公務(wù)員期刊網(wǎng) 論文中心 正文

基于風(fēng)險(xiǎn)的信息安全管理體系

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了基于風(fēng)險(xiǎn)的信息安全管理體系范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

基于風(fēng)險(xiǎn)的信息安全管理體系

摘要:企業(yè)逐步進(jìn)入信息化辦公時(shí)代,企業(yè)的資產(chǎn)信息基本上全部保存在信息系統(tǒng)中,信息安全管理水平影響企業(yè)的安全生產(chǎn)水平,如何建立一套系統(tǒng)的方法來管理信息安全是一個(gè)重要的研究課題。本文主要研究以南方電網(wǎng)安全生產(chǎn)風(fēng)險(xiǎn)管理體系核心思想構(gòu)建信息安全風(fēng)險(xiǎn)管理體系,為企業(yè)信息安全管理提供思路。

關(guān)鍵詞:信息安全;安全生產(chǎn)風(fēng)險(xiǎn)管理體系;風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)控制

0引言

隨著信息化建設(shè)的飛速發(fā)展和普及,各行各業(yè)的網(wǎng)絡(luò)化、信息化水平顯著提高,無論是電網(wǎng)安全穩(wěn)定經(jīng)濟(jì)運(yùn)行還是企業(yè)管理業(yè)務(wù)運(yùn)轉(zhuǎn)都離不開信息化系統(tǒng)的支持,在信息化帶來高效率的同時(shí)不得不考慮網(wǎng)絡(luò)化帶來的安全問題。企業(yè)信息安全管理的有效性,關(guān)系企業(yè)或國家機(jī)密,一旦面臨威脅和遭遇攻擊,就會(huì)給企業(yè)或國家?guī)韲?yán)重的損失[1]。目前在我國電力企業(yè)信息安全管理領(lǐng)域,信息安全風(fēng)險(xiǎn)管理依然研究不夠深入,較多采取的基于問題的管理方式,遭到攻擊或同類行業(yè)遭到攻擊后,進(jìn)行系統(tǒng)排查,查找系統(tǒng)漏洞,然后堵住漏洞,這種被動(dòng)式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線,只有事前做好各類防范和應(yīng)急處置,管控風(fēng)險(xiǎn)是實(shí)現(xiàn)安全生產(chǎn)的重要保證,在電力企業(yè)信息化建設(shè)過程中建立一套基于風(fēng)險(xiǎn)的信息安全管理體系,降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問題[2]。

