信息安全风险管理十篇

时间:2023-03-20 14:21:14

信息安全风险管理

信息安全风险管理篇1

随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字(Keywords):

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:

图一信息安全风险管理模型

既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:

(1)确定ISMS的范畴和安全边界

(2)在范畴内定义信息安全策略、方针和指南

(3)对范畴内的相关信息和信息系统进行风险评估

a)Planning(规划)

b)InformationGathering(信息搜集)

c)RiskAnalysis(风险分析)

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis(威胁分析)

uVulnerabilityAnalysis(弱点分析)

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment(影响和可能性评估)

uRiskResultAnalysis(风险结果分析)

d)Identifying&SelectingSafeguards(鉴别和选择防护措施)

e)Monitoring&Implementation(监控和实施)

f)Effectestimation(效果检查与评估)

(4)实施和运营初步的ISMS体系

(5)对ISMS运营的过程和效果进行监控

(6)在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息;

b)和客户沟通并明确项目范围、目标与蓝图;

c)建议并明确项目成员组成和分工;

d)对项目约束条件和风险进行声明;

e)对客户领导和项目成员进行意识、知识或工具培训;

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分;

b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;

d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准;

b)对项目资产鉴别报告、风险分析报告进行审核和批准;

c)对需要进行的相关风险处置建议进行项目安排;

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集:

背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。

信息安全风险管理篇2

关键词:电网企业;信息安全;风险;应对措施;管理体系

作者简介:王旭(1964-),男,浙江宁波人,新疆电力公司电力科学研究院,高级工程师。(新疆 乌鲁木齐 830011)张建业(1972-),男,浙江浦江人,新疆电力公司科技信通部,高级工程师,华北电力大学经济与管理学院博士研究生。(新疆 乌鲁木齐 830002)

基金项目:本文系国家自然科学基金资助项目(基金号:71271084)的研究成果。

中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2013)26-0163-03

信息安全风险是信息化时代企业发展和内部管理所面临的一个迫切问题,网络化、信息化的飞速发展能够给企业带来无限的发展机遇,同时也让应用信息化技术的企业面临着各种不同的风险威胁,这些风险因素一旦发生,将对企业的日常运营、战略目标的实现甚至长远发展产生无法估计的影响。有效的信息安全风险管理体系对于企业规避信息安全风险、减少不必要的损失具有重要作用。

对于电网企业来说,信息化建设是推动电网企业智能化、现代化等长远发展的核心推动力,但网络病毒、黑客入侵等一系列风险因素,使得电网企业信息安全同样面临着巨大的挑战,必须对电网企业面临的各类信息安全风险进行有效控制,以保证电网企业的信息化内容正常运行。

一、电网企业信息安全风险分析

电网企业的信息安全风险就是企业的信息系统和网络等面临的来自各方面的风险威胁,各种内外部的、潜在的和可知的危险可能会带来的风险威胁等。随着网络环境的复杂性不断增加,新的信息技术的不断应用发展,电网企业的信息安全面临的风险因素也更为繁多复杂,同时由于其注重信息安全的行业特点,电网企业的信息安全风险管理面临的压力更大。为此需要对这些风险因素进行规范、合理的识别分析,进而建立综合的风险管理体系。

电网企业的信息安全面临着来自不同层次、多个方面的风险因素,有来自外部环境的风险威胁,也有企业内部的风险影响;有技术方面的安全风险,也有人员操作方面的安全风险等。具体的信息安全风险因素主要包括以下几个方面:

1.木马病毒入侵的安全风险

随着网络技术的不断发展、电网企业内外部网络环境的日益成熟和网络应用的不断增多,各种病毒也更为复杂、难解。木马等病毒的传染、渗透、传播的能力变得异常强大,其入侵方式也由以前的单一、简单变得隐蔽、复杂,尤其是Internet网络和企业网络环境为木马等病毒的传播和生存提供了可靠的环境。

2.黑客非法攻击的安全风险

近年来各种各样的黑客非法攻击异常频繁,成为困扰世界范围内众多企业的问题。由于黑客具有非常高超的计算机技术能力,他们经常利用计算机设备、信息系统、网络协议和数据库等方面的缺陷与漏洞,通过运用网络监听、密码破解、程序渗透、信息炸弹等手段侵入企业的计算机系统,盗窃企业的保密信息、重要数据、业务资料等,从而进行信息数据破坏或者占用系统的资源等。

3.信息传递过程的安全风险

由于电网企业与很多的外部企业、研究机构等有着广泛的工作联系与业务合作,因此很多日常信息、数据资料等都需要通过互联网进行传输沟通,在这个传输过程中的各类信息都会面临各种不同的安全风险。

4.权限设置的安全风险

信息系统根据不同的业务内容对不同的部门、员工开放不同的系统模块,用户根据其登陆的权限设置访问其范围内的系统内容。每个信息系统都有用户管理功能,对用户权限进行管理和控制,能够在一定程度上增加安全性,但仍然存在一定的问题。很多电网企业内都存在不同的信息系统,各系统之间都是独立存在,没有统一的用户管理,使用起来极不方便,难以保证用户账号的有效管理和使用安全。另外,电网企业的信息系统的用户权限管理功能设置过于简单,不能够灵活实现更为详细的权限控制等。

5.信息设备损坏产生的安全风险

电网企业内的各类业务信息、数据资料、工作内容等信息都是依托于相应的软硬件设备而存储、传递、应用的,当这些计算机硬件设备、信息系统、数据存储设备、用电支撑设备等由于企业内外部不同作用力的影响而出现瘫痪、停止工作等突发状况时,会带来重要信息内容的泄露、丢失等安全风险隐患。

6.人员操作失误形成的安全风险

电网企业内的专业信息技术人员、业务人员、管理人员对信息系统的操作能力存在一定的差异,一些人员的意识较为陈旧、操作能力较差,在对信息系统、网络连接、数据库等的应用过程中,由于对这些技术内容不熟悉从而产生了一些错误操作,为此产生了许多意想不到的安全风险。同时,在运用过程中存在的思想偏差、理解偏误、粗心大意等导致的误操作也会产生相应的安全风险。

7.技术更新变化带来的安全风险

当前的信息技术、系统开发、网络应用、数据库存储等都在日新月异地飞速变化,几乎每天都会发生更新换代的升级变化,没有任何的信息技术能够长时间使用。电网企业原有信息系统等设备进行升级换代或者与新的数据库内容进行新旧结合以及转换时,会因为兼容性差、不能匹配等原因造成一定的信息安全风险。

二、信息安全风险应对机制

电网企业的信息安全承担着极为重要的作用,而其面临的安全风险也是多方面的,仅从信息系统、技术设备的单一角度进行信息安全风险管理远远不够,对于其他很多潜在的风险因素难以有效应对。因此需要从信息技术技术、企业管理、风险控制等多个维度来建立相应的措施,以应对可能出现的各类风险,从而从硬性技术层面到柔性管理层次形成多维度的风险管理手段。电网企业信息安全风险应对机制框架结构如图1所示。

电网企业的信息安全风险管理应对机制是以风险控制角度为核心、信息技术角度为支持、企业管理角度为保障的双向支持、互为影响的一个环状模型,三者之间紧密配合、共同发挥风险应对的作用,具体内容如表1所示。

三、信息安全风险管理体系

电网企业信息安全风险管理体系是进行信息安全风险管理的核心内容,其他的制度建设等方面的应对机制都是为了更好地使风险管理体系发挥有效的作用,能够在不同的情况下进行信息安全风险威胁的提前预防、风险发生时的控制、事后风险影响的结果处理等。

电网企业信息安全风险管理体系框架结构如图2所示。

1.信息安全风险评估

电网企业信息安全风险评估是风险管理体系的第一部分,风险评估效果的好坏直接影响着后面风险管理环节的执行情况。通过风险评估的准确执行,能够有效识别、分析各种不同风险的种类、来源、影响程度等内容,为后续的风险预防、控制等奠定良好的基础。

