基于風(fēng)險的信息安全管理體系

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了基于風(fēng)險的信息安全管理體系范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：企業(yè)逐步進(jìn)入信息化辦公時代，企業(yè)的資產(chǎn)信息基本上全部保存在信息系統(tǒng)中，信息安全管理水平影響企業(yè)的安全生產(chǎn)水平，如何建立一套系統(tǒng)的方法來管理信息安全是一個重要的研究課題。本文主要研究以南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系核心思想構(gòu)建信息安全風(fēng)險管理體系，為企業(yè)信息安全管理提供思路。

關(guān)鍵詞：信息安全；安全生產(chǎn)風(fēng)險管理體系；風(fēng)險評估；風(fēng)險控制

0引言

隨著信息化建設(shè)的飛速發(fā)展和普及，各行各業(yè)的網(wǎng)絡(luò)化、信息化水平顯著提高，無論是電網(wǎng)安全穩(wěn)定經(jīng)濟(jì)運(yùn)行還是企業(yè)管理業(yè)務(wù)運(yùn)轉(zhuǎn)都離不開信息化系統(tǒng)的支持，在信息化帶來高效率的同時不得不考慮網(wǎng)絡(luò)化帶來的安全問題。企業(yè)信息安全管理的有效性，關(guān)系企業(yè)或國家機(jī)密，一旦面臨威脅和遭遇攻擊，就會給企業(yè)或國家?guī)韲?yán)重的損失[1]。目前在我國電力企業(yè)信息安全管理領(lǐng)域，信息安全風(fēng)險管理依然研究不夠深入，較多采取的基于問題的管理方式，遭到攻擊或同類行業(yè)遭到攻擊后，進(jìn)行系統(tǒng)排查，查找系統(tǒng)漏洞，然后堵住漏洞，這種被動式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線，只有事前做好各類防范和應(yīng)急處置，管控風(fēng)險是實現(xiàn)安全生產(chǎn)的重要保證，在電力企業(yè)信息化建設(shè)過程中建立一套基于風(fēng)險的信息安全管理體系，降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問題[2]。

1風(fēng)險管理體系概述

1.1安全生產(chǎn)風(fēng)險管理體系概念

安全生產(chǎn)風(fēng)險管理體系是南方電網(wǎng)借鑒國際先進(jìn)安全管理理念的基礎(chǔ)上，基于電網(wǎng)實際情況提出的了一種安全生產(chǎn)風(fēng)險管理思路和方法，以風(fēng)險管控為主線、以“計劃-實施-檢查-改進(jìn)（PDCA）“閉環(huán)管理為原則，系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容，指明了風(fēng)險管控的目標(biāo)、規(guī)范要求和管理途徑，為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風(fēng)險管理體系核心思想為“基于風(fēng)險、系統(tǒng)性、規(guī)范性、持續(xù)改進(jìn)”：基于風(fēng)險是指企業(yè)應(yīng)基于實際面臨的風(fēng)險確定核心業(yè)務(wù)和基于各類風(fēng)險管控脈絡(luò)及影響業(yè)務(wù)目的性的風(fēng)險因素業(yè)務(wù)流程節(jié)點(diǎn)的設(shè)計；系統(tǒng)性是指企業(yè)在設(shè)計管理系統(tǒng)框架及業(yè)務(wù)流程節(jié)點(diǎn)時，保證流程節(jié)點(diǎn)的充分性并遵循PDCA的閉環(huán)管理模式，理清業(yè)務(wù)與業(yè)務(wù)之間的輸入、輸出關(guān)系；規(guī)范性是指企業(yè)應(yīng)明確各項工作的執(zhí)行標(biāo)準(zhǔn)，確保執(zhí)行標(biāo)準(zhǔn)的唯一性、科學(xué)性，同時企業(yè)各部門、生產(chǎn)單位、班組能夠按照標(biāo)準(zhǔn)開展工作，保證企業(yè)管理的統(tǒng)一性；持續(xù)改進(jìn)是指企業(yè)應(yīng)建立完善的問題發(fā)現(xiàn)機(jī)制及問題改進(jìn)機(jī)制，能夠及時發(fā)現(xiàn)系統(tǒng)運(yùn)行過程中存在的問題并進(jìn)行改進(jìn)，同時不斷地完善企業(yè)管理系統(tǒng)的策劃，實現(xiàn)管理系統(tǒng)的持續(xù)改進(jìn)。自2007年建立以來，全網(wǎng)范圍內(nèi)風(fēng)險管控方法得到有效應(yīng)用，安全生產(chǎn)管理基礎(chǔ)得到進(jìn)一步夯實，主要安全生產(chǎn)指標(biāo)持續(xù)向好。

