當前位置：首頁 > 文庫 > 文案

企業(yè)信息安全評估范文8篇

時間：2024-08-15 14:14:22 92

企業(yè)信息安全評估

企業(yè)信息安全評估篇1

【關(guān)鍵詞】風險；評估；企業(yè)；信息管理

1.企業(yè)信息安全評估的內(nèi)容

企業(yè)在運行中會產(chǎn)生大量的運營數(shù)據(jù)，這些數(shù)據(jù)既有日常辦公方面的數(shù)據(jù)，也有涉及企業(yè)生產(chǎn)和研發(fā)方面的數(shù)據(jù)。隨著企業(yè)規(guī)模的擴大，對這些信息的管理大都是建立在一定的信息管理系統(tǒng)基礎(chǔ)上的，如ERP資源管理系統(tǒng)、MES系統(tǒng)等。這些管理系統(tǒng)管理的內(nèi)容包含了企業(yè)運行中的各類信息，就涉及到如何保障系統(tǒng)運行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風險，因此需要對企業(yè)的信息管理風險程度進行評估，在此基礎(chǔ)上尋找彌補信息安全隱患的策略。對企業(yè)信息安全的評估主要有以下幾個方面的內(nèi)容。

1.1 評估企業(yè)的管理制度

企業(yè)管理制度是企業(yè)有序運行的基礎(chǔ)，企業(yè)的信息安全也和此密切相關(guān)。很多企業(yè)信息外泄的案例都和企業(yè)管理制度漏洞直接聯(lián)系。因此在評估企業(yè)信息安全時企業(yè)的管理制度是必要的環(huán)節(jié)之一。在這個層面上評估企業(yè)信息安全主要是評估以下幾類基本的管理制度。①企業(yè)信息系統(tǒng)的使用制度；②企業(yè)信息系統(tǒng)的維護制度；③企業(yè)信息系統(tǒng)操作人員培訓(xùn)制度；④系統(tǒng)設(shè)備和文件管理制度。

1.2 企業(yè)信息系統(tǒng)計算機安全評估

實踐表明大量的企業(yè)信息外泄都和計算機系統(tǒng)的安全漏洞有關(guān)系，因此對企業(yè)信息系統(tǒng)的安全評估是必不可少的環(huán)節(jié)。這類問題的評估需要專業(yè)計算機人員來進行，彌補系統(tǒng)安全漏洞是保障企業(yè)信息安全的重要手段。定期或不定期的對企業(yè)信息系統(tǒng)的運行日志和統(tǒng)計資料進行檢查是一種行之有效的方法。

2.企業(yè)信息安全風險定量評估方法

對上述幾類評估內(nèi)容的定量估計是衡量企業(yè)信息安全的量化手段，其衡量得出的數(shù)值就是企業(yè)信息安全的風險值或安全程度指標。企業(yè)信息安全的定量風險評估考慮因素主要有三個：資產(chǎn)價值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數(shù)據(jù)采集的方式來進行合成計算，安全風險的數(shù)學(xué)表達式為：。其中為風險指標，表示企業(yè)資產(chǎn)指標，為代表威脅，為脆弱性指標。上述三類因素的基礎(chǔ)數(shù)據(jù)都需要從實踐中通過調(diào)研和測試來獲得。

2.1 企業(yè)信息安全估價的描述方法

企業(yè)的資產(chǎn)既包括有形的資產(chǎn)，也包括無形的資源，表現(xiàn)形式也從機械設(shè)備到軟件文檔等多種多樣。企業(yè)信息安全又有其特殊性。企業(yè)信息安全的安全屬性估價需要從資產(chǎn)的保密性、完整性和可用性三個方面來展開評估。由于企業(yè)各類資產(chǎn)的形式各異，資產(chǎn)的安全級別無法用通用的量化標準來記性評估，因此采用的方法為定性的CIA模糊集合方式來描述，如“資產(chǎn)安全級別”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊語言來描述，對應(yīng)的論域為｛5、4、3、2、1｝。企業(yè)信息安全安全的保密性、完整性和可用性三個方面的屬性都可以用上述模糊語言來定性描述，綜合上述三類安全屬性的公式為：。上式中分別為企業(yè)信息安全的保密性、完整性和可用性的賦值，取值為1,2…5，為綜合評定指標。筆者這里提供一些評價指標的選取標準：

（1）信息保密性的評定標準

①很高：這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息，信息泄漏將嚴重影響企業(yè)的利益；②高：這類級別的企業(yè)信息泄露會對到企業(yè)經(jīng)濟效益造成明顯損害；③中等：企業(yè)的一般性的經(jīng)營、決策信息，泄露對企業(yè)不利；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息；⑤較低：企業(yè)可對外界公布的信息類型。

（2）信息完整性的評定標準

①很高：這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息，其完整性直接決定企業(yè)的業(yè)務(wù)完整性，一旦缺失就無法彌補；②高：這類信息修改必須經(jīng)過高層授權(quán)，一旦缺失將嚴重影響業(yè)務(wù)，一旦缺失彌補難度很大；③中等：企業(yè)的一般性的經(jīng)營、決策信息，其修改需授權(quán)，缺失后可彌補；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息，缺失后對企業(yè)運行影響較小，易于彌補；⑤較低：企業(yè)可對外界公布的信息類型，缺失后對企業(yè)運行無明顯影響。

（3）信息可用性的評定標準

①很高：這類信息具有最重要的實用性，企業(yè)的運作必須依照運行的信息類型；②高：這類信息的可用性價值較高，企業(yè)運作對其依賴性較高；③中等：這類信息屬于可部分不可用的類型，部分不可用不影響企業(yè)的正常運作；④低：這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息，信息不可用不會造成明顯影響；⑤較低：這類信息使用性不高，信息不可用的影響可以忽略。

2.2 企業(yè)信息安全威脅程度的量化方法

企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的，既可能來自于系統(tǒng)的用戶（合法用戶或非法入侵）操作，也可能來自于系統(tǒng)的物理組件的損壞。這兩類威脅中最大也最常見的是系統(tǒng)用戶在操作方面的失誤、非法用戶利用系統(tǒng)漏洞來竊取企業(yè)機密信息，以及計算機病毒對信息系統(tǒng)的侵襲等。但這些事件都不易量化，在做風險評估時需要依賴專家經(jīng)驗，對各種潛在的威脅因素給出一定的概率值，對各類威脅因素可按照和上節(jié)類似的方法，用形如：“威脅程度”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊集合來表達，對應(yīng)于相應(yīng)的論域｛5、4、3、2、1｝。建議評定標準如下：①很高：風險事件發(fā)生的頻率很高，或?qū)ζ髽I(yè)信息安全具有明顯的威脅，但又很難避免的情形；②高：風險事件發(fā)生的可能性較大或有發(fā)生先例；③中等：風險事件有可能發(fā)生，但尚未實際發(fā)生過的情形；④較低：風險事件發(fā)生的可能性較小，通常情況下不會發(fā)生；⑤很低：幾乎不可能發(fā)生的風險事件類型；

2.3 信息系統(tǒng)脆弱性的量化方法

信息系統(tǒng)脆弱性的評估和系統(tǒng)面臨的威脅是緊密相關(guān)的，所有的實際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來發(fā)揮破壞性作用的，因此信息系統(tǒng)的脆弱性和威脅存點對點或單點對多點的關(guān)系。為便于計算，也采用和衡量系統(tǒng)威脅程度時相同的表示方法，“系統(tǒng)脆弱性”=｛“很高”、“高”、“中等”、“低”、“較低”｝，對應(yīng)于相應(yīng)的論域｛5、4、3、2、1｝。建議評定標準為：①很高：這類評定往往要基于企業(yè)信息系統(tǒng)存在明顯而易于攻擊的技術(shù)漏洞或者是管理規(guī)范上的缺陷，極易被非法使用的情形；②高：企業(yè)信息系統(tǒng)存在一定的技術(shù)漏洞或管理規(guī)范上的缺陷，容易被攻擊和利用；③中等：企業(yè)信息系統(tǒng)存在不易被發(fā)現(xiàn)（下轉(zhuǎn)第125頁）（上接第121頁）的技術(shù)漏洞，或必須經(jīng)過人為非法操作才能被攻擊的管理規(guī)范上的漏洞；④低：企業(yè)信息系統(tǒng)不存在明顯的技術(shù)漏洞，或企業(yè)信息管理制度較為完善，不易被攻擊利用；⑤較低：企業(yè)信息系統(tǒng)技術(shù)較為完善，管理制度也較為合理，被攻擊點可能性很小。