信息安全风险评估主要由风险案例库、风险因素分析系统、风险定量定性转化系统、数据统计归纳库、风险分析结果传输体系等构成,通过几个模块的有机结合来科学分析评估电网企业遇到的各类信息安全风险因素。

2.风险事前预防

电网企业信息安全风险事前预防就是在风险没有发生时对各种风险进行提前预防,通过建立的预防计划方案来提前避免风险的发生,从而保证信息的安全性。这是风险管理体系希望达到的最佳效果,因此该环节非常重要。

通过对风险案例库的经常性学习,使相关部门和人员对各类风险有了总体的认识和了解;通过建立相应的风险预警装置来提前警告风险的发生,使电网企业能够提前采取措施来避免风险发生;运用信息安全风险管理制度加强员工的行为能力,避免风险产生;通过信息技术的相关配置,从信息系统、网络、数据等方面提前对一些病毒风险等进行处理。

出色地执行电网企业的信息安全风险预防工作,能够避免很多不必要的麻烦,从而有效减少后面风险控制工作内容。

3.风险威胁转移

将可能发生或者即将到来的信息安全风险有效转移到其他的地方,可使得安全风险没有在电网企业的信息系统中发生,避免了风险带来的威胁损害。风险转移同风险的事前预防一样,能够在很大程度上将信息安全风险带来的威胁降低到最小,避免其带来的各类损失。

4.风险过程控制

在对信息安全造成威胁的风险发生时,采取各种方法、手段进行风险的最小化控制,使风险本身随着控制的进行而逐渐变小甚至消失,将风险发生后造成的影响降低到最小或者控制在能够承受的合理范围内。

主要从信息系统、数据库、网络系统、计算机基础设备等技术方面进行控制;从制度、标准、规范等管理层面进行控制;从人员培训、部门协调等组织结构层面进行控制;从风险发生时制定的风险控制措施、计划进行控制;形成动态反馈的风险发生、控制效果的反馈机制,以便及时对控制方案进行调整完善。

5.风险事后处理

信息安全风险发生后,对电网企业的信息系统、网络、数据库等造成一定的影响,已经没有时间进行及时有效的风险控制,此时的工作重点在于如何采取挽救措施对风险造成的信息安全损失进行弥补,将其影响程度降低到最低。

从电网企业的信息安全风险评估开始,到信息安全风险的预防、风险发生时的控制以及风险后果的处理,对整个过程进行深入的分析、总结,发现风险管理体系存在诸多不足和缺陷,控制计划在某些方面需要进行改进完善。将本次发生的信息安全风险控制过程整理进入案例库,以便下次的风险预防借鉴。

电网企业信息安全风险管理体系中的各个流程环节都是按照一定的流程顺序、风险发生种类、大小而进行的,其具体的流程如图3所示。

6.非常态风险应急处理

在电网企业对信息安全进行风险管理的过程中,有时会出现一些案例库、控制计划之外的非常态风险,这些风险没有以往成功的风险管理经验可以借鉴,这时就需要在电网企业信息安全风险管理体系中建立相应的非常态风险应急处理模块。

电网企业信息安全非常态风险应急处理主要是当意外的紧急风险发生时,能够迅速启动应急预案组织相关人员进行风险应对控制、风险预防和控制等;若风险已经发生,此时能够及时还原数据、隔离外部风险入侵,使信息系统、网络、数据库在最快的时间内恢复正常运作。

四、总结

本文通过对电网企业信息安全重要性进行分析,提出了建立信息安全风险管理体系应对各种内外部风险威胁的必要性。在对电网企业信息安全的概念、特点等分析说明的基础上,深入研究了电网企业的信息安全所面临的各种不同的风险因素,建立了包括信息技术、企业管理、风险控制三个方面在内的电网企业信息安全风险应对机制。结合所建立的电网企业信息安全风险应对机制,本文构建了一套综合、全面的电网企业信息安全风险管理体系。该体系的构建能够从事前风险预防、事中风险控制、事后风险影响后果处理等三个环节进行全面的风险管理。

参考文献

[1]张浩,詹辉红,钱洪珍.电网企业信息安全管理体系建设中的风险管理实践[J].电力信息技术,2010,8(6):21-24.

[2]刘金霞.电力企业给予风险管理的信息安全保障体系建设[J].网络安全技术与应用,2008,(1):42-44.

[3]刘莹,顾卫东.信息安全风险评估研究综述[J].青岛大学学报(工程技术版),2008,23(2):37-43.

信息安全风险管理篇3

【关键词】网络信息;安全评价;风险控制;管理

伴随着信息化进程的不断加快,网络信息安全问题也凸显出来。对网络信息安全进行风险评价并采取相应措施进行控制是维护信息安全工作的迫切需要。目前网络信息风险评价存在一些问题,找出解决问题的对策并采取适当措施加强控制管理,确保做好网络信息的安全工作。

1网络信息安全风险评价的现状及构成要素

网络信息安全风险评价是保障信息安全控制管理工作的基础,简言之,就是利用科学的方式方法全面分析网络信息的脆弱性和潜在威胁,有针对性提出相应防御管理措施,保障网络信息的安全。到目前为止,国内还没有一套完整的对网络信息风险评价的详细标准,现有的评价体系和方法存在很多不足,有待于进一步改善。我国关于信息安全风险评价起步比较晚,处于初级探索时期。评价信息风险安全的方式有很多,主要考虑的要素有以下几个:

1.1威胁行为

不管是个人还是国家都存在着信息化风险安全隐患,信息风险主要有隐蔽性、复杂性、传染性、全球性四个特征,从风险评价角度来说,威胁行为可能导致企业或个人资产损失,甚至引起安全事故,损害利益。通过人工评价和漏洞模拟攻击等评价手段来了解网络信息安全环境,有利于对信息风险安全做好准确合理评价。

1.2脆弱性分析

脆弱性是网络信息自身具有的一项弱点,是计算机网络系统自身存在的缺陷和不足,包括管理、人员、组织等各个方面。利用脆弱性这一弱点可以对网络系统进行破坏,最直接的后果就是损害网络系统,导致风险安全问题。

1.3 资产影响评价

对网络风险安全评价主要分威胁、资产、影响三个主要阶段,其中资产是评价中的关键要素。资产评价一种是对有形资产的价值评价,另一种是对资产重要性评价,即对资产的安全性和产生影响的分析。

2网络信息风险控制存在的问题

目前我国对信息风险控制还存在些许问题,对网络信息安全管理还缺乏整体的管理策略,处于比较混乱的情况,缺乏相关立法机制,监督管理力度不够等诸多问题亟待解决。

2.1缺乏管理体系 监管力度不够

在网络信息安全管理方面,我国尚未建立专门、全面、完善的信息安全保障体系,有关信息安全管理的标准条例太少,缺少统一权威的专门组织和管理机构,信息风险评价标准亟待完善;有些执政部门责任分工不明确,出现各行其是、分头管理等问题,执行难度增大;还有些相关部门监管力度不够,有法难依,执法不严。这些情况都导致信息安全风险管理工作操作难度加大,落实不到位,达不到预期效果。

2.2资金投入不足 缺乏创新技术

在技术研究和管理人才的引进上,由于投入经费不足,导致自身技术薄弱,过度依赖国外技术。目前在信息安全风险管理上缺乏技术的创新,对信息风险控制和管理的水平不到位,质量不够高,尤其是在安全平台管理的开发与研究上技术还很落后。资金匮乏问题造成技术设备和管理人才相应缺失,从而阻碍信息安全管理工作发展。

