1 企業資訊保安風險管理所存在的問題
1.1 缺乏信心安全意識
許多企業管理層對資訊保安認識上缺乏重視,資訊保安防護意識淡薄。究其根本則是大部分企業認為資訊保安無法給企業帶來直接的經濟效益,而且要進行資訊保安管理就和購買保險一樣,不進行安全保護也沒有出現什麼損失。此外,進行企業資訊保安管理需要投入相應的資源和時間,在業績壓力、資源限制的影響下,業務部門並不願意將更多的精力用於保護資訊保安上面。
1.2 缺乏相應的資訊保安組織架構
許多IT企業都存在資訊保安組織架構不明確的情況,僅設立了類似兼職的職位——資訊保安主任,而且是設立在IT部門內部,這在很大程度上減小了資訊保安組織的執行力和管理能力。發生資訊保安事件後,企業通常都是臨時從業務部門或者IT部門調配人手來建立專案小組,然後依照資訊保安的新要求找出解決方案,問題解決後就會解散專案小組,所建立的流程也隨之不會繼續執行、跟進。資訊保安沒有進行定期的評審和審計,也就無法形成能夠不斷改進的資訊保安機制,這就造成了在安全計劃上做了許多重複性工作,增加了安全計劃的成本,不利於效率的提高。
1.3 不完善的資訊保安監管機制和內部控制
在企業檔案的控制管理系統中,IT資訊系統管理操作程式、管理指南都沒有歸入裡面, 也就不在其監管範圍內,這也就導致相關流程的執行情況和指南、版本控制無法形成實質監督,以至流程同實際不符,出現不嚴格執行所制定流程的情況。此外,相關企業在歷史資料的`管理、儲存上比較缺乏,業務資料記錄不全面,如若出現問題,就很難對業務資料進行調查和恢復[1]。
2 企業資訊保安風險管理措施
2.1 策劃和準備
此階段主要包含三個步驟:第一步建立安全風險管理開端。取得業務部門、管理層的大力支援,明確當前企業資訊保安風險管理具體完善情況,明確職責範圍,制定明確的風險管理計劃。第二步在風險評估範圍上必須進行確定。企業需結合風險管理實際完善情況做出評定,以此來對風險評估和管理劃分業務區域,便於執行。第三步制定風險行動方案。在制定保護策略上,必須對企業資訊風險的保護方法和具體處理手段做出相關規定,可在安全技術和風險管理上制定相應的策略。
2.2 部署和執行
企業在實施安全控制計劃過程中,所制定的合理步驟都必須切實執行,這就要求風險行動方案中的相關負責人對所計劃的活動需認真安排和執行。此外相關負責人要多與員工進行溝通,行動計劃的執行依據授權對員工進行分配,能有效減少員工在專案實施中的牴觸情緒。讓分配到行動計劃任務的員工及其管理者明確瞭解此項工作的優先順序為高,並通過實施安全培訓使其重新確定工作的優先順序,以合併他們的行動計劃活動。另外,應該建立相關的保障機制,為行動計劃的實施提供足夠的資金、裝置和其他必需的資源,確保行動計劃的順利進行。
2.3 檢查和監控
企業在對風險進行管理的過程中,需要成立專業化的監督小組,該小組可以對資訊保安風險管理進行檢查以及監控。進行該項操作的目的有兩個方面。第一方面就是可以通過監控措施和方法對企業的安全資訊進行收集,另一個方面就是採集企業安全環境發生改變的資訊,這樣便於第一時間對新風險進行預測。該小組獲取資訊後,可快速將這些資訊反饋到上一級,從而方便領導決策層瞭解最新的安全動態[2]。
3 對我國資訊保安風險管理的未來展望
對於資訊保安領域的專業人士來講,資訊保安風險管理可從下面幾個方面進行突破。
3.1 採用創新方法處理關鍵技術問題
衡量風險的一條重要途徑就是對風險進行量化。在風險管理中,非常關鍵和基礎的是風險計量和數學模型。對於評估的物件和度量的標準需要妥善解決。在對資訊系統進行安全風險評估的時候,第一步驟就是要構建風險評估物件模型,使模型能夠適應各種系統。在這個過程中,有一些比較優秀的數學工具可以提供分析和模擬。當前,在對複雜系統進行建模時,需要有構成國家關鍵資訊基礎設施的重要資訊的大規模系統的能力。
3.2 根據實際問題,挑選合適的選擇標準
在風險評估中,測度體系非常重要,它是風險評估的關鍵環節。在這個過程中,需要解決好三大問題:首先是測量問題。其次是可用性問題,最後是可操作和解釋。
3.3 根據實際,處理好評估方法和測試工具問題
在資訊系統安全風險評估中,其主要研究物件是傳統風險評估方法在資訊保安評估中的應用、評估新技術研究、針對特定應用專題的風險評估方法和風險評估方法工程應用。在進行風險評估的過程中,評估工具是必備的。目前,在國內資訊系統安全風險評估工作中,測試資料沒有實用技術支撐,這已經成為對我國資訊保安風險評估進一步發展的障礙[3]。