基于風險的信息安全管理體系

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了基于風險的信息安全管理體系范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：企業(yè)逐步進入信息化辦公時代，企業(yè)的資產(chǎn)信息基本上全部保存在信息系統(tǒng)中，信息安全管理水平影響企業(yè)的安全生產(chǎn)水平，如何建立一套系統(tǒng)的方法來管理信息安全是一個重要的研究課題。本文主要研究以南方電網(wǎng)安全生產(chǎn)風險管理體系核心思想構(gòu)建信息安全風險管理體系，為企業(yè)信息安全管理提供思路。

關鍵詞：信息安全；安全生產(chǎn)風險管理體系；風險評估；風險控制

0引言

隨著信息化建設的飛速發(fā)展和普及，各行各業(yè)的網(wǎng)絡化、信息化水平顯著提高，無論是電網(wǎng)安全穩(wěn)定經(jīng)濟運行還是企業(yè)管理業(yè)務運轉(zhuǎn)都離不開信息化系統(tǒng)的支持，在信息化帶來高效率的同時不得不考慮網(wǎng)絡化帶來的安全問題。企業(yè)信息安全管理的有效性，關系企業(yè)或國家機密，一旦面臨威脅和遭遇攻擊，就會給企業(yè)或國家?guī)韲乐氐膿p失[1]。目前在我國電力企業(yè)信息安全管理領域，信息安全風險管理依然研究不夠深入，較多采取的基于問題的管理方式，遭到攻擊或同類行業(yè)遭到攻擊后，進行系統(tǒng)排查，查找系統(tǒng)漏洞，然后堵住漏洞，這種被動式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線，只有事前做好各類防范和應急處置，管控風險是實現(xiàn)安全生產(chǎn)的重要保證，在電力企業(yè)信息化建設過程中建立一套基于風險的信息安全管理體系，降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問題[2]。

1風險管理體系概述

1.1安全生產(chǎn)風險管理體系概念

安全生產(chǎn)風險管理體系是南方電網(wǎng)借鑒國際先進安全管理理念的基礎上，基于電網(wǎng)實際情況提出的了一種安全生產(chǎn)風險管理思路和方法，以風險管控為主線、以“計劃-實施-檢查-改進（PDCA）“閉環(huán)管理為原則，系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容，指明了風險管控的目標、規(guī)范要求和管理途徑，為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風險管理體系核心思想為“基于風險、系統(tǒng)性、規(guī)范性、持續(xù)改進”：基于風險是指企業(yè)應基于實際面臨的風險確定核心業(yè)務和基于各類風險管控脈絡及影響業(yè)務目的性的風險因素業(yè)務流程節(jié)點的設計；系統(tǒng)性是指企業(yè)在設計管理系統(tǒng)框架及業(yè)務流程節(jié)點時，保證流程節(jié)點的充分性并遵循PDCA的閉環(huán)管理模式，理清業(yè)務與業(yè)務之間的輸入、輸出關系；規(guī)范性是指企業(yè)應明確各項工作的執(zhí)行標準，確保執(zhí)行標準的唯一性、科學性，同時企業(yè)各部門、生產(chǎn)單位、班組能夠按照標準開展工作，保證企業(yè)管理的統(tǒng)一性；持續(xù)改進是指企業(yè)應建立完善的問題發(fā)現(xiàn)機制及問題改進機制，能夠及時發(fā)現(xiàn)系統(tǒng)運行過程中存在的問題并進行改進，同時不斷地完善企業(yè)管理系統(tǒng)的策劃，實現(xiàn)管理系統(tǒng)的持續(xù)改進。自2007年建立以來，全網(wǎng)范圍內(nèi)風險管控方法得到有效應用，安全生產(chǎn)管理基礎得到進一步夯實，主要安全生產(chǎn)指標持續(xù)向好。

1.2基于風險的信息安全管理框架

南方電網(wǎng)安全生產(chǎn)風險管理體系，為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法，其基于風險的管理思路遵循國際通用的“危害識別、風險評估、風險控制、風險回顧”風險管控模型，強調(diào)事前風險分析和評估、事中落實管控措施、事后總結(jié)回顧和改進，目前主要應用在電網(wǎng)、設備、作業(yè)和職業(yè)健康風險管控上，并取得了不錯的成績，也為信息安全管理帶來了有益的啟示，即可以通過引入該方法和結(jié)合業(yè)務實踐建立基于風險的信息安全管理框架，探索信息安全風險管理長效機制[4]。

2基于風險的信息安全風險管理體系建立的重要環(huán)節(jié)

2.1確定風險評估的目標

從管理目的出發(fā)，是安全生產(chǎn)風險管理體系的一個重要思想，以目的為導向，分析在現(xiàn)狀下實現(xiàn)目的存在的障礙因素，也就是管理關鍵流程節(jié)點，從而確定業(yè)務的管理脈絡，實現(xiàn)以基于風險的管理思路，最終達到業(yè)務工作的系統(tǒng)化和規(guī)范化。信息安全管理目標就是要實現(xiàn)信息系統(tǒng)的基本安全特性，并達到所需要的保障級別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性，資產(chǎn)的三性對于維持現(xiàn)金流動、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風險評估目標來源于企業(yè)中長期發(fā)展戰(zhàn)略目標的需求，滿足相關方的要求、滿足法律法規(guī)的要求等方面[4]。