2.4 信息安全的風險計算

按照風險的定義，風險包括風險事件發(fā)生的可能性和相應(yīng)的后果。在企業(yè)信息系統(tǒng)中，各組成部分發(fā)生風險事件后的后果是不一樣的，其嚴重程度也存在差異。因此在風險計算時需要明確兩個方面的內(nèi)容，一是風險的計算方式，二是對風險計算量化數(shù)值的評價。各因素風險值的計算按：來計算，即按資產(chǎn)價值、資產(chǎn)脆弱性和資產(chǎn)面臨的威脅性的乘積來衡量某種信息資產(chǎn)的風險值。上述幾類因素的取值按照評價論域中的取值來作為乘積因子。在計算出風險值之后，還需要建立起以風險值為基礎(chǔ)的風險評價體系。

由前文的分析可見，風險的定量估計是一個由三類風險因素的線性乘積得出的。每一類信息的最高等級論域數(shù)值為5，最低為1，因此組合情況下風險值的最高值為125，最低值為1。由此可建立其與之對應(yīng)的風險定量評價體系。筆者建議采用與之對應(yīng)的5級評定方式：①很高：風險值估計范圍在100～125之間，表明企業(yè)信息系統(tǒng)存在很高的安全風險，發(fā)生信息泄露的可能性非常高；②高：風險估計值在75～100之間，表明企業(yè)信息系統(tǒng)存在較大的安全風險，發(fā)生信息泄露的可能性較大；③中等：風險估計值在50～75之間，企業(yè)信息系統(tǒng)的安全風險一般，經(jīng)過審查后能夠避免風險事件；④低：風險估計值在25～50之間，企業(yè)信息系統(tǒng)發(fā)生信息泄露的可能性很小；⑤很低：風險估計值在0～25之間，企業(yè)信息系統(tǒng)比較安全，但需要定期維護。

3.結(jié)語

企業(yè)信息系統(tǒng)安全管理關(guān)系到企業(yè)的內(nèi)部運營數(shù)據(jù)的安全，是需要引起高度重視的問題。本文將企業(yè)信息安全評估中幾類常用的信息類型進行了風險量化評估，給出了以線性乘積為基礎(chǔ)的風險量化方法，最后給出了分等級的企業(yè)信息安全綜合評定。

參考文獻

[1]沈昌樣.關(guān)于強化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.

[2]沈昌祥,馬東平,等.信息安全工程學(xué)導(dǎo)論[M].電子工業(yè)出版社,2009,9.

[3]熊松錳,張志平.構(gòu)建網(wǎng)絡(luò)信息的安全防護體系[J].情報學(xué)報,2011,22.

企業(yè)信息安全評估篇2

1．1信息安全管理有效性測量目的

信息安全管理有效性測量的根本目的，是評估企業(yè)信息安全管理的真實水平。在企業(yè)建立信息系統(tǒng)時，通常都會依據(jù)企業(yè)的發(fā)展需要、組織結(jié)構(gòu)、信息組成、利益關(guān)系、安全標準等方面的要求，來設(shè)定企業(yè)信息系統(tǒng)的安全管理目標，構(gòu)筑相應(yīng)的安全管理體系和措施。對企業(yè)信息安全管理有效性進行測量，不僅可以對企業(yè)信息安全管理目標實現(xiàn)程度進行科學(xué)準確的評估，還能準確地評測企業(yè)信息安全管理系統(tǒng)的效能，作為企業(yè)信息安全管理考核的依據(jù)。實際上，如果不進行有效性測量，只依賴于信息系統(tǒng)安全測量標準來評估企業(yè)信息系統(tǒng)安全管理水平，將會造成極大的誤差，甚至產(chǎn)生很多安全漏洞，使企業(yè)實際信息安全管理水平與所需達到的水平相差甚遠，如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無法得到有效的解決，造成巨大的信息安全隱患。通過有效性測量，能更好地找出企業(yè)信息安全管理需要改進的地方，充分反應(yīng)企業(yè)信息安全管理存在的問題和嚴重程度，為企業(yè)信息安全管理工作的改進提供依據(jù)。

1．2信息安全管理有效性測量指標

信息安全管理不僅是國內(nèi)企業(yè)的需要，也是國外企業(yè)的需要，相對來說，國外在信息安全管理方面的水平更高。目前，在國際上普遍采用ISO／IEC27002作為信息安全管理標準，以此來實施信息安全管理，這一標準是當前最權(quán)威和最科學(xué)的信息安全管理標準，在這一標準中從信息安全方針、組織、管理等方面，提出了100余個控制措施，信息安全管理中可以根據(jù)企業(yè)的需要選擇相應(yīng)的措施進行信息安全管理，該標準所提出的措施，基本覆蓋了企業(yè)信息安全管理的各個方面。在構(gòu)建信息安全管理有效性測量指標體系時，也可以按照ISO／IEC27002標準進行，將測量內(nèi)容分解為管理控制、運行控制、技術(shù)控制3個方面，并根據(jù)企業(yè)實際情況采用具有代表性、可測量的指標建立起測量指標集，對這些指標實施情況進行采集分析，再通過專家咨詢評測最終得到企業(yè)信息安全管理有效性的具體指標，評估企業(yè)信息安全達到的水平，找出企業(yè)信息安全管理的不足。

2測量方法和指標計算

2．1測量方法

在信息安全管理有效性測量中，應(yīng)當對指標進行量化處理，最終形成量化測量結(jié)果。不同的指標，所采用的測量方法并不相同，通常采用的測量方法有風險分析、風險評估、問卷調(diào)查、個人訪談、內(nèi)部審核、報表統(tǒng)計、滲透性測試、內(nèi)外對比等方法。對不同的指標采用相應(yīng)的測量方法進行測量后，得到各指標的基本測度結(jié)果，再運用不同的技術(shù)對所獲得的基本測度結(jié)果進行取值，賦予不同指標以不同的安全風險權(quán)重，最終算出企業(yè)信息安全管理有效性水平。例如在信息安全管理控制方面，需要對信息系統(tǒng)安全性，信息處理、信息傳輸、信息存儲安全性進行評價，并評估這些風險可能對企業(yè)資產(chǎn)造成的威脅以及威脅程度，結(jié)合安全問題所涉及的資產(chǎn)價值來判斷可能造成的影響，以評估信息安全管理控制的有效性，這其中，就需要將信息安全管理控制分解為多個指標進行測量，并根據(jù)對資產(chǎn)價值的影響能力賦予不同的權(quán)重和取值，才能最終確定出企業(yè)信息安全管理控制方面的有效性水平。再如在信息安全管理運行有效性方面，需要對人員安全、安全意識、環(huán)境安全、業(yè)務(wù)聯(lián)系、事件管理等進行有效性評估，其中人員安全包括各個人員的安全評級和安全管理情況，安全意識包括企業(yè)安全教育、人員安全技術(shù)水平等，環(huán)境安全包括物理安全環(huán)境、技術(shù)安全環(huán)境等。

2．2指標計算

在信息安全管理有效性測量中，各指標的在安全管理有效性中的權(quán)重并不相同，因此信息安全管理有效性測量結(jié)果，不是對各指標的測量結(jié)果進行簡單相加，而是要對不同的指標賦予不同的權(quán)重，構(gòu)建起評測矩陣，并充分考慮各指標之間的聯(lián)系賦值，如極端重要、強烈重要、明顯重要、稍微重要等，根據(jù)不同指標的權(quán)重進行重要性排序后，對其特征向量進行求解，確定各指標在企業(yè)信息安全管理中的影響能力。各指標的權(quán)重，并沒有統(tǒng)一的標準，也不可能簡單地借鑒其他企業(yè)的測量權(quán)重，根據(jù)不同企業(yè)有不同的特點，在進行測量時，應(yīng)當有相當數(shù)量的專家參與權(quán)重賦值，在消除偶然因素的影響后建立起符合企業(yè)特點的指標權(quán)重體系，得出較為科學(xué)合理的指標權(quán)重，這樣才能使最重的測量結(jié)果更為科學(xué)合理。

