信息科技風(fēng)險管理論文

　　信息科技是如今社會(huì )發(fā)展的潮流，以下是小編整理的信息科技風(fēng)險管理論文，歡迎參考閱讀！

　　1企業(yè)信息安全風(fēng)險管理的主要內容

　　開(kāi)放、互聯(lián)的信息技術(shù)與信息安全就像一把雙刃劍。一方面，企業(yè)需要借助信息技術(shù)或信息系統集中信息并開(kāi)放共享；另一方面，企業(yè)的核心信息資產(chǎn)又在不斷外泄，引發(fā)無(wú)數信息安全問(wèn)題。一談到信息安全，首先想到的是網(wǎng)絡(luò )安全，比如防火墻、入侵檢測、漏洞掃描、數據加密等傳統意義上的網(wǎng)絡(luò )底層安全防護。但從廣義上來(lái)講，隨著(zhù)信息化建設的不斷深入，企業(yè)的信息資產(chǎn)對經(jīng)營(yíng)的貢獻比重越來(lái)越大。尤其在信息訪(fǎng)問(wèn)越加便捷的前提下，根據市場(chǎng)競爭的需要，企業(yè)需要源源不斷地將信息不同程度地開(kāi)放給客戶(hù)、供應商、員工等，企業(yè)的信息資產(chǎn)也越來(lái)越暴露在更多的威脅之中。信息的三個(gè)安全特性，即完整性、保密性和可用性。

　�。�1）信息完整性風(fēng)險管理。一方面，要保證信息在收集、加工過(guò)程中不能被惡意篡改、不能丟失、被竊取、損壞等；另一方面，也常為人忽視的是加工過(guò)程本身的科學(xué)性，需要防范因不恰當的加工方式而導致的數據失效或結果錯誤。

　�。�2）信息保密性風(fēng)險管理。主要是指要保障沒(méi)有被授權的用戶(hù)無(wú)法使用信息系統，訪(fǎng)問(wèn)相應的資源。防止該類(lèi)用戶(hù)訪(fǎng)問(wèn)、通過(guò)非法手段攻擊破壞企業(yè)信息資產(chǎn)。

　�。�3）信息可用性風(fēng)險管理。主要是指保障被授權用戶(hù)可以順利、快速訪(fǎng)問(wèn)信息資產(chǎn)，保障信息系統穩定性和可用性。以上三個(gè)特性，同時(shí)也是信息安全風(fēng)險管理的主要內容，管理過(guò)程包括風(fēng)險識別、風(fēng)險評估和風(fēng)險控制三個(gè)步驟。

　　2企業(yè)信息安全風(fēng)險識別

　　由于涉及企業(yè)的核心信息資產(chǎn)，所以相應的信息安全風(fēng)險點(diǎn)分布在企業(yè)管理的各個(gè)環(huán)節和層面。但是由于種種原因，目前國內企業(yè)對信息安全風(fēng)險管理的認識仍不到位�？傮w來(lái)說(shuō)，有以下主要問(wèn)題，也是常見(jiàn)的信息安全風(fēng)險管理的風(fēng)險點(diǎn)。

　�。�1）信息安全組織和制度保障不足。沒(méi)有有效的信息安全管理組織機構，就無(wú)法有效地制定、執行安全管理策略，更無(wú)法進(jìn)行有效的信息安全協(xié)作。信息安全管理制度通常都有，但很少有單位能夠嚴格執行，信息安全的政策制定也常常不符合標準，導致可操作性比較差或者達不到控制的目的。

　�。�2）信息安全相關(guān)人員意識不足。信息安全雖然已經(jīng)被很多企業(yè)提到戰略高度，但更多停留在口頭上和管理層。大部分企業(yè)人員比較缺乏信息安全意識，安全事件報告不及時(shí)；對各自崗位相關(guān)的信息資產(chǎn)職責了解不清，對信息系統的錯誤操作導致信息泄密的事件屢有發(fā)生；部門(mén)單位還存在因人員流動(dòng)導致的信息資產(chǎn)不連續等問(wèn)題。

　�。�3）傳輸、存儲信息資產(chǎn)的設備與網(wǎng)絡(luò )存在安全隱患。部分企業(yè)存在網(wǎng)絡(luò )有安全漏洞、存儲設備老舊、數據資產(chǎn)缺乏備份機制等常見(jiàn)問(wèn)題，一旦受到網(wǎng)絡(luò )入侵、病毒攻擊，或者發(fā)生硬件及性能問(wèn)題，會(huì )導致信息資產(chǎn)大量泄漏或損壞。

