企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探討

　　在互聯(lián)網(wǎng)時(shí)代，信息安全尤為重要。下面是YJBYS小編為大家?guī)�來的信息安全畢業(yè)論文——企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探討，歡迎閱讀!

　　【摘 要】 伴隨信息化的不斷發(fā)展，各種各樣的電腦病毒對企業(yè)信息系統(tǒng)的攻擊頻率也逐漸升高，能做出反應(yīng)的時(shí)間越來越短，企業(yè)信息安全已經(jīng)不能被傳統(tǒng)的事后式和被動(dòng)式保證，風(fēng)險(xiǎn)管理的思想應(yīng)該被企業(yè)構(gòu)建到信息系統(tǒng)里面。企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)管理項(xiàng)目時(shí)，安全不能百分之百地得到保證，所以要根據(jù)成本的效益原則，整合企業(yè)的各種資源進(jìn)行有效利用。

　　【關(guān)鍵詞】 企業(yè)信息;信息安全;風(fēng)險(xiǎn)管理;框架探究

　　1 引言

　　人類社會(huì)在不斷發(fā)展，信息化逐漸融入人們生活。信息資源對于現(xiàn)代企業(yè)來講，是每時(shí)每刻都存在的運(yùn)轉(zhuǎn)載體，各種重要數(shù)據(jù)、企業(yè)的知識產(chǎn)權(quán)等這些都是企業(yè)的內(nèi)部信息，除這些信息外，其他相關(guān)方面的數(shù)據(jù)也被企業(yè)所利用，例如合作伙伴、客戶、員工等資料，尤其是一些服務(wù)性企業(yè)，比如網(wǎng)商、快遞公司、金融公司、通信公司、航空公司等，這些企業(yè)更需要以信息系統(tǒng)作為支撐，信息資源成為企業(yè)不可或缺的重要組成部分。

　　2 新形勢下我國信息安全面臨的問題

　　2.1 風(fēng)險(xiǎn)意識在主觀上的淡薄

　　在我國信息安全上面，思想認(rèn)識面臨高風(fēng)險(xiǎn)的形勢，大部分企業(yè)的管理高層對信息資產(chǎn)的認(rèn)識嚴(yán)重不足。或者局限在IT的安全方面，沒有合理的安全觀念引導(dǎo)企業(yè)在信息安全管理方面的工作。信息安全管理制度的完整性缺乏，規(guī)范安全風(fēng)險(xiǎn)和安全法律法規(guī)對員工的培訓(xùn)缺乏，很多信息安全事故的發(fā)生都是因?yàn)榘踩�意識的薄弱造成的。

　　2.2 缺乏信息安全管理系統(tǒng)的思想

　　大部分企業(yè)仍是將傳統(tǒng)的管理方法用在安全管理模式中，這種出現(xiàn)問題再去想彌補(bǔ)的方法是靜態(tài)的管理，不能在提前進(jìn)行信息安全風(fēng)險(xiǎn)評估上做更有效的信息系統(tǒng)管理。

　　2.3 信息安全不僅僅是技術(shù)部門的事

　　多數(shù)企業(yè)認(rèn)為信息安全的責(zé)任和義務(wù)都是IT部門的，造成信息技術(shù)部門無法和企業(yè)內(nèi)部其他部門互動(dòng)，進(jìn)而形成孤立的局面。但是，信息安全的實(shí)現(xiàn)需要各個(gè)部門的全員行動(dòng)，特別是規(guī)范標(biāo)準(zhǔn)以及規(guī)章制度的貫徹落實(shí)，更牽涉到企業(yè)的每一名員工，全員行動(dòng)的要求更是不能缺少。