3結(jié)束語

信息安全問題關(guān)系著企業(yè)的競爭發(fā)展，在企業(yè)信息安全管理中，并不是構(gòu)建了先進的硬件平臺和軟件系統(tǒng)就能切實提高企業(yè)信息安全管理水平，還需要保證信息安全管理的有效性，因此信息安全管理有效性測量極為重要。不過當前我國信息安全管理有效性測量才剛剛起步，雖然有很多先進的國內(nèi)外經(jīng)驗可供借鑒，但信息安全管理有效性測量有極大的個性化特點，需要根據(jù)不同企業(yè)采用不同的測量方法，建立起不同的指標體系，運用不同的權(quán)重賦值進行有效性評估，這樣才能提高測量的科學(xué)性和合理性，降低測量誤差。

企業(yè)信息安全評估篇3

關(guān)鍵詞：信息安全；安全生產(chǎn)風險管理體系；風險評估；風險控制

0引言

隨著信息化建設(shè)的飛速發(fā)展和普及，各行各業(yè)的網(wǎng)絡(luò)化、信息化水平顯著提高，無論是電網(wǎng)安全穩(wěn)定經(jīng)濟運行還是企業(yè)管理業(yè)務(wù)運轉(zhuǎn)都離不開信息化系統(tǒng)的支持，在信息化帶來高效率的同時不得不考慮網(wǎng)絡(luò)化帶來的安全問題。企業(yè)信息安全管理的有效性，關(guān)系企業(yè)或國家機密，一旦面臨威脅和遭遇攻擊，就會給企業(yè)或國家?guī)韲乐氐膿p失[1]。目前在我國電力企業(yè)信息安全管理領(lǐng)域，信息安全風險管理依然研究不夠深入，較多采取的基于問題的管理方式，遭到攻擊或同類行業(yè)遭到攻擊后，進行系統(tǒng)排查，查找系統(tǒng)漏洞，然后堵住漏洞，這種被動式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線，只有事前做好各類防范和應(yīng)急處置，管控風險是實現(xiàn)安全生產(chǎn)的重要保證，在電力企業(yè)信息化建設(shè)過程中建立一套基于風險的信息安全管理體系，降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問題[2]。

1風險管理體系概述

1.1安全生產(chǎn)風險管理體系概念

安全生產(chǎn)風險管理體系是南方電網(wǎng)借鑒國際先進安全管理理念的基礎(chǔ)上，基于電網(wǎng)實際情況提出的了一種安全生產(chǎn)風險管理思路和方法，以風險管控為主線、以“計劃-實施-檢查-改進（PDCA）“閉環(huán)管理為原則，系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容，指明了風險管控的目標、規(guī)范要求和管理途徑，為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風險管理體系核心思想為“基于風險、系統(tǒng)性、規(guī)范性、持續(xù)改進”：基于風險是指企業(yè)應(yīng)基于實際面臨的風險確定核心業(yè)務(wù)和基于各類風險管控脈絡(luò)及影響業(yè)務(wù)目的性的風險因素業(yè)務(wù)流程節(jié)點的設(shè)計；系統(tǒng)性是指企業(yè)在設(shè)計管理系統(tǒng)框架及業(yè)務(wù)流程節(jié)點時，保證流程節(jié)點的充分性并遵循PDCA的閉環(huán)管理模式，理清業(yè)務(wù)與業(yè)務(wù)之間的輸入、輸出關(guān)系；規(guī)范性是指企業(yè)應(yīng)明確各項工作的執(zhí)行標準，確保執(zhí)行標準的唯一性、科學(xué)性，同時企業(yè)各部門、生產(chǎn)單位、班組能夠按照標準開展工作，保證企業(yè)管理的統(tǒng)一性；持續(xù)改進是指企業(yè)應(yīng)建立完善的問題發(fā)現(xiàn)機制及問題改進機制，能夠及時發(fā)現(xiàn)系統(tǒng)運行過程中存在的問題并進行改進，同時不斷地完善企業(yè)管理系統(tǒng)的策劃，實現(xiàn)管理系統(tǒng)的持續(xù)改進。自2007年建立以來，全網(wǎng)范圍內(nèi)風險管控方法得到有效應(yīng)用，安全生產(chǎn)管理基礎(chǔ)得到進一步夯實，主要安全生產(chǎn)指標持續(xù)向好。

1.2基于風險的信息安全管理框架

南方電網(wǎng)安全生產(chǎn)風險管理體系，為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法，其基于風險的管理思路遵循國際通用的“危害識別、風險評估、風險控制、風險回顧”風險管控模型，強調(diào)事前風險分析和評估、事中落實管控措施、事后總結(jié)回顧和改進，目前主要應(yīng)用在電網(wǎng)、設(shè)備、作業(yè)和職業(yè)健康風險管控上，并取得了不錯的成績，也為信息安全管理帶來了有益的啟示，即可以通過引入該方法和結(jié)合業(yè)務(wù)實踐建立基于風險的信息安全管理框架，探索信息安全風險管理長效機制[4]。

2基于風險的信息安全風險管理體系建立的重要環(huán)節(jié)

2.1確定風險評估的目標

從管理目的出發(fā)，是安全生產(chǎn)風險管理體系的一個重要思想，以目的為導(dǎo)向，分析在現(xiàn)狀下實現(xiàn)目的存在的障礙因素，也就是管理關(guān)鍵流程節(jié)點，從而確定業(yè)務(wù)的管理脈絡(luò)，實現(xiàn)以基于風險的管理思路，最終達到業(yè)務(wù)工作的系統(tǒng)化和規(guī)范化。信息安全管理目標就是要實現(xiàn)信息系統(tǒng)的基本安全特性，并達到所需要的保障級別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性，資產(chǎn)的三性對于維持現(xiàn)金流動、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風險評估目標來源于企業(yè)中長期發(fā)展戰(zhàn)略目標的需求，滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面[4]。

2.2風險識別

風險識別是指在運用各種方法全面、系統(tǒng)地識別出在信息安全管理中的風險，找出潛在的原因。一個組織的信息系統(tǒng)和網(wǎng)絡(luò)可能是嚴重威脅的目標，同時，由于企業(yè)信息化水平的逐步提高，對于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加，企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個角度識別風險。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)的三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響[6]。信息安全管理的最終目標是在滿足企業(yè)中長期發(fā)展對信息化水平要求的同時，確保信息安全的三性，降低信息安全事故事件發(fā)生的概率。影響該目標實現(xiàn)的因素有危害因素識別是否全面、風險評估結(jié)果是否準確、措施是否有效，因此選擇合適的風險評估辦法和模型，對信息安全管理來說至關(guān)重要。

2.3信息安全風險評估

2.3.1信息安全風險評估模型

風險評估是在確定影響信息安全風險評估的三個維度的基礎(chǔ)上，選擇定性或者定量的風險評估方法，對識別出的風險發(fā)生的可能性或可能導(dǎo)致的后果進行衡量，并根據(jù)評估結(jié)果劃分風險等級，然后建立分層分級的管控措施。在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險值=R（A,T,V）=R(L(T,V)，F(xiàn)(A,V))。

