳定可靠运行。

(四)重视数据备份管理

数据备份在应对系统风险方面发挥着非常关键的作用,可以有效减少数据丢失对于医院运转造成的影响。当前,许多医院在数据备份上往往只能做到定期备份或者针对某个时点的备份,而无法做到实时备份,这样并不能有效规避风险。从目前的技术条件分析,数据库的实时备份包括了硬件同步和软件同步两种,可以在同一时刻将数据写在两个甚至多个不同的位置,从而避免了数据的损坏或者丢失。对于系统管理人员而言,应该对数据库备份策略做到心中有数,并在模拟机上进行数据恢复试验,以确保备份数据的有效性。

(五)完善网络防护措施

在当前数字化、网络化的环境下,医院信息管理系统面临着病毒、木马以及非法入侵的威胁,必须设置完善的网络防护系统。从目前来看,比较有效的防护措施,一是物理隔离,将医院信息管理系统运行的网络独立出来,切断病毒传播的途径;二是防毒软件,减少和预防病毒的传播与扩散;三是端口控制,防止设备非法接入网络,减少网络遭受攻击的机率。

三、结语

医院信息管理系统的安全关系着医院的信息安全,也关系着医院自身的运行安全,应该得到足够的重视,做好相应的风险评估和检测,及时发现系统中存在的安全风险和风险隐患,采取切实有效的预防和应对措施,对风险进行规避和处理,保障医院信息管理系统的安全可靠运行。

参考文献:

[1]陈宁,李成华,李晖,曾永杰.医院信息系统安全风险规避管理策略研究[J].电脑知识与技术,2015,(28).

信息安全风险管理范文8

参照信息安全风险评估规范等标准来说,信息设备信息安全风险包含三个要素,即脆弱性、威胁和资产,每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。具体风险分析原理图如图1所示。从图1中可以发现,信息设备所面临的信息安全风险并非某种单一来源的安全威胁,而是三种要素互相影响、互相关联的某种动态的平衡关系,而信息设备的风险管理本质上讲是对这三种要素造成的安全风险程度的可控管理。

2信息设备全生命周期风险管理

信息设备全生命周期风险管理包括信息设备规划设计阶段、部署阶段、测试阶段、运行阶段和废弃阶段,每个阶段的内容如图2所示。规划设计阶段应能够描述信息系统建成后对现有模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的目标。这个阶段,风险威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。部署阶段是根据规划设计阶段分析的威胁和制定的安全措施,在设备部署阶段应进行质量控制。测试阶段是对已经部署完成的信息设备结合前期规划设计方案的要求对采购来的信息设备进行全面的测试,包括基础测试、功能性测试及安全性测试等。运行阶段让信息设备稳定运行并起到其应有的功能。该阶段应做好设备监控、脆弱性发现、设备异常报警、信息设备日志搜集和分析等工作。废弃阶段存在的风险包括未对残留信息进行适当处理、未对系统组件进行合理的丢弃或更换或未关闭相关连接,对于变更的系统,还可能存在新的信息安全风险,因为其可能替换了新的系统组件等。

3信息设备风险管理体系

传统的信息安全管理体系主要依据ISO27001相关标准搭建,ISO27001标准采用基于风险评估的信息安全风险管理,具体采用了PDCA模型过程方法来全面、系统、持续的改进组织的信息安全管理。ISO27001采用的PDCA模型不仅适用于传统信息安全管理,同时也适用于信息设备的安全风险管理。

3.1总体思路

信息设备风险管理总体借鉴PDCA管理模型的相关理念,将信息安全设计方案制定、各阶段的信息安全风险管理实施、各阶段信息安全管理检查、信息安全管理改进,形成一套有效的安全风险管理防护方法,对信息设备进行不同时间阶段、不同维度、不同重点的管理,有效防范和控制信息安全风险,增强信息安全体系的检测能力、保护能力,为用户开展风险管理提供全方位的管理思路。

