企业信息安全风险分析及其控制.docVIP

企业信息安全风险分析及其控制 　　【摘 要】当今社会，在经营管理中采用现代通信技术实现信息的高效、准确、互联互通的流通，已经是大多数企业的选择，信息化已经逐步向企业渗透。目前而言，企业的信息安全形势严峻，亟需建立自己的信息安全风险管理机制，以应对企业信息化带来的一系列问题。本文从分析企业信息安全风险评估现状出发，探讨如何加强企业信息安全控制。 　　【关键词】企业； 信息安全； 风险评估； 风险控制 　　引言： 　　计算机和网络通信相结合的信息技术，是促进当代社会信息化发展的主要力量，为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术，从而使经营与管理更为科学，工作效率更高，获得的经济效益也越多。然而现代信息技术是一把双刃剑，信息化的程度越高，由它带来的风险也越大。当前，企业的信息安全风险评估工作存在着一些问题，这些问题对企业的发展造成很多不利的影响。 　　一、企业信息安全风险概述 　　对企业来说，信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露，那么企业将面临着或大或小的经济损失，更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中，它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障，那么信息的安全性就高；如果其中的某个特性被破坏，那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。 　　信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1]，这些风险给企业的信息安全管理工作带来了更多的不确定因素，加深了工作难度。 　　二、企业信息安全风险评估的现状与问题 　　当前，我国企业的信息安全风险评估工作存在着许多问题，给企业的日常经营与管理带来了许多不利的影响。 　　首先，企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端，一种是认为只要加大信息建设的投入，信息就存在绝对安全的可能；另一种是忽视信息安全建设，信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够，因而他们在保护信息安全方面几乎是无作为。 　　其次，企业在具体的信息安全风险评估工作中，表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中，不论是在心理还是在行为上都过分依赖安全技术，甚至认为只要安全技术过硬，信息安全就一定能够得到保证，为此，企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上，出现了管理措施不到位，员工在信息保密上不够严肃等问题，造成信息安全技术做无用功。 　　此外，企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息，如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题，造成各部门的工作不配合、不协调。信息技术部门被孤立，信息安全的风险评估工作也就不能得到及时有效的完成。 　　最后，我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展，结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段，同时也要吸收国际上的先进信息安全风险评估技术，保障自身的信息安全。 　　三、企业信息安全风险的控制 　　企业信息安全问题对企业来说是不应该被忽视的部分，企业应该在经营与管理的每个环节做好信息安全风险的控制工作，使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。 　　（一）风险分析 　　在进行信息安全风险控制之前，先对风险进行分析可以使风险控制工作更加具有针对性，能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中，要明确以下几点：首先是信息安全风险控制工作中需要保护哪些信息，这些信息具有什么样的价值；信息资产面临着哪些潜在的威胁，导致这些威胁产生的根源是什么，威胁发生的几率有多大；信息资产中是否具有漏洞，这些漏洞是否会被人威胁利用；信息资产发生威胁之后，企业会面临多大的损失；企业该采取什么样的措施来应对风险带来的损失，等等。 　　（二）管理控制 　　企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先，企业应该建立信息安全组织机构，吸收组织成员，协调企业内部的各项资源，制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次，企业要培养素质高、责任心强、原则性强，能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量