企業(yè)信息安全風(fēng)險管理研究論文

　　1 企業(yè)信息安全風(fēng)險管理所存在的問(wèn)題

　　1.1 缺乏信心安全意識

　　許多企業(yè)管理層對信息安全認識上缺乏重視，信息安全防護意識淡薄。究其根本則是大部分企業(yè)認為信息安全無(wú)法給企業(yè)帶來(lái)直接的經(jīng)濟效益，而且要進(jìn)行信息安全管理就和購買(mǎi)保險一樣，不進(jìn)行安全保護也沒(méi)有出現什么損失。此外，進(jìn)行企業(yè)信息安全管理需要投入相應的資源和時(shí)間，在業(yè)績(jì)壓力、資源限制的影響下，業(yè)務(wù)部門(mén)并不愿意將更多的精力用于保護信息安全上面。

　　1.2 缺乏相應的信息安全組織架構

　　許多IT企業(yè)都存在信息安全組織架構不明確的情況，僅設立了類(lèi)似兼職的職位——信息安全主任，而且是設立在IT部門(mén)內部，這在很大程度上減小了信息安全組織的執行力和管理能力。發(fā)生信息安全事件后，企業(yè)通常都是臨時(shí)從業(yè)務(wù)部門(mén)或者IT部門(mén)調配人手來(lái)建立項目小組，然后依照信息安全的新要求找出解決方案，問(wèn)題解決后就會(huì )解散項目小組，所建立的流程也隨之不會(huì )繼續執行、跟進(jìn)。信息安全沒(méi)有進(jìn)行定期的評審和審計，也就無(wú)法形成能夠不斷改進(jìn)的信息安全機制，這就造成了在安全計劃上做了許多重復性工作，增加了安全計劃的成本，不利于效率的提高。

　　1.3 不完善的信息安全監管機制和內部控制

　　在企業(yè)文件的控制管理系統中，IT信息系統管理操作程序、管理指南都沒(méi)有歸入里面， 也就不在其監管范圍內，這也就導致相關(guān)流程的執行情況和指南、版本控制無(wú)法形成實(shí)質(zhì)監督，以至流程同實(shí)際不符，出現不嚴格執行所制定流程的情況。此外，相關(guān)企業(yè)在歷史數據的管理、儲存上比較缺乏，業(yè)務(wù)數據記錄不全面，如若出現問(wèn)題，就很難對業(yè)務(wù)數據進(jìn)行調查和恢復[1]。

　　2 企業(yè)信息安全風(fēng)險管理措施

　　2.1 策劃和準備

　　此階段主要包含三個(gè)步驟：第一步建立安全風(fēng)險管理開(kāi)端。取得業(yè)務(wù)部門(mén)、管理層的大力支持，明確當前企業(yè)信息安全風(fēng)險管理具體完善情況，明確職責范圍，制定明確的風(fēng)險管理計劃。第二步在風(fēng)險評估范圍上必須進(jìn)行確定。企業(yè)需結合風(fēng)險管理實(shí)際完善情況做出評定，以此來(lái)對風(fēng)險評估和管理劃分業(yè)務(wù)區域，便于執行。第三步制定風(fēng)險行動(dòng)方案。在制定保護策略上，必須對企業(yè)信息風(fēng)險的保護方法和具體處理手段做出相關(guān)規定，可在安全技術(shù)和風(fēng)險管理上制定相應的策略。

　　2.2 部署和執行

　　企業(yè)在實(shí)施安全控制計劃過(guò)程中，所制定的合理步驟都必須切實(shí)執行，這就要求風(fēng)險行動(dòng)方案中的相關(guān)負責人對所計劃的活動(dòng)需認真安排和執行。此外相關(guān)負責人要多與員工進(jìn)行溝通，行動(dòng)計劃的執行依據授權對員工進(jìn)行分配，能有效減少員工在項目實(shí)施中的抵觸情緒。讓分配到行動(dòng)計劃任務(wù)的員工及其管理者明確了解此項工作的優(yōu)先級為高，并通過(guò)實(shí)施安全培訓使其重新確定工作的優(yōu)先級，以合并他們的行動(dòng)計劃活動(dòng)。另外，應該建立相關(guān)的保障機制，為行動(dòng)計劃的實(shí)施提供足夠的資金、設備和其他必需的資源，確保行動(dòng)計劃的順利進(jìn)行。