2.3缺少信息安全管理知识 法律意识薄弱

现如今网络技术突飞猛进发展,但是相应的信息安全法、电子商务法等保护措施却没有随之发展完善,对互联网的隐私安全保护政策仍旧没有明确改善。例如网络版权、名誉权等保护法依旧不健全,没有落实到位。人们的法律维权意识也很薄弱,缺少一定的信息安全保护知识,法律意识落后。

3控制管理网络信息安全工作的对策

3.1 加强立法,完善相关管理体制

有效控制网络信息风险,做好信息安全维护工作,需要先建立相关法律法规。如“重要信息保护法”,“网络犯罪法”,“电子商务管理法”等相关法律法规。不断完善网络信息管理系统建设,有效实施监督管理工作。另外,可以成立一个组织管理机构专门对网络信息进行监察管理,推动网络仲裁等相关法律体系建设。还可以利用“国家信息安全委员会”协调推动部门间工作,实现全国上下统一协调分工协作,尽快健全具有网络应急反应能力和信息安全保护能力的保障体系。加快信息安全保护策略的研究和制定,增强预案制定能力,有利于提高整体信息安全管理工作水平。

3.2创新技术,建立健全信息安全保护平台

不断创新技术,健全国家信息安全保护基础设施和平台,通过技术手段保障网络信息的安全性。完善银行、科技、经济等领域的基础设施建设,依法进行网络信息安全风险评估。需要创新改善的技术主要有:密码控制、访问控制、完整性控制等技术。对网络信息可能出现的风险、威胁进行预警,及时处理,确保网络信息基础设施顺利运转。

3.3加大投入,增强技术和人才队伍建设

政府需要加大资金投入,增强信息技术与人才队伍建设,尤其是兼顾管理与技术的综合性人才培养。政府可以制定相关优惠政策,设立专项基金鼓励自主研发信息安全管理技术,提高产品开发水平。除此之外,还可以扩展国际合作,在标准技术及应急措施方面进行交流合作。

3.4加大宣传,提高全民信息安全保护意识

通过广播、电视、报纸等媒体加大宣传力度,提升公民网络信息安全保护意识,普及网络信息安全保护知识,尤其是企业内部人员,要加强安全管理训练,不断提升自身信息安全自律水平,多途径、多渠道地提高全民网络信息安全保护意识。

4总结

网络信息风险评价是信息安全管理中的一个非常重要的环节,是提高信息安全保护的重要措施之一。政府作为管理者,在信息安全保护中起着关键指导作用。网络信息安全风险评价是关乎民生的大事,是提高信息保护工作的基础。因此,政府必须要高度重视,根据目前风险评价措施和安全管理现状进行研究探析,做好信息安全风险评价工作,提高网络信息安全管理质量,进而促进我国网络信息化健康稳定发展。

参考文献:

[1]郝晓玲,胡克瑾;信息安全评估方法与应用研究[J];情报杂志;2003(02).

[2]黄丽民,王华.网络安全多级模糊综合评价方法[J].辽宁工程技术大学学报,2004(04).

[3]严武.风险统计与决策分析[M].北京:经济管理出版社,2006.

[4]吕诚昭.信息安全管理的有关问题研究[J].电信科学,2000(03).

信息安全风险管理篇4

电力企业信息系统是基于电脑和网络,实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。[1]信息作为一种重要的企业资源必须要对其进行全面的安全管理,企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动,即企业管理层对企业相关信息和活动安排进行合理的规划和协调。一直以来,很多人特别是对于信息行业出身的工作人员,都受环境影响而陷入“技术就是一切”的误区中,即人们把企业信息安全的全部希望都寄托在加密技术上,他们认为只要通过加密技术,任何信息安全问题都能够解决。随着网络防火墙技术的诞生,我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后,入侵检测、VPN等更多新的概念及技术纷至沓来,但无论技术怎样变化,终究还是突破不了技术统领信息安全的枷锁。实际上,对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分,它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区,其原因是多方面的,站在企业安全技术提供商的角度来说,其侧重点在于销售,因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说,只有企业的产品才是真实的、有形的,对投资方来说,这是十分重要的。因此,正是对于企业信息系统的错误认识,导致一些极端现象的产生,比如:许多企业的信息化设备使用了防火墙、网络云扫描等技术,但却没有设定出一套以安全策略为核心的合理的安全管理方案,从而造成安全技术及企业的产品生产十分混乱,不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施,却没有使用有效的实施、监督机制来执行,这让安全管理措施徒有其表,名存实亡。经过研究及调查,现阶段我国电力企业信息系统面临的风险主要有:(1)信息系统缺陷。随着信息化的不断发展,电力企业信息系统也一直在不断完善中,目前,我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险,比如来自软硬件组件的安全隐患等,这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。(2)信息系统安全管理不规范。现阶段,我国电力企业对电力信息系统的安全愈来愈重视,很多电力企业都采取了各种风险管理及预防措施,但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现,建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。(3)网络安全意识薄弱。由于电力企业的安全宣传力度不够,相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生,比如不能及时修补信息系统漏洞及补丁,相关人员不正确的操作、或通过U盘导致重要信息泄露等,处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。(4)恶意人为破坏。随着网络共享度的提高,我国的电力企业信息系统逐渐向开放型及共享型发展,这使得一些不法分子有机可乘,他们为了自己的利益,通过各种手段非法入侵电力企业的信息系统,如植入病毒、窃听、干扰阻断等,这对我国电力企业信息系统的安全构成了极大的威胁。

2电力企业信息系统安全管理研究

信息安全是一个复杂的、不断变化的动态过程,如果电力企业只根据一时需要而忽略了信息安全的动态性,只是主观的来制定一些风险管理措施,就会造成在企业信息管理中顾此失彼,进而导致企业的安全管理水平止步不前甚至有失偏颇。[2]其正确的做法是,电力企业要遵守相关信息安全标准及实践总结,结合企业自身对信息系统安全的实际需求,在进行完善的风险分析及风险管理的基础上,通过一些合理的、可行的安全风险管理措施来使电力企业信息系统一直处于安全状态。除此之外,不断更新的过程是电力企业进行信息安全管理的最基本出发点,该过程还应该是动态的、变化的,即安全措施要随着环境的变化及信息技术的提高而不断改进和完善,坚决拒绝一成不变,这可以将信息系统的风险降到最低。[3]所以说,基于风险的评估及控制角度来说,电力企业信息系统的安全风险与其他领域的风险具有相似性,与此同时,电力系统信息系统安全风险又具有其独特性。将其他领域内的风险控制过程引入电力企业的信息风险管理领域,需要同时考虑到其共性和个性。安全管理主要分为网络级、系统级和应用级3个部分:(1)网络级安全管理。电力企业信息系统的网络级安全管理主要是指解决企业信息系统与网络互联而产生的安全风险问题,其主要从网络防火墙及网络结构两个方面采取安全管理措施。网络防火墙对企业内部网络及外部网络起到安全隔离作用,它可以有效预防潜在的破坏性入侵,同时可以对即将进入企业内部网络的数据进行严格的检测,并对非法、错误的网络信息进行隔离,从而保护电力企业内部网络的安全。对于网络结构,根据电力企业信息系统的实际情况,相关技术人员结合网络结构,设计出一种介于混合型和网状型结构之间的分布式网络结构,该分布式网络系统具有较高的可靠性及容错能力,从而对已有的网络结构进行了优化。(2)系统级安全管理。在企业信息系统风险管理中,系统级安全设计与用户的具体应用具有密切的联系,具体而言,其分为操作系统与数据处理两个方面。在操作系统方面,利用有效的网络安全扫描对信息系统的安全风险进行合理评估,及时分析操作系统已有的漏洞,同时结合信息系统的漏洞自动修补技术,实现定期为相关用户消除网络中的安全隐患。在数据处理方面,企业要善于利用信息系统平台再次对数据库进行数据安全加密,从而将信息系统的数据库风险降到最低。(3)应用级安全管理。应用级安全设计具有直观、具体的特点,它是在设计电力企业的信息系统时,通过技术手段将相应的安全技术加入到信息系统中,从而有效保证系统的安全稳定运行。具体来说,电力企业信息系统的应用系统访问控制是根据访问信息性质的不同,分别进行公开信息和私密信息的传送、存储及管理,从而实现在应用层次上的访问控制;而数字签名技术可以通过对文件签发者、日期等提供准确的不可更改的历史记录,来保证系统所有文件的完整性。因此,我们得知,为了确保电力企业信息系统的安全,要采取合理、有效的管理手段来最大程度地降低风险,即相关人员不仅要从技术层面来进行安全管理的设计,还要从管理层面进行安全管理设置。[4]具体来说可以从以下方面着手:(1)定期对企业系统的技术人员进行安全教育,增强其信息系统的安全意识;(2)保持相关人员特别是管理层的人员稳定,若有人员调离,需及时更换系统密码,避免企业机密泄露;(3)设置合理的电力企业信息系统安全标准及企业制度等。

