信息科技風險管理論文

　　信息科技是如今社會發(fā)展的潮流，以下是小編整理的信息科技風險管理論文，歡迎參考閱讀！

　　1企業(yè)信息安全風險管理的主要內(nèi)容

　　開放、互聯(lián)的信息技術與信息安全就像一把雙刃劍。一方面，企業(yè)需要借助信息技術或信息系統(tǒng)集中信息并開放共享；另一方面，企業(yè)的核心信息資產(chǎn)又在不斷外泄，引發(fā)無數(shù)信息安全問題。一談到信息安全，首先想到的是網(wǎng)絡安全，比如防火墻、入侵檢測、漏洞掃描、數(shù)據(jù)加密等傳統(tǒng)意義上的網(wǎng)絡底層安全防護。但從廣義上來講，隨著信息化建設的不斷深入，企業(yè)的信息資產(chǎn)對經(jīng)營的貢獻比重越來越大。尤其在信息訪問越加便捷的前提下，根據(jù)市場競爭的需要，企業(yè)需要源源不斷地將信息不同程度地開放給客戶、供應商、員工等，企業(yè)的信息資產(chǎn)也越來越暴露在更多的威脅之中。信息的三個安全特性，即完整性、保密性和可用性。

　�。�1）信息完整性風險管理。一方面，要保證信息在收集、加工過程中不能被惡意篡改、不能丟失、被竊取、損壞等；另一方面，也常為人忽視的是加工過程本身的科學性，需要防范因不恰當?shù)募庸し绞蕉鴮е碌臄?shù)據(jù)失效或結果錯誤。

　�。�2）信息保密性風險管理。主要是指要保障沒有被授權的用戶無法使用信息系統(tǒng)，訪問相應的資源。防止該類用戶訪問、通過非法手段攻擊破壞企業(yè)信息資產(chǎn)。

　�。�3）信息可用性風險管理。主要是指保障被授權用戶可以順利、快速訪問信息資產(chǎn)，保障信息系統(tǒng)穩(wěn)定性和可用性。以上三個特性，同時也是信息安全風險管理的主要內(nèi)容，管理過程包括風險識別、風險評估和風險控制三個步驟。

　　2企業(yè)信息安全風險識別

　　由于涉及企業(yè)的核心信息資產(chǎn)，所以相應的信息安全風險點分布在企業(yè)管理的各個環(huán)節(jié)和層面。但是由于種種原因，目前國內(nèi)企業(yè)對信息安全風險管理的認識仍不到位�？傮w來說，有以下主要問題，也是常見的信息安全風險管理的風險點。

　�。�1）信息安全組織和制度保障不足。沒有有效的信息安全管理組織機構，就無法有效地制定、執(zhí)行安全管理策略，更無法進行有效的信息安全協(xié)作。信息安全管理制度通常都有，但很少有單位能夠嚴格執(zhí)行，信息安全的政策制定也常常不符合標準，導致可操作性比較差或者達不到控制的目的。

　�。�2）信息安全相關人員意識不足。信息安全雖然已經(jīng)被很多企業(yè)提到戰(zhàn)略高度，但更多停留在口頭上和管理層。大部分企業(yè)人員比較缺乏信息安全意識，安全事件報告不及時；對各自崗位相關的信息資產(chǎn)職責了解不清，對信息系統(tǒng)的錯誤操作導致信息泄密的事件屢有發(fā)生；部門單位還存在因人員流動導致的信息資產(chǎn)不連續(xù)等問題。

　�。�3）傳輸、存儲信息資產(chǎn)的設備與網(wǎng)絡存在安全隱患。部分企業(yè)存在網(wǎng)絡有安全漏洞、存儲設備老舊、數(shù)據(jù)資產(chǎn)缺乏備份機制等常見問題，一旦受到網(wǎng)絡入侵、病毒攻擊，或者發(fā)生硬件及性能問題，會導致信息資產(chǎn)大量泄漏或損壞。

　�。�4）訪問控制及用戶權限管理存在漏洞。在信息系統(tǒng)的實施階段，為了便于用戶測試或其他目的，部分用戶權往往限過大。隨著系統(tǒng)正式上線及應用，相應權限又由于種種原因沒有調整，對信息安全也留下了比較大的隱患。

　　（5）軟件系統(tǒng)及業(yè)務持續(xù)性風險。因為國產(chǎn)化和自主開發(fā)的趨勢逐漸確立，大量企業(yè)選擇自行開發(fā)軟件系統(tǒng)，由于軟件開發(fā)技術而導致軟件本身存在一定漏洞，相應的開發(fā)質量存在隱患，連帶的如運維、業(yè)務持續(xù)性風險均應相應考慮。

　　3企業(yè)信息安全風險評估和控制

　　考慮到每個企業(yè)均有自身特點，面臨的信息安全風險點也不同。按照通常的信息安全風險管理理論，在完成上節(jié)所述的風險識別之后，需要進行詳細的風險評估和風險控制。信息安全風險評估是指確認風險大小程度的過程，主要是要借用適當?shù)娘L險評估工具和模型，包括定量的或者定性的方法，對信息安全風險點造成的影響進行評估，以確定風險的大小和控制方式。其主要目的是為了確定風險的大小并量化，從而可以采取適當?shù)目刂颇繕撕涂刂品绞介_展風險控制工作。信息安全風險控制的作用體現(xiàn)在對組織信息安全的保障上，其有效性體現(xiàn)在當企業(yè)面臨信息安全風險時對風險控制的有效程度，換句話說，在信息安全風險評估的基礎上，考驗控制力度的有效性就是損失的程度，損失的越少越有效。反之，則控制無效。另一方面，信息安全風險控制也是需要成本的，控制力度大小與成本通常成正比關系，而且在達到一定程度之后，控制力度增長比例較小可能帶來成本大幅增加。因此，信息安全風險控制的總體目標，是以最小的投入將信息安全面臨的風險控制在組織可接受的范圍內(nèi)。

　　4結語

　　信息安全已經(jīng)上升為國家戰(zhàn)略。對于國內(nèi)企業(yè)來說，信息安全也日益重要，尤其對于高科技企業(yè)及涉及國計民生的大型國有企業(yè)，信息往往是企業(yè)的核心資產(chǎn)。拿筆者所在企業(yè)來說，大量的研發(fā)成果日益依賴信息技術，大量的內(nèi)部經(jīng)營決策通過信息系統(tǒng)流轉。任何一個數(shù)據(jù)或者信息的泄漏，一旦被競爭者竊取，將給公司帶來不可估量的損失。有效做到信息安全可知、可控、可承受，關系到企業(yè)的生死存亡，需要引起所有企業(yè)管理者和員工的充分重視，并采用一切可能手段加以保護。

【信息科技風險管理論文】相關文章：

探討企業(yè)稅務風險管理思考論文02-22

建筑企業(yè)稅務風險管理研究論文02-21

風險管理學士論文03-06

風險管理與精算畢業(yè)論文選題03-28

物流企業(yè)的稅務風險管理論文02-21

管理風險控制論文參考文獻11-15

云計算信息存在風險及應對策略論文02-24

盈余管理與審計風險控制論文文獻12-08

建筑工程安全風險管理問題探究論文02-19