2.3.2信息安全風險評估實施與運行

（1）信息安全風險概述通俗來講，風險概述就是風險的管理方案，基于風險評估的結(jié)果，制定年度風險管控重點工作安排，為年度安全生產(chǎn)工作計劃提供方向。概述報告編制時，應(yīng)充分考慮風險數(shù)據(jù)的輸出應(yīng)用，為涉及相關(guān)單位（部門）的管理提供輸入。風險概述報告至少包含以下信息：風險描述、風險范疇、風險細分種類、風險等級和風險控制措施，并按風險等級排序。（2）風險控制風險控制是在風險評估之后，控制措施建議應(yīng)綜合考慮風險控制成本與風險造成的影響，結(jié)合法律法規(guī)、國家、行業(yè)、上級主管單位和公司有關(guān)政策要求以及當前的重點任務(wù)統(tǒng)籌考慮選擇合適的風險控制措施。風險控制方法一般按照以下順序進行選擇：消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個人防護等?？偟膩碚f控制措施從管理措施和技術(shù)措施兩個方面提出，優(yōu)先考慮技術(shù)措施。屬于組織結(jié)構(gòu)不完善的，建立信息安全組織體系。屬于管理措施的融入管理辦法，編制各層次的信息安全管理體系文件，包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項目建設(shè)管理制度、信息系統(tǒng)運維管理制度，明確管理要求；屬于物理安全隱患的，加強機房、門控、安保系統(tǒng)和隊伍建設(shè)；屬于信息系統(tǒng)保護的，納入信息安全項目建設(shè)計劃，提高防病毒、漏洞補丁、安全配置、安全認證、訪問控制、數(shù)據(jù)加密、入侵檢測等保護能力；屬于作業(yè)過程執(zhí)行的措施，將信息安全管控要求納入作業(yè)指導(dǎo)書、“兩票”等作業(yè)標準，減少人的因素引發(fā)的信息安全事故事件；屬于人員技能和意識的納入教育培訓(xùn)計劃；屬于信息安全應(yīng)急響應(yīng)的建立信息安全應(yīng)急預(yù)案或現(xiàn)場處置方案，并按照演練計劃開展應(yīng)急演練[7]。

2.4風險監(jiān)測

風險控制措施制定后需要對措施的有效性進行評估，發(fā)布年度風險預(yù)控措施計劃表。風險控制措施應(yīng)明確責任單位（部門）、責任人、完成時間。在制定風險控制措施時，應(yīng)避免控制措施帶來新的風險。結(jié)合年度風險預(yù)控措施表和變化識別內(nèi)容，制定月度風險監(jiān)督計劃，并明確各項預(yù)控措施執(zhí)行情況的各級監(jiān)督部門，確保風險措施按計劃落實執(zhí)行。

2.5管理回顧，持續(xù)改進

PDCA閉環(huán)管理是安全生產(chǎn)風險管理體系核心之一，通過定期開展管理回顧，審視信息安全風險管控的有效性，進而形成長效機制持續(xù)改進。在回顧過程中注意以下幾個方面：（1）識別變化，優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的，當變化產(chǎn)生時需要及時識別也調(diào)整管控措施。當法律法規(guī)變化時需要及時對法律法規(guī)風險進行識別和融入；當國際、國內(nèi)信息安全態(tài)勢發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時及時更新防護技術(shù)手段、優(yōu)化管理標準、更新應(yīng)急處置方案，并保存變化過程的相關(guān)資料。（2）建立糾正與預(yù)防系統(tǒng)安全生產(chǎn)風險管理體系核心思想之一就是持續(xù)改進，通過建立問題發(fā)現(xiàn)機制和問題改進機制最終實現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面，糾正與預(yù)防的來源包括信息安全防護系統(tǒng)檢測情況、系統(tǒng)運行分析統(tǒng)計、外部信息安全形勢、檢查發(fā)現(xiàn)問題等，并進行根本原因分析，制定糾正或預(yù)防措施，通過評估措施的有效性，進行統(tǒng)計輸出應(yīng)用，輸出應(yīng)用到信息安全管理制度、能力與意識提升等各個環(huán)節(jié)，進而確保企業(yè)的信息安全管理水平得到持續(xù)提升。

3結(jié)語

企業(yè)信息安全評估篇4

一、運用系統(tǒng)的思想和方法，查找信息安全管理的“短扳”

隨著企業(yè)信息化的快速發(fā)展，信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點和要求，越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對象，對外來人員也缺乏有效的識別管理；管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標準，當信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū)，有些制度內(nèi)容重復(fù)、交叉、不一致，有些制度不切實際，往往束之高閣；風險評估不夠科學(xué)。以往的信息風險評估不夠系統(tǒng)，主觀性過強，缺乏綜合平衡，抓不住重點，或過度保護，或產(chǎn)生管理死角，事后控制多，事前預(yù)控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設(shè)中普遍感覺到的問題。隨著科學(xué)技術(shù)的進步，企業(yè)信息運行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進管理方式、建立信息安全管理體系打下了扎實的基礎(chǔ)。為此，嘉興電力局根據(jù)國際上信息安全管理的最佳實踐，結(jié)合供電企業(yè)的實際，從信息安全風險評估管理入手，貫徹ISO/IEC27001：**信息安全管理標準，建立了信息安全管理體系。通過體系有效運作，達到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。

二、從資產(chǎn)識別入手，搞好信息安全風險評估

按《信息安全風險評估控制程序》，對所有的資產(chǎn)進行了列表識別，并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值。在風險評估中，共識別資產(chǎn)2810項，其中確定的重要資產(chǎn)總數(shù)為312項，形成了《重要資產(chǎn)清單》。

圖1.《重要信息資產(chǎn)按部門分布圖》

對重要的信息資產(chǎn)，由資產(chǎn)的所有者（歸口管理部門）對其可能遭受的威脅及自身的薄弱點進行識別，并對威脅利用薄弱點發(fā)生安全事件的可能性以及潛在影響進行了賦值分析，確定風險等級和可接受程度，形成了《重要資產(chǎn)風險評估表》。針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定措施失效發(fā)生的可能性，計算風險等級，判斷風險為可接受的還是需要處理的。根據(jù)風險評估的結(jié)果，形成風險處理計劃。對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用適當?shù)拇胧?，確定是接受風險、避免風險，還是轉(zhuǎn)移風險。

嘉興電力局經(jīng)過風險評估，確定了不可接受風險84項，其中硬件和設(shè)施52項，軟件和系統(tǒng)0項，文檔和數(shù)據(jù)8項，服務(wù)0項，人力資源24項。

根據(jù)風險評估的結(jié)果，對可接受風險，保持原有的控制措施，同時按ISO/IEC17799：**《信息技術(shù)-安全技術(shù)-信息安全管理實施細則》和系統(tǒng)應(yīng)用的要求，對控制措施進行完善。針對不可接受風險，由各部門制定了相應(yīng)的安全控制措施。制訂控制措施主要考慮了風險評估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求，以期達到風險降低的目的?？刂拼胧┑膶嵤谋苊怙L險、降低風險、轉(zhuǎn)移風險等方面，將風險降低到可接受的水平。

圖2.《各類不可接受風險按系統(tǒng)分布圖》。

三、按照ISO標準要求，建立信息安全管理體系

嘉興電力局在涉及生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動的信息系統(tǒng)，按ISO/IEC27001：**《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》規(guī)定，參照ISO/IEC17799：**《信息技術(shù)-安全技術(shù)-信息安全管理實施細則》，建立信息安全管理體系，簡稱ISMS。確定信息安全管理體系覆蓋范圍，主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況，涉及電力生產(chǎn)、營銷、服務(wù)和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是：“全面、完整、務(wù)實、有效?！?span style="display:none">N65萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

為實現(xiàn)信息安全管理體系方針，嘉興電力局在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標和控制措施，明確信息安全的管理職責；識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進行信息安全風險評估，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和能力；制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求，制訂的信息安全管理目標是：2級以上信息安全事件為0；不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密；不發(fā)生導(dǎo)致供電中斷的信息事故；減少有關(guān)的法律風險。

嘉興電力局根據(jù)風險評估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀，按照ISO/IEC27001：**標準要求，整合原有的企業(yè)信息安全管理標準、規(guī)章制度，形成了科學(xué)、嚴密的信息安全管理體系文件框架，包括信息安全管理手冊；《信息安全風險評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個程序文件，制定了16個支撐性作業(yè)文件。