3结语

信息安全风险管理篇5

对比省级及以上级别的商业银行,中小城市银行分支机构、村镇银行普遍存在信息安全基础设施不达标、技术水平落后、运维能力薄弱等问题。针对这些问题,本文提出了建立统一的信息安全基础环境建设标准以及健全的信息安全管理体系,不断提高信息安全运维水平,有效防范区域性信息安全风险。

关键词:

信息安全;中小城市;银行分支机构;基础设施

近年来,我国中小城市商业银行不断发展壮大,银行业数据大集中趋势越来越明显,对于地级市商业银行分支机构和村镇银行等小微金融机构而言,由于其存在规模小、信息安全专业人才相对匮乏、信息安全建设资金投入较少、信息安全意识淡薄、信息安全风险防范能力不强等原因,风险日益突出。因此,中小城市银行分支机构的信息安全管理应引起高度关注。

一、中小城市银行分支机构信息安全管理现状

以笔者所在城市最近5年的情况来看,新成立村镇银行有3家,商业银行新设分支机构有4家(不包括新设营业网点),根据历年综合执法检查的情况分析,这些银行普遍存在机房基础设施建设不达标、网络综合布线不规范、应急演练记录缺失、应急预案与实际不符、信息安全运维人员匮乏、工作人员信息安全意识薄弱等问题。大部分分支机构的日常运维工作都采取外包服务的方式,其可靠性和安全性无法得到充分保障。

二、中小城市银行分支机构信息安全存在问题

(一)信息安全软硬件环境不达标。

一是机房、供电、综合布线、防雷等安全保护措施等方面达不到相关标准,设备、介质等安全管理软件欠缺。二是由于目前数据大集中趋势,地市级银行分支机构的网络和主机审计、接入认证、系统授权管理等手段缺失,应对信息安全风险事件反应较慢。三是主机病毒防护、系统安全、数据库安全、身份鉴别、数据完整性、保密性等方面缺少必要的软件,或相关安全配置工作不到位。四是大多数地市级银行分支机构缺少整体的运维监控平台,制约了应急响应处置能力。

(二)信息安全管理体系不健全。

信息安全管理工作主要由分支机构综合业务部负责。虽然人民银行加强了“两管理、两综合”检查,对新成立的银行分支机构开展了开业管理,并要求建立全面的信息安全长效管理机制,但在通过开业申请之后,制度执行力往往不够,信息安全责任很难落实到位。应急管理注重形式,缺乏与实际的结合,尽管制定了应急预案,但应急实战演练较少、涵盖范围不全,应急措施缺乏针对性、操作性和实效性。

(三)信息安全管理意识不强。

一是管理层对信息安全管理重视度不高,对信息安全的投入往往只有在机构成立时的一次性投入,忽视了信息安全管理是一个持续长久的过程。二是信息系统的运维人员把信息安全管理工作看成是技术问题,过分强调信息系统的可用性,认为信息安全管理工作就是网络安全和核心主机安全。实际上,信息安全更多应该是个管理问题,信息系统的可控性和保密性是信息安全不可或缺的部分。三是大部分员工只关注计算机的便捷性,而忽视了做好相关安全措施。

(四)信息安全运维能力薄弱。

首先,地市级银行分支机构科技运维大多采用外包方式,外包管理制度和约束不全面,使得系统运行风险及运维难度加大,村镇银行等小微金融机构大多并未配备科技人员,管理科技的人员往往身兼数职,很难对信息安全风险进行及时响应。其次,科技运维人员参加信息技术培训较少,缺少完整、系统的信息安全知识,应对信息安全风险处置能力不够。

三、相关对策和建议

(一)建立一套中小城市银行分支机构信息安全软硬件环境标准。

在不同等级的分支机构及营业网点建立相配套的软硬件设施,特别是加强机房、供配电、网络等基础设施的建设管理,在设备选型、施工安装和运行维护等过程严把关。同时,后期维护和管理也应持续遵循建设标准,做到“有章可循,有据可依”,确保IT基础设施安全稳定运行。

(二)建立健全信息安全管理体系,将责任层层落实。

一是要建立相应的信息安全领导小组,明确领导小组对信息安全管理和监督工作的领导,完善组织保障、协调机制,信息安全管理不只是科技部门的工作,应将信息安全管理纳入机构管理范畴。形成各部门协调统一、齐抓共管的信息安全工作局面。二是实施有效的信息安全防范措施,制定应急预案并与实际情况联系,应急操作要有针对性、实用性,要通过定期的演练来验证应急预案,并及时对应急预案进行评估和修订。

(三)不断提高信息安全运维水平。

一是各商业银行应定期对中小城市银行分支机构的科技人员及全体员工进行信息安全培训,提高风险防范意识,培养信息安全业务骨干,提升分支机构的应急响应和应急处置能力。二是要建立统一的信息资产监控平台,让分支机构的科技人员参与进来,及时发现问题并解决问题。三是要加强外包服务管理,签订相关的保密协议,同时在运维过程中要做好文档管理,充分考虑外包服务的连续性。

(四)监管机构要加强对当地商业银行和小微金融机构的信息安全管理指导和监督。

参考银行业监督管理委员会的《商业银行信息科技风险管理指引》和《人民银行信息系统信息安全等级保护实施指引(试行)》,加强银行分支机构开业管理和指导,定期对辖内银行机构开展信息安全检查,并纳入全年商业银行考评体系。

作者:李苏 单位:中国人民银行衡阳市中心支行

参考文献:

信息安全风险管理篇6

关键词:医院信息系统;安全风险管理;安全风险识别;安全风险控制

随着信息技术的快速发展,为优化医院业务流程和提高医院工作效率,医院信息系统(Hospital Information System,HIS)的应用深度和广度不断深入扩展,为患者提供了便利的就医服务体验,也为医院的管理决策层提供了更加准确和及时的数字支撑。与之同时,医院的业务开展和工作管理对信息系统的依赖程度越来越高,HIS的任何一个故障都可能引发多米诺骨牌效应,造成系统瘫痪从而影响正常医疗和管理工作的正常进行。因此,如何确保医院信息系统运行稳定、安全、可靠、不间断成为亟待解决的问题。研究与实践表明:在当前复杂的、分布式网络环境下,信息系统安全风险总会存在,仅仅依靠安全技术和安全产品不能解决所有的安全问题。因此,采用风险消除的方法很难实现安全性,可行的方法是将基于风险的安全理念引入到保障信息系统安全的过程中,对整个信息系统进行风险管理。

