摘要:对信息安全风险管理中存在的问题做了具体分析,并提出了一些有效策略。
关键词:信息;安全;风险管理
引言
对于企业单位而言,信息资源是支撑工作正常运行的关键,囊括了企业的知识产权、重要数据、工作人员、信息处理设施等。信息安全风险管理成为企业单位的重要管理工作。但是目前我国企业单位的信息安全风险管理中存在着大量的问题,亟待解决,须采取有效的策略,才能保障企业单位的综合发展。
1信息安全风险管理中存在的问题
国内的企业单位在信息安全风险管理方面都存在着一定的技术引导性,缺乏必要的流程控制和制度保障。认为信息安全的建设只要有高科技的安全技术设备,就万无一失了。但事实并非如此,信息技术的发展虽然促进了信息安全风险问题的解决,但是没有严格有效的管理,依旧会产生风险问题。所以说只依赖于科学技术并不能从根本上解决所有的信息安全风险问题,只有技术和相应的流程有效配合才能完成企业单位的信息安全风险管理工作[1]。
1.1信息风险意识不强
企业单位对于信息安全风险的问题和影响缺乏认识,管理层的重视程度不够,通常只有在出现问题时,才会采取相应的策略,没有持续性。目前,我国许多企业单位的信息安全风险管理方面的财力和人力投入太小,严重忽视了相关资源的投入,原有风险和新风险逐渐积累,攒下了许多的风险隐患。还有部分企业单位过于注重信息系统的运行阶段,忽视了隐藏在系统开发和建设阶段的风险,在系统的稳定性和安全性方面留下严重的隐患。而且,企业单位对于信息安全风险的认识严重不足,没有切实意识到业务和客户数据的集中也会引发风险的集中,缺乏对于控制风险和分散风险的慎重考虑。
1.2缺少风险管理人才
信息安全风险管理不仅要依靠技术,更依靠于人才。信息安全风险管理工作的最终效果根本上还是取决于人才。信息安全风险管理人才不仅要具备风险管理才能,还要具有良好的综合素质和专业素养。我国企业单位严重缺乏这样的风险管理专业人才,大多数管理人才由于缺乏信息技术专业知识,对于信息资产和脆弱性的识别不能做出准确的判断,无法对信息安全风险状况进行正确判断,从而对企业单位的信息安全风险管理造成一定的影响。
1.3缺乏风险统一管理
我国大多企业单位都十分重视风险事项的具体管理,却严重忽视了风险的整体控制和管理。在实施信息安全风险管理的过程中,将主要精力和时间投入到了具体事项的风险管理中,却忽略了整体把握,没有切实关注信息安全风险流程管理和技术之间的密切联系。所以,最终导致信息安全风险管理的资源分配严重不均匀,缺乏统一的风险管理,从而对企业单位的整体信息安全风险管理的效果造成了严重影响。
1.4忽视信息风险预防和应急
现阶段,我国的大部分企业单位的信息安全风险管理基本上是凭借自身的长期经验加以管理,一般是事后风险管理。采取这种就事论事的管理方式,已经无法适应我国企业单位对信息化技术的依赖需求了。对于信息安全风险的预防和应急管理形同虚设,基本上停留在已有的规章制度检查阶段,风险评估工作也始终停滞在定性评估上,严重缺乏对风险的定量分析,这样的风险预防和应急策略,将会严重影响企业单位的发展。
2信息安全风险管理的有效策略
2.1树立信息安全风险观念
树立信息安全风险观念主要从四方面进行,即优化配置,积极防御,全面统筹,强化内控。我国大多数企业单位的相关配置还不够完善、优化,因此首先必须要优化配置,做到标准化和规范化,消除其中存在的隐患。而且,要积极建立有效的防御机制,控制未发生风险事件和已发生风险事件带来的影响。同时,企业单位还要强化内部控制,明确系统开发人员和风险管理人员的职责,保证内部控制工作的有效开展。另,信息安全风险管理工作的开展,须自上而下,建立领导重视、部门协同参与的工作机制,发挥优势,积极配合,将信息安全风险管理工作贯彻落实。
2.2建立健全的信息安全风险控制机制
在信息安全风险管理工作中,风险控制机制起着基础性的根本作用,只有具备了良好的风险控制机制,才能使整个管理系统与自适应系统更加接近,从而在外部条件不发生变化的同时,能够迅速地做出反应,进行策略调整,实现优化目标,保持良好的管理水平,保证信息安全风险管理作用的顺利开展。风险控制主要包括六个方面,即基础工作、责任机制、预防机制、通报机制、应急机制、团队建设[2]。
2.3建立完善的信息安全风险管理体系
完善的信息安全风险管理体系,主要包括六个部分,有风险管理制度体系、标准规范体系、风险管理组织体系、风险管理策略体系、技术支持体系、应急处置体系。风险管理制度体系是有效规范企业单位信息系统开发运行等过程中的组织和个人行为的基础,应切实根据自身情况,针对风险管理控制中的薄弱环节,制定相应的管理方式方法和规章制度,从而对关键过程进行有效监管。风险管理组织体系是指企业单位设置的专门的信息安全风险管理组织机构,是将管理部门细化到具体岗位,保证信息安全风险管理工作顺利开展的关键[3]。技术支持体系,是运用网络安全控制、系统安全控制、系统加密控制等高科技技术手段,建立不受外界侵害的保障系统,从而保证企业信息安全。除此之外,还必须建立健全的应急处置体系,这是企业单位信息安全风险管理体系中最关键的部分,只有全面建立完善的信息安全风险管理体系,才能保证企业单位的信息安全。信息安全风险管理工作是一项长期的工作,所涉及的范围十分广泛,其中包括员工和信息科技的每一个环节。信息安全风险管理体系只有在全员维护下,才能将安全体系落实到信息科技建设的具体环节,带来真正意义上的信息安全。
参考文献
[1]吴世忠.信息安全风险管理的动态与趋势[J].计算机安全,2007(5):1-7
[2]包同岗,赵捷琴,祁之强.基于突变理论电网企业信息安全风险管理模型研究[J].山西电力,2014(4):45-49
[3]寇书华,何国伟.计算机信息安全管理探究[J].计算机安全,2013(3):74-76
作者:冯莉颖 单位:海南科技职业学院