1風(fēng)險(xiǎn)管理體系概述

1.1安全生產(chǎn)風(fēng)險(xiǎn)管理體系概念

安全生產(chǎn)風(fēng)險(xiǎn)管理體系是南方電網(wǎng)借鑒國際先進(jìn)安全管理理念的基礎(chǔ)上,基于電網(wǎng)實(shí)際情況提出的了一種安全生產(chǎn)風(fēng)險(xiǎn)管理思路和方法,以風(fēng)險(xiǎn)管控為主線、以“計(jì)劃-實(shí)施-檢查-改進(jìn)(PDCA)“閉環(huán)管理為原則,系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容,指明了風(fēng)險(xiǎn)管控的目標(biāo)、規(guī)范要求和管理途徑,為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風(fēng)險(xiǎn)管理體系核心思想為“基于風(fēng)險(xiǎn)、系統(tǒng)性、規(guī)范性、持續(xù)改進(jìn)”:基于風(fēng)險(xiǎn)是指企業(yè)應(yīng)基于實(shí)際面臨的風(fēng)險(xiǎn)確定核心業(yè)務(wù)和基于各類風(fēng)險(xiǎn)管控脈絡(luò)及影響業(yè)務(wù)目的性的風(fēng)險(xiǎn)因素業(yè)務(wù)流程節(jié)點(diǎn)的設(shè)計(jì);系統(tǒng)性是指企業(yè)在設(shè)計(jì)管理系統(tǒng)框架及業(yè)務(wù)流程節(jié)點(diǎn)時(shí),保證流程節(jié)點(diǎn)的充分性并遵循PDCA的閉環(huán)管理模式,理清業(yè)務(wù)與業(yè)務(wù)之間的輸入、輸出關(guān)系;規(guī)范性是指企業(yè)應(yīng)明確各項(xiàng)工作的執(zhí)行標(biāo)準(zhǔn),確保執(zhí)行標(biāo)準(zhǔn)的唯一性、科學(xué)性,同時(shí)企業(yè)各部門、生產(chǎn)單位、班組能夠按照標(biāo)準(zhǔn)開展工作,保證企業(yè)管理的統(tǒng)一性;持續(xù)改進(jìn)是指企業(yè)應(yīng)建立完善的問題發(fā)現(xiàn)機(jī)制及問題改進(jìn)機(jī)制,能夠及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行過程中存在的問題并進(jìn)行改進(jìn),同時(shí)不斷地完善企業(yè)管理系統(tǒng)的策劃,實(shí)現(xiàn)管理系統(tǒng)的持續(xù)改進(jìn)。自2007年建立以來,全網(wǎng)范圍內(nèi)風(fēng)險(xiǎn)管控方法得到有效應(yīng)用,安全生產(chǎn)管理基礎(chǔ)得到進(jìn)一步夯實(shí),主要安全生產(chǎn)指標(biāo)持續(xù)向好。

1.2基于風(fēng)險(xiǎn)的信息安全管理框架

南方電網(wǎng)安全生產(chǎn)風(fēng)險(xiǎn)管理體系,為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法,其基于風(fēng)險(xiǎn)的管理思路遵循國際通用的“危害識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)回顧”風(fēng)險(xiǎn)管控模型,強(qiáng)調(diào)事前風(fēng)險(xiǎn)分析和評(píng)估、事中落實(shí)管控措施、事后總結(jié)回顧和改進(jìn),目前主要應(yīng)用在電網(wǎng)、設(shè)備、作業(yè)和職業(yè)健康風(fēng)險(xiǎn)管控上,并取得了不錯(cuò)的成績,也為信息安全管理帶來了有益的啟示,即可以通過引入該方法和結(jié)合業(yè)務(wù)實(shí)踐建立基于風(fēng)險(xiǎn)的信息安全管理框架,探索信息安全風(fēng)險(xiǎn)管理長效機(jī)制[4]。

2基于風(fēng)險(xiǎn)的信息安全風(fēng)險(xiǎn)管理體系建立的重要環(huán)節(jié)

2.1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)

從管理目的出發(fā),是安全生產(chǎn)風(fēng)險(xiǎn)管理體系的一個(gè)重要思想,以目的為導(dǎo)向,分析在現(xiàn)狀下實(shí)現(xiàn)目的存在的障礙因素,也就是管理關(guān)鍵流程節(jié)點(diǎn),從而確定業(yè)務(wù)的管理脈絡(luò),實(shí)現(xiàn)以基于風(fēng)險(xiǎn)的管理思路,最終達(dá)到業(yè)務(wù)工作的系統(tǒng)化和規(guī)范化。信息安全管理目標(biāo)就是要實(shí)現(xiàn)信息系統(tǒng)的基本安全特性,并達(dá)到所需要的保障級(jí)別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性,資產(chǎn)的三性對(duì)于維持現(xiàn)金流動(dòng)、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風(fēng)險(xiǎn)評(píng)估目標(biāo)來源于企業(yè)中長期發(fā)展戰(zhàn)略目標(biāo)的需求,滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面[4]。

