淺談安全生產(chǎn)之信息風險管理體系的構(gòu)建論文

　　隨著經(jīng)濟全球化的不斷發(fā)展，特別是企業(yè)對信息化依賴程度的增強，信息風險已超出傳統(tǒng)的技術(shù)問題范疇，已屬于企業(yè)業(yè)務(wù)風險的一個部分，本文主要論述納入安全生產(chǎn)風險管理體系中的信息風險管理體系的構(gòu)建。

　　1影響信息風險的因素

　　影響信息風險的因素主要包括外部環(huán)境、內(nèi)部環(huán)境、風險管理能力、信息相關(guān)能力等。

　　外部環(huán)境主要包括市場和經(jīng)濟因素、同行及競爭、地理環(huán)境、法規(guī)遵從環(huán)境、技術(shù)狀態(tài)和創(chuàng)新、威脅領(lǐng)域，市場和經(jīng)濟因素是企業(yè)安全生產(chǎn)的行業(yè)因素。比如，金融業(yè)的運營與制造業(yè)的運營對信息化有不同的需求以及不同的IT能力。

　　內(nèi)部環(huán)境主要包括企業(yè)目標、信息化對企業(yè)業(yè)務(wù)的戰(zhàn)略重要性、信息架構(gòu)的復雜程度、企業(yè)的復雜性、業(yè)務(wù)變更的深度、業(yè)務(wù)變更管理能力、風險管理哲學和價值觀、安全生產(chǎn)模式、經(jīng)濟能力以及信息化在企業(yè)戰(zhàn)略中的優(yōu)先級等。安全生產(chǎn)模式關(guān)系到企業(yè)獨立運營的程度或與它的客戶/供應(yīng)商相關(guān)聯(lián)、集中化/非集中化程度，企業(yè)文化決定了企業(yè)需要變更以能夠有效進行風險管理，經(jīng)濟能力主要表示企業(yè)當優(yōu)化風險時，對支持、強化和維護IT環(huán)境的財務(wù)能力。

　　風險管理能力是衡量企業(yè)實施關(guān)鍵風險管理流程和相關(guān)動力水平的一個指標�？梢酝ㄟ^運用風險記錄卡來度量。動力績效指標越好，則風險管理能力水平越高。對于企業(yè)風險事件的頻率和影響，風險管理能力是一個非常重要的元素，因為它負責管理風險決策，以及在企業(yè)內(nèi)建立和實施有效控制，它主要包括治理風險和管理風險兩個方面。

　　信息相關(guān)能力與IT流程以及所有其他動力的能力相關(guān)。對于不同動力的一個高成熟度等于高的IT能力，它能夠正面影響:降低事件的頻率，如實施了好的軟件開發(fā)流程將交付高質(zhì)量和穩(wěn)定的軟件或?qū)嵤┝艘粋�好的安全度量將減少安全相關(guān)事故的數(shù)量;減輕事件發(fā)生時對業(yè)務(wù)的影響，如針對災難的發(fā)生，具有一個良好的業(yè)務(wù)持續(xù)性計劃IT災難恢復計劃。IT流程包括評價、指導和監(jiān)管、與業(yè)務(wù)一致、計劃和組織、建立、獲取和實施、交付、服務(wù)和支持以及監(jiān)管、評價和評估等五個管理職能域中的37個流程實踐。風險場景庫類別主要包括項目組合建立和維護、項目/項目群生命周期管理 (項目/項目群的啟動、開發(fā)和獲取、交付、質(zhì)量、中比)、信息化投資決策制定、IT經(jīng)驗和技能、員工運營 (人力錯誤和惡意企圖)、信息(數(shù)據(jù)破壞、損壞、泄露和訪問)、企業(yè)架構(gòu)(架構(gòu)版本和設(shè)計)、基礎(chǔ)設(shè)施 (硬件、操作系統(tǒng)和控制技術(shù))(選擇、實施、運行和退運)、軟件、信息系統(tǒng)的業(yè)務(wù)所有權(quán)、供應(yīng)商選擇/績效、合同遵從、服務(wù)中比或轉(zhuǎn)移、法規(guī)遵從、地緣政治層面、基礎(chǔ)設(shè)施被盜或破壞、惡意軟件、邏輯攻擊、環(huán)境、大自然行為、創(chuàng)新等。

