企业信息安全风险管理的框架研究

陈瑜

摘要：随着信息时代的到来，信息化技术在企业中发挥的作用愈发重要，在目前的网络环境中，大量的病毒频繁地攻击企业的信息系统，甚至造成系统无法及时处理攻击的情况。因此，企业信息安全应变被动处理为主动防御，在信息系统中建立风险管理框架，合理利用企业内部资源，提高企业信息系统安全性。本文将对企业信息安全风险管理的框架进行研究，探讨企业信息安全风险管理的需求、过程以及实施等细节。

Abstract： With the advent of the information age， information technology plays an increasingly important role in the enterprise， and in the current network environment， a large number of virus frequently attacks the enterprise's information system， and even cause system cannot deal with the attacks. Therefore， the enterprise information security should change passive treatment into active defense， establish risk management framework in the information system， rationally use internal resources， and improve enterprise information system security. In this paper， the framework of enterprise information security risk management is studied， and the requirements， process and implementation of enterprise information security risk management are discussed.

关键词：信息安全；风险管理；框架探究

Key words： information security；risk management；framework research

中图分类号：F270 文献标识码：A 文章编号：1006-4311（2017）18-0053-03

0 引言

在社会不断发展的同时，信息化技术也获得了长足的进步，并且已经广泛地应用到人们的生活与工作中。对于企业单位而言，信息资源是保证正常运营的关键因素，企业运营的重要数据、客户资料以及知识产权等信息都是重要的信息资源，这些资源一旦泄露或丢失，会对企业造成极大的影响。因此，企业必须重视自身信息系统安全风险管理的框架的建设，有效防止来自网络的恶意攻击，防止内部重要信息泄露或丢失，保证企业信息安全。

1 企业信息安全实践的需求分析

在信息时代的大背景下，企业的信息化程度是衡量其发展水平的重要因素。但是，我国的信息安全形势不容乐观，大部分企业没有树立信息安全风险管理概念，企业的信息安全无法得到良好的保障。信息安全是一项综合性的工程，不能仅凭企业短期内需要就采取某些措施，无法从根本上提高信息安全水平。想要做好企业信息安全实践工作，必须事先做好企业对信息安全的需求分析，形成全面的分析报告，并根据报告中的内容采取相应的措施，改善企业信息安全现状。但是，需求分析的具体过程也不是始终不变的，而是会根据企业的发展与信息技术的进步发生改变的。信息安全风险的独特性必须在框架中体现出来。信息安全风险源于信息，信息本身具有不断发生变化的特性，从其以数据的形势出现开始，直至在各项功能中发挥相关的作用，这个周期内的每个阶段都有相應的价值。信息安全管理就是要对企业的信息资源进行全面的保护，避免因这些资源受到损失而对企业的运营造成影响。企业信息安全风险管理框架中，必须能够发现信息资源即将受到的威胁，评估这些威胁会对信息资源造成的后果，以确定应对这些威胁的顺序。在制定风险计划时，需要明确对于风险的应对方式以及合理的控制措施。在风险的监督与改进过程中，需要根据这些风险采取适当的监控手段。总之，在此过程框架每个过程要素的分析中，都必须体现信息安全风险的独特性。

2 企业信息安全风险的类型及内容

一般来说，在企业运营过程中，信息安全系统通常面临以下风险因素：

①因线路故障、停电、网络通信设备损坏等导致网络突然中断。

②网站遭到非法攻击，主页被恶意篡改或者被非法植入煽动国家分裂或抗拒法律法规、歪曲事实、散布谣言的言论，以及破坏社会稳定、损害公司名誉的不当言论等。

③公司内部网络服务器或他服务器被非法入侵，相关网络设置被非法拷贝、修改、删除，发生泄密事件。

④公司内外网终端混用，被国网公司信息管理部门查处，造成公司信息泄露、丢失事件。

信息系统是企业正常开展生产运营工作的基本前提，信息管理系统一旦出现问题，轻则影响企业内部业务项目的正常进行，重则导致企业蒙受巨大的经济亏损。因此，针对信息安全风险加强管控对企业来说意义重大。