　　2.4 存在重視安全技術(shù)而輕視安全管理的情況

　　現(xiàn)今為止，仍有很多企業(yè)僅僅依賴產(chǎn)品安全，認(rèn)為信息安全就是信息產(chǎn)品安全。一般企業(yè)現(xiàn)在都會(huì)采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)的信息系統(tǒng)，但是沒有把相應(yīng)的管理措施開展到位。信息安全問題應(yīng)該加強(qiáng)做好管理工作，不能單從技術(shù)方面著手。

　　2.5 現(xiàn)代管理手段與理論欠缺

　　日益龐大的現(xiàn)代化信息規(guī)模與越來越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，讓現(xiàn)有的風(fēng)險(xiǎn)管理手段和理論都不足以讓企業(yè)信息安全得到完全的滿足，企業(yè)應(yīng)該結(jié)合實(shí)際情況和需要，把國際上優(yōu)異的信息安全風(fēng)險(xiǎn)管理理論以及先進(jìn)的最佳實(shí)踐用作指導(dǎo)，以此達(dá)到信息安全的目的。

　　3 企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探究

　　企業(yè)信息安全風(fēng)險(xiǎn)管理的框架包括兩個(gè)部分，一是企業(yè)信息安全風(fēng)險(xiǎn)管理的過程，二是企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施。其中，實(shí)施是過程的保障，整合各種資源要通過實(shí)施才能達(dá)到;過程是實(shí)施的前提，對過程的清楚有利于建立企業(yè)信息安全風(fēng)險(xiǎn)管理的統(tǒng)一理解，以此逐漸實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理。企業(yè)信息安全風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)劃、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)監(jiān)督、計(jì)劃實(shí)施、風(fēng)險(xiǎn)改進(jìn)六個(gè)動(dòng)態(tài)過程。

　　信息安全風(fēng)險(xiǎn)管理是動(dòng)態(tài)、持續(xù)性過程，信息安全通過潛在的風(fēng)險(xiǎn)識別、分析，同時(shí)進(jìn)行計(jì)劃、實(shí)施、監(jiān)督、改善，然后再進(jìn)入到下一個(gè)循環(huán)里，通過持續(xù)不斷的循環(huán)活動(dòng)進(jìn)行有計(jì)劃、持續(xù)的控制，不斷改進(jìn)。

　　參照戴明的PDCA質(zhì)量管理模式，把安全項(xiàng)目實(shí)施劃分為四個(gè)階段，分別是準(zhǔn)備和策劃、執(zhí)行和部署、監(jiān)控和檢查、評價(jià)和改進(jìn)，實(shí)施階段有幾個(gè)工作步驟：(1)準(zhǔn)備和策劃工作階段，首先調(diào)研信息安全風(fēng)險(xiǎn)管理現(xiàn)狀，接著進(jìn)行風(fēng)險(xiǎn)評估，然后編制信息安全風(fēng)險(xiǎn)管理方案;(2)執(zhí)行和部署工作階段，進(jìn)行部署安排，按計(jì)劃執(zhí)行，接著進(jìn)行安全培訓(xùn);(3)監(jiān)控和檢查工作階段，做好企業(yè)安全現(xiàn)狀檢查，預(yù)測未來的變化;(4)評價(jià)和改進(jìn)工作階段，制定改善措施，響應(yīng)緊急事件。

　　4 企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施

　　在風(fēng)險(xiǎn)管理中人、過程、基礎(chǔ)結(jié)構(gòu)和實(shí)施是四大影響風(fēng)險(xiǎn)管理能力的關(guān)鍵因素，企業(yè)的信息安全風(fēng)險(xiǎn)管理能力同時(shí)也受著這四個(gè)因素制約，所以企業(yè)信息安全管理中十分重要的就是人通過各類資源和企業(yè)基礎(chǔ)結(jié)構(gòu)達(dá)到信息安全風(fēng)險(xiǎn)管理過程的實(shí)施活動(dòng)。

