公務(wù)員期刊網(wǎng) 論文中心 正文

基于風(fēng)險的信息安全管理體系

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了基于風(fēng)險的信息安全管理體系范文,希望能給你帶來靈感和參考,敬請閱讀。

基于風(fēng)險的信息安全管理體系

摘要:企業(yè)逐步進入信息化辦公時代,企業(yè)的資產(chǎn)信息基本上全部保存在信息系統(tǒng)中,信息安全管理水平影響企業(yè)的安全生產(chǎn)水平,如何建立一套系統(tǒng)的方法來管理信息安全是一個重要的研究課題。本文主要研究以南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系核心思想構(gòu)建信息安全風(fēng)險管理體系,為企業(yè)信息安全管理提供思路。

關(guān)鍵詞:信息安全;安全生產(chǎn)風(fēng)險管理體系;風(fēng)險評估;風(fēng)險控制

0引言

隨著信息化建設(shè)的飛速發(fā)展和普及,各行各業(yè)的網(wǎng)絡(luò)化、信息化水平顯著提高,無論是電網(wǎng)安全穩(wěn)定經(jīng)濟運行還是企業(yè)管理業(yè)務(wù)運轉(zhuǎn)都離不開信息化系統(tǒng)的支持,在信息化帶來高效率的同時不得不考慮網(wǎng)絡(luò)化帶來的安全問題。企業(yè)信息安全管理的有效性,關(guān)系企業(yè)或國家機密,一旦面臨威脅和遭遇攻擊,就會給企業(yè)或國家?guī)韲?yán)重的損失[1]。目前在我國電力企業(yè)信息安全管理領(lǐng)域,信息安全風(fēng)險管理依然研究不夠深入,較多采取的基于問題的管理方式,遭到攻擊或同類行業(yè)遭到攻擊后,進行系統(tǒng)排查,查找系統(tǒng)漏洞,然后堵住漏洞,這種被動式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線,只有事前做好各類防范和應(yīng)急處置,管控風(fēng)險是實現(xiàn)安全生產(chǎn)的重要保證,在電力企業(yè)信息化建設(shè)過程中建立一套基于風(fēng)險的信息安全管理體系,降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問題[2]。

1風(fēng)險管理體系概述

1.1安全生產(chǎn)風(fēng)險管理體系概念

安全生產(chǎn)風(fēng)險管理體系是南方電網(wǎng)借鑒國際先進安全管理理念的基礎(chǔ)上,基于電網(wǎng)實際情況提出的了一種安全生產(chǎn)風(fēng)險管理思路和方法,以風(fēng)險管控為主線、以“計劃-實施-檢查-改進(PDCA)“閉環(huán)管理為原則,系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容,指明了風(fēng)險管控的目標(biāo)、規(guī)范要求和管理途徑,為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風(fēng)險管理體系核心思想為“基于風(fēng)險、系統(tǒng)性、規(guī)范性、持續(xù)改進”:基于風(fēng)險是指企業(yè)應(yīng)基于實際面臨的風(fēng)險確定核心業(yè)務(wù)和基于各類風(fēng)險管控脈絡(luò)及影響業(yè)務(wù)目的性的風(fēng)險因素業(yè)務(wù)流程節(jié)點的設(shè)計;系統(tǒng)性是指企業(yè)在設(shè)計管理系統(tǒng)框架及業(yè)務(wù)流程節(jié)點時,保證流程節(jié)點的充分性并遵循PDCA的閉環(huán)管理模式,理清業(yè)務(wù)與業(yè)務(wù)之間的輸入、輸出關(guān)系;規(guī)范性是指企業(yè)應(yīng)明確各項工作的執(zhí)行標(biāo)準(zhǔn),確保執(zhí)行標(biāo)準(zhǔn)的唯一性、科學(xué)性,同時企業(yè)各部門、生產(chǎn)單位、班組能夠按照標(biāo)準(zhǔn)開展工作,保證企業(yè)管理的統(tǒng)一性;持續(xù)改進是指企業(yè)應(yīng)建立完善的問題發(fā)現(xiàn)機制及問題改進機制,能夠及時發(fā)現(xiàn)系統(tǒng)運行過程中存在的問題并進行改進,同時不斷地完善企業(yè)管理系統(tǒng)的策劃,實現(xiàn)管理系統(tǒng)的持續(xù)改進。自2007年建立以來,全網(wǎng)范圍內(nèi)風(fēng)險管控方法得到有效應(yīng)用,安全生產(chǎn)管理基礎(chǔ)得到進一步夯實,主要安全生產(chǎn)指標(biāo)持續(xù)向好。