1.2基于風(fēng)險的信息安全管理框架

南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系，為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法，其基于風(fēng)險的管理思路遵循國際通用的“危害識別、風(fēng)險評估、風(fēng)險控制、風(fēng)險回顧”風(fēng)險管控模型，強(qiáng)調(diào)事前風(fēng)險分析和評估、事中落實管控措施、事后總結(jié)回顧和改進(jìn)，目前主要應(yīng)用在電網(wǎng)、設(shè)備、作業(yè)和職業(yè)健康風(fēng)險管控上，并取得了不錯的成績，也為信息安全管理帶來了有益的啟示，即可以通過引入該方法和結(jié)合業(yè)務(wù)實踐建立基于風(fēng)險的信息安全管理框架，探索信息安全風(fēng)險管理長效機(jī)制[4]。

2基于風(fēng)險的信息安全風(fēng)險管理體系建立的重要環(huán)節(jié)

2.1確定風(fēng)險評估的目標(biāo)

從管理目的出發(fā)，是安全生產(chǎn)風(fēng)險管理體系的一個重要思想，以目的為導(dǎo)向，分析在現(xiàn)狀下實現(xiàn)目的存在的障礙因素，也就是管理關(guān)鍵流程節(jié)點(diǎn)，從而確定業(yè)務(wù)的管理脈絡(luò)，實現(xiàn)以基于風(fēng)險的管理思路，最終達(dá)到業(yè)務(wù)工作的系統(tǒng)化和規(guī)范化。信息安全管理目標(biāo)就是要實現(xiàn)信息系統(tǒng)的基本安全特性，并達(dá)到所需要的保障級別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性，資產(chǎn)的三性對于維持現(xiàn)金流動、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風(fēng)險評估目標(biāo)來源于企業(yè)中長期發(fā)展戰(zhàn)略目標(biāo)的需求，滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面[4]。

2.2風(fēng)險識別

風(fēng)險識別是指在運(yùn)用各種方法全面、系統(tǒng)地識別出在信息安全管理中的風(fēng)險，找出潛在的原因。一個組織的信息系統(tǒng)和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo)，同時，由于企業(yè)信息化水平的逐步提高，對于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加，企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個角度識別風(fēng)險。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟(jì)價值來衡量，而是由資產(chǎn)的三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響[6]。信息安全管理的最終目標(biāo)是在滿足企業(yè)中長期發(fā)展對信息化水平要求的同時，確保信息安全的三性，降低信息安全事故事件發(fā)生的概率。影響該目標(biāo)實現(xiàn)的因素有危害因素識別是否全面、風(fēng)險評估結(jié)果是否準(zhǔn)確、措施是否有效，因此選擇合適的風(fēng)險評估辦法和模型，對信息安全管理來說至關(guān)重要。

2.3信息安全風(fēng)險評估

2.3.1信息安全風(fēng)險評估模型

風(fēng)險評估是在確定影響信息安全風(fēng)險評估的三個維度的基礎(chǔ)上，選擇定性或者定量的風(fēng)險評估方法，對識別出的風(fēng)險發(fā)生的可能性或可能導(dǎo)致的后果進(jìn)行衡量，并根據(jù)評估結(jié)果劃分風(fēng)險等級，然后建立分層分級的管控措施。在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險值=R（A,T,V）=R(L(T,V)，F(xiàn)(A,V))。