四、運用過程方法，實施信息安全管理體系

在信息安全管理過程中，重點是抓好人員安全、風險評估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié)，采取明確職責、動態(tài)檢查、嚴格考核等措施，使信息安全走上常態(tài)管理之路。

圖3：信息安全管理體系實施過程

重視信息系統(tǒng)安全管理。因為信息系統(tǒng)支撐著企業(yè)的各項業(yè)務(wù)，信息安全管理體系實施涵蓋信息系統(tǒng)的生命周期，表現(xiàn)在信息系統(tǒng)的軟（硬）件購置、設(shè)備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)（權(quán)限）變更等方面，嚴格執(zhí)行體系的相關(guān)控制程序。

強化人員安全管理。在勞動合同、崗位說明書中，明確員工信息安全職責。特殊崗位的人員規(guī)定特別的安全責任，對信息關(guān)鍵崗位實行備案制度。對崗位調(diào)動或離職人員，及時調(diào)整安全職責和權(quán)限。定期對員工進行信息安全教育和技能培訓(xùn)、比武、考試。

重視相關(guān)方管理。對軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員，明確安全要求和安全職責。簽訂保密協(xié)議、辦理入網(wǎng)申請、進行入網(wǎng)教育等。識別客戶、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。

企業(yè)信息安全評估篇5

論文摘要:文章首先分析了信息安全外包存在的風險，根據(jù)風險提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風險

1.1信任風險

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時候?qū)踩?wù)外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對外包商提供一些關(guān)鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會對服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風險規(guī)避的重點內(nèi)容。

1.2依賴風險

企業(yè)很容易對某個信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當?shù)娘L險緩釋方法是將安全服務(wù)外包給多個服務(wù)外包商，但相應(yīng)地會加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應(yīng)變能力;第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進化性，其本質(zhì)是中期到長期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時期。進化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風險

不管外包商提供服務(wù)的范圍如何，企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護持有所有權(quán)和責任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔職責，并且其服務(wù)級別協(xié)議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到，應(yīng)該將信息安全作為其首要責任，并進行安全培訓(xùn)課程，增強常規(guī)企業(yè)的安全意識。

1.4共享環(huán)境風臉

信息安全服務(wù)的外包商使用的向多個企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風險。

1.5實施過程風險

啟動一個可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個服務(wù)外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡，這一切都可能引起新的風險。企業(yè)應(yīng)該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風險

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風險。合作關(guān)系失敗帶來的經(jīng)濟損失、時間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時還需要合作關(guān)系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業(yè)實施和管理外包活動，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標準，然后是對企業(yè)遭受的風險進行系統(tǒng)的評估.并根據(jù)方針和風險程度.決定風險管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時加強管理與外包商的關(guān)系。

3信息安全外包風險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業(yè)內(nèi)，指導(dǎo)如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標準的簡要說明，以及遵守這些原則和標準對企業(yè)的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責任細節(jié)將留至服務(wù)標準的部分來闡明。

3.2選擇信息安全管理的標準

信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:

(1)BS7799:BS7799標準是由英國標準協(xié)會指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規(guī)范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計劃部分;信息技術(shù)安全的技術(shù)管理部分;防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風險。企業(yè)可以定期的選擇對服務(wù)外包商的站點和服務(wù)進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業(yè)獨立評估方評估權(quán)限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進一步消息和細節(jié)，以減少任何對可用性，服務(wù)程度，客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務(wù)績效進行考核。評估結(jié)束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進行改進。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標準和量度，服務(wù)外包商以及各方的任務(wù)和職責;第二部分是信息安全服務(wù)的相關(guān)要求，這個部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計;事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進行工作匯報，主要包括:首席執(zhí)行官、首席運營官、首席財務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況，并確定安全工作的標準和主動性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進行信息安全的技術(shù)性服務(wù)。

(3)管理委員會:這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的CIO和CSO，外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問題等，咨詢委員會的成員包括企業(yè)內(nèi)部的TI’人員和安全專員，還有財務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項目的負責人。

(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負責聯(lián)絡(luò)各個業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個業(yè)務(wù)部門的負責人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后，或者，是當CSO發(fā)布了關(guān)于信息安全的企業(yè)改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經(jīng)過學(xué)習(xí)討論后，繼而將其發(fā)布到各個業(yè)務(wù)部門。

(9)監(jiān)督委員會:這個委員會全部由企業(yè)內(nèi)部人員組成。負責對外包商的服務(wù)過程的監(jiān)督。

3.6管理與外包商的關(guān)系

企業(yè)信息安全評估篇6

1、引言

隨著信息化建設(shè)的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]：1)網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜取;2)網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓;3)信息發(fā)布的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息發(fā)布沒有主管部門負責審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響;4)計算機病毒的危害，相關(guān)系統(tǒng)不及時更新補丁和升級，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當前，有關(guān)信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué)，而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評價體系，并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā)，如技術(shù)、管理、過程、人員等，著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實踐規(guī)范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架，很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結(jié)合起來。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個科學(xué)、合理的管理體系，并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進行評價，對信息安全管理績效進行考核。

2、大型企業(yè)信息安全管理體系的內(nèi)涵

通過管理體系的應(yīng)用，將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng)，認識企業(yè)信息安全存在的不足之處，發(fā)揮考評體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動的進程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標：對于信息安全方面出現(xiàn)的問題，達到防范目的;對于信息安全工作進行查漏補缺，加強管理;通過評估體系的考核，落實相關(guān)信息安全文件、推進信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時注重管理體系整體的時效性，根據(jù)信息安全發(fā)展的不同階段進行及時更新。

1) 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計。信息安全體系設(shè)計共分為三級，包含9個一級指標，14個二級指標，27個三級指標。一級指標和二級指標為共性指標，三級指標為數(shù)據(jù)采集項。一級指標包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息發(fā)布安全、移動信息化安全、服務(wù)器掃描情況。一級和二級指標結(jié)構(gòu)圖如下：

2)信息安全考評指標的權(quán)重設(shè)計

指標權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標權(quán)重確定方法設(shè)計過程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標在企業(yè)信息化中的重要程度，確定各指標的相對重要性，采用層次分析法確定各指標的權(quán)重。另外一組專家根據(jù)各指標在企業(yè)信息化中的重要程度，對各指標按百分制進行賦值，確定各指標的權(quán)重。綜合兩組專家的意見，初步確定各指標的權(quán)重，再組織專家研討會，最終確定各指標的權(quán)重。

企業(yè)信息安全考評指標總分計算方法：

I=Σ(Pi*Wi) (1)

I表示指標體系的總得分;Pi表示第i個指標的得分，各指標得滿分都是100分;Wi表示第i個指標的權(quán)重，所有指標權(quán)重的和為100%。

3)建設(shè)大型企業(yè)信息化評價管理系統(tǒng)

為了實施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負擔，填報和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報數(shù)據(jù)為基礎(chǔ)，可以自動、實時地形成各種統(tǒng)計、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作，大大減輕了信息化管理部門的工作強度，增加了信息化管理部門對新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評價初始化、基層初評、數(shù)據(jù)提交、部門權(quán)限管理(含單位、指標項)、管理部門復(fù)評、信息稽核、數(shù)據(jù)計算、統(tǒng)計管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報送平臺，提高企業(yè)信息整合水平。

建立在線交流及公告發(fā)布平臺。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進行綜合分析，可自動、實時地形成各種統(tǒng)計分析圖表、報告等，例如：信息化評級、信息化水平評測報告。

4、結(jié)束語

通過大型企業(yè)信息安全管理體系的實施，使企業(yè)信息化水平評估體系更加完善，在考評信息化建設(shè)水平的同時，又對信息安全水平等級有所提升。

企業(yè)信息安全評估篇7

(1)IT治理風險。IT治理風險的宏觀體現(xiàn)是最高管理層對信息化理解的不確定性、以及企業(yè)領(lǐng)導(dǎo)力影響的不確定性;微觀體現(xiàn)是缺乏制度化與標準化的約束，缺乏部門之間及流程之間協(xié)調(diào)、溝通的機制，造成IT系統(tǒng)與業(yè)務(wù)需求的脫離，以及IT系統(tǒng)和企業(yè)信息資源間的孤立。