3.2风险管理模型

融合传统风险管理的PDCA模型,将传统风险管理中动态模型的思路加以延续,增强信息设备状态的动态特性,主要分为四部分:管理规划、管理实施、管理检查、管理改进。管理规划:决策层要明确政策、目标、策略、计划,形成具体的管理规划,明确组织风险管理的整体目标和方向,确定对信息设备进行风险管理所要达到的目的和状态,从而防止后续制定的风险管理规范和组织与已有的战略决策、制度、规范等相违背而导致不可执行的问题。管理实施:管理层在深入领会和遵照管理规划的指示后深入研究信息设备各阶段所面临的信息安全风险,对信息设备各环节制定详细的风险管理实施规范和标准,以便具体的业务部门、人员等能严格按照管理规划的计划和要求来实施风险管理规范。管理检查:管理检查作为监督信息风险管理实施效果的主要手段之一,需要确保管理检查手段的全面性、科学性、客观性,需要覆盖各个管理阶段,客观而高效的评价风险管理实施效果。管理改进:通过归纳总结前阶段管理检查的工作成果,结合信息设备各阶段在实施信息风险管理中碰到的各类问题,从管理规划、管理实施、管理检查等各阶段提出信息风险管理改进意见,从而持续的改进信息设备各阶段的安全风险管理体系。

3.3风险管理体系的构建

根据安全风险的特点、信息安全三个关键要素以及信息设备各阶段的特点,我们应明确安全风险的几个控制手段,然后有计划的加强整个信息设备安全风险管理体系的建设,才有可能最终有效控制信息安全设备风险。首先,根据企业所处的环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御各种威胁,最终主动降低安全风险。要实现对安全风险的管理和控制,需要实现完整的风险管理流程,具体为发现安全风险,即通过有效的手段确定安全风险的资产和区域、定位安全风险存在的区域、评估安全风险,准确高效的评估安全风险,了解安全风险的大小和实质、强制措施降低风险,通过管理或强制等安全手段,主动降低安全风险、安全防御通过各类系统、网络安全设备、防御各类安全威胁、安全问题修补,主动修补存在的各类安全漏洞,全面降低安全风险。以上是完整的信息设备安全风险管理流程,对整个信息设备安全风险的管理和控制,这些步骤缺一不可,同时,风险管理流程还应根据企业的具体情况,有不同的实现方式。其次,实现信息设备风险管理的详细步骤包括:确定信息安全标准和方针、统计信息设备资产,进行资产识别、检测信息设备资产存在的安全漏洞、了解潜在的威胁、分析存在的安全风险、通过各种手段如安全防护产品来降低已有的安全风险、对信息设备评估安全效果和影响、对已有信息设备安全策略进行对比及改进。最后,实现完善的信息设备安全风险管理,还需要有计划的完善自身的安全风险管理体系,制定相应的整体安全策略。建立全面的资产管理和风险管理体系,整合现有的安全设备和手段,形成信息设备成熟完备的动态安全风险管理体系。

4结束语

信息安全风险管理范文9

一、基于信息安全风险评估的档案信息安全保障体系构成分析

1. 构成依据。针对日益严峻的档案信息安全管理形式,早在2003年中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,简称“27 号文件”),提出“坚持积极防御、综合防范”的方针。中共中央、国务院首次提出了针对网络信息安全的档案信息安全保障体系的建设要求,即“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。”明确了档案信息安全保障体系建设要坚持“预防为主、防治结合”的基本原则,要求档案信息安全保障体系建设要以信息安全风险评估与等级保护制度作为基本制度和依据。其中,“积极防御”是档案信息安全保障体系建设的核心内容,而要想达到积极防御的目的必须对档案信息系统进行科学的风险评估。因为从信息安全的角度来讲,任何档案信息系统都存在安全风险,难的不在于风险的存在,难在风险的被发现、被认识,只有认识风险才能增强预防的针对性。