1.2基于風(fēng)險的信息安全管理框架

南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系,為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法,其基于風(fēng)險的管理思路遵循國際通用的“危害識別、風(fēng)險評估、風(fēng)險控制、風(fēng)險回顧”風(fēng)險管控模型,強調(diào)事前風(fēng)險分析和評估、事中落實管控措施、事后總結(jié)回顧和改進,目前主要應(yīng)用在電網(wǎng)、設(shè)備、作業(yè)和職業(yè)健康風(fēng)險管控上,并取得了不錯的成績,也為信息安全管理帶來了有益的啟示,即可以通過引入該方法和結(jié)合業(yè)務(wù)實踐建立基于風(fēng)險的信息安全管理框架,探索信息安全風(fēng)險管理長效機制[4]。

2基于風(fēng)險的信息安全風(fēng)險管理體系建立的重要環(huán)節(jié)

2.1確定風(fēng)險評估的目標(biāo)

從管理目的出發(fā),是安全生產(chǎn)風(fēng)險管理體系的一個重要思想,以目的為導(dǎo)向,分析在現(xiàn)狀下實現(xiàn)目的存在的障礙因素,也就是管理關(guān)鍵流程節(jié)點,從而確定業(yè)務(wù)的管理脈絡(luò),實現(xiàn)以基于風(fēng)險的管理思路,最終達到業(yè)務(wù)工作的系統(tǒng)化和規(guī)范化。信息安全管理目標(biāo)就是要實現(xiàn)信息系統(tǒng)的基本安全特性,并達到所需要的保障級別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性,資產(chǎn)的三性對于維持現(xiàn)金流動、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風(fēng)險評估目標(biāo)來源于企業(yè)中長期發(fā)展戰(zhàn)略目標(biāo)的需求,滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面[4]。

2.2風(fēng)險識別

風(fēng)險識別是指在運用各種方法全面、系統(tǒng)地識別出在信息安全管理中的風(fēng)險,找出潛在的原因。一個組織的信息系統(tǒng)和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo),同時,由于企業(yè)信息化水平的逐步提高,對于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加,企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個角度識別風(fēng)險。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量,而是由資產(chǎn)的三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響[6]。信息安全管理的最終目標(biāo)是在滿足企業(yè)中長期發(fā)展對信息化水平要求的同時,確保信息安全的三性,降低信息安全事故事件發(fā)生的概率。影響該目標(biāo)實現(xiàn)的因素有危害因素識別是否全面、風(fēng)險評估結(jié)果是否準(zhǔn)確、措施是否有效,因此選擇合適的風(fēng)險評估辦法和模型,對信息安全管理來說至關(guān)重要。

2.3信息安全風(fēng)險評估

2.3.1信息安全風(fēng)險評估模型

風(fēng)險評估是在確定影響信息安全風(fēng)險評估的三個維度的基礎(chǔ)上,選擇定性或者定量的風(fēng)險評估方法,對識別出的風(fēng)險發(fā)生的可能性或可能導(dǎo)致的后果進行衡量,并根據(jù)評估結(jié)果劃分風(fēng)險等級,然后建立分層分級的管控措施。在完成了資產(chǎn)識別、威脅識別、脆弱性識別,以及已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度,判斷安全事件造成的損失對組織的影響,即安全風(fēng)險值=R(A,T,V)=R(L(T,V),F(xiàn)(A,V))。

