信息安全风险管理在报业集团管理中应用.docVIP

信息安全风险管理在报业集团管理中的应用 　　摘要:该文概述了信息安全风险管理的内容和步骤,结合报业集团管理的一些实际情况,论述了信息安全管理在报业集团管理中的应用。 　　关键词:信息安全风险管理;风险识别;确立目标;风险评估;风险控制和缓解;监控与审查 　　中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2009)15-4070-02 　　 　　The Application of ISRM in Newspaper Group 　　CHEN hua 　　(Quanzhou Evening Paper,Quanzhou 362000,China) 　　Abstract:The article mainly introduces Information Security Risk Management,discuss the application of it in Newspaper Group, combined with the actuality in it. 　　Key words: Information security risk management; risk identify; establishment object; risk assessment; risk control; monitor and examination 　　 　　1 引言 　　 　　目前,全国大部分报社都以采编系统为中心,纷纷建设起财务管理系统、报纸发行管理系统、报纸广告管理系统、印务生产管理系统、资产管理系统、信息内容管理系统等,组建了一个立体的、全方位、功能强大的计算机网络,全面提升了报业的核心竞争力。 但从国内报业信息技术发展的角度来看,我们的信息化应用应进入高端应用阶段,即全面信息化阶段。而随着报业信息化的不断发展, 信息的安全与风险管理问题已经成为报业集团普遍关注的问题。如何进行信息化的风险管理,保障数据和空间的安全,以安全保发展,在发展中求安全成为提高报业集团信息化管理的关键因素之一。 　　风险管理是信息安全保障工作的一个主流范式,信息安全防范工作越来越基于风险管理。风险管理即人们通过对这些不确定性发生的可能性,以及实际发生以后所产生的影响和后果来评价风险,制定风险等级并采取相应的措施进行防范和应对。 　　信息安全风险管理的几个内容和步骤包括风险识别、确立目标、风险分析、风险评估、风险控制和监控与审查等内容(图1),目的在于尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁。 　　 　　2 信息风险管理的几个步骤 　　 　　1)风险识别:在项目范围内进行安全域划分,按安全程度的高低制定信息风险响应的等级,安全程度越低的风险响应度越高,反之则越低。 　　2)确立目标:根据要保护系统的业务目标和特性,确定风险管理对象。 　　3)风险评估:分安全域进行资料搜集和整理,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等。在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表等。 　　4)风险控制和缓解:实施有效控制,将风险降低到可接受的程度,即力图减小威胁发生的可能性和带来的影响。对于不同安全等级要求的信息和信息系统,以及信息系统的不同阶段,我们都需要选择适当的安全控制方式。大致有降低可能性、减少影响、风险转移、风险规避、风险接受等几种方式。 　　5)监控与审查:对上述步骤进行监控审查,一是监视和控制风险管理过程,即过程质量管理;二是分析和平衡成本效益,即成本效益管理,以保证效果的有效性。同时跟踪受保护系统自身或所处环境的变化,以保证上述步骤的结果有效性。监控与审查依据对当前步骤的监控和审查结果,控制上述几个步骤的主循环,形成许多局部循环。由此,保证主循环中各步骤的有效性。 　　 　　3 信息安全风险管理在报业集团管理中的应用 　　 　　3.1 风险识别是项目风险管理的重要环节 　　若不能准确地识别项目面临的潜在风险,就会失去处理这些风险的最佳时机。风险识别的基础是历史数据、经验和洞察力,同时严重依赖于关键项目人员的经验和洞察力。 　　风险识别的方法可依据信息来源的客观和主观性分类。基于客观信息源的风险识别方法之一为流程图法,即每个工程项目建设之初建立一个工程项目的总流程图与各分流程图,它们要展示项目实施的全部活动。它能统一描述项目工作步骤;显示出项目的重点环节;能将实际的流程与想象中的状况进行比较;便于检查工作进展情况。这是一种非常有用的结构化方法,它