2.2風險識別

風險識別是指在運用各種方法全面、系統(tǒng)地識別出在信息安全管理中的風險，找出潛在的原因。一個組織的信息系統(tǒng)和網(wǎng)絡可能是嚴重威脅的目標，同時，由于企業(yè)信息化水平的逐步提高，對于信息系統(tǒng)和服務技術的依賴日益增加，企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個角度識別風險。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)的三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響[6]。信息安全管理的最終目標是在滿足企業(yè)中長期發(fā)展對信息化水平要求的同時，確保信息安全的三性，降低信息安全事故事件發(fā)生的概率。影響該目標實現(xiàn)的因素有危害因素識別是否全面、風險評估結(jié)果是否準確、措施是否有效，因此選擇合適的風險評估辦法和模型，對信息安全管理來說至關重要。

2.3信息安全風險評估

2.3.1信息安全風險評估模型

風險評估是在確定影響信息安全風險評估的三個維度的基礎上，選擇定性或者定量的風險評估方法，對識別出的風險發(fā)生的可能性或可能導致的后果進行衡量，并根據(jù)評估結(jié)果劃分風險等級，然后建立分層分級的管控措施。在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險值=R（A,T,V）=R(L(T,V)，F(xiàn)(A,V))。

2.3.2信息安全風險評估實施與運行

（1）信息安全風險概述通俗來講，風險概述就是風險的管理方案，基于風險評估的結(jié)果，制定年度風險管控重點工作安排，為年度安全生產(chǎn)工作計劃提供方向。概述報告編制時，應充分考慮風險數(shù)據(jù)的輸出應用，為涉及相關單位（部門）的管理提供輸入。風險概述報告至少包含以下信息：風險描述、風險范疇、風險細分種類、風險等級和風險控制措施，并按風險等級排序。（2）風險控制風險控制是在風險評估之后，控制措施建議應綜合考慮風險控制成本與風險造成的影響，結(jié)合法律法規(guī)、國家、行業(yè)、上級主管單位和公司有關政策要求以及當前的重點任務統(tǒng)籌考慮選擇合適的風險控制措施。風險控制方法一般按照以下順序進行選擇：消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個人防護等?？偟膩碚f控制措施從管理措施和技術措施兩個方面提出，優(yōu)先考慮技術措施。屬于組織結(jié)構(gòu)不完善的，建立信息安全組織體系。屬于管理措施的融入管理辦法，編制各層次的信息安全管理體系文件，包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項目建設管理制度、信息系統(tǒng)運維管理制度，明確管理要求；屬于物理安全隱患的，加強機房、門控、安保系統(tǒng)和隊伍建設；屬于信息系統(tǒng)保護的，納入信息安全項目建設計劃，提高防病毒、漏洞補丁、安全配置、安全認證、訪問控制、數(shù)據(jù)加密、入侵檢測等保護能力；屬于作業(yè)過程執(zhí)行的措施，將信息安全管控要求納入作業(yè)指導書、“兩票”等作業(yè)標準，減少人的因素引發(fā)的信息安全事故事件；屬于人員技能和意識的納入教育培訓計劃；屬于信息安全應急響應的建立信息安全應急預案或現(xiàn)場處置方案，并按照演練計劃開展應急演練[7]。

2.4風險監(jiān)測

風險控制措施制定后需要對措施的有效性進行評估，年度風險預控措施計劃表。風險控制措施應明確責任單位（部門）、責任人、完成時間。在制定風險控制措施時，應避免控制措施帶來新的風險。結(jié)合年度風險預控措施表和變化識別內(nèi)容，制定月度風險監(jiān)督計劃，并明確各項預控措施執(zhí)行情況的各級監(jiān)督部門，確保風險措施按計劃落實執(zhí)行。

2.5管理回顧，持續(xù)改進

PDCA閉環(huán)管理是安全生產(chǎn)風險管理體系核心之一，通過定期開展管理回顧，審視信息安全風險管控的有效性，進而形成長效機制持續(xù)改進。在回顧過程中注意以下幾個方面：（1）識別變化，優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的，當變化產(chǎn)生時需要及時識別也調(diào)整管控措施。當法律法規(guī)變化時需要及時對法律法規(guī)風險進行識別和融入；當國際、國內(nèi)信息安全態(tài)勢發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時及時更新防護技術手段、優(yōu)化管理標準、更新應急處置方案，并保存變化過程的相關資料。（2）建立糾正與預防系統(tǒng)安全生產(chǎn)風險管理體系核心思想之一就是持續(xù)改進，通過建立問題發(fā)現(xiàn)機制和問題改進機制最終實現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面，糾正與預防的來源包括信息安全防護系統(tǒng)檢測情況、系統(tǒng)運行分析統(tǒng)計、外部信息安全形勢、檢查發(fā)現(xiàn)問題等，并進行根本原因分析，制定糾正或預防措施，通過評估措施的有效性，進行統(tǒng)計輸出應用，輸出應用到信息安全管理制度、能力與意識提升等各個環(huán)節(jié)，進而確保企業(yè)的信息安全管理水平得到持續(xù)提升。

3結(jié)語

以南方電網(wǎng)安全生產(chǎn)風險管理體系的核心思想為基礎，通過對企業(yè)信息安全風險進行評估和分析、風險監(jiān)測、風險控制和持續(xù)改進建立完整的PDCA管理體系，有助于給企業(yè)提供信息安全管理思路，提升企業(yè)信息安全管理的系統(tǒng)性、規(guī)范性，減少信息安全事故的發(fā)生。

作者：張芳 單位：中國南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司信息通信分公司