(2)遵從性風險。指企業(yè)內(nèi)部IT策略與外部法律法規(guī)的遵從(Compliance)所導(dǎo)致的風險。伴隨信息技術(shù)的發(fā)展，國內(nèi)外出臺大量法律法規(guī)加強了對信息系統(tǒng)的監(jiān)管。例如，2002年美國國會的《薩班斯—奧克斯利法案》雖然沒有直接明確對信息系統(tǒng)的要求，但據(jù)統(tǒng)計，企業(yè)在實施符合法案要求的工作中，信息系統(tǒng)方面的工作量占比超過40%;2006年中國銀監(jiān)會《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》，也直接對技術(shù)風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統(tǒng)審計的要求。

(3)信息安全風險。企業(yè)信息系統(tǒng)不斷開放和復(fù)雜，使得信息安全面臨來自內(nèi)外部的嚴峻挑戰(zhàn)。針對企業(yè)信息系統(tǒng)的攻擊方式簡單易學(xué)、攻擊對象身份隱匿，造成企業(yè)信息安全風險極易轉(zhuǎn)化為現(xiàn)實的業(yè)務(wù)威脅，如支持員工移動辦公給企業(yè)資產(chǎn)安全性和可用性帶來的壓力倍增，許多敏感機密信息被輕易泄露。

(4)可用性風險?？捎眯燥L險主要來自三個方面，一是IT平臺系統(tǒng)自身漏洞導(dǎo)致的系統(tǒng)停機事件越發(fā)難以掌控;二是由于事件管理、變更管理、配置管理、連續(xù)性計劃等IT服務(wù)管理流程缺失或不到位，導(dǎo)致IT系統(tǒng)不可用;三是來自自然的災(zāi)害威脅著IT系統(tǒng)的可用性。

(5)績效風險。若IT投資行為不能帶來合理的回報，如規(guī)劃不當、控制不嚴等，將使組織面臨巨大財務(wù)風險。同時，如果對IT的投資績效和運行績效不能進行有效測量，就不能有效地發(fā)現(xiàn)存在的問題，并采取針對性的改進措施。隨著信息系統(tǒng)日益成為企業(yè)經(jīng)營成功的核心，且貫穿在完整的流程過程中，企業(yè)業(yè)務(wù)和支撐業(yè)務(wù)的信息系統(tǒng)愈加無法分割，形成有機的整體。因此，IT風險帶來的挑戰(zhàn)不僅影響到信息系統(tǒng)本身，也同時會影響到業(yè)務(wù)的穩(wěn)定運行及發(fā)展，更有可能影響到外部的業(yè)務(wù)客戶。在應(yīng)對這些IT風險時，傳統(tǒng)的方式大多是采用事后反應(yīng)式的控制措施，使得技術(shù)人員疲于應(yīng)付各種層出不窮的風險，且在面對制度、流程、人員行為等方面帶來的風險時，傳統(tǒng)的控制方法存在明顯不足，而降低企業(yè)IT風險的關(guān)鍵是需要有一個主動、科學(xué)的風險管理體系。

2企業(yè)IT風險管理及其標準指南

企業(yè)IT風險管理是圍繞企業(yè)信息化戰(zhàn)略目標，通過在信息系統(tǒng)的規(guī)劃、開發(fā)、運行、維護、監(jiān)控與評價的各個階段中降低企業(yè)風險的科學(xué)化管理流程，包括風險管理的策略制定、風險的識別、風險的評估、風險的處置等環(huán)節(jié)，以達到企業(yè)信息化可持續(xù)發(fā)展的目標。一個科學(xué)的IT風險管理體系是一個具有前瞻性、全局性的控制機制，能綜合防范和應(yīng)對IT治理、法規(guī)遵從、系統(tǒng)可用、信息安全、IT外包、業(yè)務(wù)連續(xù)性、IT績效等諸多方面的企業(yè)風險，并能使企業(yè)IT戰(zhàn)略與企業(yè)綜合戰(zhàn)略相融合，以實現(xiàn)有效益、可持續(xù)的信息化發(fā)展。信息社會環(huán)境下，無論何種規(guī)模、什么類型的企業(yè)，都需要面臨圍繞信息系統(tǒng)制定一套管理體系和控制指南，有效地管理企業(yè)面臨的各種各樣的風險，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新。

在此方面，國內(nèi)外已經(jīng)有一些較為成熟的企業(yè)IT風險管理的標準或指南。例如美國反虛假財務(wù)報告委員會(COSO)于2004年頒布的《COSO企業(yè)風險管理框架》，此框架要求企業(yè)管理者以風險組合的觀點看待企業(yè)風險，對包括IT風險在內(nèi)的所有風險進行識別，并采取措施使企業(yè)所承擔的風險在風險容納量(RiskAppetite)的范圍內(nèi)。而美國信息系統(tǒng)審計與控制協(xié)會的COBIT標準自1996年誕生以來已經(jīng)更新到了第四版，已成為全球通用的信息系統(tǒng)審計標準，該標準每一次更新都在不斷強化IT風險控制的目標內(nèi)容，為企業(yè)信息系統(tǒng)安全審計提出了具體指導(dǎo)。此外，國際知名的信息安全標準也都提出了各自的IT風險管理控制框架，包括ITIL(Infor-mationTechnologyInfrastructureLibrary，信息技術(shù)基礎(chǔ)架構(gòu)庫)、ISO27001(信息安全管理使用規(guī)則)、CMMI(CapabilityMaturityModelIntegration，能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments，受控環(huán)境下的項目)等。

近年來，我國的信息化主管部門以及各行業(yè)也積極加強了企業(yè)風險管理。以金融業(yè)為例，2004年9月銀監(jiān)會了《商業(yè)銀行內(nèi)部控制評價試行辦法》，其中包括了對銀行計算機系統(tǒng)的IT風險控制要求;2009年銀監(jiān)會出臺了《商業(yè)銀行信息科技風險管理指引》，2011年銀監(jiān)會了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》。與此同時，其他行業(yè)監(jiān)管部門也已經(jīng)或計劃出臺類似的風險管理措施。上述標準或指南為企業(yè)IT風險管理提供了原則指導(dǎo)和對策框架，如何將這些原則性建議與企業(yè)自身的工作實際相結(jié)合，如何將IT風險管理融入常態(tài)化的企業(yè)管理機制，仍然是企業(yè)管理實踐中的難點。因此，本文以我國企業(yè)IT風險管理的先行行業(yè)———金融業(yè)的管理實踐為例，詳細探討企業(yè)IT風險管理的體系結(jié)構(gòu)及其關(guān)系，并就企業(yè)IT風險管理的實施提出具體建議。

3企業(yè)IT風險管理的體系框架

企業(yè)IT風險管理框架通過對企業(yè)信息安全各個層面實際需求和風險的分析，引入恰當?shù)陌踩刂拼胧?，并且同信息系統(tǒng)審計相結(jié)合，從而保證企業(yè)信息資產(chǎn)的安全性、完整性和可用性。企業(yè)IT風險管理框架可分為風險治理、風險評估和風險應(yīng)對三個主要的方面，并通過風險溝通和監(jiān)控等手段將三方面有效結(jié)合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式，能確保企業(yè)IT風險管理始終保持在可持續(xù)發(fā)展的軌道上，并通過階段性地進行信息系統(tǒng)審計，以發(fā)現(xiàn)存在的偏離，及時調(diào)整到信息化的最終目標上來。

3.1風險治理

主要內(nèi)容包括建立基于風險的信息科技決策、定義風險策略、建立風險組織和風險整合等內(nèi)容。例如宣傳IT風險對于決策的價值、將IT風險考慮納入業(yè)務(wù)和IT決策、整合IT風險策略和業(yè)務(wù)風險策略等都屬于風險治理的內(nèi)容。