　　2信息業(yè)務(wù)風險庫

　　在信息化的服務(wù)、交付和支持階段，建立起的信息業(yè)務(wù)風險庫主要包括以下方面:事件和事故管理業(yè)務(wù)節(jié)點包括提交事件、事件記錄分類、識別范圍、地市識別事件范圍、一線處理、解決事件與否、事件解決情況、現(xiàn)場處理、處理情況、審批情況、后臺處理、是否解決事件、申請掛起、掛起事件、解掛事件、是否發(fā)起其他流程、關(guān)閉事件、初步確認事件影響范圍、統(tǒng)一解釋口徑、確認是否向省公司升級、向省公司服務(wù)臺通報、標不大范圍事件并向用戶解釋等。主要存在的風險包括IT系統(tǒng)停工期的增加、客戶滿意度的降低、客戶不知道事件報告的程序、復發(fā)問題沒有解決、不是所有的事件都被跟蹤、事件優(yōu)先級未反映業(yè)務(wù)需求、事件未及時解決、服務(wù)臺的運營操作沒有支持業(yè)務(wù)活動、客戶對所提供的服務(wù)不滿意、事件未及時解決、客戶中斷服務(wù)時間增加等。

　　管理用戶請求業(yè)務(wù)節(jié)點主要包括提交咨詢或請求、嘗式解答咨詢、解決咨詢或請求、咨詢支持升級或轉(zhuǎn)派任務(wù)、用戶評價、升級、給出咨詢答案、轉(zhuǎn)派事件、判斷用戶反饋情況并處理結(jié)果。存在的風險主要包括對硬件和軟件的未授權(quán)變更、訪問管理忽略業(yè)務(wù)需求并且損害業(yè)務(wù)關(guān)鍵系統(tǒng)的安全、未對所有系統(tǒng)規(guī)定安全需求、違反職責分離和危害系統(tǒng)信息等。

　　管理配置項業(yè)務(wù)節(jié)點主要包括操作系統(tǒng)管理、硬件信息管理、中間件信息管理、數(shù)據(jù)庫信息管理、軟件信息管理、操作系統(tǒng)管理。存在的風險主要是配置項信息維護職責不明確，導致信息更新不及時。

　　管理服務(wù)級別SLA業(yè)務(wù)節(jié)點主要包括編制服務(wù)目錄、提出業(yè)務(wù)需求、制定服務(wù)級別策略、編制服務(wù)級別協(xié)議、簽訂服務(wù)級別協(xié)議、發(fā)布服務(wù)目錄、召開年度評審會議、制定年度服務(wù)改進計劃。存在的風險包括用戶和服務(wù)提供者不理解各自的職責、不恰當?shù)膬?yōu)先權(quán)授予不同的服務(wù)提供、不恰當交付的服務(wù)、為提供的服務(wù)授予不恰當?shù)膬?yōu)先權(quán)、對提供的IT服務(wù)有不同的解釋和誤解、由于期望和實際能力的差距導致糾紛、低效率和昂貴的運行服務(wù)、無法滿足客戶的服務(wù)需求;服務(wù)交付資源的無效和低效使用;無法識別和響應(yīng)關(guān)鍵服務(wù)事件、由于過時的合同導致不能滿足商業(yè)和法律需求、由于服務(wù)偏差導致經(jīng)濟損失和事件等。

　　管理問題業(yè)務(wù)節(jié)點主要包括問題記錄、判斷是否問題、判斷提審方案是否能過變更實現(xiàn)、實施方案、啟動變更管理流程、確認記錄解決結(jié)果、啟動知識管理流程、問題跟蹤與升級等。存在的風險包括IT服務(wù)的中斷、問題重復發(fā)生的可能性增加、問題和事件沒有及時解決、對主動的問題和事件管理，缺乏問題和事件及解決方案的審計跟蹤、事件重復發(fā)生、問題和事件重復發(fā)生、未恰當解決的關(guān)鍵事件、業(yè)務(wù)中斷、服務(wù)質(zhì)量不足等。