2. 构成设计。建立档案信息安全保障体系必须遵守“综合防范”的基本要求,基本途径就是技术、管理和法规标准,在此基础上建立起完整的技术体系、管理体系和法规标准体系,这也是档案信息安全保障体系的基本思路。从国外信息安全的保障来看,主要采用的是信息安全等级保护措施,在此基础上实现对信息安全的“综合防范”。我国在这一方面借鉴了西方国家的经验,制定了《GB/T 22239-2008 信息系统安全等级保护基本要求》,提出了基于不同安全等级信息系统的安全保障要求,并将信息安全分为基本安全技术要求和基本安全管理两类。因此,在档案信息安全保障体系建设上要采取等级保护制度的风险评估模式,按照“积极防御、综合防范”的基本要求构建起完整的保障体系。结合现有的研究资料和《GB/T 22239-2008 信息系统安全等级保护基本要求》,档案信息安全保障体系架构应该包含三大部分,也就是档案信息安全技术体系、档案信息安全法规标准、档案信息安全管理体系,在这三大体系之下包含若干个小的内容,由此也构建了一个完整的档案信息安全保障架构(图1)。

二、基于风险评估的档案信息安全保障体系构建流程

1. 分析阶段的风险评估。档案信息系统分析阶段风险评估必须按照 《GB/T22240-2008 信息系统安全等级保护定级指南》进行,对档案信息系统安全保护等级定级。定级的基本依据是以信息系统的重要性而一旦出现信息破坏现象对国家安全、社会稳定、人民群众合法权益所造成的损害程度为依据,一般来说分为两个层次:档案业务信息安全和档案信息系统服务安全。保护等级一般是由档案信息系统安全等级和系统服务安全等级中的较高者决定的。由于档案信息系统一旦遭到破坏,将会对国家、社会造成很大的影响,一般来说涉及到国家安全的系统需要定到三级以上,因此国内档案管理当中一般将档案信息系统安全等级分为三级,根据每一级的档案信息特点及所面临的风险确定信息安全管理所需的技术需求和安全管理需求。因此,必须认真做好档案信息系统分析阶段的风险评估,根据档案信息的特点,确定可能面临的风险。在具体的风险评估当中信息资产、脆弱性一般不需要识别,分析的主要任务是根据信息系统的应用对象、使用环境、业务状况、操作要求等分析其中的安全威胁,评估系统现有的安全技术及管理能否抵御这些风险的发生。如果判断的结果能够抵御,则不需要调整安全需求,如果不能抵御则需要及时调整安全需求。

2. 设计阶段的风险评估。档案信息系统设计阶段是整个信息安全保障体系构建的关键阶段,在这一阶段当中风险评估主要针对系统本身和外部,这一点与系统分析阶段有着明显的不同。设计主要包括技术设计和管理设计两部分,一般来说一个档案信息系统的安全可以分为五个层次,也就是物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等,档案信息系统设计必须在这五个层次上进行安全技术设计。而档案信息系统管理设计则包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。技术上的设计与管理上的设计构成了一个完整的档案信息安全保障系统。这一段的风险评估主要是针对系统设计风险进行评估,评估的主要依据是以《GB/T20984-2007 信息安全风险评估规范》为依据,评估针对技术方案和管理方案的整体安全方案评审的形式进行,对方案当中采用的各种安全功能和措施的技术上的可行性及实际效果进行评价,一旦发现安全方案存在风险,则需要重新进行安全设计和安全评估。

