企業(yè)信息安全風(fēng)險管理研究論文

　　1 企業(yè)信息安全風(fēng)險管理所存在的問題

　　1.1 缺乏信心安全意識

　　許多企業(yè)管理層對信息安全認(rèn)識上缺乏重視，信息安全防護意識淡薄。究其根本則是大部分企業(yè)認(rèn)為信息安全無法給企業(yè)帶來直接的經(jīng)濟效益，而且要進行信息安全管理就和購買保險一樣，不進行安全保護也沒有出現(xiàn)什么損失。此外，進行企業(yè)信息安全管理需要投入相應(yīng)的資源和時間，在業(yè)績壓力、資源限制的影響下，業(yè)務(wù)部門并不愿意將更多的精力用于保護信息安全上面。

　　1.2 缺乏相應(yīng)的信息安全組織架構(gòu)

　　許多IT企業(yè)都存在信息安全組織架構(gòu)不明確的情況，僅設(shè)立了類似兼職的職位——信息安全主任，而且是設(shè)立在IT部門內(nèi)部，這在很大程度上減小了信息安全組織的執(zhí)行力和管理能力。發(fā)生信息安全事件后，企業(yè)通常都是臨時從業(yè)務(wù)部門或者IT部門調(diào)配人手來建立項目小組，然后依照信息安全的新要求找出解決方案，問題解決后就會解散項目小組，所建立的流程也隨之不會繼續(xù)執(zhí)行、跟進。信息安全沒有進行定期的評審和審計，也就無法形成能夠不斷改進的信息安全機制，這就造成了在安全計劃上做了許多重復(fù)性工作，增加了安全計劃的成本，不利于效率的提高。

　　1.3 不完善的信息安全監(jiān)管機制和內(nèi)部控制

　　在企業(yè)文件的控制管理系統(tǒng)中，IT信息系統(tǒng)管理操作程序、管理指南都沒有歸入里面， 也就不在其監(jiān)管范圍內(nèi)，這也就導(dǎo)致相關(guān)流程的執(zhí)行情況和指南、版本控制無法形成實質(zhì)監(jiān)督，以至流程同實際不符，出現(xiàn)不嚴(yán)格執(zhí)行所制定流程的情況。此外，相關(guān)企業(yè)在歷史數(shù)據(jù)的管理、儲存上比較缺乏，業(yè)務(wù)數(shù)據(jù)記錄不全面，如若出現(xiàn)問題，就很難對業(yè)務(wù)數(shù)據(jù)進行調(diào)查和恢復(fù)[1]。

　　2 企業(yè)信息安全風(fēng)險管理措施

　　2.1 策劃和準(zhǔn)備

　　此階段主要包含三個步驟：第一步建立安全風(fēng)險管理開端。取得業(yè)務(wù)部門、管理層的大力支持，明確當(dāng)前企業(yè)信息安全風(fēng)險管理具體完善情況，明確職責(zé)范圍，制定明確的風(fēng)險管理計劃。第二步在風(fēng)險評估范圍上必須進行確定。企業(yè)需結(jié)合風(fēng)險管理實際完善情況做出評定，以此來對風(fēng)險評估和管理劃分業(yè)務(wù)區(qū)域，便于執(zhí)行。第三步制定風(fēng)險行動方案。在制定保護策略上，必須對企業(yè)信息風(fēng)險的保護方法和具體處理手段做出相關(guān)規(guī)定，可在安全技術(shù)和風(fēng)險管理上制定相應(yīng)的策略。

　　2.2 部署和執(zhí)行

　　企業(yè)在實施安全控制計劃過程中，所制定的合理步驟都必須切實執(zhí)行，這就要求風(fēng)險行動方案中的相關(guān)負(fù)責(zé)人對所計劃的活動需認(rèn)真安排和執(zhí)行。此外相關(guān)負(fù)責(zé)人要多與員工進行溝通，行動計劃的執(zhí)行依據(jù)授權(quán)對員工進行分配，能有效減少員工在項目實施中的抵觸情緒。讓分配到行動計劃任務(wù)的員工及其管理者明確了解此項工作的優(yōu)先級為高，并通過實施安全培訓(xùn)使其重新確定工作的優(yōu)先級，以合并他們的行動計劃活動。另外，應(yīng)該建立相關(guān)的保障機制，為行動計劃的實施提供足夠的資金、設(shè)備和其他必需的資源，確保行動計劃的順利進行。

