摘要:對資訊保安風險管理中存在的問題做了具體分析,並提出了一些有效策略。
關鍵詞:資訊;安全;風險管理
引言
對於企業單位而言,資訊資源是支撐工作正常執行的關鍵,囊括了企業的智慧財產權、重要資料、工作人員、資訊處理設施等。資訊保安風險管理成為企業單位的重要管理工作。但是目前我國企業單位的資訊保安風險管理中存在著大量的問題,亟待解決,須採取有效的策略,才能保障企業單位的綜合發展。
1資訊保安風險管理中存在的問題
國內的企業單位在資訊保安風險管理方面都存在著一定的技術引導性,缺乏必要的流程控制和制度保障。認為資訊保安的建設只要有高科技的安全技術裝置,就萬無一失了。但事實並非如此,資訊科技的發展雖然促進了資訊保安風險問題的解決,但是沒有嚴格有效的管理,依舊會產生風險問題。所以說只依賴於科學技術並不能從根本上解決所有的資訊保安風險問題,只有技術和相應的流程有效配合才能完成企業單位的資訊保安風險管理工作[1]。
1.1資訊風險意識不強
企業單位對於資訊保安風險的問題和影響缺乏認識,管理層的重視程度不夠,通常只有在出現問題時,才會採取相應的策略,沒有持續性。目前,我國許多企業單位的資訊保安風險管理方面的財力和人力投入太小,嚴重忽視了相關資源的投入,原有風險和新風險逐漸積累,攢下了許多的風險隱患。還有部分企業單位過於注重資訊系統的執行階段,忽視了隱藏在系統開發和建設階段的風險,在系統的穩定性和安全性方面留下嚴重的隱患。而且,企業單位對於資訊保安風險的認識嚴重不足,沒有切實意識到業務和客戶資料的集中也會引發風險的集中,缺乏對於控制風險和分散風險的慎重考慮。
1.2缺少風險管理人才
資訊保安風險管理不僅要依靠技術,更依靠於人才。資訊保安風險管理工作的最終效果根本上還是取決於人才。資訊保安風險管理人才不僅要具備風險管理才能,還要具有良好的綜合素質和專業素養。我國企業單位嚴重缺乏這樣的風險管理專業人才,大多數管理人才由於缺乏資訊科技專業知識,對於資訊資產和脆弱性的識別不能做出準確的判斷,無法對資訊保安風險狀況進行正確判斷,從而對企業單位的資訊保安風險管理造成一定的影響。
1.3缺乏風險統一管理
我國大多企業單位都十分重視風險事項的具體管理,卻嚴重忽視了風險的整體控制和管理。在實施資訊保安風險管理的過程中,將主要精力和時間投入到了具體事項的'風險管理中,卻忽略了整體把握,沒有切實關注資訊保安風險流程管理和技術之間的密切聯絡。所以,最終導致資訊保安風險管理的資源分配嚴重不均勻,缺乏統一的風險管理,從而對企業單位的整體資訊保安風險管理的效果造成了嚴重影響。
1.4忽視資訊風險預防和應急
現階段,我國的大部分企業單位的資訊保安風險管理基本上是憑藉自身的長期經驗加以管理,一般是事後風險管理。採取這種就事論事的管理方式,已經無法適應我國企業單位對資訊化技術的依賴需求了。對於資訊保安風險的預防和應急管理形同虛設,基本上停留在已有的規章制度檢查階段,風險評估工作也始終停滯在定性評估上,嚴重缺乏對風險的定量分析,這樣的風險預防和應急策略,將會嚴重影響企業單位的發展。
2資訊保安風險管理的有效策略
2.1樹立資訊保安風險觀念
樹立資訊保安風險觀念主要從四方面進行,即優化配置,積極防禦,全面統籌,強化內控。我國大多數企業單位的相關配置還不夠完善、優化,因此首先必須要優化配置,做到標準化和規範化,消除其中存在的隱患。而且,要積極建立有效的防禦機制,控制未發生風險事件和已發生風險事件帶來的影響。同時,企業單位還要強化內部控制,明確系統開發人員和風險管理人員的職責,保證內部控制工作的有效開展。另,資訊保安風險管理工作的開展,須自上而下,建立領導重視、部門協同參與的工作機制,發揮優勢,積極配合,將資訊保安風險管理工作貫徹落實。
2.2建立健全的資訊保安風險控制機制
在資訊保安風險管理工作中,風險控制機制起著基礎性的根本作用,只有具備了良好的風險控制機制,才能使整個管理系統與自適應系統更加接近,從而在外部條件不發生變化的同時,能夠迅速地做出反應,進行策略調整,實現優化目標,保持良好的管理水平,保證資訊保安風險管理作用的順利開展。風險控制主要包括六個方面,即基礎工作、責任機制、預防機制、通報機制、應急機制、團隊建設[2]。
2.3建立完善的資訊保安風險管理體系
完善的資訊保安風險管理體系,主要包括六個部分,有風險管理制度體系、標準規範體系、風險管理組織體系、風險管理策略體系、技術支援體系、應急處置體系。風險管理制度體系是有效規範企業單位資訊系統開發執行等過程中的組織和個人行為的基礎,應切實根據自身情況,針對風險管理控制中的薄弱環節,制定相應的管理方式方法和規章制度,從而對關鍵過程進行有效監管。風險管理組織體系是指企業單位設定的專門的資訊保安風險管理組織機構,是將管理部門細化到具體崗位,保證資訊保安風險管理工作順利開展的關鍵[3]。技術支援體系,是運用網路安全控制、系統安全控制、系統加密控制等高科技技術手段,建立不受外界侵害的保障系統,從而保證企業資訊保安。除此之外,還必須建立健全的應急處置體系,這是企業單位資訊保安風險管理體系中最關鍵的部分,只有全面建立完善的資訊保安風險管理體系,才能保證企業單位的資訊保安。資訊保安風險管理工作是一項長期的工作,所涉及的範圍十分廣泛,其中包括員工和資訊科技的每一個環節。資訊保安風險管理體系只有在全員維護下,才能將安全體系落實到資訊科技建設的具體環節,帶來真正意義上的資訊保安。
參考文獻
[1]吳世忠.資訊保安風險管理的動態與趨勢[J].電腦保安,2007(5):1-7
[2]包同崗,趙捷琴,祁之強.基於突變理論電網企業資訊保安風險管理模型研究[J].山西電力,2014(4):45-49
[3]寇書華,何國偉.計算機資訊保安管理探究[J].電腦保安,2013(3):74-76