3.2風險評估

主要內(nèi)容包括風險識別、風險分析和風險維護等內(nèi)容。諸多國際標準都提出了信息安全風險評估的標準，如ISO27001(信息安全管理體系規(guī)范)、ISO/IECTR13335(信息技術(shù)安全管理指南)、NISTSP800－30(信息技術(shù)系統(tǒng)風險管理指南)等，可作為企業(yè)實施風險評估實踐的參考。風險評估包括識別具體的風險管理對象、識別風險、根據(jù)模型進行評估、識別現(xiàn)有控制、分析剩余風險等步驟。風險維護就是對企業(yè)識別出的風險進行管理，跟蹤風險處置情況，更新風險清單，可通過創(chuàng)建和維護風險數(shù)據(jù)庫來實現(xiàn)。風險維護也是風險評估的重要內(nèi)容，以實現(xiàn)對風險的持續(xù)管理和改進。

3.3風險應(yīng)對

風險應(yīng)對就是對已識別的風險進行評估后，制定并落實相應(yīng)的措施和整體策略，使剩余風險處于可控的范圍。風險應(yīng)對措施包括接受風險、轉(zhuǎn)移風險、避免風險和降低風險。風險應(yīng)對活動包括確定風險處置方案、實施風險處置、響應(yīng)和處理風險事件等。

3.險監(jiān)控/溝通

風險監(jiān)控/溝通是鏈接企業(yè)IT風險管理各要素的關(guān)鍵環(huán)節(jié)，是企業(yè)IT風險管理體系得以運轉(zhuǎn)的重要方面，包括建立和運行風險指標體系、IT風險內(nèi)部監(jiān)督體系、風險報告體系以及風險溝通渠道等。風險管理需要從管理層到普通員工的共同參與，這需要將風險直觀準確地展現(xiàn)、橫向和縱向的溝通、并持續(xù)進行監(jiān)控。

4企業(yè)IT風險管理的實施步驟

為了推進企業(yè)IT風險管理體系的實施，本文在總結(jié)金融企業(yè)信息系統(tǒng)安全風險管理的實施過程，得出企業(yè)IT風險管理可行的實施步驟，具體包括識別管理對象、風險識別、風險分析評估、風險應(yīng)對、風險監(jiān)控/溝通等五大關(guān)鍵步驟。

4.1管理對象識別

明確風險管理對象是企業(yè)實施風險管理的首要步驟，本文提出風險地圖(RiskMap)的概念，即實現(xiàn)風險評估對象的可視化，明確識別出全部或特定領(lǐng)域的所有管理對象，只有保證企業(yè)風險地圖的全面性和準確性，才能準確識別并標示出IT風險所在的位置，從而進行有效的管理，一個全面的IT風險管理可從如下三大維度進行風險管理對象的識別:(1)從資產(chǎn)的角度進行識別，即對組成信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)進行全面識別和統(tǒng)計，具體實施細則可參照ISO27001。(2)從管理領(lǐng)域的角度進行識別，如變更管理、事件管理、配置管理等，具體實施細則可參照COBIT。(3)從服務(wù)的角度進行識別，具體實施細可參照ISO20000執(zhí)行。

4.2風險識別

風險識別是通過科學(xué)方法了解企業(yè)所面臨的IT風險，分析風險的來源、性質(zhì)，并進行風險處置和風險管理。風險識別通常采用以下方法:(1)頭腦風暴;(2)德爾菲方法;(3)故障樹分析法，又稱分解分析法;(4)業(yè)務(wù)流程分析法;(5)情景分析法;(6)專家預(yù)測法，包括個人經(jīng)驗法、專家會議等形式;(7)篩選、監(jiān)測、診斷法;(8)資產(chǎn)財務(wù)狀況分析法。其中，德爾菲方法是最常用的IT風險分析方法之一，具體是指采用“背對背”的溝通方式征詢專家小組成員的預(yù)測意見，經(jīng)過幾輪征詢，使專家小組的意見趨于集中，最后做出合理的預(yù)測結(jié)論，利用德爾菲法進行IT風險分析的具體流程如下。除了按照上述方法識別風險，也可直接從風險來源入手建立企業(yè)的IT風險清單，如行業(yè)公認的風險清單、監(jiān)管要求、監(jiān)管機構(gòu)風險提示、過往事件、自我或外部風險評估結(jié)果、內(nèi)部審計發(fā)現(xiàn)、管理層和內(nèi)部員工在工作中的認識等。

4.3風險分析評估

IT風險分析評估是根據(jù)一定的評估模型，評估企業(yè)IT固有風險值、控制風險值，再根據(jù)固有風險值和控制風險值計算出剩余風險值。風險分析是IT風險管理中較難實施的一個環(huán)節(jié)，尤其是評估模型的制定，可以采用較易開展的定性方式，也可采用準確度較高的定量計算，也可以定量和定性綜合使用。以下是一種較為通用的風險分析模型和流程，可以對風險進行量化評估，具體流程包括:(1)計算固有風險值。從影響程度和發(fā)生可能性兩個維度進行評分，可得出固有風險分值。如下是風險評估的量化模型和公式。其中風險評分從影響程度和發(fā)生可能性兩方面進行計算，并給出影響程度和發(fā)生可能性兩方面的評估參數(shù)示例。(2)計算控制風險值。結(jié)合現(xiàn)有控制評估的結(jié)果，從設(shè)計、執(zhí)行、補償性控制三個層面，參照衡量標準，最終確認控制風險分值。(3)計算剩余風險評估。在獲得每一個風險的固有風險等級和控制風險等級后，可根據(jù)矩陣獲得剩余風險等級值。

4.險應(yīng)對

首選需要確定管理層的風險偏好等級。風險偏好是為了實現(xiàn)目標，企業(yè)在承擔風險的種類、大小等方面的基本態(tài)度。然后根據(jù)剩余風險評估結(jié)果及風險偏好，依據(jù)內(nèi)外部需求，并結(jié)合實際情況，針對剩余風險提供恰當?shù)目刂聘倪M建議，以將剩余風險降低到可接受的水平。風險處置措施包括接受風險、轉(zhuǎn)移風險、避免風險和降低風險。在風險處置計劃方面，一方面需要體現(xiàn)可操作性，如分為短期(半年)，中期(1年)，長期(2－3年)，同時也需要考慮多個維度，如組織架構(gòu)、人員、制度流程和技術(shù)等。

4.5IT風險監(jiān)控/溝通

風險指標是有效進行風險監(jiān)控和溝通的重要手段。指標是一種可量化的、被事先認可的、用來反映組織目標實現(xiàn)程度的重要標識，是績效管理的有效手段。企業(yè)IT風險管理引入指標體系，可以促進整個活動的有效開展。指標的功能主要表現(xiàn)在以下三個方面:(1)在準備階段，可以清楚的反映目前企業(yè)的信息安全現(xiàn)狀，并為制定目標提供依據(jù);(2)在實施過程中，階段性地反映進展情況;(3)便于各層人員把握活動的進展情況:使高層領(lǐng)導(dǎo)清晰地了解關(guān)鍵要素的進展和改進情況;使管理者集中精力于對活動中的重要和關(guān)鍵要素，及時診斷活動中出現(xiàn)的問題并采取措施。在實踐中，應(yīng)針對關(guān)鍵的風險領(lǐng)域，即根據(jù)企業(yè)及領(lǐng)導(dǎo)層的風險偏好，建立可監(jiān)控、可量化的IT關(guān)鍵風險指標。IT關(guān)鍵風險指標來源可包括內(nèi)外部監(jiān)管機構(gòu)數(shù)據(jù)、自動監(jiān)控平臺數(shù)據(jù)、IT風險檢查果、IT風險自報結(jié)果等。關(guān)鍵風險指標可分為風險指標(KRI)、控制指標(KCI)。以變更管理的風險管理指標，可設(shè)置緊急變更次數(shù)、變更失敗比例、變更導(dǎo)致的事件數(shù)量等，針對每個變更管理風險管理指標，制定出相應(yīng)的控制指標，如預(yù)警閥值和容忍閥值。

