信息安全風(fēng)險(xiǎn)管理論文范文

本站小編為你精心準(zhǔn)備了信息安全風(fēng)險(xiǎn)管理論文參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

一、信息安全風(fēng)險(xiǎn)管理的流程

立足于上述對(duì)于信息安全風(fēng)險(xiǎn)管理的界定，可以看出，就企業(yè)而言，信息安全風(fēng)險(xiǎn)管理就是企業(yè)通過(guò)對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)估，采取有效的措施控制信息安全風(fēng)險(xiǎn)管理的過(guò)程，以實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程中的安全目標(biāo)?；诖?，信息安全風(fēng)險(xiǎn)的識(shí)別、信息安全風(fēng)險(xiǎn)的評(píng)估以及信息安全風(fēng)險(xiǎn)的控制是企業(yè)信息安全風(fēng)險(xiǎn)管理的主要步驟。具體而言，企業(yè)信息安全風(fēng)險(xiǎn)管理的流程包括四個(gè)步驟。第一步：確定信息安全風(fēng)險(xiǎn)管理的對(duì)象，從企業(yè)信息安全業(yè)務(wù)的目標(biāo)和特點(diǎn)出發(fā)，確定信息安全風(fēng)險(xiǎn)管理的對(duì)象。第二步：信息安全風(fēng)險(xiǎn)評(píng)估。針對(duì)信息安全風(fēng)險(xiǎn)管理的對(duì)象，對(duì)企業(yè)信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)價(jià)。第三步：信息安全風(fēng)險(xiǎn)控制。從企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果出發(fā)，選取合理的措施，對(duì)企業(yè)信息安全存在的風(fēng)險(xiǎn)進(jìn)行控制。第四步：信息安全風(fēng)險(xiǎn)監(jiān)控與反饋。通過(guò)測(cè)試、檢查等手段，檢驗(yàn)信息安全風(fēng)險(xiǎn)控制是否達(dá)到既定目標(biāo)。如果與既定目標(biāo)出現(xiàn)偏離，采取相應(yīng)的措施進(jìn)行修正，以不斷完善信息安全風(fēng)險(xiǎn)控制手段。當(dāng)企業(yè)受保護(hù)的信息安全系統(tǒng)所面臨的外部環(huán)境發(fā)生變化之時(shí)，或者面臨新的風(fēng)險(xiǎn)之時(shí)，需要再次進(jìn)入上述四個(gè)步驟，形成新的一次循環(huán)。因此，上述四個(gè)步驟在保護(hù)企業(yè)信息安全的過(guò)程中，必須形成一個(gè)相對(duì)穩(wěn)定的循環(huán)運(yùn)動(dòng)過(guò)程，以滿足企業(yè)新的安全需求和應(yīng)對(duì)信息的信息安全風(fēng)險(xiǎn)。

二、信息安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)