2.3.2信息安全風(fēng)險評估實施與運行

(1)信息安全風(fēng)險概述通俗來講,風(fēng)險概述就是風(fēng)險的管理方案,基于風(fēng)險評估的結(jié)果,制定年度風(fēng)險管控重點工作安排,為年度安全生產(chǎn)工作計劃提供方向。概述報告編制時,應(yīng)充分考慮風(fēng)險數(shù)據(jù)的輸出應(yīng)用,為涉及相關(guān)單位(部門)的管理提供輸入。風(fēng)險概述報告至少包含以下信息:風(fēng)險描述、風(fēng)險范疇、風(fēng)險細(xì)分種類、風(fēng)險等級和風(fēng)險控制措施,并按風(fēng)險等級排序。(2)風(fēng)險控制風(fēng)險控制是在風(fēng)險評估之后,控制措施建議應(yīng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響,結(jié)合法律法規(guī)、國家、行業(yè)、上級主管單位和公司有關(guān)政策要求以及當(dāng)前的重點任務(wù)統(tǒng)籌考慮選擇合適的風(fēng)險控制措施。風(fēng)險控制方法一般按照以下順序進行選擇:消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個人防護等??偟膩碚f控制措施從管理措施和技術(shù)措施兩個方面提出,優(yōu)先考慮技術(shù)措施。屬于組織結(jié)構(gòu)不完善的,建立信息安全組織體系。屬于管理措施的融入管理辦法,編制各層次的信息安全管理體系文件,包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項目建設(shè)管理制度、信息系統(tǒng)運維管理制度,明確管理要求;屬于物理安全隱患的,加強機房、門控、安保系統(tǒng)和隊伍建設(shè);屬于信息系統(tǒng)保護的,納入信息安全項目建設(shè)計劃,提高防病毒、漏洞補丁、安全配置、安全認(rèn)證、訪問控制、數(shù)據(jù)加密、入侵檢測等保護能力;屬于作業(yè)過程執(zhí)行的措施,將信息安全管控要求納入作業(yè)指導(dǎo)書、“兩票”等作業(yè)標(biāo)準(zhǔn),減少人的因素引發(fā)的信息安全事故事件;屬于人員技能和意識的納入教育培訓(xùn)計劃;屬于信息安全應(yīng)急響應(yīng)的建立信息安全應(yīng)急預(yù)案或現(xiàn)場處置方案,并按照演練計劃開展應(yīng)急演練[7]。

2.4風(fēng)險監(jiān)測

風(fēng)險控制措施制定后需要對措施的有效性進行評估,年度風(fēng)險預(yù)控措施計劃表。風(fēng)險控制措施應(yīng)明確責(zé)任單位(部門)、責(zé)任人、完成時間。在制定風(fēng)險控制措施時,應(yīng)避免控制措施帶來新的風(fēng)險。結(jié)合年度風(fēng)險預(yù)控措施表和變化識別內(nèi)容,制定月度風(fēng)險監(jiān)督計劃,并明確各項預(yù)控措施執(zhí)行情況的各級監(jiān)督部門,確保風(fēng)險措施按計劃落實執(zhí)行。

2.5管理回顧,持續(xù)改進

PDCA閉環(huán)管理是安全生產(chǎn)風(fēng)險管理體系核心之一,通過定期開展管理回顧,審視信息安全風(fēng)險管控的有效性,進而形成長效機制持續(xù)改進。在回顧過程中注意以下幾個方面:(1)識別變化,優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的,當(dāng)變化產(chǎn)生時需要及時識別也調(diào)整管控措施。當(dāng)法律法規(guī)變化時需要及時對法律法規(guī)風(fēng)險進行識別和融入;當(dāng)國際、國內(nèi)信息安全態(tài)勢發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時及時更新防護技術(shù)手段、優(yōu)化管理標(biāo)準(zhǔn)、更新應(yīng)急處置方案,并保存變化過程的相關(guān)資料。(2)建立糾正與預(yù)防系統(tǒng)安全生產(chǎn)風(fēng)險管理體系核心思想之一就是持續(xù)改進,通過建立問題發(fā)現(xiàn)機制和問題改進機制最終實現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面,糾正與預(yù)防的來源包括信息安全防護系統(tǒng)檢測情況、系統(tǒng)運行分析統(tǒng)計、外部信息安全形勢、檢查發(fā)現(xiàn)問題等,并進行根本原因分析,制定糾正或預(yù)防措施,通過評估措施的有效性,進行統(tǒng)計輸出應(yīng)用,輸出應(yīng)用到信息安全管理制度、能力與意識提升等各個環(huán)節(jié),進而確保企業(yè)的信息安全管理水平得到持續(xù)提升。

3結(jié)語

以南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系的核心思想為基礎(chǔ),通過對企業(yè)信息安全風(fēng)險進行評估和分析、風(fēng)險監(jiān)測、風(fēng)險控制和持續(xù)改進建立完整的PDCA管理體系,有助于給企業(yè)提供信息安全管理思路,提升企業(yè)信息安全管理的系統(tǒng)性、規(guī)范性,減少信息安全事故的發(fā)生。

作者:張芳 單位:中國南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司信息通信分公司