3. 实现阶段的风险评估。档案信息系统实现阶段主要是指将设计阶段内容转化为具体的系统行使,根据系统的实际运行情况对系统运行过程中的安全功能进行测试和验证,评价该系统设计方案安全技术和安全管理的预期目标的实现程度,分析依据安全设计方案而实现的安全措施和安全管理抵御风险的实际效果。如果系统实现阶段风险评估结果存在安全风险,则需要对系统进行重新安全设计、安全实现和风险评估,直到整个系统的安全风险降到合理的范围之内,达到《GB/T20984-2007 信息安全风险评估规范》规定的三级等级保护所提出的所有安全目标。常见的验证方法,主要是选择系统运行过程中常见的风险运用到系统当中,记录观察系统对这些常见的风险的抵御情况,如果能通过所有的风险验证,则说明安全方案设计达到了设计要求,如果出现不能抵御的风险情况则说明系统安全设计存在问题。一般来说,档案信息系统实现阶段的风险评估是在系统项目预验收或者试运行阶段进行,只有通过信息安全风险评估以后才能正式投入到档案信息管理当中。

4. 运行阶段的风险评估。档案信息系统在运行过程中自身和运行环境会发生一些变化,这些变化可能导致系统设计不能反映系统运行过程中的全部风险,也就是说一旦出现自身和运行环境的变化,档案信息系统会面临新的安全威胁,这就需要在系统运行过程中通过风险评估解决新的安全漏洞问题。系统运行过程中的风险评估可以分为定期和不定期的,一般是以自评估和检查评估的形式进行的。所谓的自评估一般是指档案信息系统使用单位根据自身的使用经验,依靠本单位的技术人才情况进行风险评估。当然,也可以委托社会风险评估服务机构实施。如果委托的是具有风险评估相应资质的专业评估机构实施,就是委托评估。专业的风险评估机构具有有效的风险评估人才和评估设计,所得到的评估结果比较客观可靠,是今后自评估的一种重要的发展方向。检查评估由信息安全主管机构或业务主管机构发起,依照现有的档案信息安全管理法规和标准进行,评估单位档案信息管理系统的安全风险情况是否在规定的标准范围内,其目的就是监督使用单位严格按照系统运行条件运行,督促使用单位不断完善档案信息安全保障系统。在系统运行阶段,风险评估最好采取自评估和检查评估相结合的形式。在系统实际使用过程中,本单位要定期组织自评估,保证档案信息安全系统达到设计标准和要求。

5. 淘汰阶段的风险评估。档案信息系统并不是没有时间限制的,随着时间的发展,人们对档案信息系统的要求越来越高,虽然能够利用软件系统对系统进行升级和完善,但是时间长了以后也会被淘汰。在淘汰阶段也需要对系统进行风险评估,评估主要针对档案信息的迁移、原有档案信息资产的处理,在评估过程中需要对原有系统当中的档案信息系统硬件、软件、档案信息等资产进行适当的处置,以防止这些信息载体当中所残留的信息因为处理不当出现信息泄露等风险。因此,在档案信息系统的淘汰阶段要对淘汰的系统可能带来的新的威胁和存在的安全漏洞进行评估,根据评估的结果制定详细的淘汰方案,同时对参与系统淘汰工作的人员进行信息安全教育,并对整个过程进行有效的监督,以达到避免淘汰过程中的档案信息风险,保证档案信息安全性的目的。如果淘汰方案仍然存在安全风险,则需要对淘汰方案进行改进,直到将淘汰方案的风险降低到最低水平。

说明:本文为湛江市哲学社会科学规划项目“档案安全保障技术研究”(项目编号:2013Y16)阶段性成果。

参考文献:

[1]项文新. 档案信息安全保障状况需进行风险评估. 中国档案. 2007(12).

[2]邢燕 才碧莹. 浅析档案信息安全保障体系建设. 黑龙江档案. 2009(6).

[3][6]胡明浩. 在档案信息化中实施信息安全等级保护. 档案时空. 2005(10).

[4]项文新. 构建基于信息安全风险评估的档案信息安全保障体系必要性研究. 档案学通讯2008(1).

[5]许桂清 李映天. 档案信息安全保障体系的建设与思考. 档案学研究 2010(3).