計算機信息論文信息安全風險管理初探
簡要:這篇計算機信息論文發表了信息安全風險管理�����,對于大部分企業單位來說�����,信息安全管理是企業管理的重要內容,但是目前我們國家企業管理中信息安全管理存在著很多問題�����,例如風險
這篇計算機信息論文發表了信息安全風險管理,對于大部分企業單位來說�����,信息安全管理是企業管理的重要內容�����,但是目前我們國家企業管理中信息安全管理存在著很多問題,例如風險意識不強�����,缺少相關管理人才等等�����,針對這些問題�����,論文提出了信息安全風險管理的有效策略。
摘要:對信息安全風險管理中存在的問題做了具體分析�����,并提出了一些有效策略�����。
關鍵詞:計算機信息論文,信息,安全,風險管理
引言
對于企業單位而言�����,信息資源是支撐工作正常運行的關鍵,囊括了企業的知識產權�����、重要數據�����、工作人員、信息處理設施等�����。信息安全風險管理成為企業單位的重要管理工作�����。但是目前我國企業單位的信息安全風險管理中存在著大量的問題�����,亟待解決,須采取有效的策略,才能保障企業單位的綜合發展�����。
1信息安全風險管理中存在的問題
國內的企業單位在信息安全風險管理方面都存在著一定的技術引導性�����,缺乏必要的流程控制和制度保障�����。認為信息安全的建設只要有高科技的安全技術設備,就萬無一失了�����。但事實并非如此,信息技術的發展雖然促進了信息安全風險問題的解決,但是沒有嚴格有效的管理,依舊會產生風險問題�����。所以說只依賴于科學技術并不能從根本上解決所有的信息安全風險問題�����,只有技術和相應的流程有效配合才能完成企業單位的信息安全風險管理工作[1]。
1.1信息風險意識不強
企業單位對于信息安全風險的問題和影響缺乏認識,管理層的重視程度不夠�����,通常只有在出現問題時�����,才會采取相應的策略�����,沒有持續性。目前�����,我國許多企業單位的信息安全風險管理方面的財力和人力投入太小�����,嚴重忽視了相關資源的投入�����,原有風險和新風險逐漸積累,攢下了許多的風險隱患。還有部分企業單位過于注重信息系統的運行階段,忽視了隱藏在系統開發和建設階段的風險�����,在系統的穩定性和安全性方面留下嚴重的隱患�����。而且,企業單位對于信息安全風險的認識嚴重不足�����,沒有切實意識到業務和客戶數據的集中也會引發風險的集中�����,缺乏對于控制風險和分散風險的慎重考慮�����。
1.2缺少風險管理人才
信息安全風險管理不僅要依靠技術,更依靠于人才�����。信息安全風險管理工作的最終效果根本上還是取決于人才�����。信息安全風險管理人才不僅要具備風險管理才能�����,還要具有良好的綜合素質和專業素養。我國企業單位嚴重缺乏這樣的風險管理專業人才�����,大多數管理人才由于缺乏信息技術專業知識�����,對于信息資產和脆弱性的識別不能做出準確的判斷�����,無法對信息安全風險狀況進行正確判斷,從而對企業單位的信息安全風險管理造成一定的影響�����。
1.3缺乏風險統一管理
我國大多企業單位都十分重視風險事項的具體管理�����,卻嚴重忽視了風險的整體控制和管理�����。在實施信息安全風險管理的過程中,將主要精力和時間投入到了具體事項的風險管理中�����,卻忽略了整體把握�����,沒有切實關注信息安全風險流程管理和技術之間的密切聯系。所以,最終導致信息安全風險管理的資源分配嚴重不均勻�����,缺乏統一的風險管理�����,從而對企業單位的整體信息安全風險管理的效果造成了嚴重影響�����。
1.4忽視信息風險預防和應急
