本文通过对信息安全风险管理存在的问题进行阐述,并通过策划和准备、部署和执行、检查和监控三个步骤,提出了企业信息安全风险的控制策略,最后对我国信息安全风险管理的未来提出了总结与展望。
1 企业信息安全风险管理所存在的问题
1.1 缺乏信心安全意识
许多企业管理层对信息安全认识上缺乏重视,信息安全防护意识淡薄。究其根本则是大部分企业认为信息安全无法给企业带来直接的经济效益,而且要进行信息安全管理就和购买保险一样,不进行安全保护也没有出现什么损失。此外,进行企业信息安全管理需要投入相应的资源和时间,在业绩压力、资源限制的影响下,业务部门并不愿意将更多的精力用于保护信息安全上面。
1.2 缺乏相应的信息安全组织架构
许多IT企业都存在信息安全组织架构不明确的情况,仅设立了类似兼职的职位——信息安全主任,而且是设立在IT部门内部,这在很大程度上减小了信息安全组织的执行力和管理能力。发生信息安全事件后,企业通常都是临时从业务部门或者IT部门调配人手来建立项目小组,然后依照信息安全的新要求找出解决方案,问题解决后就会解散项目小组,所建立的流程也随之不会继续执行、跟进。信息安全没有进行定期的评审和审计,也就无法形成能够不断改进的信息安全机制,这就造成了在安全计划上做了许多重复性工作,增加了安全计划的成本,不利于效率的提高。
1.3 不完善的信息安全监管机制和内部控制
在企业文件的控制管理系统中,IT信息系统管理操作程序、管理指南都没有归入里面, 也就不在其监管范围内,这也就导致相关流程的执行情况和指南、版本控制无法形成实质监督,以至流程同实际不符,出现不严格执行所制定流程的情况。此外,相关企业在历史数据的管理、储存上比较缺乏,业务数据记录不全面,如若出现问题,就很难对业务数据进行调查和恢复[1]。
2 企业信息安全风险管理措施
2.1 策划和准备
此阶段主要包含三个步骤:第一步建立安全风险管理开端。取得业务部门、管理层的大力支持,明确当前企业信息安全风险管理具体完善情况,明确职责范围,制定明确的风险管理计划。第二步在风险评估范围上必须进行确定。企业需结合风险管理实际完善情况做出评定,以此来对风险评估和管理划分业务区域,便于执行。第三步制定风险行动方案。在制定保护策略上,必须对企业信息风险的保护方法和具体处理手段做出相关规定,可在安全技术和风险管理上制定相应的策略。
2.2 部署和执行
企业在实施安全控制计划过程中,所制定的合理步骤都必须切实执行,这就要求风险行动方案中的相关负责人对所计划的活动需认真安排和执行。此外相关负责人要多与员工进行沟通,行动计划的执行依据授权对员工进行分配,能有效减少员工在项目实施中的抵触情绪。让分配到行动计划任务的员工及其管理者明确了解此项工作的优先级为高,并通过实施安全培训使其重新确定工作的优先级,以合并他们的行动计划活动。另外,应该建立相关的保障机制,为行动计划的实施提供足够的资金、设备和其他必需的资源,确保行动计划的顺利进行。
2.3 检查和监控
企业在对风险进行管理的过程中,需要成立专业化的监督小组,该小组可以对信息安全风险管理进行检查以及监控。进行该项操作的目的有两个方面。第一方面就是可以通过监控措施和方法对企业的安全信息进行收集,另一个方面就是采集企业安全环境发生改变的信息,这样便于第一时间对新风险进行预测。该小组获取信息后,可快速将这些信息反馈到上一级,从而方便领导决策层了解最新的安全动态[2]。
3 对我国信息安全风险管理的未来展望
对于信息安全领域的专业人士来讲,信息安全风险管理可从下面几个方面进行突破。
3.1 采用创新方法处理关键技术问题
衡量风险的一条重要途径就是对风险进行量化。在风险管理中,非常关键和基础的是风险计量和数学模型。对于评估的对象和度量的标准需要妥善解决。在对信息系统进行安全风险评估的时候,第一步骤就是要构建风险评估对象模型,使模型能够适应各种系统。在这个过程中,有一些比较优秀的数学工具可以提供分析和模拟。当前,在对复杂系统进行建模时,需要有构成国家关键信息基础设施的重要信息的大规模系统的能力。
3.2 根据实际问题,挑选合适的选择标准
在风险评估中,测度体系非常重要,它是风险评估的关键环节。在这个过程中,需要解决好三大问题:首先是测量问题。其次是可用性问题,最后是可操作和解释。
3.3 根据实际,处理好评估方法和测试工具问题
在信息系统安全风险评估中,其主要研究对象是传统风险评估方法在信息安全评估中的应用、评估新技术研究、针对特定应用专题的风险评估方法和风险评估方法工程应用。在进行风险评估的过程中,评估工具是必备的。目前,在国内信息系统安全风险评估工作中,测试数据没有实用技术支撑,这已经成为对我国信息安全风险评估进一步发展的障碍[3]。
作者:李志雷 来源:科学与信息化 2016年22期