基于風險的信息安全管理體系

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了基于風險的信息安全管理體系范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：企業逐步進入信息化辦公時代，企業的資產信息基本上全部保存在信息系統中，信息安全管理水平影響企業的安全生產水平，如何建立一套系統的方法來管理信息安全是一個重要的研究課題。本文主要研究以南方電網安全生產風險管理體系核心思想構建信息安全風險管理體系，為企業信息安全管理提供思路。

關鍵詞：信息安全；安全生產風險管理體系；風險評估；風險控制

0引言

隨著信息化建設的飛速發展和普及，各行各業的網絡化、信息化水平顯著提高，無論是電網安全穩定經濟運行還是企業管理業務運轉都離不開信息化系統的支持，在信息化帶來高效率的同時不得不考慮網絡化帶來的安全問題。企業信息安全管理的有效性，關系企業或國家機密，一旦面臨威脅和遭遇攻擊，就會給企業或國家帶來嚴重的損失[1]。目前在我國電力企業信息安全管理領域，信息安全風險管理依然研究不夠深入，較多采取的基于問題的管理方式，遭到攻擊或同類行業遭到攻擊后，進行系統排查，查找系統漏洞，然后堵住漏洞，這種被動式的管理方式為企業的安全生產埋下較大安全隱患。安全是企業的生命線，只有事前做好各類防范和應急處置，管控風險是實現安全生產的重要保證，在電力企業信息化建設過程中建立一套基于風險的信息安全管理體系，降低信息安全事件發生概率是現代電力企業需要深入研究的問題[2]。

1風險管理體系概述

1.1安全生產風險管理體系概念

安全生產風險管理體系是南方電網借鑒國際先進安全管理理念的基礎上，基于電網實際情況提出的了一種安全生產風險管理思路和方法，以風險管控為主線、以“計劃-實施-檢查-改進（PDCA）“閉環管理為原則，系統地提出了安全生產管理的具體內容，指明了風險管控的目標、規范要求和管理途徑，為南方電網安全生產管理和作業提出了具體的工作指引[3]。安全生產風險管理體系核心思想為“基于風險、系統性、規范性、持續改進”：基于風險是指企業應基于實際面臨的風險確定核心業務和基于各類風險管控脈絡及影響業務目的性的風險因素業務流程節點的設計；系統性是指企業在設計管理系統框架及業務流程節點時，保證流程節點的充分性并遵循PDCA的閉環管理模式，理清業務與業務之間的輸入、輸出關系；規范性是指企業應明確各項工作的執行標準，確保執行標準的唯一性、科學性，同時企業各部門、生產單位、班組能夠按照標準開展工作，保證企業管理的統一性；持續改進是指企業應建立完善的問題發現機制及問題改進機制，能夠及時發現系統運行過程中存在的問題并進行改進，同時不斷地完善企業管理系統的策劃，實現管理系統的持續改進。自2007年建立以來，全網范圍內風險管控方法得到有效應用，安全生產管理基礎得到進一步夯實，主要安全生產指標持續向好。

1.2基于風險的信息安全管理框架

南方電網安全生產風險管理體系，為電網企業提供了非常有效的一套安全生產管理方法，其基于風險的管理思路遵循國際通用的“危害識別、風險評估、風險控制、風險回顧”風險管控模型，強調事前風險分析和評估、事中落實管控措施、事后總結回顧和改進，目前主要應用在電網、設備、作業和職業健康風險管控上，并取得了不錯的成績，也為信息安全管理帶來了有益的啟示，即可以通過引入該方法和結合業務實踐建立基于風險的信息安全管理框架，探索信息安全風險管理長效機制[4]。

2基于風險的信息安全風險管理體系建立的重要環節

2.1確定風險評估的目標

從管理目的出發，是安全生產風險管理體系的一個重要思想，以目的為導向，分析在現狀下實現目的存在的障礙因素，也就是管理關鍵流程節點，從而確定業務的管理脈絡，實現以基于風險的管理思路，最終達到業務工作的系統化和規范化。信息安全管理目標就是要實現信息系統的基本安全特性，并達到所需要的保障級別[3]。信息安全的基本安全屬性包括資產的保密性、完整性和可用性，資產的三性對于維持現金流動、企業效益、法律法規要求等是非常必要的。企業的風險評估目標來源于企業中長期發展戰略目標的需求，滿足相關方的要求、滿足法律法規的要求等方面[4]。