　　企業(yè)在開始嘗試安全風(fēng)險(xiǎn)管理實(shí)施之前，很重要的一點(diǎn)是應(yīng)該檢驗(yàn)現(xiàn)有安全風(fēng)險(xiǎn)管理的完善度。假如企業(yè)在安全風(fēng)險(xiǎn)管理上沒有規(guī)范的流程和正式的策略，就會(huì)出現(xiàn)框架的實(shí)施非常艱難。換句話說讓企業(yè)有一些正式的策略和明確的指導(dǎo)，將避免大多數(shù)員工都在工作中不知所措。假如在安全風(fēng)險(xiǎn)管理上發(fā)現(xiàn)企業(yè)相對不夠成熟，則可以采取試點(diǎn)的形式，把安全風(fēng)險(xiǎn)管理實(shí)施到單個(gè)業(yè)務(wù)單元中，直到通過試運(yùn)行在框架中顯示有效以后，再考慮將其他業(yè)務(wù)單元導(dǎo)入至整個(gè)企業(yè)框架中。

　　框架實(shí)踐需要以最優(yōu)實(shí)踐的經(jīng)驗(yàn)為基準(zhǔn)，必須有利于企業(yè)確定安全現(xiàn)狀，同時(shí)按照需要的安全方向進(jìn)行改進(jìn)，企業(yè)的安全風(fēng)險(xiǎn)管理能力通過不斷的提高，就能逐漸努力向著安全的目標(biāo)前進(jìn)。

　　5 結(jié)束語

　　進(jìn)入信息化時(shí)代，企業(yè)已經(jīng)把信息系統(tǒng)的高效、互聯(lián)、精確的特征當(dāng)作賴以生存和發(fā)展的必要條件。因此所伴隨產(chǎn)生的信息安全風(fēng)險(xiǎn)就成了企業(yè)關(guān)注的重點(diǎn)問題。在此情況之下，企業(yè)建立信息安全風(fēng)險(xiǎn)管理機(jī)制，利用科學(xué)的方法和手段控制各種風(fēng)險(xiǎn)的發(fā)生顯得尤為重要。動(dòng)態(tài)循環(huán)是企業(yè)信息安全風(fēng)險(xiǎn)管理的一個(gè)過程，在風(fēng)險(xiǎn)評估的前提下，要落實(shí)對風(fēng)險(xiǎn)控制措施。同時(shí)對過程的實(shí)施要進(jìn)行有效的控制和監(jiān)督，這就需要一個(gè)明確清晰并且具有可操作性的信息安全風(fēng)險(xiǎn)框架來指導(dǎo)。還有需要探究的工作在信息安全風(fēng)險(xiǎn)管理領(lǐng)域里，但愿本文能引來更多這一領(lǐng)域探究，從而做出保障企業(yè)信息安全的貢獻(xiàn)。

　　參考文獻(xiàn)

　　[1] 陳慧勤.企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究[J].2011，21(40)：42-46.

　　[2] 惠志斌.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)路徑[J].科技管理研究，2014，34(2)：36-55.

　　[3] 葉銘.企業(yè)動(dòng)態(tài)信息安全風(fēng)險(xiǎn)控制系統(tǒng)的研究[J].2012，08(11)：81-85.

【企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探討】相關(guān)文章：

企業(yè)信息安全治理框架論文10-09

風(fēng)險(xiǎn)管理框架下的企業(yè)戰(zhàn)略并購風(fēng)險(xiǎn)管理體系構(gòu)建10-09

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估相關(guān)探討09-30

探討醫(yī)院檔案的管理及風(fēng)險(xiǎn)預(yù)警和制約10-08

地勘單位國外風(fēng)險(xiǎn)勘查項(xiàng)目管理探討10-09

大數(shù)據(jù)信息安全風(fēng)險(xiǎn)框架及策略論文10-11

企業(yè)電子商務(wù)風(fēng)險(xiǎn)管理的探討論文10-13

我國旅游安全管理探討10-01

探討工程經(jīng)濟(jì)管理風(fēng)險(xiǎn)防范措施論文10-08