1 HIS安全风险管理

医院信息系统指利用计算机软硬件技术、网络通信技术等现代化手段,对医院及其所属各部门的人流、物流、资金流进行综合管理,对在医疗活动各阶段中产生的数据进行采集、存储、处理、提取、传输、汇总、加工,并生成新的有利用价值的各种信息,为医院整体运行提供全面的、自动化管理及各种服务的信息系统[1]。我国医院管理信息系统的发展从上世纪80年代开始起步,经历了单机单任务、局部联网信息系统和全院数字化信息系统等三个发展阶段。与之相适应,信息系统安全风险管理理论与实践也经历了从单体计算机到计算机网络再到网络化信息系统基础设施,从只重技术发展到技术发展与管理创新并重,从只关注单一安全属性到关注多种安全属性的协调发展的全面综合管理阶段。

HIS安全风险管理注重对信息系统信息安全的动态管理,可以看成是一个围绕着控制HIS安全风险的安全决策过程,主要包括风险识别和风险控制两个重要阶段,其最终目的是通过主动地、系统地、全程地对系统安全风险进行识别与监控,从而达到降低系统风险、减少风险损失,增强系统抵御风险的能力。

2 HIS安全风险识别

安全风险识别是安全风险管理的首要和重要环节,安全风险管理过程中的其它环节都必须以风险识别的结果为基础。安全风险识别的目的是辨别系统所面临的安全风险是什么,明确各安全风险因素之间的相互影响及层次关系。文献[2]将影响HIS安全风险的因素归纳为物理、数据、网络、应用和管理等安全风险;文献[3]认为HIS面临的风险源于自然和人为因素;文献[4]认为HIS功能的发挥受到人员、设备、系统、服务、网络和数据等安全风险因素制约。在现有研究的基础上,本文将HIS安全风险总结归纳为自身、人员和管理等三方面因素。

2.1自身因素 系统自身因素是影响系统功能发挥的决定性因素。信息系统的复杂性以及网络技术的快速发展,都使得HIS的安全问题难免百密一疏,系统和数据的安全问题十分严峻。自身因素主要包括软件和硬件等两方面,其中软件方面的安全风险如系统可靠性,无论信息系统功能有多么先进全面,若可靠性指标达不到要求,系统安全将得不到保障,甚至完全失效,包括服务可靠性和数据可靠性;硬件方面的安全风险又分为系统终端和网络设备安全,如医院信息网络环境逐步由封闭隔离走向了开放互联,接入互联网成为公共信息平台的重要组成部分,并为患者提供网上医疗服务,网络物理和逻辑范围的拓展加大了网络的安全隐患,使得网络管理和维护的难度增加[5]。

2.2人员因素 安全风险的人员因素包括医生、护士、医技人员以及行政管理人员等。各类操作、使用、维护人员的熟练程度、技术水平都将影响到系统的安全运行。统计显示,大多数信息系统安全风险是内部的人为因素造成的,比如操作人员的违规操作或误操作,对信息安全策略理解掌握不够,对安全操作规程执行不力,或者专业技能无法满足安全操作需求,安全配置不当造成的安全漏洞以及恶意修改数据等,管理人员对医院流程了解不全面,决策不当将造成信息系统建设与现代医院的业务流程不相适应,从而导致信息资源大量浪费的风险。

2.3管理因素 系统建成后,对系统的组织管理就成为影响系统安全运行的主要因素。例如:没有明确查找故障流程,没有明确分工,没有技术牵头人,没有总结应对各种故障的技术恢复方案,没有决定是否启动应急预案等诸多管理问题对系统安全稳定运行和故障及时处理都是现实存在的安全风险。HIS的管理可以区分为宏观和微观管理等两个层次。宏观管理重在统筹管理全局,重在建立健全各种"管理体系",发挥"体系"的作用实现对系统使用的一体化管理,主要包括建立健全组织管理体系,系统设备的整体运筹、调度和分配等组织领导活动,系统安全的整体性运筹和管理;技术管理是指在技术层面实施的管理活动,包括异地连接、面向服务架构带来的安全认证问题,系统设备的技术管理与维护,数据的完备性、准确性、时效性和安全性,软件的兼容性及拓展性等等。

3 HIS安全风险控制

安全风险控制是HIS安全风险管理过程中的最后一个环节,也是安全风险管理研究的最终目的,是安全风险管理活动的核心。HIS安全风险控制是在风险识别与评估的基础上,利用相关的技术和管理措施消减或化解安全风险,减少风险事件发生的概率和降低风险损失程度,使风险控制在可承受的适度的风险程度之内,以保证HIS的相对安全。风险识别不是漏洞扫描,相应的风险控制也不仅仅是技术改进。因此,笔者认为HIS安全风险控制应从技术、管理和人员等方面着手,建立全面的控制机制,从而确保安全目标的达成。

3.1技术控制是信息系统安全风险控制的执行力 技术是信息安全的基础,技术控制是信息安全风险控制的执行力。在人员行为很难控制的地方,强制的技术控制可以保证安全策略的实现[6]。针对HIS安全风险控制而言,①对核心的数据库服务器运用高性能防火墙保护;②对整个系统部署统一的防病毒软件,安装网络入侵检测系统加强对入侵行为的监控;③对异地连接的系统要运用数据加密技术;④对应用系统要强化口令和账号设置,提高对使用人员的身份鉴别与认证的可靠性;⑤强化对重要业务系统的操作审计;⑥重要数据进行异地备份存储。

3.2管理控制是信息系统安全风险控制的推动力 管理控制是实施风险控制而采用的正式的、基于信息的例行程序和步骤,是实现信息系统安全风险控制的推动力。对HIS安全风险进行持续性控制,①必须有严格的管理制度作保证。将有效的风险控制活动,用条文的形式固定下来,作为HIS安全管理规章制度,并依据现实情况和发展需要,制(修)订各种规章、大纲、教范、标准、细则、规定和具体实施办法,明确各类部门和操作人员的任务分工、岗位职责、操作程序、训练方法、管理要求和检验标准,使对安全风险形成经常化、制度化的控制机制;②建立完善的应急预案。医院相关部门应研究制定完备的风险事件应急预案并组织所属单位和个人进行演习演练,对可预测的风险事件做到有备无患。

3.3人员控制是信息系统安全风险控制的保证力 人员控制是信息系统安全风险控制的保证,实现对指挥信息系统安全风险的持续性控制,离不开相关人员的参与。①需要教育和培训HIS相关使用人员,增强他们保护系统资源和不断进行风险控制的意识,提高他们的相关知识和技能,使他们具备安全操作、感知风险和处理风险的基本能力和素质,使他们能胜任角色并承担相应的责任;②必须加强对所有操作人员的信息安全制度和操作规程的普及。从安全识别出发,落脚于风险控制,充分利用和发挥管理人员、技术人员及决策者的知识、经验和综合能力,科学分析HIS所面临的风险,在风险因素不确定的状态下做出合理的判断和选择,将信息系统的安全风险降低到可以控制和接受的水平,将安全事故及时扼杀在萌芽中。

参考文献:

[1]陈险峰.医疗机构医务人员三基训练指南.医院管理分册[M].南京:东南大学出版社,2005:229.

[2]黄慧勇,黄冠朋,胡名坚.医院信息系统安全风险与应对[J].医学信息,2009,22(6):821-823.

[3]冯彦如.医院网络中的安全风险与防范措施[J].山西科技,2010,25(5):49-50.

[4]孙悦生,黄彪.医院信息系统风险分析与控制[J].社区医学杂志,2008,6(20):6-7.

