信息安全風險管控建設體系概述

門曉東

摘 要 風險管控能力是信息安全建設的核心競爭力，企業的發展要根據公司的戰略和信息化發展的趨勢，建設符合信息安全目標的信息安全方針，改變信息安全意識，由被動的信息安全向主動轉變，由分散的信息安全防護向體系防護轉變，由傳統的靜態信息安全防護向動態安全防護理念轉變，同時從人、策略等多角度出發，加強風險管控能力體系建設，綜合提高企業核心競爭力。

關鍵詞 信息安全;風險管控能力;安全防護

風險管控能力是信息安全建設的核心競爭力。中冶集團財務有限公司（以下簡稱“中冶財務公司”）作為中央企業非銀行金融機構，它的信息安全建設，一方面必須符合監管機構相關標準和監管要求，另一方面，必須立足集團戰略目標，并保障公司各種金融服務過程中的資金安全。為了實現以風險管控能力為核心的信息安全建設目標，中冶財務公司的信息安全建設在深入分析公司信息化現狀基礎上，根據公司發展戰略、信息化發展趨勢，建立了符合信息安全建設目標的信息安全方針、信息安全總目標，構建了以信息安全風險管控能力即信息安全管理能力、感知、防護和應急恢復能力為核心的建設思路和技術支撐平臺。

1實現信息安全風險管控建設理念的“三個轉變”

當今信息安全形勢復雜多變，信息安全威脅不斷推陳出新，信息安全風險事件頻發。為了更有效地防范信息安全風險，實現風險管控能力的指導作用，中冶財務公司實現了信息安全防護的“三個轉變”：由被動的信息安全防護向主動防護轉變，由分散的信息安全防護向體系防護轉變，由傳統的靜態信息安全防護向動態安全防護理念轉變。

“動態防護”思路是中冶財務公司信息安全建設的核心理念，即結合設計和制定好的信息安全策略、信息安全防護體系，通過全體參與者的協同，從而實現防范風險、降低風險的信息安全風險管控目標。感知風險、防護風險、快速響應、風險集中管控是信息安全建設的核心[1]。

2確定信息安全風險管控能力建設的核心因素

2.1 人是信息安全風險管控能力的頂層設計

中冶財務公司形成了以公司領導、信息部門、人力資源部門為頂層設計的風險管控安全組織，通過全員共同參與，構建安全組織架構，實現人員安全管理的同時，也減少了人員帶來的信息安全風險。

2.2 策略建設形成了信息安全的內部控制系統

中冶財務公司建立了風險管控能力體系建設的信息安全方針、策略、規范、標準和制度。這些策略指導人員開展信息安全活動，對人員行為起到了約束的行為規范，也是各類管理和技術措施建設的主要依據。這些策略的體系化的設計和制定，有力地對中冶財務公司的信息安全需求進行了梳理、設計和流程固化，最終形成公司信息安全管理的內部控制系統。

2.3 信息安全的管理活動

依據策略的體系化作用，指導了企業日常信息安全的管理活動，這些活動主要涉及三個方面：信息系統的設計、信息安全規劃設計;信息信息系統和信息安全機制的建設實施;信息系統的安全運維、信息安全事件的監視和處理、信息安全事故的處置;信息安全管理活動是對信息安全策略中的管理措施的直接落實。當然，管理活動不僅需要人員的管理活動，同時必須依靠技術手段進行輔助，綜合利用構建的信息安全技術措施，實現信息安全風險的管控。

2.4 信息安全的保護對象

信息安全風險管控，就是管理保護對象面臨的威脅、脆弱性等安全屬性。這些保護對象，物理環境、網絡和主機、應用系統、數據，通過構建的安全防護、感知和響應恢復措施，結合保護對象自身安全措施的落實和能力提升，保障其處于持續安全狀態。

3信息安全風險管控體系建設基本過程

通過信息安全策略的指導和信息安全技術的支撐下，中冶財務公司完成各類信息安全業務，包括管理活動、監督審計、檢查、評估、檢測、合規管理等方面實現全方位的風險管控。

3.1 信息安全戰略規劃的頂層設計

中冶財務公司根據企業發展規劃形成了信息化發展規劃，制定了信息安全的總體目標和發展戰略，確保信息安全發展符合企業的整體發展。

3.2 制定信息安全管控策略

根據信息化發展現狀，制定實現和滿足信息安全目標和戰略的信息安全總體策略，即，信息安全風險管控策略。

3.3 明確信息安全建設的分類和內容

根據信息安全總體策略，規劃設計需要哪些信息安全管理工作支撐信息安全風險管控的落實和落地，明確信息安全工作的具體分類和信息安全工作的具體工作內容，其中包括設計信息安全組織結構、人員配備、職責和責任。

3.4 確定人員安全管理的各類機制和要求

依據設計的信息安全工作及其內容，結合中冶財務公司現有人員管理情況，完善人員安全管理的各類機制和要求，并根據信息安全組織結構、人員配備、職責和責任，制定人員安全管理制度、規范，或形成企業標準。

3.5 信息安全風險的感知、防護和應急恢復能力的建設

設計符合中冶財務公司的信息安全技術體系框架。在框架中明確未來一定時期內將采用的各類安全機制，并對安全機制進行基本分類，形成對威脅、脆弱性和風險能夠快速感知的技術機制群，對脆弱性進行加固、對威脅和風險進行抵御防護的技術機制群，對安全事件快速響應和應急處置的技術機制群。

設計多層縱深防御的信息安全防護體系和能力。建立多層次防護體系，識別不同類型的威脅和風險進行防御。當信息安全事件發生時，應急恢復能力能夠將信息系統從威脅和風險中快速解救或恢復。并通過信息安全技術快速響應安全事件、及時中斷攻擊行為，獲取攻擊證據，及時恢復應用系統正常運行。

4提升風險管控能力的活動

提高信息安全管控能力和水平需要有兩個特殊管理活動的參與：

4.1 持續開展信息安全監督審計

持續開展的監督審計、檢查評估、檢測合規管理，進行面向基礎設施、重要信息系統、安全管理活動各類指標和內容的檢測、檢查和合規審計。

4.2 動態開展信息安全風險評價

動態地對信息安全狀態及風險情況進行評價分析活動，實現信息安全威脅、風險、脆弱性的實時監測和分析，并能給出某時刻的信息安全狀態。

通過對風險管控提升了信息安全能力即管理能力、感知能力、防護能力及應急響應恢復能力，為中冶財務公司信息安全治理能力提供了有力支撐。

風險管控能力是衡量信息安全建設的核心競爭力的重要標志，也是防范中冶財務公司信息安全系統性風險，保障公司資金運營安全，促進公司金融業務健康可持續發展的法寶。

參考文獻

[1] 網絡環境下的信息安全[J].通訊世界，2019，（5）：130-131.