2.3.2信息安全風(fēng)險評估實施與運(yùn)行

（1）信息安全風(fēng)險概述通俗來講，風(fēng)險概述就是風(fēng)險的管理方案，基于風(fēng)險評估的結(jié)果，制定年度風(fēng)險管控重點(diǎn)工作安排，為年度安全生產(chǎn)工作計劃提供方向。概述報告編制時，應(yīng)充分考慮風(fēng)險數(shù)據(jù)的輸出應(yīng)用，為涉及相關(guān)單位（部門）的管理提供輸入。風(fēng)險概述報告至少包含以下信息：風(fēng)險描述、風(fēng)險范疇、風(fēng)險細(xì)分種類、風(fēng)險等級和風(fēng)險控制措施，并按風(fēng)險等級排序。（2）風(fēng)險控制風(fēng)險控制是在風(fēng)險評估之后，控制措施建議應(yīng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，結(jié)合法律法規(guī)、國家、行業(yè)、上級主管單位和公司有關(guān)政策要求以及當(dāng)前的重點(diǎn)任務(wù)統(tǒng)籌考慮選擇合適的風(fēng)險控制措施。風(fēng)險控制方法一般按照以下順序進(jìn)行選擇：消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個人防護(hù)等?？偟膩碚f控制措施從管理措施和技術(shù)措施兩個方面提出，優(yōu)先考慮技術(shù)措施。屬于組織結(jié)構(gòu)不完善的，建立信息安全組織體系。屬于管理措施的融入管理辦法，編制各層次的信息安全管理體系文件，包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項目建設(shè)管理制度、信息系統(tǒng)運(yùn)維管理制度，明確管理要求；屬于物理安全隱患的，加強(qiáng)機(jī)房、門控、安保系統(tǒng)和隊伍建設(shè)；屬于信息系統(tǒng)保護(hù)的，納入信息安全項目建設(shè)計劃，提高防病毒、漏洞補(bǔ)丁、安全配置、安全認(rèn)證、訪問控制、數(shù)據(jù)加密、入侵檢測等保護(hù)能力；屬于作業(yè)過程執(zhí)行的措施，將信息安全管控要求納入作業(yè)指導(dǎo)書、“兩票”等作業(yè)標(biāo)準(zhǔn)，減少人的因素引發(fā)的信息安全事故事件；屬于人員技能和意識的納入教育培訓(xùn)計劃；屬于信息安全應(yīng)急響應(yīng)的建立信息安全應(yīng)急預(yù)案或現(xiàn)場處置方案，并按照演練計劃開展應(yīng)急演練[7]。

2.4風(fēng)險監(jiān)測

風(fēng)險控制措施制定后需要對措施的有效性進(jìn)行評估，年度風(fēng)險預(yù)控措施計劃表。風(fēng)險控制措施應(yīng)明確責(zé)任單位（部門）、責(zé)任人、完成時間。在制定風(fēng)險控制措施時，應(yīng)避免控制措施帶來新的風(fēng)險。結(jié)合年度風(fēng)險預(yù)控措施表和變化識別內(nèi)容，制定月度風(fēng)險監(jiān)督計劃，并明確各項預(yù)控措施執(zhí)行情況的各級監(jiān)督部門，確保風(fēng)險措施按計劃落實執(zhí)行。

2.5管理回顧，持續(xù)改進(jìn)

PDCA閉環(huán)管理是安全生產(chǎn)風(fēng)險管理體系核心之一，通過定期開展管理回顧，審視信息安全風(fēng)險管控的有效性，進(jìn)而形成長效機(jī)制持續(xù)改進(jìn)。在回顧過程中注意以下幾個方面：（1）識別變化，優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的，當(dāng)變化產(chǎn)生時需要及時識別也調(diào)整管控措施。當(dāng)法律法規(guī)變化時需要及時對法律法規(guī)風(fēng)險進(jìn)行識別和融入；當(dāng)國際、國內(nèi)信息安全態(tài)勢發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時及時更新防護(hù)技術(shù)手段、優(yōu)化管理標(biāo)準(zhǔn)、更新應(yīng)急處置方案，并保存變化過程的相關(guān)資料。（2）建立糾正與預(yù)防系統(tǒng)安全生產(chǎn)風(fēng)險管理體系核心思想之一就是持續(xù)改進(jìn)，通過建立問題發(fā)現(xiàn)機(jī)制和問題改進(jìn)機(jī)制最終實現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面，糾正與預(yù)防的來源包括信息安全防護(hù)系統(tǒng)檢測情況、系統(tǒng)運(yùn)行分析統(tǒng)計、外部信息安全形勢、檢查發(fā)現(xiàn)問題等，并進(jìn)行根本原因分析，制定糾正或預(yù)防措施，通過評估措施的有效性，進(jìn)行統(tǒng)計輸出應(yīng)用，輸出應(yīng)用到信息安全管理制度、能力與意識提升等各個環(huán)節(jié)，進(jìn)而確保企業(yè)的信息安全管理水平得到持續(xù)提升。

3結(jié)語

以南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系的核心思想為基礎(chǔ)，通過對企業(yè)信息安全風(fēng)險進(jìn)行評估和分析、風(fēng)險監(jiān)測、風(fēng)險控制和持續(xù)改進(jìn)建立完整的PDCA管理體系，有助于給企業(yè)提供信息安全管理思路，提升企業(yè)信息安全管理的系統(tǒng)性、規(guī)范性，減少信息安全事故的發(fā)生。

作者：張芳 單位：中國南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司信息通信分公司