5結(jié)語

本文從IT風險管理框架和風險評估實踐兩個方面，分別闡述了企業(yè)實施IT風險管理的重點和實施方法。通過直觀的圖表清晰地展現(xiàn)了企業(yè)IT風險管理體系的結(jié)構(gòu)、關(guān)聯(lián)和主要活動。同時結(jié)合多年對信息安全風險管理理論和實踐的研究，較為全面和具體地提出了企業(yè)IT風險管理實施的步驟建議，旨在為企業(yè)提供切實可行的風險管理實踐參考。限于篇幅，本文無法對IT風險管理的所有環(huán)節(jié)進行深入探討，且不同的企業(yè)有不同的安全需求和偏好，因此在實施IT風險管理的過程中還需根據(jù)自身的實際情況應(yīng)地制宜、靈活應(yīng)用。

企業(yè)信息安全評估篇8

云計算（Cloud Computing）是分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網(wǎng)格計算（Grid Computing）的發(fā)展，或者說是這些計算機科學(xué)概念的實現(xiàn)。

云計算不僅帶來了是技術(shù)上的革新，更改變了傳統(tǒng)的管理理念和服務(wù)模式。在云計算時代，人們對資源的管理與利用將會更加集成化，虛擬化，并且不再受時間、地域、物理條件的限制。在全球化背景下，人們可以方便地對云端的資源進行統(tǒng)一的管理調(diào)度，還可以利用云端強大的數(shù)據(jù)處理能力進行信息的深入開發(fā)。

2 企業(yè)信息安全管理應(yīng)用云計算技術(shù)的必要性分析

從企業(yè)層面來說，目前的信息安全管理出現(xiàn)了許多新問題，比如呈幾何級數(shù)增長的信息需要大型的存儲設(shè)備和處理器進行存儲和管理、人們對企業(yè)信息的共享需求日益增多、企業(yè)信息安全管理流程日益繁雜等等，這些都需要云計算技術(shù)加以解決。從外圍環(huán)境來說，如筆者開頭提到的，云計算的發(fā)展普及是大勢所趨，而且云計算技術(shù)主要涉及的就是信息的存儲、管理、開發(fā)等環(huán)節(jié)，企業(yè)作為社會發(fā)展的主要力量，在今后的發(fā)展中不可能離開信息與云計算，尤其是信息安全管理環(huán)節(jié)。

信息安全要掌握主動性原則，越早采取措施越好。因為如果越晚發(fā)現(xiàn)存在的風險，那么需要彌補的時間就越長，花費的成本就越多，對企業(yè)的造成的損失也越大。而且企業(yè)信息安全的基礎(chǔ)數(shù)據(jù)、標準往往是在初期設(shè)定好的，如果后期出現(xiàn)問題需要更改，將會耗費巨大的工作量。

基于上述分析，盡管云計算才剛剛到來，但是企業(yè)已經(jīng)有必要將強對云計算的了解和研究，并逐步開始涉及基于云計算的信息安全管理。

3 云計算環(huán)境下信息安全管理的新特點

云計算對信息安全管理的影響主要體現(xiàn)在技術(shù)和管理模式這兩個方面。云計算的特點之一便是高安全性?！霸啤笔褂昧藬?shù)據(jù)多副本容錯、計算節(jié)點同構(gòu)可互換等措施來保障服務(wù)的高可靠性，使用云計算比使用本地計算機可靠。同時，有專業(yè)的團隊負責云端數(shù)據(jù)的安全維護，保證云端服務(wù)器的正常運行和信息安全。云計算的構(gòu)成有天然的優(yōu)勢，包括云計算的云端集中管理，超大規(guī)模服務(wù)器的同時運作，還有近期提出的“共有云”、“私有云“等等都從各個方面分散了信息安全的風險。

但與之相對應(yīng)的，目前的云端往往存儲著多個用戶的數(shù)據(jù)，而且存儲的數(shù)據(jù)的規(guī)模和設(shè)計范圍都極為廣泛，這樣也就造成了風險的集中，一旦出現(xiàn)問題，損失也會加大。

在傳統(tǒng)環(huán)境下，企業(yè)的信息安全管理多是相對封閉的，因為按照一些人的理解就是“越封閉，越安全”。封閉只能是先對的，完全封閉更是不可能的。企業(yè)的運作管理需要時刻保持與外界的交流，其中很大一部分就是信息的交流；而且在信息的價值越來越被人們重視的今天，企業(yè)對自身信息資源的開發(fā)與利用越來越多的展開，在這種背景下談封閉無異于明清時期的“閉關(guān)鎖國”。云計算技術(shù)是以網(wǎng)絡(luò)為基礎(chǔ)的，也就是說是一個相對開放的平臺。根據(jù)目前的發(fā)展來看，在控制好權(quán)限，做好軟硬件維護的前提下，云計算環(huán)境下（亦或網(wǎng)絡(luò)環(huán)境下）的信息安全管理的安全性是完全可以保障的。

4 云時代的信息安全風險管理

云計算環(huán)境下，由于云端與用戶端的功能、作用、管理工作環(huán)節(jié)的不同，云端與用戶端的風險來源也會有明顯的不同。

云端的風險主要來自實體的、技術(shù)性的，操作性的，用戶端的風險則主要來自內(nèi)部人員和組織管理的漏洞。

本文結(jié)合傳統(tǒng)的信息安全評估方法，參照《信息安全管理》（人民郵電出版社），云計算特點，從資產(chǎn)的識別與估價，威脅的識別與評估，脆弱性評估、現(xiàn)有安全控制確認的角度給出基于云計算的測評分析方法。

（1）、資產(chǎn)的識別與估價。在云計算環(huán)境下，云服務(wù)商擁有大多數(shù)的實體資產(chǎn)，而企業(yè)用則輸出自己的信息資產(chǎn)。因而在對資產(chǎn)進行評估的時候也是雙向的，尤其是信息資產(chǎn)，企業(yè)和云服務(wù)商可能對其價值會有不同的理解。但是雙方又比較能夠達成一致，因為對信息資產(chǎn)的不同估價涉及到之后對不同價值信息的不同強度的保管。企業(yè)和云服務(wù)商會在信息安全和保管成本之間找到平衡。

（2）、威脅的識別與評估。威脅識別與評估的主要任務(wù)是識別產(chǎn)生威脅的原因、確認威脅的目標以及評估威脅發(fā)生的可能性。云計算環(huán)境由以往的封閉環(huán)境轉(zhuǎn)變?yōu)殚_放的網(wǎng)絡(luò)環(huán)境，所面臨的威脅更為復(fù)雜。就目前云計算的發(fā)展情況來看，云計算的威脅主要來自人員威脅和系統(tǒng)威脅。谷歌公司、亞馬遜公司和微軟公司的云計算服務(wù)都曾因為代碼編寫失誤、軟件故障、硬件故障等造成中斷，給用戶造成了損失。

（3）脆弱性評估。脆弱性評估一般分為技術(shù)脆弱性、操作脆弱性和管理脆弱性。云計算的脆弱性主要表現(xiàn)在技術(shù)脆弱性方面。云服務(wù)商的平臺都是統(tǒng)一的，就如電腦的操作系統(tǒng)一樣。如果其中某一個小小的文件或者某一句代碼出現(xiàn)問題，都可能對整個系統(tǒng)以及上面運行的服務(wù)造成極大地影響，可以說是牽一發(fā)而動全身。

（4）現(xiàn)有安全控制確認。在風險評估過程中，應(yīng)當識別已有的安全控制措施，分析安全控制措施效力，有效地安全措施繼續(xù)保持，而對于那些不適當?shù)目刂茟?yīng)當核查是否被取消，或者用更合適的控制代替。

5 結(jié)語

本文鏈接：http://www.lbgj202.com/v-141-3264.html企業(yè)信息安全評估范文8篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻，不代表本站觀點，本站不承擔任何法律責任。天上不會到餡餅，請大家謹防詐騙！若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。

上一篇：企業(yè)文化管理方案范文8篇

下一篇：青年紀律教育范文8篇

相關(guān)文章：

微商自我介紹08-27