2.2風險識別

風險識別是指在運用各種方法全面、系統地識別出在信息安全管理中的風險，找出潛在的原因。一個組織的信息系統和網絡可能是嚴重威脅的目標，同時，由于企業信息化水平的逐步提高，對于信息系統和服務技術的依賴日益增加，企業可能出現更多的脆弱性[5]。在信息安全管理中主要從資產、威脅、脆弱性三個角度識別風險。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產的三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產安全屬性的達成程度產生影響[6]。信息安全管理的最終目標是在滿足企業中長期發展對信息化水平要求的同時，確保信息安全的三性，降低信息安全事故事件發生的概率。影響該目標實現的因素有危害因素識別是否全面、風險評估結果是否準確、措施是否有效，因此選擇合適的風險評估辦法和模型，對信息安全管理來說至關重要。

2.3信息安全風險評估

2.3.1信息安全風險評估模型

風險評估是在確定影響信息安全風險評估的三個維度的基礎上，選擇定性或者定量的風險評估方法，對識別出的風險發生的可能性或可能導致的后果進行衡量，并根據評估結果劃分風險等級，然后建立分層分級的管控措施。在完成了資產識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險值=R（A,T,V）=R(L(T,V)，F(A,V))。

2.3.2信息安全風險評估實施與運行

（1）信息安全風險概述通俗來講，風險概述就是風險的管理方案，基于風險評估的結果，制定年度風險管控重點工作安排，為年度安全生產工作計劃提供方向。概述報告編制時，應充分考慮風險數據的輸出應用，為涉及相關單位（部門）的管理提供輸入。風險概述報告至少包含以下信息：風險描述、風險范疇、風險細分種類、風險等級和風險控制措施，并按風險等級排序。（2）風險控制風險控制是在風險評估之后，控制措施建議應綜合考慮風險控制成本與風險造成的影響，結合法律法規、國家、行業、上級主管單位和公司有關政策要求以及當前的重點任務統籌考慮選擇合適的風險控制措施。風險控制方法一般按照以下順序進行選擇：消除/終止、替代、轉移、工程、隔離/閉鎖、行政管理、個人防護等。總的來說控制措施從管理措施和技術措施兩個方面提出，優先考慮技術措施。屬于組織結構不完善的，建立信息安全組織體系。屬于管理措施的融入管理辦法，編制各層次的信息安全管理體系文件，包括信息安全管理制度、人員安全管理制度、信息系統項目建設管理制度、信息系統運維管理制度，明確管理要求；屬于物理安全隱患的，加強機房、門控、安保系統和隊伍建設；屬于信息系統保護的，納入信息安全項目建設計劃，提高防病毒、漏洞補丁、安全配置、安全認證、訪問控制、數據加密、入侵檢測等保護能力；屬于作業過程執行的措施，將信息安全管控要求納入作業指導書、“兩票”等作業標準，減少人的因素引發的信息安全事故事件；屬于人員技能和意識的納入教育培訓計劃；屬于信息安全應急響應的建立信息安全應急預案或現場處置方案，并按照演練計劃開展應急演練[7]。

2.4風險監測

風險控制措施制定后需要對措施的有效性進行評估，年度風險預控措施計劃表。風險控制措施應明確責任單位（部門）、責任人、完成時間。在制定風險控制措施時，應避免控制措施帶來新的風險。結合年度風險預控措施表和變化識別內容，制定月度風險監督計劃，并明確各項預控措施執行情況的各級監督部門，確保風險措施按計劃落實執行。

2.5管理回顧，持續改進

PDCA閉環管理是安全生產風險管理體系核心之一，通過定期開展管理回顧，審視信息安全風險管控的有效性，進而形成長效機制持續改進。在回顧過程中注意以下幾個方面：（1）識別變化，優化管控手段企業所面臨的內部和外部環境不是一成不變的，當變化產生時需要及時識別也調整管控措施。當法律法規變化時需要及時對法律法規風險進行識別和融入；當國際、國內信息安全態勢發生變化、信息安全漏洞不斷涌現時及時更新防護技術手段、優化管理標準、更新應急處置方案，并保存變化過程的相關資料。（2）建立糾正與預防系統安全生產風險管理體系核心思想之一就是持續改進，通過建立問題發現機制和問題改進機制最終實現企業的管理水平持續提升[8]。在信息安全管理方面，糾正與預防的來源包括信息安全防護系統檢測情況、系統運行分析統計、外部信息安全形勢、檢查發現問題等，并進行根本原因分析，制定糾正或預防措施，通過評估措施的有效性，進行統計輸出應用，輸出應用到信息安全管理制度、能力與意識提升等各個環節，進而確保企業的信息安全管理水平得到持續提升。

3結語

以南方電網安全生產風險管理體系的核心思想為基礎，通過對企業信息安全風險進行評估和分析、風險監測、風險控制和持續改進建立完整的PDCA管理體系，有助于給企業提供信息安全管理思路，提升企業信息安全管理的系統性、規范性，減少信息安全事故的發生。

作者：張芳 單位：中國南方電網調峰調頻發電有限公司信息通信分公司