2.2風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是指在運(yùn)用各種方法全面、系統(tǒng)地識(shí)別出在信息安全管理中的風(fēng)險(xiǎn),找出潛在的原因。一個(gè)組織的信息系統(tǒng)和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo),同時(shí),由于企業(yè)信息化水平的逐步提高,對(duì)于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加,企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個(gè)角度識(shí)別風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量,而是由資產(chǎn)的三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響[6]。信息安全管理的最終目標(biāo)是在滿足企業(yè)中長期發(fā)展對(duì)信息化水平要求的同時(shí),確保信息安全的三性,降低信息安全事故事件發(fā)生的概率。影響該目標(biāo)實(shí)現(xiàn)的因素有危害因素識(shí)別是否全面、風(fēng)險(xiǎn)評(píng)估結(jié)果是否準(zhǔn)確、措施是否有效,因此選擇合適的風(fēng)險(xiǎn)評(píng)估辦法和模型,對(duì)信息安全管理來說至關(guān)重要。

2.3信息安全風(fēng)險(xiǎn)評(píng)估

2.3.1信息安全風(fēng)險(xiǎn)評(píng)估模型

風(fēng)險(xiǎn)評(píng)估是在確定影響信息安全風(fēng)險(xiǎn)評(píng)估的三個(gè)維度的基礎(chǔ)上,選擇定性或者定量的風(fēng)險(xiǎn)評(píng)估方法,對(duì)識(shí)別出的風(fēng)險(xiǎn)發(fā)生的可能性或可能導(dǎo)致的后果進(jìn)行衡量,并根據(jù)評(píng)估結(jié)果劃分風(fēng)險(xiǎn)等級(jí),然后建立分層分級(jí)的管控措施。在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別,以及已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,判斷安全事件造成的損失對(duì)組織的影響,即安全風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(xiàn)(A,V))。

2.3.2信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施與運(yùn)行

(1)信息安全風(fēng)險(xiǎn)概述通俗來講,風(fēng)險(xiǎn)概述就是風(fēng)險(xiǎn)的管理方案,基于風(fēng)險(xiǎn)評(píng)估的結(jié)果,制定年度風(fēng)險(xiǎn)管控重點(diǎn)工作安排,為年度安全生產(chǎn)工作計(jì)劃提供方向。概述報(bào)告編制時(shí),應(yīng)充分考慮風(fēng)險(xiǎn)數(shù)據(jù)的輸出應(yīng)用,為涉及相關(guān)單位(部門)的管理提供輸入。風(fēng)險(xiǎn)概述報(bào)告至少包含以下信息:風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)范疇、風(fēng)險(xiǎn)細(xì)分種類、風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)控制措施,并按風(fēng)險(xiǎn)等級(jí)排序。(2)風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制是在風(fēng)險(xiǎn)評(píng)估之后,控制措施建議應(yīng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響,結(jié)合法律法規(guī)、國家、行業(yè)、上級(jí)主管單位和公司有關(guān)政策要求以及當(dāng)前的重點(diǎn)任務(wù)統(tǒng)籌考慮選擇合適的風(fēng)險(xiǎn)控制措施。風(fēng)險(xiǎn)控制方法一般按照以下順序進(jìn)行選擇:消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個(gè)人防護(hù)等。總的來說控制措施從管理措施和技術(shù)措施兩個(gè)方面提出,優(yōu)先考慮技術(shù)措施。屬于組織結(jié)構(gòu)不完善的,建立信息安全組織體系。屬于管理措施的融入管理辦法,編制各層次的信息安全管理體系文件,包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項(xiàng)目建設(shè)管理制度、信息系統(tǒng)運(yùn)維管理制度,明確管理要求;屬于物理安全隱患的,加強(qiáng)機(jī)房、門控、安保系統(tǒng)和隊(duì)伍建設(shè);屬于信息系統(tǒng)保護(hù)的,納入信息安全項(xiàng)目建設(shè)計(jì)劃,提高防病毒、漏洞補(bǔ)丁、安全配置、安全認(rèn)證、訪問控制、數(shù)據(jù)加密、入侵檢測(cè)等保護(hù)能力;屬于作業(yè)過程執(zhí)行的措施,將信息安全管控要求納入作業(yè)指導(dǎo)書、“兩票”等作業(yè)標(biāo)準(zhǔn),減少人的因素引發(fā)的信息安全事故事件;屬于人員技能和意識(shí)的納入教育培訓(xùn)計(jì)劃;屬于信息安全應(yīng)急響應(yīng)的建立信息安全應(yīng)急預(yù)案或現(xiàn)場(chǎng)處置方案,并按照演練計(jì)劃開展應(yīng)急演練[7]。