　　2.3 檢查和監控

　　企業(yè)在對風(fēng)險進(jìn)行管理的過(guò)程中，需要成立專(zhuān)業(yè)化的監督小組，該小組可以對信息安全風(fēng)險管理進(jìn)行檢查以及監控。進(jìn)行該項操作的目的有兩個(gè)方面。第一方面就是可以通過(guò)監控措施和方法對企業(yè)的安全信息進(jìn)行收集，另一個(gè)方面就是采集企業(yè)安全環(huán)境發(fā)生改變的信息，這樣便于第一時(shí)間對新風(fēng)險進(jìn)行預測。該小組獲取信息后，可快速將這些信息反饋到上一級，從而方便領(lǐng)導決策層了解最新的安全動(dòng)態(tài)[2]。

　　3 對我國信息安全風(fēng)險管理的未來(lái)展望

　　對于信息安全領(lǐng)域的專(zhuān)業(yè)人士來(lái)講，信息安全風(fēng)險管理可從下面幾個(gè)方面進(jìn)行突破。

　　3.1 采用創(chuàng )新方法處理關(guān)鍵技術(shù)問(wèn)題

　　衡量風(fēng)險的一條重要途徑就是對風(fēng)險進(jìn)行量化。在風(fēng)險管理中，非常關(guān)鍵和基礎的是風(fēng)險計量和數學(xué)模型。對于評估的對象和度量的標準需要妥善解決。在對信息系統進(jìn)行安全風(fēng)險評估的時(shí)候，第一步驟就是要構建風(fēng)險評估對象模型，使模型能夠適應各種系統。在這個(gè)過(guò)程中，有一些比較優(yōu)秀的數學(xué)工具可以提供分析和模擬。當前，在對復雜系統進(jìn)行建模時(shí)，需要有構成國家關(guān)鍵信息基礎設施的重要信息的大規模系統的能力。

　　3.2 根據實(shí)際問(wèn)題，挑選合適的選擇標準

　　在風(fēng)險評估中，測度體系非常重要，它是風(fēng)險評估的關(guān)鍵環(huán)節。在這個(gè)過(guò)程中，需要解決好三大問(wèn)題：首先是測量問(wèn)題。其次是可用性問(wèn)題，最后是可操作和解釋。

　　3.3 根據實(shí)際，處理好評估方法和測試工具問(wèn)題

　　在信息系統安全風(fēng)險評估中，其主要研究對象是傳統風(fēng)險評估方法在信息安全評估中的應用、評估新技術(shù)研究、針對特定應用專(zhuān)題的風(fēng)險評估方法和風(fēng)險評估方法工程應用。在進(jìn)行風(fēng)險評估的過(guò)程中，評估工具是必備的。目前，在國內信息系統安全風(fēng)險評估工作中，測試數據沒(méi)有實(shí)用技術(shù)支撐，這已經(jīng)成為對我國信息安全風(fēng)險評估進(jìn)一步發(fā)展的障礙[3]。

【企業(yè)信息安全風(fēng)險管理研究論文】相關(guān)文章：

企業(yè)信息數據安全的研究論文11-16

對企業(yè)信息安全困境的探微管理論文11-16

現代風(fēng)險導向下并購審計風(fēng)險研究論文11-21

電力企業(yè)信息安全管理體系分析研究12-01

風(fēng)險管理內部審計論文11-23

風(fēng)險管理論文06-22

企業(yè)信息安全管理體系構建的要點(diǎn)與策略論文06-29

ＩＴ項目管理中的風(fēng)險研究03-24

團隊管理研究論文08-29

員工管理研究論文06-12