企业信息系统的自我安全评估及流程.pdfVIP

企业信息系统的自我安全评估及流程 王 旭 (新疆电力科学研究院，新疆乌鲁木齐830000) 摘要：阐述了企业信息风险评估的概念和2种模式，指出了它们的优缺点，讨沦了企业自评估的原则、实施 阶段，并介绍了进行信息风险评估的常用工具，供广大信息安全管理人员在实际工作中参考。 关键词：信息安全；风险评估；流程 风险评估将导出信息系统的安全需求，因此， 0 引言 所有信息安全建设都应该以风险评估为起点。信 电力企业信息系统在支撑公司业务中发挥越 息安全建设的最终目的是服务于信息化，但其直接 目的是为了控制安全风险。 来越重要的作用，对信息系统安全的潜在威胁、薄 弱环节、防护措施等进行分析评估，实施有效的整 只有在正确、全面地了解和理解安全风险后， 改工作，对确保信息系统安全稳定运行具有重要意 才能决定如何处理安全风险，从而在信息安全的投 资、信息安全措施的选择、信息安全保障体系的建 义。开展信息安全风险评估是提高信息安全管理 水平的重要方法和措施，将信息安全风险评估工作 设等问题中做出合理的决策。 常态化，定期组织开展信息风险评估，对于发现的 2企业信息安全评估的模式 问题采取积极有效的整改措施，是公司信息安全工 作需要长期坚持的一项重要工作。 企业的信息的安全风险评估主要有2种：自评 新疆电力公司本部、乌鲁木齐电业局和吐鲁番 估和他评估。 电业局3个单位分别完成了信息安全评估工作。由 自评估是信息系统依靠自身力量(人、财、物 于评估工作需要常态化，所以，除了第三方的评估 等)，对自有的信息系统进行的风险评估活动。 外，各单位自己也需要根据自身条件开展一些自评 他评估是指企业为了全面了解自己而临的信 估工作，将自评估作为信息安全的一个抓手，强化 息安全风险而委托具有风险评估能力的专业评估 信息安全各个环节工作。 机构来进行安全评估，或上级主管部门为了检查其 颁布的政策、标准的实施情况而进行的检查，企业 1风险评估的意义和作用 无需作太多工作，但需要提供前期的资料准备工作。 信息安全风险评估是依据国家有关的政策法 这里通过企业自评估的优缺点来分析企业信 规及信息技术标准，对信息系统及由其处理、传输 息安全的2种风险评估模式。 和存储的信息的保密性、完整性和可用性等安全属 首先，由于自评估受人员、设备等资源的限制， 性进行科学、公正的综合评估的活动过程。它要评 存在以下缺点： 估信息系统的脆弱性、信息系统面I临的威胁以及脆 (1)由于评估人员为企业内部人员，可能在评 弱性被威胁源利用后所产生的实际负面影响，并根 估能力和专业技能上有所欠缺，从而导致评估工作 据安全事件发生的可能性和负面影响的程度来识 的不深入、不规范、不到位。另外由于对自身的系 别信息系统的安全风险。 统太熟悉，容易造成对风险和漏洞的疏忽； 信息安全中的风险评估是传统的风险理论和 (2)企业信息安全风险评估需要许多辅助工 方法在信息系统中的运用，