關(guān)于信息安全風(fēng)險管理初探的論文

　　摘要：對信息安全風(fēng)險管理中存在的問(wèn)題做了具體分析，并提出了一些有效策略。

　　關(guān)鍵詞：信息；安全；風(fēng)險管理

　　引言

　　對于企業(yè)單位而言，信息資源是支撐工作正常運行的關(guān)鍵，囊括了企業(yè)的知識產(chǎn)權、重要數據、工作人員、信息處理設施等。信息安全風(fēng)險管理成為企業(yè)單位的重要管理工作。但是目前我國企業(yè)單位的信息安全風(fēng)險管理中存在著(zhù)大量的問(wèn)題，亟待解決，須采取有效的策略，才能保障企業(yè)單位的綜合發(fā)展。

　　1信息安全風(fēng)險管理中存在的問(wèn)題

　　國內的企業(yè)單位在信息安全風(fēng)險管理方面都存在著(zhù)一定的技術(shù)引導性，缺乏必要的流程控制和制度保障。認為信息安全的建設只要有高科技的安全技術(shù)設備，就萬(wàn)無(wú)一失了。但事實(shí)并非如此，信息技術(shù)的發(fā)展雖然促進(jìn)了信息安全風(fēng)險問(wèn)題的解決，但是沒(méi)有嚴格有效的管理，依舊會(huì )產(chǎn)生風(fēng)險問(wèn)題。所以說(shuō)只依賴(lài)于科學(xué)技術(shù)并不能從根本上解決所有的信息安全風(fēng)險問(wèn)題，只有技術(shù)和相應的流程有效配合才能完成企業(yè)單位的信息安全風(fēng)險管理工作[1]。

　　1.1信息風(fēng)險意識不強

　　企業(yè)單位對于信息安全風(fēng)險的問(wèn)題和影響缺乏認識，管理層的重視程度不夠，通常只有在出現問(wèn)題時(shí)，才會(huì )采取相應的策略，沒(méi)有持續性。目前，我國許多企業(yè)單位的信息安全風(fēng)險管理方面的財力和人力投入太小，嚴重忽視了相關(guān)資源的投入，原有風(fēng)險和新風(fēng)險逐漸積累，攢下了許多的風(fēng)險隱患。還有部分企業(yè)單位過(guò)于注重信息系統的運行階段，忽視了隱藏在系統開(kāi)發(fā)和建設階段的風(fēng)險，在系統的穩定性和安全性方面留下嚴重的隱患。而且，企業(yè)單位對于信息安全風(fēng)險的認識嚴重不足，沒(méi)有切實(shí)意識到業(yè)務(wù)和客戶(hù)數據的集中也會(huì )引發(fā)風(fēng)險的集中，缺乏對于控制風(fēng)險和分散風(fēng)險的慎重考慮。

　　1.2缺少風(fēng)險管理人才

　　信息安全風(fēng)險管理不僅要依靠技術(shù)，更依靠于人才。信息安全風(fēng)險管理工作的最終效果根本上還是取決于人才。信息安全風(fēng)險管理人才不僅要具備風(fēng)險管理才能，還要具有良好的綜合素質(zhì)和專(zhuān)業(yè)素養。我國企業(yè)單位嚴重缺乏這樣的風(fēng)險管理專(zhuān)業(yè)人才，大多數管理人才由于缺乏信息技術(shù)專(zhuān)業(yè)知識，對于信息資產(chǎn)和脆弱性的識別不能做出準確的判斷，無(wú)法對信息安全風(fēng)險狀況進(jìn)行正確判斷，從而對企業(yè)單位的信息安全風(fēng)險管理造成一定的影響。

　　1.3缺乏風(fēng)險統一管理

　　我國大多企業(yè)單位都十分重視風(fēng)險事項的具體管理，卻嚴重忽視了風(fēng)險的整體控制和管理。在實(shí)施信息安全風(fēng)險管理的過(guò)程中，將主要精力和時(shí)間投入到了具體事項的風(fēng)險管理中，卻忽略了整體把握，沒(méi)有切實(shí)關(guān)注信息安全風(fēng)險流程管理和技術(shù)之間的密切聯(lián)系。所以，最終導致信息安全風(fēng)險管理的資源分配嚴重不均勻，缺乏統一的風(fēng)險管理，從而對企業(yè)單位的整體信息安全風(fēng)險管理的效果造成了嚴重影響。

　　1.4忽視信息風(fēng)險預防和應急

　　現階段，我國的大部分企業(yè)單位的信息安全風(fēng)險管理基本上是憑借自身的長(cháng)期經(jīng)驗加以管理，一般是事后風(fēng)險管理。采取這種就事論事的管理方式，已經(jīng)無(wú)法適應我國企業(yè)單位對信息化技術(shù)的依賴(lài)需求了。對于信息安全風(fēng)險的預防和應急管理形同虛設，基本上停留在已有的規章制度檢查階段，風(fēng)險評估工作也始終停滯在定性評估上，嚴重缺乏對風(fēng)險的定量分析，這樣的風(fēng)險預防和應急策略，將會(huì )嚴重影響企業(yè)單位的發(fā)展。

