企業信息安全風險管理的框架研究

陳瑜

摘要：隨著信息時代的到來，信息化技術在企業中發揮的作用愈發重要，在目前的網絡環境中，大量的病毒頻繁地攻擊企業的信息系統，甚至造成系統無法及時處理攻擊的情況。因此，企業信息安全應變被動處理為主動防御，在信息系統中建立風險管理框架，合理利用企業內部資源，提高企業信息系統安全性。本文將對企業信息安全風險管理的框架進行研究，探討企業信息安全風險管理的需求、過程以及實施等細節。

Abstract： With the advent of the information age， information technology plays an increasingly important role in the enterprise， and in the current network environment， a large number of virus frequently attacks the enterprise's information system， and even cause system cannot deal with the attacks. Therefore， the enterprise information security should change passive treatment into active defense， establish risk management framework in the information system， rationally use internal resources， and improve enterprise information system security. In this paper， the framework of enterprise information security risk management is studied， and the requirements， process and implementation of enterprise information security risk management are discussed.

關鍵詞：信息安全；風險管理；框架探究

Key words： information security；risk management；framework research

中圖分類號：F270 文獻標識碼：A 文章編號：1006-4311（2017）18-0053-03

0 引言

在社會不斷發展的同時，信息化技術也獲得了長足的進步，并且已經廣泛地應用到人們的生活與工作中。對于企業單位而言，信息資源是保證正常運營的關鍵因素，企業運營的重要數據、客戶資料以及知識產權等信息都是重要的信息資源，這些資源一旦泄露或丟失，會對企業造成極大的影響。因此，企業必須重視自身信息系統安全風險管理的框架的建設，有效防止來自網絡的惡意攻擊，防止內部重要信息泄露或丟失，保證企業信息安全。

1 企業信息安全實踐的需求分析

在信息時代的大背景下，企業的信息化程度是衡量其發展水平的重要因素。但是，我國的信息安全形勢不容樂觀，大部分企業沒有樹立信息安全風險管理概念，企業的信息安全無法得到良好的保障。信息安全是一項綜合性的工程，不能僅憑企業短期內需要就采取某些措施，無法從根本上提高信息安全水平。想要做好企業信息安全實踐工作，必須事先做好企業對信息安全的需求分析，形成全面的分析報告，并根據報告中的內容采取相應的措施，改善企業信息安全現狀。但是，需求分析的具體過程也不是始終不變的，而是會根據企業的發展與信息技術的進步發生改變的。信息安全風險的獨特性必須在框架中體現出來。信息安全風險源于信息，信息本身具有不斷發生變化的特性，從其以數據的形勢出現開始，直至在各項功能中發揮相關的作用，這個周期內的每個階段都有相應的價值。信息安全管理就是要對企業的信息資源進行全面的保護，避免因這些資源受到損失而對企業的運營造成影響。企業信息安全風險管理框架中，必須能夠發現信息資源即將受到的威脅，評估這些威脅會對信息資源造成的后果，以確定應對這些威脅的順序。在制定風險計劃時，需要明確對于風險的應對方式以及合理的控制措施。在風險的監督與改進過程中，需要根據這些風險采取適當的監控手段。總之，在此過程框架每個過程要素的分析中，都必須體現信息安全風險的獨特性。

2 企業信息安全風險的類型及內容

一般來說，在企業運營過程中，信息安全系統通常面臨以下風險因素：

①因線路故障、停電、網絡通信設備損壞等導致網絡突然中斷。

②網站遭到非法攻擊，主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規、歪曲事實、散布謠言的言論，以及破壞社會穩定、損害公司名譽的不當言論等。

③公司內部網絡服務器或他服務器被非法入侵，相關網絡設置被非法拷貝、修改、刪除，發生泄密事件。

④公司內外網終端混用，被國網公司信息管理部門查處，造成公司信息泄露、丟失事件。

信息系統是企業正常開展生產運營工作的基本前提，信息管理系統一旦出現問題，輕則影響企業內部業務項目的正常進行，重則導致企業蒙受巨大的經濟虧損。因此，針對信息安全風險加強管控對企業來說意義重大。