現階段,我國的大部分企業單位的信息安全風險管理基本上是憑借自身的長期經驗加以管理,一般是事后風險管理。采取這種就事論事的管理方式�����,已經無法適應我國企業單位對信息化技術的依賴需求了�����。對于信息安全風險的預防和應急管理形同虛設�����,基本上停留在已有的規章制度檢查階段,風險評估工作也始終停滯在定性評估上,嚴重缺乏對風險的定量分析,這樣的風險預防和應急策略,將會嚴重影響企業單位的發展。
2信息安全風險管理的有效策略
2.1樹立信息安全風險觀念
樹立信息安全風險觀念主要從四方面進行�����,即優化配置�����,積極防御,全面統籌�����,強化內控�����。我國大多數企業單位的相關配置還不夠完善�����、優化�����,因此首先必須要優化配置,做到標準化和規范化,消除其中存在的隱患�����。而且�����,要積極建立有效的防御機制�����,控制未發生風險事件和已發生風險事件帶來的影響。同時�����,企業單位還要強化內部控制�����,明確系統開發人員和風險管理人員的職責,保證內部控制工作的有效開展�����。另�����,信息安全風險管理工作的開展�����,須自上而下,建立領導重視�����、部門協同參與的工作機制�����,發揮優勢�����,積極配合,將信息安全風險管理工作貫徹落實�����。
2.2建立健全的信息安全風險控制機制
在信息安全風險管理工作中�����,風險控制機制起著基礎性的根本作用,只有具備了良好的風險控制機制,才能使整個管理系統與自適應系統更加接近,從而在外部條件不發生變化的同時�����,能夠迅速地做出反應�����,進行策略調整�����,實現優化目標�����,保持良好的管理水平,保證信息安全風險管理作用的順利開展�����。風險控制主要包括六個方面�����,即基礎工作�����、責任機制�����、預防機制�����、通報機制、應急機制、團隊建設[2]�����。
2.3建立完善的信息安全風險管理體系
完善的信息安全風險管理體系�����,主要包括六個部分�����,有風險管理制度體系、標準規范體系、風險管理組織體系、風險管理策略體系、技術支持體系、應急處置體系�����。風險管理制度體系是有效規范企業單位信息系統開發運行等過程中的組織和個人行為的基礎�����,應切實根據自身情況�����,針對風險管理控制中的薄弱環節�����,制定相應的管理方式方法和規章制度�����,從而對關鍵過程進行有效監管。風險管理組織體系是指企業單位設置的專門的信息安全風險管理組織機構�����,是將管理部門細化到具體崗位�����,保證信息安全風險管理工作順利開展的關鍵[3]�����。技術支持體系�����,是運用網絡安全控制、系統安全控制�����、系統加密控制等高科技技術手段�����,建立不受外界侵害的保障系統,從而保證企業信息安全�����。除此之外�����,還必須建立健全的應急處置體系�����,這是企業單位信息安全風險管理體系中最關鍵的部分,只有全面建立完善的信息安全風險管理體系�����,才能保證企業單位的信息安全�����。信息安全風險管理工作是一項長期的工作�����,所涉及的范圍十分廣泛,其中包括員工和信息科技的每一個環節�����。信息安全風險管理體系只有在全員維護下�����,才能將安全體系落實到信息科技建設的具體環節,帶來真正意義上的信息安全。
參考文獻
[1]吳世忠.信息安全風險管理的動態與趨勢[J].計算機安全,2007(5):1-7
[2]包同崗,趙捷琴,祁之強.基于突變理論電網企業信息安全風險管理模型研究[J].山西電力,2014(4):45-49
[3]寇書華,何國偉.計算機信息安全管理探究[J].計算機安全,2013(3):74-76
作者:馮莉穎 單位:海南科技職業學院
推薦期刊:《計算機與網絡》(半月刊)創刊于1975年,由信息產業部電子無線通信專業情報網主辦�����。本刊辦刊宗旨為認真貫徹執行國家對科技期刊制定的有關政策和法規�����,堅持本刊的電子技術類科技期刊屬性�����,充分發揮本刊科技信息載體的作用,堅持立足IT業,以信息網絡為中心,計算機與通信相結合