　　2信息安全風(fēng)險管理的有效策略

　　2.1樹(shù)立信息安全風(fēng)險觀(guān)念

　　樹(shù)立信息安全風(fēng)險觀(guān)念主要從四方面進(jìn)行，即優(yōu)化配置，積極防御，全面統籌，強化內控。我國大多數企業(yè)單位的相關(guān)配置還不夠完善、優(yōu)化，因此首先必須要優(yōu)化配置，做到標準化和規范化，消除其中存在的隱患。而且，要積極建立有效的防御機制，控制未發(fā)生風(fēng)險事件和已發(fā)生風(fēng)險事件帶來(lái)的影響。同時(shí)，企業(yè)單位還要強化內部控制，明確系統開(kāi)發(fā)人員和風(fēng)險管理人員的職責，保證內部控制工作的有效開(kāi)展。另，信息安全風(fēng)險管理工作的開(kāi)展，須自上而下，建立領(lǐng)導重視、部門(mén)協(xié)同參與的工作機制，發(fā)揮優(yōu)勢，積極配合，將信息安全風(fēng)險管理工作貫徹落實(shí)。

　　2.2建立健全的信息安全風(fēng)險控制機制

　　在信息安全風(fēng)險管理工作中，風(fēng)險控制機制起著(zhù)基礎性的根本作用，只有具備了良好的風(fēng)險控制機制，才能使整個(gè)管理系統與自適應系統更加接近，從而在外部條件不發(fā)生變化的同時(shí)，能夠迅速地做出反應，進(jìn)行策略調整，實(shí)現優(yōu)化目標，保持良好的管理水平，保證信息安全風(fēng)險管理作用的順利開(kāi)展。風(fēng)險控制主要包括六個(gè)方面，即基礎工作、責任機制、預防機制、通報機制、應急機制、團隊建設[2]。

　　2.3建立完善的信息安全風(fēng)險管理體系

　　完善的信息安全風(fēng)險管理體系，主要包括六個(gè)部分，有風(fēng)險管理制度體系、標準規范體系、風(fēng)險管理組織體系、風(fēng)險管理策略體系、技術(shù)支持體系、應急處置體系。風(fēng)險管理制度體系是有效規范企業(yè)單位信息系統開(kāi)發(fā)運行等過(guò)程中的組織和個(gè)人行為的基礎，應切實(shí)根據自身情況，針對風(fēng)險管理控制中的薄弱環(huán)節，制定相應的管理方式方法和規章制度，從而對關(guān)鍵過(guò)程進(jìn)行有效監管。風(fēng)險管理組織體系是指企業(yè)單位設置的專(zhuān)門(mén)的信息安全風(fēng)險管理組織機構，是將管理部門(mén)細化到具體崗位，保證信息安全風(fēng)險管理工作順利開(kāi)展的關(guān)鍵[3]。技術(shù)支持體系，是運用網(wǎng)絡(luò )安全控制、系統安全控制、系統加密控制等高科技技術(shù)手段，建立不受外界侵害的保障系統，從而保證企業(yè)信息安全。除此之外，還必須建立健全的應急處置體系，這是企業(yè)單位信息安全風(fēng)險管理體系中最關(guān)鍵的部分，只有全面建立完善的信息安全風(fēng)險管理體系，才能保證企業(yè)單位的信息安全。信息安全風(fēng)險管理工作是一項長(cháng)期的工作，所涉及的范圍十分廣泛，其中包括員工和信息科技的每一個(gè)環(huán)節。信息安全風(fēng)險管理體系只有在全員維護下，才能將安全體系落實(shí)到信息科技建設的具體環(huán)節，帶來(lái)真正意義上的信息安全。

　　參考文獻

　　[1]吳世忠.信息安全風(fēng)險管理的動(dòng)態(tài)與趨勢[J].計算機安全,2007(5):1-7

　　[2]包同崗,趙捷琴,祁之強.基于突變理論電網(wǎng)企業(yè)信息安全風(fēng)險管理模型研究[J].山西電力,2014(4):45-49

　　[3]寇書(shū)華,何國偉.計算機信息安全管理探究[J].計算機安全,2013(3):74-76

【信息安全風(fēng)險管理初探的論文】相關(guān)文章：

企業(yè)信息安全風(fēng)險管理研究論文08-15

信息安全的風(fēng)險評估論文08-10

信息安全風(fēng)險管理相關(guān)詞匯定義與解析論文09-06

信息安全風(fēng)險評估綜合管理系統設計的論文06-21

電力企業(yè)網(wǎng)絡(luò )和信息安全管理初探論文05-29

信息安全風(fēng)險管理理論09-02

工程經(jīng)濟管理風(fēng)險及防范措施初探論文06-12

信息安全技術(shù)風(fēng)險評估的理論與方法的論文10-07

智能電網(wǎng)信息安全防護建設初探論文10-16

內部審計風(fēng)險成因及防范策略初探論文05-23