3 企業信息安全風險管理方案

3.1 建立信息安全風險管理流程

企業信息安全風險管理工作可按照圖1所示流程逐步展開。

3.2 完善信息安全風險管理措施

對信息安全風險的管理可以以階段化的管理模式逐步展開，具體措施如下：

3.2.1 實施準備階段

信息安全風險管理實施的準備階段主要包括管理開端的建立、風險評估以及制定行動方案三個步驟。第一，在管理開端的建立中，首先要獲得企業管理部門與業務部門的支持，并且建立完善的管理質素，明確參與到管理過程中的工作人員的職責；第二，在風險評估步驟中，首先，確定風險評估對象的范圍，其次，確定評估小組的成員，并且制定評估方案；最后，對評估小組成員進行與評估方案有關的培訓。在這些準備工作結束后，評估人員就可以開始通過訪談或調查的形式來確定公司信息資源的具體情況，明確用戶對信息安全的需求。再通過對風險進行識別與分析，發現企業信息系統中存在的風險。第三，在制定行動方案的步驟中，需要完成保護方案的制定以及確定風險處理方式兩部分工作。通常情況下，保護方案就是需要企業長期持續執行，能夠幫助企業保證自身信息安全的方案，但不足以滿足企業在短期內提高信息安全性的需求。因此，企業必須對所有控制措施制定相應的處理方式，在短期內解決企業最需要解決的問題。

3.2.2 部署與執行階段

行動的部署與執行階段主要有計劃的部署與安全培訓兩方面工作組成。第一，行動計劃部署。在這個過程中，安全風險管理計劃中的所有措施都必須被執行，需要對具體行動方案進行必要的理解并執行。首先，要與企業中的員工進行事先溝通，防止在實施中遇到反對或抵觸的情緒。其次，確保被安排到行動計劃的員工能夠把握這些工作的優先級。此外，必須制定行動執行保障制度，為計劃執行準備足夠的資源，以保證計劃順利執行。第二，安全培訓工作的實施。在企業內部，從事安全風險管理工作的員工有時會將普通工作人員視為技術人員，顯然這種想法是有問題的，并不是企業內的所有員工都了解信息安全風險管理。所以，我們必須了解企業中大部分員工知識利用信息系統完成自己的工作任務，信息安全的保護是需要專業的信息安全人員進行的。所以，企業必須組織安全培訓，通過培訓提高員工安全意識，保證他們在信息系統遇到危險時能夠采取一些有效的行動，對系統進行適當的保護。

3.2.3 風險監督檢查階段

在信息安全風險管理團隊中，必須組建風險監督小組，在風險管理的整個過程中對其進行監督與檢查，小組應由小組負責人與檢查人員組成。實施風險監督檢查的目的就是為了掌握企業信息安全的實際狀態，并且收集信息安全環境變更信息，方便對未來的風險進行預測。風險監督小組在獲得這些信息后，必須及時向風險管理團隊反饋，確保他們能夠掌握企業最近的信息安全狀態。

3.2.4 風險改進階段

在這一階段，我們必須做好以下工作：制定詳細的風險改進措施。風險管理團隊需要根據企業的信息安全狀態制定詳細的風險改進措施。通過對監督檢查過程中發現的問題進行分析，可以找出導致問題產生的原因，制定相應的改進措施并限期完成，檢查人員則要負責對具體的實施情況進行檢查。在改進過程中，需要注意的是，改進措施必須獲得最高管理者的批準，特別是關系到整個企業或大多數部門的改進措施。風險監督小組必須隨時跟蹤糾正措施實施情況，驗證改進措施的執行是否符合標準。

3.3 建立企業信息安全風險評估體系，促進信息管理工作不斷優化改進

3.3.1 明確信息安全風險評估流程

企業信息安全風險評估工作可以參照圖2逐步實行。

3.3.2 信息安全風險的計算及處理措施

企業的風險可以通過多種計算方法得到，但通常資產的風險值可以定義為：風險值=f（安全事件發生的可能性，安全事件發生的危害性）=g（資產，威脅，脆弱性，已實施的控制措施）。評估人員根據這樣的函數形式，可以采用一種類似5×5形式的矩陣來計算風險，其中行和列分別代表了安全事件發生的可能性或發生的危害性等級。當然，評估人員為了細化這些風險可以采用維數更多（更細）的矩陣。

4 結論及建議

企業通過信息安全風險管理的實施，能夠確定長時間的安全風險管理計劃，并且可以有效地緩解企業信息系統中的安全風險，提高工作人員對與信息安全風險的認識，建立健康的安全風險管理氛圍，推動企業信息化發展。

另外，建議企業在實施信息風險管理的同時，及時建立信息安全風險預警系統，特別要加強網絡與信息系統安全管理，充分發揮技術支撐、機制保障作用，不斷完善預防與搶險相結合，有效地預防和減少信息系統安全事故的發生，保障信息安全穩定運行。

參考文獻：

[1]王淳萱.大數據環境下國有企業的信息安全探析[J].冶金經濟與管理，2016（02）.

[2]惠志斌.企業IT風險管理的體系構建與實現路徑[J].科技管理研究，2014（02）.

[3]周家文.企業IT風險管理的體系構建與實現探討[J].科技展望，2015（32）.