　　3控制措施

　　在事件和事故管理業(yè)務(wù)采取的控制措施包括堅持對客戶進行滿意度回訪，并針對用戶提出的問題及其自身IT服務(wù)的不足，進行整改，努力提升服務(wù)質(zhì)量;及時跟進事件處理情況并向用戶進行反饋;對于復發(fā)事件需要進行分析、找出根源，啟動問題管理流程，從而減少事件復發(fā)的幾率;加強對服務(wù)臺人員的事件分類標準、優(yōu)先級，按標準化準確分類;服務(wù)臺經(jīng)理加強對事件單的處理進程的全程跟蹤，對當前處理人應(yīng)實時跟蹤進展情況;加強運維人員的溝通能力和技術(shù)能力;事件經(jīng)理監(jiān)控所有事件并協(xié)調(diào)處理未解決事件。

　　在管理用戶請求中采取的控制措施包括嚴格按照規(guī)章制度進行，禁止進行未授權(quán)的變更;加強對業(yè)務(wù)需求的分析以及業(yè)務(wù)關(guān)鍵系統(tǒng)的安全，審核請求的合規(guī)性;按照各系統(tǒng)安全需求，拒絕違反系統(tǒng)安全需求的請求;加強各運維人員的職責分離意識，堅決杜絕違反職責分離;加強對請求的審查力度，杜絕一切危害系統(tǒng)的請求。

　　在管理配置制頂中采用的控制措施主要包括相關(guān)的信息維護需要明確到具體崗位;嚴格把關(guān)機房進出制度、工作票制度;完善業(yè)務(wù)和技術(shù)服務(wù)目錄，明確配置項負責人，加強審查力度。

　　管理服務(wù)級別SLA采取的控制措施主要包括服務(wù)目錄必須包括服務(wù)需求、服務(wù)定義、SLA. OLA、資金來源;建立一個包括開發(fā)、審核和調(diào)整服務(wù)目錄或服務(wù)組合的流程;建立一個確保服務(wù)目錄或組合是有用的、完整的和及時更新的管理流程;定期審查服務(wù)目錄和服務(wù)組合;建立一個檢查程序，使SLA的目標和績效測量與業(yè)務(wù)目標和IT政策一致;SLA必須包括例外事項、商業(yè)協(xié)議和OLA; SLA的改進和調(diào)整流程是基于用戶和業(yè)務(wù)的需求的績效反饋和變更;SLA形式和內(nèi)容必須經(jīng)所有利益相關(guān)方同意;SLA需正式批準和適當簽署。

　　管理問題的控制措施包括建立被適當工具支持的能滿足需要的流程，以識別和分類問題;建立和維護用于問題分類和優(yōu)先權(quán)的已建立的標準，確保這種分類與解決和容忍問題的服務(wù)承諾或組織單元職責相一致;開發(fā)用來生成問題管理報告的報告工具;問題報告必須包括以下內(nèi)容:分析根本原因的問題文檔、問題所有者和解決責任的識別、問題狀態(tài)信息。問題解決后，需經(jīng)利益相關(guān)方確認，問題只有被利益相關(guān)方確認解決后才被關(guān)閉。

　　4結(jié)語

　　綜上所述，本文先分析了當前影響企業(yè)信息風險的因素，進而論述了我企業(yè)根據(jù)現(xiàn)實情況所建立的信息業(yè)務(wù)風險庫和控制措施，當前很多企業(yè)已經(jīng)認識到了信息風險的重要性，也采取了一些具體的針對措施，但是很多措施在使用中仍然存在一些不可預測的問題，這些還需要更多的人努力去解決。

【淺談安全生產(chǎn)之信息風險管理體系的構(gòu)建論文】相關(guān)文章：

信息安全風險評估探究的論文10-09

數(shù)據(jù)信息安全體系構(gòu)建論文10-09

淺談小型企業(yè)生產(chǎn)管理信息系統(tǒng)構(gòu)建的優(yōu)秀論文10-09

個人信息安全風險與防范論文10-09

怎樣構(gòu)建企業(yè)技術(shù)管理體系論文10-09

關(guān)于信息安全風險評估項目管理的論文10-09

高職信息安全保障體系構(gòu)建與運用論文10-09

淺談新技術(shù)新業(yè)務(wù)信息安全論文10-09

企業(yè)招投標風險管理體系研究論文10-09

構(gòu)建企業(yè)價格管理體系的探討論文10-09