　�。�4）訪(fǎng)問(wèn)控制及用戶(hù)權限管理存在漏洞。在信息系統的實(shí)施階段，為了便于用戶(hù)測試或其他目的，部分用戶(hù)權往往限過(guò)大。隨著(zhù)系統正式上線(xiàn)及應用，相應權限又由于種種原因沒(méi)有調整，對信息安全也留下了比較大的隱患。

　�。�5）軟件系統及業(yè)務(wù)持續性風(fēng)險。因為國產(chǎn)化和自主開(kāi)發(fā)的趨勢逐漸確立，大量企業(yè)選擇自行開(kāi)發(fā)軟件系統，由于軟件開(kāi)發(fā)技術(shù)而導致軟件本身存在一定漏洞，相應的開(kāi)發(fā)質(zhì)量存在隱患，連帶的如運維、業(yè)務(wù)持續性風(fēng)險均應相應考慮。

　　3企業(yè)信息安全風(fēng)險評估和控制

　　考慮到每個(gè)企業(yè)均有自身特點(diǎn)，面臨的信息安全風(fēng)險點(diǎn)也不同。按照通常的信息安全風(fēng)險管理理論，在完成上節所述的風(fēng)險識別之后，需要進(jìn)行詳細的風(fēng)險評估和風(fēng)險控制。信息安全風(fēng)險評估是指確認風(fēng)險大小程度的過(guò)程，主要是要借用適當的風(fēng)險評估工具和模型，包括定量的或者定性的方法，對信息安全風(fēng)險點(diǎn)造成的影響進(jìn)行評估，以確定風(fēng)險的大小和控制方式。其主要目的是為了確定風(fēng)險的大小并量化，從而可以采取適當的控制目標和控制方式開(kāi)展風(fēng)險控制工作。信息安全風(fēng)險控制的作用體現在對組織信息安全的保障上，其有效性體現在當企業(yè)面臨信息安全風(fēng)險時(shí)對風(fēng)險控制的有效程度，換句話(huà)說(shuō)，在信息安全風(fēng)險評估的基礎上，考驗控制力度的有效性就是損失的程度，損失的越少越有效。反之，則控制無(wú)效。另一方面，信息安全風(fēng)險控制也是需要成本的，控制力度大小與成本通常成正比關(guān)系，而且在達到一定程度之后，控制力度增長(cháng)比例較小可能帶來(lái)成本大幅增加。因此，信息安全風(fēng)險控制的總體目標，是以最小的投入將信息安全面臨的風(fēng)險控制在組織可接受的范圍內。

　　4結語(yǔ)

　　信息安全已經(jīng)上升為國家戰略。對于國內企業(yè)來(lái)說(shuō)，信息安全也日益重要，尤其對于高科技企業(yè)及涉及國計民生的大型國有企業(yè)，信息往往是企業(yè)的核心資產(chǎn)。拿筆者所在企業(yè)來(lái)說(shuō)，大量的研發(fā)成果日益依賴(lài)信息技術(shù)，大量的內部經(jīng)營(yíng)決策通過(guò)信息系統流轉。任何一個(gè)數據或者信息的泄漏，一旦被競爭者竊取，將給公司帶來(lái)不可估量的損失。有效做到信息安全可知、可控、可承受，關(guān)系到企業(yè)的生死存亡，需要引起所有企業(yè)管理者和員工的充分重視，并采用一切可能手段加以保護。

【信息科技風(fēng)險管理論文】相關(guān)文章：

探討企業(yè)稅務(wù)風(fēng)險管理思考論文02-22

建筑企業(yè)稅務(wù)風(fēng)險管理研究論文02-21

風(fēng)險管理學(xué)士論文03-06

風(fēng)險管理與精算畢業(yè)論文選題03-28

物流企業(yè)的稅務(wù)風(fēng)險管理論文02-21

管理風(fēng)險控制論文參考文獻11-15

云計算信息存在風(fēng)險及應對策略論文02-24

盈余管理與審計風(fēng)險控制論文文獻12-08

建筑工程安全風(fēng)險管理問(wèn)題探究論文02-19