信息安全風險管理初探的論文

關于信息安全風險管理初探的論文

　　摘要：對信息安全風險管理中存在的問題做了具體分析，并提出了一些有效策略。

　　關鍵詞：信息；安全；風險管理

　　引言

　　對于企業單位而言，信息資源是支撐工作正常運行的關鍵，囊括了企業的知識產權、重要數據、工作人員、信息處理設施等。信息安全風險管理成為企業單位的重要管理工作。但是目前我國企業單位的信息安全風險管理中存在著大量的問題，亟待解決，須采取有效的策略，才能保障企業單位的綜合發展。

　　1信息安全風險管理中存在的問題

　　國內的企業單位在信息安全風險管理方面都存在著一定的技術引導性，缺乏必要的流程控制和制度保障。認為信息安全的建設只要有高科技的安全技術設備，就萬無一失了。但事實并非如此，信息技術的發展雖然促進了信息安全風險問題的解決，但是沒有嚴格有效的管理，依舊會產生風險問題。所以說只依賴于科學技術并不能從根本上解決所有的信息安全風險問題，只有技術和相應的流程有效配合才能完成企業單位的信息安全風險管理工作[1]。

　　1.1信息風險意識不強

　　企業單位對于信息安全風險的問題和影響缺乏認識，管理層的重視程度不夠，通常只有在出現問題時，才會采取相應的策略，沒有持續性。目前，我國許多企業單位的信息安全風險管理方面的財力和人力投入太小，嚴重忽視了相關資源的投入，原有風險和新風險逐漸積累，攢下了許多的風險隱患。還有部分企業單位過于注重信息系統的運行階段，忽視了隱藏在系統開發和建設階段的風險，在系統的穩定性和安全性方面留下嚴重的隱患。而且，企業單位對于信息安全風險的認識嚴重不足，沒有切實意識到業務和客戶數據的集中也會引發風險的集中，缺乏對于控制風險和分散風險的慎重考慮。

　　1.2缺少風險管理人才

　　信息安全風險管理不僅要依靠技術，更依靠于人才。信息安全風險管理工作的最終效果根本上還是取決于人才。信息安全風險管理人才不僅要具備風險管理才能，還要具有良好的綜合素質和專業素養。我國企業單位嚴重缺乏這樣的風險管理專業人才，大多數管理人才由于缺乏信息技術專業知識，對于信息資產和脆弱性的識別不能做出準確的判斷，無法對信息安全風險狀況進行正確判斷，從而對企業單位的信息安全風險管理造成一定的影響。

　　1.3缺乏風險統一管理

　　我國大多企業單位都十分重視風險事項的具體管理，卻嚴重忽視了風險的整體控制和管理。在實施信息安全風險管理的過程中，將主要精力和時間投入到了具體事項的風險管理中，卻忽略了整體把握，沒有切實關注信息安全風險流程管理和技術之間的密切聯系。所以，最終導致信息安全風險管理的資源分配嚴重不均勻，缺乏統一的風險管理，從而對企業單位的整體信息安全風險管理的效果造成了嚴重影響。

　　1.4忽視信息風險預防和應急

　　現階段，我國的大部分企業單位的信息安全風險管理基本上是憑借自身的長期經驗加以管理，一般是事后風險管理。采取這種就事論事的管理方式，已經無法適應我國企業單位對信息化技術的依賴需求了。對于信息安全風險的預防和應急管理形同虛設，基本上停留在已有的規章制度檢查階段，風險評估工作也始終停滯在定性評估上，嚴重缺乏對風險的定量分析，這樣的風險預防和應急策略，將會嚴重影響企業單位的發展。

　　2信息安全風險管理的有效策略

　　2.1樹立信息安全風險觀念

　　樹立信息安全風險觀念主要從四方面進行，即優化配置，積極防御，全面統籌，強化內控。我國大多數企業單位的相關配置還不夠完善、優化，因此首先必須要優化配置，做到標準化和規范化，消除其中存在的隱患。而且，要積極建立有效的防御機制，控制未發生風險事件和已發生風險事件帶來的影響。同時，企業單位還要強化內部控制，明確系統開發人員和風險管理人員的職責，保證內部控制工作的有效開展。另，信息安全風險管理工作的開展，須自上而下，建立領導重視、部門協同參與的工作機制，發揮優勢，積極配合，將信息安全風險管理工作貫徹落實。

　　2.2建立健全的信息安全風險控制機制

　　在信息安全風險管理工作中，風險控制機制起著基礎性的根本作用，只有具備了良好的風險控制機制，才能使整個管理系統與自適應系統更加接近，從而在外部條件不發生變化的同時，能夠迅速地做出反應，進行策略調整，實現優化目標，保持良好的管理水平，保證信息安全風險管理作用的順利開展。風險控制主要包括六個方面，即基礎工作、責任機制、預防機制、通報機制、應急機制、團隊建設[2]。

　　2.3建立完善的信息安全風險管理體系

　　完善的信息安全風險管理體系，主要包括六個部分，有風險管理制度體系、標準規范體系、風險管理組織體系、風險管理策略體系、技術支持體系、應急處置體系。風險管理制度體系是有效規范企業單位信息系統開發運行等過程中的組織和個人行為的基礎，應切實根據自身情況，針對風險管理控制中的薄弱環節，制定相應的管理方式方法和規章制度，從而對關鍵過程進行有效監管。風險管理組織體系是指企業單位設置的專門的信息安全風險管理組織機構，是將管理部門細化到具體崗位，保證信息安全風險管理工作順利開展的關鍵[3]。技術支持體系，是運用網絡安全控制、系統安全控制、系統加密控制等高科技技術手段，建立不受外界侵害的保障系統，從而保證企業信息安全。除此之外，還必須建立健全的應急處置體系，這是企業單位信息安全風險管理體系中最關鍵的部分，只有全面建立完善的信息安全風險管理體系，才能保證企業單位的信息安全。信息安全風險管理工作是一項長期的工作，所涉及的范圍十分廣泛，其中包括員工和信息科技的每一個環節。信息安全風險管理體系只有在全員維護下，才能將安全體系落實到信息科技建設的具體環節，帶來真正意義上的信息安全。

　　參考文獻

　　[1]吳世忠.信息安全風險管理的動態與趨勢[J].計算機安全,2007(5):1-7

　　[2]包同崗,趙捷琴,祁之強.基于突變理論電網企業信息安全風險管理模型研究[J].山西電力,2014(4):45-49

　　[3]寇書華,何國偉.計算機信息安全管理探究[J].計算機安全,2013(3):74-76

【信息安全風險管理初探的論文】相關文章：

企業信息安全風險管理研究論文08-15

信息安全的風險評估論文08-10

信息安全風險管理相關詞匯定義與解析論文09-06

信息安全風險評估綜合管理系統設計的論文06-21

電力企業網絡和信息安全管理初探論文05-29

信息安全風險管理理論09-02

工程經濟管理風險及防范措施初探論文06-12

信息安全技術風險評估的理論與方法的論文10-07

智能電網信息安全防護建設初探論文10-16

內部審計風險成因及防范策略初探論文05-23