3 企业信息安全风险管理方案

3.1 建立信息安全风险管理流程

企业信息安全风险管理工作可按照图1所示流程逐步展开。

3.2 完善信息安全风险管理措施

对信息安全风险的管理可以以阶段化的管理模式逐步展开，具体措施如下：

3.2.1 实施准备阶段

信息安全风险管理实施的准备阶段主要包括管理开端的建立、风险评估以及制定行动方案三个步骤。第一，在管理开端的建立中，首先要获得企业管理部门与业务部门的支持，并且建立完善的管理质素，明确参与到管理过程中的工作人员的职责；第二，在风险评估步骤中，首先，确定风险评估对象的范围，其次，确定评估小组的成员，并且制定评估方案；最后，对评估小组成员进行与评估方案有关的培训。在这些准备工作结束后，评估人员就可以开始通过访谈或调查的形式来确定公司信息资源的具体情况，明确用户对信息安全的需求。再通过对风险进行识别与分析，发现企业信息系统中存在的风险。第三，在制定行动方案的步骤中，需要完成保护方案的制定以及确定风险处理方式两部分工作。通常情况下，保护方案就是需要企业长期持续执行，能够帮助企业保证自身信息安全的方案，但不足以满足企业在短期内提高信息安全性的需求。因此，企业必须对所有控制措施制定相应的处理方式，在短期内解决企业最需要解决的问题。

3.2.2 部署与执行阶段

行动的部署与执行阶段主要有计划的部署与安全培训两方面工作组成。第一，行动计划部署。在这个过程中，安全风险管理计划中的所有措施都必须被执行，需要对具体行动方案进行必要的理解并执行。首先，要与企业中的员工进行事先沟通，防止在实施中遇到反对或抵触的情绪。其次，确保被安排到行动计划的员工能够把握这些工作的优先级。此外，必须制定行动执行保障制度，为计划执行准备足够的资源，以保证计划顺利执行。第二，安全培训工作的实施。在企业内部，从事安全风险管理工作的员工有时会将普通工作人员视为技术人员，显然这种想法是有问题的，并不是企业内的所有员工都了解信息安全风险管理。所以，我们必须了解企业中大部分员工知识利用信息系统完成自己的工作任务，信息安全的保护是需要专业的信息安全人员进行的。所以，企业必须组织安全培训，通过培训提高员工安全意识，保证他们在信息系统遇到危险时能够采取一些有效的行动，对系统进行适当的保护。

3.2.3 风险监督检查阶段

在信息安全风险管理团队中，必须组建风险监督小组，在风险管理的整个过程中对其进行监督与检查，小组应由小组负责人与检查人员组成。实施风险监督检查的目的就是为了掌握企业信息安全的实际状态，并且收集信息安全环境变更信息，方便对未来的风险进行预测。风险监督小组在获得这些信息后，必须及时向风险管理团队反馈，确保他们能够掌握企业最近的信息安全状态。

3.2.4 风险改进阶段

在这一阶段，我们必须做好以下工作：制定详细的风险改进措施。风险管理团队需要根据企业的信息安全状态制定详细的风险改进措施。通过对监督检查过程中发现的问题进行分析，可以找出导致问题产生的原因，制定相应的改进措施并限期完成，检查人员则要负责对具体的实施情况进行检查。在改进过程中，需要注意的是，改进措施必须获得最高管理者的批准，特别是关系到整个企业或大多数部门的改进措施。风险监督小组必须随时跟踪纠正措施实施情况，验证改进措施的执行是否符合标准。

3.3 建立企业信息安全风险评估体系，促进信息管理工作不断优化改进

3.3.1 明確信息安全风险评估流程

企业信息安全风险评估工作可以参照图2逐步实行。

3.3.2 信息安全风险的计算及处理措施

企业的风险可以通过多种计算方法得到，但通常资产的风险值可以定义为：风险值=f（安全事件发生的可能性，安全事件发生的危害性）=g（资产，威胁，脆弱性，已实施的控制措施）。评估人员根据这样的函数形式，可以采用一种类似5×5形式的矩阵来计算风险，其中行和列分别代表了安全事件发生的可能性或发生的危害性等级。当然，评估人员为了细化这些风险可以采用维数更多（更细）的矩阵。

4 结论及建议

企业通过信息安全风险管理的实施，能够确定长时间的安全风险管理计划，并且可以有效地缓解企业信息系统中的安全风险，提高工作人员对与信息安全风险的认识，建立健康的安全风险管理氛围，推动企业信息化发展。

另外，建议企业在实施信息风险管理的同时，及时建立信息安全风险预警系统，特别要加强网络与信息系统安全管理，充分发挥技术支撑、机制保障作用，不断完善预防与抢险相结合，有效地预防和减少信息系统安全事故的发生，保障信息安全稳定运行。

参考文献：

[1]王淳萱.大数据环境下国有企业的信息安全探析[J].冶金经济与管理，2016（02）.

[2]惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究，2014（02）.

[3]周家文.企业IT风险管理的体系构建与实现探讨[J].科技展望，2015（32）.