企業(yè)信息安全風險管理研究論文

　　1 企業(yè)信息安全風險管理所存在的問題

　　1.1 缺乏信心安全意識

　　許多企業(yè)管理層對信息安全認識上缺乏重視，信息安全防護意識淡薄。究其根本則是大部分企業(yè)認為信息安全無法給企業(yè)帶來直接的經濟效益，而且要進行信息安全管理就和購買保險一樣，不進行安全保護也沒有出現(xiàn)什么損失。此外，進行企業(yè)信息安全管理需要投入相應的資源和時間，在業(yè)績壓力、資源限制的影響下，業(yè)務部門并不愿意將更多的精力用于保護信息安全上面。

　　1.2 缺乏相應的信息安全組織架構

　　許多IT企業(yè)都存在信息安全組織架構不明確的情況，僅設立了類似兼職的職位——信息安全主任，而且是設立在IT部門內部，這在很大程度上減小了信息安全組織的執(zhí)行力和管理能力。發(fā)生信息安全事件后，企業(yè)通常都是臨時從業(yè)務部門或者IT部門調配人手來建立項目小組，然后依照信息安全的新要求找出解決方案，問題解決后就會解散項目小組，所建立的流程也隨之不會繼續(xù)執(zhí)行、跟進。信息安全沒有進行定期的評審和審計，也就無法形成能夠不斷改進的信息安全機制，這就造成了在安全計劃上做了許多重復性工作，增加了安全計劃的成本，不利于效率的提高。

　　1.3 不完善的信息安全監(jiān)管機制和內部控制

　　在企業(yè)文件的控制管理系統(tǒng)中，IT信息系統(tǒng)管理操作程序、管理指南都沒有歸入里面， 也就不在其監(jiān)管范圍內，這也就導致相關流程的執(zhí)行情況和指南、版本控制無法形成實質監(jiān)督，以至流程同實際不符，出現(xiàn)不嚴格執(zhí)行所制定流程的情況。此外，相關企業(yè)在歷史數據的管理、儲存上比較缺乏，業(yè)務數據記錄不全面，如若出現(xiàn)問題，就很難對業(yè)務數據進行調查和恢復[1]。

　　2 企業(yè)信息安全風險管理措施

　　2.1 策劃和準備

　　此階段主要包含三個步驟：第一步建立安全風險管理開端。取得業(yè)務部門、管理層的大力支持，明確當前企業(yè)信息安全風險管理具體完善情況，明確職責范圍，制定明確的風險管理計劃。第二步在風險評估范圍上必須進行確定。企業(yè)需結合風險管理實際完善情況做出評定，以此來對風險評估和管理劃分業(yè)務區(qū)域，便于執(zhí)行。第三步制定風險行動方案。在制定保護策略上，必須對企業(yè)信息風險的保護方法和具體處理手段做出相關規(guī)定，可在安全技術和風險管理上制定相應的策略。

　　2.2 部署和執(zhí)行

　　企業(yè)在實施安全控制計劃過程中，所制定的合理步驟都必須切實執(zhí)行，這就要求風險行動方案中的相關負責人對所計劃的活動需認真安排和執(zhí)行。此外相關負責人要多與員工進行溝通，行動計劃的執(zhí)行依據授權對員工進行分配，能有效減少員工在項目實施中的抵觸情緒。讓分配到行動計劃任務的員工及其管理者明確了解此項工作的優(yōu)先級為高，并通過實施安全培訓使其重新確定工作的優(yōu)先級，以合并他們的行動計劃活動。另外，應該建立相關的保障機制，為行動計劃的實施提供足夠的資金、設備和其他必需的資源，確保行動計劃的順利進行。

　　2.3 檢查和監(jiān)控

　　企業(yè)在對風險進行管理的過程中，需要成立專業(yè)化的監(jiān)督小組，該小組可以對信息安全風險管理進行檢查以及監(jiān)控。進行該項操作的目的有兩個方面。第一方面就是可以通過監(jiān)控措施和方法對企業(yè)的安全信息進行收集，另一個方面就是采集企業(yè)安全環(huán)境發(fā)生改變的信息，這樣便于第一時間對新風險進行預測。該小組獲取信息后，可快速將這些信息反饋到上一級，從而方便領導決策層了解最新的安全動態(tài)[2]。

　　3 對我國信息安全風險管理的未來展望

　　對于信息安全領域的專業(yè)人士來講，信息安全風險管理可從下面幾個方面進行突破。

　　3.1 采用創(chuàng)新方法處理關鍵技術問題

　　衡量風險的一條重要途徑就是對風險進行量化。在風險管理中，非常關鍵和基礎的是風險計量和數學模型。對于評估的對象和度量的標準需要妥善解決。在對信息系統(tǒng)進行安全風險評估的時候，第一步驟就是要構建風險評估對象模型，使模型能夠適應各種系統(tǒng)。在這個過程中，有一些比較優(yōu)秀的數學工具可以提供分析和模擬。當前，在對復雜系統(tǒng)進行建模時，需要有構成國家關鍵信息基礎設施的重要信息的大規(guī)模系統(tǒng)的能力。

　　3.2 根據實際問題，挑選合適的選擇標準

　　在風險評估中，測度體系非常重要，它是風險評估的關鍵環(huán)節(jié)。在這個過程中，需要解決好三大問題：首先是測量問題。其次是可用性問題，最后是可操作和解釋。

　　3.3 根據實際，處理好評估方法和測試工具問題

　　在信息系統(tǒng)安全風險評估中，其主要研究對象是傳統(tǒng)風險評估方法在信息安全評估中的應用、評估新技術研究、針對特定應用專題的風險評估方法和風險評估方法工程應用。在進行風險評估的過程中，評估工具是必備的。目前，在國內信息系統(tǒng)安全風險評估工作中，測試數據沒有實用技術支撐，這已經成為對我國信息安全風險評估進一步發(fā)展的障礙[3]。

【企業(yè)信息安全風險管理研究論文】相關文章：

企業(yè)信息數據安全的研究論文11-16

對企業(yè)信息安全困境的探微管理論文11-16

現(xiàn)代風險導向下并購審計風險研究論文11-21

電力企業(yè)信息安全管理體系分析研究12-01

風險管理內部審計論文11-23

風險管理論文06-22

企業(yè)信息安全管理體系構建的要點與策略論文06-29

ＩＴ項目管理中的風險研究03-24

團隊管理研究論文08-29

員工管理研究論文06-12