1.國(guó)際標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)也是與信息安全風(fēng)險(xiǎn)管理密切相關(guān)的要素，當(dāng)前，無(wú)論是國(guó)際上還是國(guó)內(nèi)，針對(duì)信息安全風(fēng)險(xiǎn)管理，都出臺(tái)了相應(yīng)的標(biāo)準(zhǔn)，以指導(dǎo)信息安全風(fēng)險(xiǎn)管理工作。英國(guó)制定的BS7799標(biāo)準(zhǔn)可以說(shuō)是當(dāng)前世界范圍內(nèi)應(yīng)用較廣的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）在1995年第一次提出，并于2000年通過(guò)ISO的認(rèn)可，成為了國(guó)際通用的標(biāo)準(zhǔn)。從內(nèi)容維度上看，該標(biāo)準(zhǔn)分為兩個(gè)部分，第一部分為《信息安全管理實(shí)施規(guī)則》，在該規(guī)則中提供了一套系統(tǒng)的信息安全管理實(shí)施規(guī)則，為信息安全的管理人員在采取信息安全管理措施時(shí)提供了參考。第二部分為《信息安全管理體系規(guī)范》，其中詳細(xì)說(shuō)明了信息安全管理體系與信息安全控制的要求，對(duì)于廣大企業(yè)形成體系化的信息安全管理制度和組織架構(gòu)起到了很好的推動(dòng)作用。從兩個(gè)部分的關(guān)系來(lái)看，BS7799標(biāo)準(zhǔn)提出了信息安全具體的控制措施，第二部分提出了信息安全控制的要求，因此可以確定該標(biāo)準(zhǔn)的第一部分為第二部分的具體實(shí)施提供了參考和指南。除了英國(guó)的BS7799標(biāo)準(zhǔn)，國(guó)際上通用的信息安全管理標(biāo)準(zhǔn)還有ISO/IEC15408-1999和OCTAVE標(biāo)準(zhǔn)。ISO/IEC15408-1999標(biāo)準(zhǔn)是當(dāng)前國(guó)際上最通行的信息安全評(píng)估準(zhǔn)則，該標(biāo)準(zhǔn)從信息的完整性、可用性以及機(jī)密性出發(fā)，論述了信息安全維護(hù)過(guò)程中所應(yīng)遵循的標(biāo)準(zhǔn)為可控性、可審計(jì)性（責(zé)任可追查性），這對(duì)于企業(yè)進(jìn)行信息安全系統(tǒng)的開(kāi)發(fā)、生產(chǎn)、運(yùn)營(yíng)以及維護(hù)都具有很大的借鑒意義。而OCTAVE標(biāo)準(zhǔn)的重點(diǎn)為信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)提出以資產(chǎn)驅(qū)動(dòng)的評(píng)估方法來(lái)評(píng)估信息安全風(fēng)險(xiǎn)，依據(jù)組織所處的具體環(huán)境來(lái)構(gòu)造信息安全系統(tǒng)組織的風(fēng)險(xiǎn)標(biāo)準(zhǔn)框架。但OCTAVE標(biāo)準(zhǔn)中的評(píng)估標(biāo)準(zhǔn)較為抽象，且極為繁瑣，不利于相關(guān)企業(yè)在實(shí)際操作中采用。

2.國(guó)內(nèi)標(biāo)準(zhǔn)在我國(guó)國(guó)內(nèi)，信息安全風(fēng)險(xiǎn)管理所參照的標(biāo)準(zhǔn)主要是GB17859《安全保護(hù)等級(jí)劃分準(zhǔn)則》，這是我國(guó)目前計(jì)算機(jī)信息安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)的核心，是我國(guó)以等級(jí)劃分為依據(jù)保護(hù)信息安全制度建設(shè)的根基，同時(shí)也是信息安全風(fēng)險(xiǎn)評(píng)估參照的重要標(biāo)準(zhǔn)之一。在該標(biāo)準(zhǔn)中，從信息安全的等級(jí)出發(fā)，從低到高將信息安全等級(jí)分為5個(gè)等級(jí)，第一級(jí)是用戶自主保護(hù)級(jí)，第二級(jí)是系統(tǒng)審計(jì)保護(hù)級(jí)，第三級(jí)是安全標(biāo)記保護(hù)級(jí)，第四級(jí)是結(jié)構(gòu)化保護(hù)級(jí)，第五級(jí)是訪問(wèn)驗(yàn)證保護(hù)級(jí)。其中高級(jí)別的信息安全要求是低級(jí)別要求的集合，信息安全等級(jí)越高，對(duì)于計(jì)算機(jī)系統(tǒng)的安全性要求越高。針對(duì)不同的級(jí)別，信息安全保護(hù)的指標(biāo)主要有身份認(rèn)同、數(shù)據(jù)完整性、責(zé)任審計(jì)、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、可信路徑等，這些涵蓋了不同級(jí)別的信息安全標(biāo)準(zhǔn)。從該標(biāo)準(zhǔn)來(lái)看，其信息安全保護(hù)的本質(zhì)是從不同信息資產(chǎn)的等級(jí)出發(fā)，針對(duì)不同等級(jí)的信息資產(chǎn)采取不同程度的措施。對(duì)于企業(yè)來(lái)說(shuō)，可以參照此種方法，通過(guò)將信息資產(chǎn)進(jìn)行分類，對(duì)不同類別的信息采取不同的保護(hù)標(biāo)準(zhǔn)，以突出不同信息的重要程度。

作者：楊?yuàn)檴檰挝唬何錆h大學(xué)信息管理學(xué)院