信息安全风险管理篇7

[关键词]档案管理;信息化;优势;安全风险;评估

doi:10.3969/j.issn.1673 - 0194.2015.18.132

[中图分类号]G270.7 [文献标识码]A [文章编号]1673-0194(2015)18-0-01

随着时代的不断发展,信息化建设成为档案管理发展的必然趋势,对现代档案管理工作的开展及档案资源的应用有着非常重大的意义。档案管理信息化是实现档案管理规范化、现代化的一大重要途径,同时也是档案资源实现共享,得到广泛应用的必然要求。

1 档案管理信息化的必要性

在当今档案管理信息量急速增加、种类繁多、信息载体多样的情况下,传统的档案管理模式已与社会信息化发展相脱节。这必然要求档案管理信息化,在满足时展需要的同时更好地促进档案管理事业的发展,充分实现档案的功能和价值。档案管理信息化发展是档案发展的必然要求,当今社会已具备了档案管理信息化发展完善的条件,使其发展成为可能。第一,具备软硬件基础。硬件基础主要体现在各单位的档案管理部门已具备打印机、复印件以及扫描仪等高新技术设备,另外,对计算机的配置也满足了档案管理部门的工作需求。第二,规范的管理机制。其标准体现在整理、统计、服务及技术等多个方面。第三,人们的信息化意识逐渐增强。随着计算机网络技术在生产生活中的广泛应用,人们的信息化意识逐渐增强,同时人们对信息化相关设备技术的操作能力也已满足日常生产生活的需要。这为档案管理信息化的发展提供了良好的社会环境和思想环境,并在一定程度证实了档案管理信息化建设的迫切需求。

2 档案管理信息化的优势

2.1 利于存储

在档案管理信息化中,档案管理不再占用巨大空间,且提高了管理效率,档案只需储存在计算机中。同时,也解决了纸质档案在存储期间的自然损害问题,提高了档案资料存储的长期性。经过高新技术进行“原文扫描“后,利于实现“原文”再现。

2.2 便于查询

在传统的档案管理模式中,查询资料需档案管理人员自大量的纸质信息中,通过肉眼查找。档案管理信息化彻底改变了这一费时、费力的查询方式,通过档案信息管理系统即可实现档案资料的即时、准确查询。这大大提高了档案资料的使用质量、精度和效率。

2.3 实现信息共享

档案管理信息化通过信息网络可促进组织、单位内部的信息共享,使档案资源的使用更加快捷,及时满足组织、单位内部对档案信息的需求。专用的信息技术,可实现档案资料的异地远程管理和使用,最大程度地发挥了档案的作用。

2.4 实现档案的分级管理

在档案管理信息化中,可通过相应的网络权限设置,规定使用者的调阅权限,实现档案资料的分级管理,这有利于资料保密。同时,系统查询记录可自动记录调阅情况,以更好地落实责任追究制。

2.5 提高工作效率

传统的档案管理工作中,档案的收集、整理、保管以及利用等都需要通过手工劳动实现,这需要花费大量的人力和物力资源。而档案管理信息化改变了传统的工作方式,档案资料经微机处理后,实现了按“件”整理归档,其整理、保管及利用等环节均可在电脑上操作。同时,工作人员的工作由以前的集中工作转变为分散工作。另外,系统中按“件”整理的资料,使得文件的插入变得简单,便于文件完善。可见,档案管理信息化在降低工作人员劳动强度的同时也提高了工作人员的工作效率。

3 档案管理信息化安全风险评估

3.1 档案管理信息化安全风险评估的必要性

档案管理信息化的优势逐渐体现出来,且其特点鲜明,与社会发展相协调,是现代化发展的一个重要趋势。信息化的管理方法,能给人们的生活带来方便,与此同时,信息的安全问题也引起了人们的注意。在对档案进行信息化管理的过程中,应确保信息的安全性,保证信息传输路径的安全,并确保数据的完整性。

3.2 档案管理信息化安全风险评估中的存在的问题

目前档案管理信息化安全风险评估存在的问题主要有以下几个方面。第一,对信息安全评估不够重视。各组织、单位的管理层对档案管理信息化安全评估的重视程度不能与档案管理信息化安全评估的重要性呈正比,远远达不到现阶段信息安全的需要。第二,评估技术人员匮乏。各组织、单位内部,对档案管理信息化安全评估的重视程度不够,导致安全评估人员的专业知识及经验严重不足,不能满足其工作需求,甚至相关部门的档案管理信息化安全评估形同虚设。第三,工作流程及技术标准有待完善。就目前档案管理信息化安全评估的发展状况而言,需要完善其工作流程及相关的技术标准。其工作流程和技术标准要根据具体环境及情况而制定,以实现流程和标准的科学性、合理性。特别是评估中的分析方法如定性分析、定量分析等,需要进一步完善。第四,评估工具有待更新。随着信息化的不断推进,其安全问题也日渐暴漏。原有的评估工具已不能满足现阶段解决相关安全问题的需要。因此,必须加大评估工具的开发和推广力度,切实满足档案管理信息化安全评估的需求。

4 结 语

档案管理信息化是档案管理随时展的必然趋势,其与传统的档案管理方式相比有着明显的优势。同时,档案管理信息化所具有的信息安全也需引起重视,要积极解决信息化安全评估中的相关问题,促进安全评估,从而在根本上促进档案管理信息化的发展。

主要参考文献

信息安全风险管理篇8

【关键词】安全质量 风险管理 标准化 信息化

【中图分类号】P624.8 【文献标识码】A 【文章编号】1672-5158(2013)04-0151-02

1、前言

随着高速铁路建设的不断发展,大量新技术、新材料、新设备的使用,使得建设施工对安全质量要求更为严格,内涵也更为丰富,它不仅包涵技术、组织、经济等方面的内容,还涉及到工程法规、行为科学及相关规范等诸多因素。由于工程项目处于不同的地点,虽然具体环境千差万别,却都存在周期长、体积大、施工人员流动分散、露天高空作业多等特点,使得安全质量现场控制不易到位。因此,在工程施工管理过程中,引入安全质量风险控制势在必行。安全风险告知、质量关键点控制、“一图四表”是开展施工现场安全质量风险控制的科学方法,是确保风险管理深入推进的有效工具。把风险控制现场标准化管理与信息化有机结合,在施工现场公布识别风险、预防风险、降低风险、控制风险的措施,实行风险告知,看板管理,同时,在管理系统中制定相应的隐患信息管理模式,化解安全质量隐患,是实现安全质量管理目标的重要环节。

2、工程概况

宁安铁路六标起讫里程为DK222+400~DK265+100,线路全长42.7公里。主要工程量有:路基12.42 km,正线桥梁27.424km/22座,涵洞1656.47横延米/61座,铺轨工程由铜陵铺轨基地向东铺至芜湖,向西铺至安庆,正线铺轨250.24单线公里,站线铺轨42.07公里,新铺道岔125组,管段共有杏花、迎江两个梁场,共预制、架设900T箱梁856孔。目前,桥梁下部工程及路基主体已基本完成。杏花梁场设计551孔,预制551孔,迎江梁场设计305孔,预制305孔,架设305孔,已全部安全顺利架设。连续梁施工、制运架梁、无碴轨道施工、营业线及临近营业线施工等风险区域全部运用安全质量风险管理与标准化管理相结合,现场施工生产稳步推进,安全质量受控,从未发生安全质量事故。全管段多次被评为中国铁建总公司、上海铁路局、宁安公司、集团公司的安全质量标准工地,多个工点被评为安全质量标准化工地。

3、安全质量风险管理现场标准化与信息化的结合运用

3.1 安全质量风险管理标准化与信息化管理结构

3.1.1 按风险控制为:安全风险告知书、质量关键点控制表、安全质量风险公示图、安全质量风险识别分析登记表、安全质量风险应对计划责任展开表、安全质量风险动态管理监控表、安全质量风险处置结果评价表。

3.1.2 安全质量标准化为:安全质量控制目标、安全质量生产管理机构和职责、安全质量生产管理制度、安全质量过程控制、安全事故报告、调查、处理(质量缺陷与事故处理)。

3.2 安全质量风险控制与标准化的结合运用

3.2.1 加强安全质量风险控制,必须以标准化管理为手段,从安全质量风险的组织论证、分析研判,到动态管控、责任落实,及时制定、完善各项规章制度,检查台账,动态掌握变化、动态化解风险,规范现场管理,重点从风险识别分析、应对计划、动态管理,处置结果的流程进行控制,及时在现场公布相应的风险标识标牌,告知所有进入施工现场的管理和作业人员风险所在及控制措施,在信息系统中进行安全质量风险应对计划责任展开表、安全质量风险动态管理监控表、安全质量风险处置结果评价表,针对风险逐一销号。