　　2.3 檢查和監(jiān)控

　　企業(yè)在對風(fēng)險進行管理的過程中，需要成立專業(yè)化的監(jiān)督小組，該小組可以對信息安全風(fēng)險管理進行檢查以及監(jiān)控。進行該項操作的目的有兩個方面。第一方面就是可以通過監(jiān)控措施和方法對企業(yè)的安全信息進行收集，另一個方面就是采集企業(yè)安全環(huán)境發(fā)生改變的信息，這樣便于第一時間對新風(fēng)險進行預(yù)測。該小組獲取信息后，可快速將這些信息反饋到上一級，從而方便領(lǐng)導(dǎo)決策層了解最新的安全動態(tài)[2]。

　　3 對我國信息安全風(fēng)險管理的未來展望

　　對于信息安全領(lǐng)域的專業(yè)人士來講，信息安全風(fēng)險管理可從下面幾個方面進行突破。

　　3.1 采用創(chuàng)新方法處理關(guān)鍵技術(shù)問題

　　衡量風(fēng)險的一條重要途徑就是對風(fēng)險進行量化。在風(fēng)險管理中，非常關(guān)鍵和基礎(chǔ)的是風(fēng)險計量和數(shù)學(xué)模型。對于評估的對象和度量的標(biāo)準(zhǔn)需要妥善解決。在對信息系統(tǒng)進行安全風(fēng)險評估的時候，第一步驟就是要構(gòu)建風(fēng)險評估對象模型，使模型能夠適應(yīng)各種系統(tǒng)。在這個過程中，有一些比較優(yōu)秀的數(shù)學(xué)工具可以提供分析和模擬。當(dāng)前，在對復(fù)雜系統(tǒng)進行建模時，需要有構(gòu)成國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要信息的大規(guī)模系統(tǒng)的能力。

　　3.2 根據(jù)實際問題，挑選合適的選擇標(biāo)準(zhǔn)

　　在風(fēng)險評估中，測度體系非常重要，它是風(fēng)險評估的關(guān)鍵環(huán)節(jié)。在這個過程中，需要解決好三大問題：首先是測量問題。其次是可用性問題，最后是可操作和解釋。

　　3.3 根據(jù)實際，處理好評估方法和測試工具問題

　　在信息系統(tǒng)安全風(fēng)險評估中，其主要研究對象是傳統(tǒng)風(fēng)險評估方法在信息安全評估中的應(yīng)用、評估新技術(shù)研究、針對特定應(yīng)用專題的風(fēng)險評估方法和風(fēng)險評估方法工程應(yīng)用。在進行風(fēng)險評估的過程中，評估工具是必備的。目前，在國內(nèi)信息系統(tǒng)安全風(fēng)險評估工作中，測試數(shù)據(jù)沒有實用技術(shù)支撐，這已經(jīng)成為對我國信息安全風(fēng)險評估進一步發(fā)展的障礙[3]。

【企業(yè)信息安全風(fēng)險管理研究論文】相關(guān)文章：

企業(yè)信息數(shù)據(jù)安全的研究論文11-16

對企業(yè)信息安全困境的探微管理論文11-16

現(xiàn)代風(fēng)險導(dǎo)向下并購審計風(fēng)險研究論文11-21

電力企業(yè)信息安全管理體系分析研究12-01

風(fēng)險管理內(nèi)部審計論文11-23

風(fēng)險管理論文06-22

企業(yè)信息安全管理體系構(gòu)建的要點與策略論文06-29

ＩＴ項目管理中的風(fēng)險研究03-24

團隊管理研究論文08-29

員工管理研究論文06-12