2.4風(fēng)險(xiǎn)監(jiān)測(cè)

風(fēng)險(xiǎn)控制措施制定后需要對(duì)措施的有效性進(jìn)行評(píng)估,年度風(fēng)險(xiǎn)預(yù)控措施計(jì)劃表。風(fēng)險(xiǎn)控制措施應(yīng)明確責(zé)任單位(部門)、責(zé)任人、完成時(shí)間。在制定風(fēng)險(xiǎn)控制措施時(shí),應(yīng)避免控制措施帶來新的風(fēng)險(xiǎn)。結(jié)合年度風(fēng)險(xiǎn)預(yù)控措施表和變化識(shí)別內(nèi)容,制定月度風(fēng)險(xiǎn)監(jiān)督計(jì)劃,并明確各項(xiàng)預(yù)控措施執(zhí)行情況的各級(jí)監(jiān)督部門,確保風(fēng)險(xiǎn)措施按計(jì)劃落實(shí)執(zhí)行。

2.5管理回顧,持續(xù)改進(jìn)

PDCA閉環(huán)管理是安全生產(chǎn)風(fēng)險(xiǎn)管理體系核心之一,通過定期開展管理回顧,審視信息安全風(fēng)險(xiǎn)管控的有效性,進(jìn)而形成長效機(jī)制持續(xù)改進(jìn)。在回顧過程中注意以下幾個(gè)方面:(1)識(shí)別變化,優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的,當(dāng)變化產(chǎn)生時(shí)需要及時(shí)識(shí)別也調(diào)整管控措施。當(dāng)法律法規(guī)變化時(shí)需要及時(shí)對(duì)法律法規(guī)風(fēng)險(xiǎn)進(jìn)行識(shí)別和融入;當(dāng)國際、國內(nèi)信息安全態(tài)勢(shì)發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時(shí)及時(shí)更新防護(hù)技術(shù)手段、優(yōu)化管理標(biāo)準(zhǔn)、更新應(yīng)急處置方案,并保存變化過程的相關(guān)資料。(2)建立糾正與預(yù)防系統(tǒng)安全生產(chǎn)風(fēng)險(xiǎn)管理體系核心思想之一就是持續(xù)改進(jìn),通過建立問題發(fā)現(xiàn)機(jī)制和問題改進(jìn)機(jī)制最終實(shí)現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面,糾正與預(yù)防的來源包括信息安全防護(hù)系統(tǒng)檢測(cè)情況、系統(tǒng)運(yùn)行分析統(tǒng)計(jì)、外部信息安全形勢(shì)、檢查發(fā)現(xiàn)問題等,并進(jìn)行根本原因分析,制定糾正或預(yù)防措施,通過評(píng)估措施的有效性,進(jìn)行統(tǒng)計(jì)輸出應(yīng)用,輸出應(yīng)用到信息安全管理制度、能力與意識(shí)提升等各個(gè)環(huán)節(jié),進(jìn)而確保企業(yè)的信息安全管理水平得到持續(xù)提升。

3結(jié)語

以南方電網(wǎng)安全生產(chǎn)風(fēng)險(xiǎn)管理體系的核心思想為基礎(chǔ),通過對(duì)企業(yè)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估和分析、風(fēng)險(xiǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)控制和持續(xù)改進(jìn)建立完整的PDCA管理體系,有助于給企業(yè)提供信息安全管理思路,提升企業(yè)信息安全管理的系統(tǒng)性、規(guī)范性,減少信息安全事故的發(fā)生。

作者:張芳 單位:中國南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司信息通信分公司