3.2.2 针对风险存在的普遍性,指挥部按照项目施工特点,以长江为界,划分一分部、二分部、杏花梁场、架梁分部、迎江梁场、铺架分部、三电迁改七个施工区域,成立“五部一室”,落实项目、部门各自安全质量责任;组织局指、项目部两级管理人员对铁道部、上海铁路局、宁安公司及集团公司下发的各项管理制度、办法进行了全面认真的学习和研讨。结合标段工程实际,制定下发了《安全生产管理办法》、《安全生产责任制》、《工程质量管理办法》、《营业线施工安全管理实施细则》、《科技创新暨“四新”推广与应用实施细则》等40个安质、工程、计财、物资、设备管理制度、办法。统一风险编号(安全风险编号为NA6-1(2\XH\YJ)FB-AQ-;质量风险编号统一为NA6-1(2\XH\YJ)FB-ZL-……),采取自下而上、上下结合的方式,层层识别风险,风险的识别分析采用专家调查法(见图1)。

3.2.3 针对不同控制层面安全质量风险的差异性,建立风险清晰、级别分明的风险点数据库和公示图,确定连续梁施工、制运架梁、无碴轨道、营业线及临近营业线施工为安全质量风险管理重点;实行分级控制,划分责任区,落实责任人,控制了重点也就是把握了关键(风险期根据工期动态调整)。风险识别控制采用风险优先指数分析法(RPN法)即:

1、小冲大桥风险系数RPN=2*5*3=30

2、桥面无碴轨道风险系数RPN=2*4*2=16

3、长枫港特大桥风险系数RPN=2*4*1=8

4、专用线文苑路立交桥(电厂专用线)风险系数RPN=3*4*2=24

5、安庆站改造风险系数RPN=4*4*2=32

6、杏花梁场风险系数RPN=4*4*3=48

7、迎江梁场风险系数RPN=4*4*3=48((见图2)

(风险系数RPN=P×S×D,可能性(P)、危害性(s)、可检测性(D),确定风险程度排序:极高度风险:RPN=31~125;高度风险:RPN=16~30;中度风险:RPN=6~15;低度风险:RPN=1~5。)

3.2.4 根据风险发展的动态性,从工点作业开始,按作业工序如桥梁工程按桩基础、承台墩身、箱梁制运架、桥面系、轨道施工等;路基工程按地基处理、路堤、路堑、过渡段、边坡防护、防排水等;对每个风险点结合人员、设备、管理、现场等实际情况,从不同层面制定措施,形成职责分明、横向到边、纵向到底的安全质量风险控制体系。按施工项目的主要内容,对安全质量的风险管理作了进一步细化,对安全质量进行风险管理;在小冲桥连续梁、桥梁高空作业处制定了安全风险告知,质量关键点控制;在杏花梁场、迎江梁场、无碴轨道施工工点及等高风险显著位置设置安全质量风险公示图、安全质量风险识别分析登记表、安全质量风险应对计划责任展开表、安全质量风险动态管理监控表、安全质量风险处置结果评价表,“一图四表”张榜公示,并对工点进行风险动态管理,进行风险监控(图3)。

3.2.5 追求风险管理本质安全。从人机工程理论来说,伤害事故的根本原因是没有做到人一机一环境系统的本质安全化。要预防事故发生,就必须消除物的危险与有害因素,控制物的不安全状态。从设备的使用过程研究,对架桥机等大型设备进行风险分析,对风险进行实时检查跟踪,掌握风险变化,对新发现的风险事件和潜在的风险因素,开展风险识别评估,制定风险应对策略,实施了架桥设备的安全风险看板管理(见图4)。

信息安全风险管理篇9

记者:为什么说信息科技风险管理对于商业银行是特别重要的一环?

徐徽:近年来,风险管理已成为商业银行经营管理活动的主旋律,信息科技风险作为银行风险的重要组成部分,受到越来越多的重视。从商业银行的角度看,这源于两方面的驱动因素。

一是内在驱动因素。目前信息技术已深入到商业银行经营管理的各个领域,几乎所有的改革发展任务都与信息技术密切相关,不管是业务的发展,还是管理的提升,都需要信息技术的配套支持。但是,信息技术固有的风险,包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等,是客观存在且难以完全规避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响,在国内外都有很多案例。因此,信息技术在促进银行业务发展、推动金融创新的同时,也使银行业务面临巨大的安全隐患,信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,应该得到而且已经得到了所有商业银行的重视。

二是外在驱动因素。近几年,中国人民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从IT治理、风险管理策略、信息安全、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求,对于商业银行加强信息安全管理、防范信息技术风险起到了重要的指导作用。同时,银监会将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对商业银行的信息科技风险防范工作提出了更髙的标准和要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提髙信息安全风险管理水平。

在上述内部要求和外部环境的双重要求和驱动下,商业银行信息科技风险管理的重要性日益凸显,信息安全管理成了各行科技工作的主题。

记者:现阶段,我国金融机构面临的信息科技风险主要来源于哪些方面?

徐徽:要严控信息科技风险,就要先弄清楚风险的来源,并根据不同来源对症下药。概括来说,信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险,这类风险往往很难主动防范,只能被动防御,通过事前建立完善的业务连续性方案和应急预案,事后及时启动应急方案和补救措施来弥补;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、系统软件缺陷、应用软件开发测试质量缺陷等,需要通过改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的风险,是由管理制度的缺失或组织架构的制衡机制不完善引起的,需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞;四是人员违规操作风险,是由人员有意或无意的违规操作引起的,需要加强员工的安全培训和操作培训,提髙人员的信息安全意识和操作水平。其中,后三类风险需要以主动防范为主要安全管理措施,要建立风险事前防范、事中控制、事后监督和纠正的机制。

记者:为保障银行业务的安全,广发行信息科技风险管控采取了哪些具体措施?

徐徽:严控风险是我行2009年工作的主旋律之一,这也是行长辛迈豪在1月全行工作会议上确立的指导思想,在信息技术方面的定位就是“加强信息技术风险管控,将信息技术风险纳入银行全面风险管理体系”。信息安全管理工作是2009年全行科技工作的重点任务,是优先投入资源、重点保障的工作目标。由此可见我行对于信息科技风险管理的重视。

现阶段,根据我行技术和管理的实际情况,信息科技风险管理采用“广度优先、逐步提升”的策略,重点在管理、技术、人员等方面提升信息安全管理水平和管理能力,建立管理与技术结合的全方位的风险管理体系,变被动应对为主动防范。具体说来,主要采取以下几方面的措施开展信息安全工作。

第一,将信息科技风险管理和信息安全纳入我行五年科技战略规划的实施目标。为了提髙信息技术整体核心竞争力,提升信息技术对业务战略发展的长期可持续支持能力,我行于2008年完成了五年科技战略规划目标和实施路径的制定,信息科技风险管理和信息安全是科技规划的重要组成部分之一。科技规划中明确了信息安全工作的中长期目标,定义了信息安全机制建设、信息安全相关系统和管理平台建设等多方面的信息安全管理实施路径,我行在未来几年内将根据科技规划的实施路径逐步开展信息安全建设,提升信息风险防控能力。

第二,完善信息科技治理,大力开展信息科技风险管理机制建设,建立信息科技风险管理制度基础。以前,国内商业银行的信息安全管理普遍存在一个误区,认为部署了髙性能的硬件设备、实现了双机热备份、做好了生产运行风险控制,就算完成了信息科技风险控制的工作。其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。我行在信息科技治理方面的措施主要包括三个方面。首先,认真学习和领会监管机构对信息技术风险控制的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息技术风险管理组织架构和机制,建立了三道防线、三个小组和三项机制。三道防线是明确了信息技术部、合规部、稽核部为主体的信息技术风险三道防线的职能分工;三个小组是成立了信息系统突发事件应急领导小组、应急处置小组和支持保障小组,做好突发事件应急处理;三项机制是信息技术风险管理保障机制、信息技术风险评估和预警机制及信息技术风险应急处置机制。

其次,建立健全信息科技规章制度。为了做好制度建设,我行信息技术部专门制定了《科技规章制度管理办法》,明确了信息科技相关制度制定、修订、废止的流程和审批制度。在管理办法的指引下,切实抓好制度建设,近两年每年制定、修订的制度都在20项以上,形成了总数达到60余个的全行科技规章制度体系。同时加强制度的宣讲、检查、整改机制。对于新建立的制度,制定一项,宣讲一项,检查一项,违章整改一项。再次,加强信息安全队伍建设,提髙员工信息安全风险防范意识和水平,通过理论和实践的结合,培养髙素质的信息安全管理团队。去年我行在总行各部门和各分行科技部设立了信息安全岗,专门负责组织、落实本单位的信息安全管理工作。为了提髙信息安全岗人员的知识水平和操作技能,我行与广州市信息安全协会共同设计了培训课程,组织总行信息安全岗人员和总行信息技术部相关岗位人员分批参加了信息安全继续教育培训,实现总行信息安全岗满足《广东省公安厅关于计算机信息系统安全保护的实施办法》中关于持证上岗的监管要求,今年将实现分行信息安全岗全部持证上岗。我们同时认识到,信息科技风险防范不仅是信息安全岗的事情,而且是全体员工的基本任务。因此正在组织编写全员信息安全手册,对于桌面电脑安全、信息保密等基础信息安全知识开展普及教育,届时将人手一册,确保全体员工了解并遵守信息安全管理要求。

第三,采取有效的信息科技风险管理的手段防范和化解信息安全风险。首先,持续开展信息科技风险检查、评估、整改这一不断循环、螺旋上升的工作。一方面认真开展内部审计和外部审计工作,通过审计发现制度、流程、操作等方面中的风险;另一方面积极组织信息技术部的风险自查,每月定期开展总分行数据中心机房现场检查,每季度开展数据库操作、用户管理等髙风险操作的专项检查。根据审计要求和自查结果,严格落实风险整改工作,将整改任务落实到每季度、每月、每周的科技工作计划中。同时逐步扩大风险检查的广度和深度,主动发现并积极防范风险,通过风险整改实现持续改进。其次,严抓四方面的生产运行安全管理工作:一是完善基础设施建设,化解机房环境、硬件设备等基础设施的风险;二是建立和完善灾难备份中心,做好业务连续性建设;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极组织开展应急演练,切实提髙风险防控水平。

记者:信息科技风险管理有时会影响效率,您如何看待这两个因素的平衡?

信息安全风险管理篇10

【 关键词 】 金融机构;信息科技;风险管理

1 引言

随着信息科技水平的不断提高,信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险,给小微金融机构的经营发展带来了挑战。当前,小微金融机构对信息科技风险管理的水平还比较低,如何有效控制与管理信息科技风险,是当前小微金融机构在信息化建设过程中必须面对的重要课题。

2 小微金融机构信息科技所面临的风险

小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中,因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下,信息科技风险事件涉及的范围广、程度深,给银行等其他金融机构带来较大的经济损失,尤其在小微金融机构中,信息科技风险带来的损失更为严重。

3 小微金融机构信息科技风险管理中存在的问题

3.1 信息科技风险管理的技术水平较低

从现状来看,我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面,首先,以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构,缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作,领导者与风险管理部门无法实现对风险管理的有效监督。另一方面,小微金融机构对信息科技安风险管理的工作仍停留在定性的层面,缺乏对信息技术风险管理专业的定量分析。与此同时,金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面,缺乏技术支持,对风险管理的预防措施有限,对风险管理的技术控制难度大,其信息系统的自我控制的能力较差。

3.2 基础设施安全建设存在隐患

从我国小微金融机构基础设施安全建设情况来看,存在较大的隐患。

一方面,机房管理滞后,在我国小微金融机构的机房中,存在着防水火及供电不达标的问题,且缺乏相应的防雷系统、门禁系统等,机房安全管理严重滞后;另一方面,网络运行安全性不高,由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中,这样就给金融机构网络的稳定性及通畅性提出了更高要求,而在小微金融机构中,存在未按监管要求配置主备通讯线路的现象,容易导致营业网点出现业务办理受阻的现象,致使信息科技风险隐患增加。

4 应急处置能力低

信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战,尤其对于小微金融机构来说,其应急保障机制更为落后。在我国小微金融机构中,一般都设有信息系统的应急预案,但对于预案却缺乏相应的应急演练,在系统发生紧急事故时,无法对问题实施预案应急措施。其次,部分小微金融机构的系统应急预案覆盖面笼统,缺乏针对性和操作性,缺乏有效的技术支持。另外,风险管理的人员的应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加。

5 加强小微金融机构信息科技风险管理对策

5.1 提升信息科技风险管控能力

小微金融机构要提高信息科技风险管理的水平,首先应该提高其信息科技风险管控的能力,因此,小微金融机构有必要建立三个机制。

第一,信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识,将信息科技风险管理工作纳入议事日程,并建立健全的信息科技风险管理机构的和岗位责任制度,充分发挥出安全检查、风险监控、审计监督的作用;加强对信息科技风险管控人员的培训与管理,并加大违规行为的处罚力度,提高其风险管理的能力。

第二,信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上,有针对性的落实风险评估制度和建立信息科技风险监测制度,将风险分类并制定相应的风险报告机制,使信息科技部门与业务部门紧密联合起来,加强沟通协调,提高对信息科技风险的评估与预防能力。

第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理,对应急预案要加以培训和演练,将应急和灾备工作从技术管理层面提升到全行工作层面,以提高应对信息系统安全事件的团队应急能力。

5.2 加强基础设施安全建设

加强金融机构基础设施安全建设,有利于提高基础设施安全水平,进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入,重点加强机房消防系统、防雷系统、UPS等的技术投入,完善机房基础设施并完善机房管理制度,保证系统设备的正常运行,加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组,负责基础设施的安全维护工作,确保基础设施安全管理的有效性。

5.3 强化金融交易监管

随着金融环境与金融交易方式的变化,信息化的金融交易也带来了一定的信息科技风险,小微金融机构应该采取措施强化金融交易监管。

一方面,要加快网络金融安全立法进程,制定金融安全政策和标准,成立对应的网络金融安全管理部门,指导网络金融的发展,并严厉打击网络金融犯罪;另一方面,要建立跨部门的现代化信息安全管理网络,实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式,建立适合于我国小微金融机构信息化建设的网络框架,以实时的监管小微金融机构业务,保证交易的安全性。

5.4 加强对从业人员的素质建设和岗位管理

相对于大型及核心金融机构,小微金融机构从业人员的专业素质及岗位配置明显落后,小微金融机构应该加大对农村金融机构人员的投入,积极引进高素质的信息科技人员,并对原有的从业人员进行定期的培训工作,提高其信息科技风险防范意识与风险管理能力。同时,金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置,以完善职责分配,落实岗位制衡。最后,完善相应的信息科技风险管理制度,加强信息科技风险审计,完善激励约束机制,激发从业人员的主观能动性,从整体上提升小微金融机构信息科技风险管理的水平。

6 结束语

在信息科技风险管理的工作中,小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理,在全面、可行的安全防护措施中,将信息科技风险降低到最低的程度,进而才能保证小微金融机构得到稳定的发展。

参考文献

[1] 陈文雄.发展银行业信息科技 风险管理意识须先行[J].中国金融,2009(07).

[2] 唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009(02).