借鉴COSO企业风险管理框架构建发电企业信息安全管理的体系.docVIP

借鉴COSO企业风险管理框架构建发电企业信息安全管理的体系 　　[摘 要] 发电企业在开展信息化建设的同时也面临着日益突出的信息安全问题。研究信息安全管理，建立信息安全管理组织架构，制定信息安全管理规章制度，设计信息安全管理实施方案等已经成为发电企业的重要工作内容。本文借鉴COSO企业风险管理整合框架，从管理层面对发电企业构建信息安全管理体系提出具体建议。 　　[关键词] 风险管理；发电企业；信息安全；管理体系 　　[中图分类号] F270.7；F239.45 [文献标识码] A [文章编号] 1673 - 0194（2014）15- 0045- 02 　　近年来，发电行业市场竞争日益加剧，同时燃料价格上涨又大大挤占了发电企业的盈利空间，如何改善经营、提高企业核心竞争力便成了发电企业面临的迫切问题。在此背景下，各发电企业纷纷制订信息化建设战略规划，投入了大量人力物力进行信息化建设，取得了较好的效果。在信息化建设的同时，发电企业也面临着日益突出的信息安全问题。研究信息安全管理，建立信息安全管理组织架构，制定信息安全管理规章制度，设计信息安全管理实施方案等已经成为发电企业的重要工作内容。本文借鉴COSO企业风险管理整合框架，从管理层面对发电企业信息安全管理中存在的风险以及建立相应的信息安全管理体系进行系统的研究。 　　1 发电企业面临的信息安全风险 　　发电企业的信息安全风险与企业的信息化应用情况密切相关，包括采用的软件和硬件情况、企业信息化程度等。目前，发电企业面临的信息安全风险主要表现在4个方面，即物理安全风险、网络安全风险、系统安全风险和用户安全风险等。 　　1.1 物理安全风险 　　主要是服务器、路由器、交换机、工作站和通信链路等设备出现的安全风险。水灾、火灾、雷击等自然灾害，人为破坏或误操作，设备固有缺陷等都会引起物理安全风险。 　　1.2 网络安全风险 　　发电企业信息化的深化应用离不开网络的互联，这就导致由计算机病毒、黑客攻击、信息传递等引起的信息安全风险。 　　1.3 系统安全风险 　　发电企业的信息系统包括操作系统、数据库系统和其他应用系统等，这些系统存在的功能缺陷或漏洞都是重大的安全隐患，可能给企业带来不可估量的损失。 　　1.4 用户安全风险 　　主要是指企业内部人员对信息系统的误用或故意损坏，以及用户认证和权限设置等带来的应用风险。 　　2 借鉴企业风险管理框架构建发电企业信息安全管理体系 　　2.1 COSO企业风险管理整合框架概述 　　COSO企业风险管理整合框架是美国专门研究内部控制问题的委员会――COSO委员会（Committee of Sponsoring Organization）于2004年9月发布的，目的是促使企业完善公司治理结构和提高风险管理能力。 　　COSO企业风险管理整合框架认为，企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证；风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控8个要素构成，各要素贯穿在风险管理的全过程之中。 　　2.2 借鉴COSO企业风险整合框架构建信息安全管理体系 　　COSO企业风险管理整合框架是一种全新的企业风险管理思路和方法，本文试图从8个构成要素的角度系统地分析该整合框架在发电企业构建企业信息安全管理体系过程中的应用。 　　2.2.1 内部环境 　　内部环境是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。 　　风险管理理念。发电企业要做好信息安全管理，风险管理理念的构建并为全体员工所理解和信奉尤为重要。发电企业应通过风险管理制度的制定和颁布，加强信息安全教育与宣传，组织开展多层次、多方位的系统教育与培训来贯彻和强化信息安全风险管理理念。 　　组织结构。建立起一个分工明确、统一高效的包含决策层、管理层和执行层的信息安全管理组织架构，是发电企业信息安全管理得以实施的基础。对于集团性的发电企业，可设立信息安全管理委员会，负责企业信息安全管理的决策；下设信息安全管理办公室，负责信息安全的日常管理，该办公室一般挂靠在企业信息技术中心/部门；在企业相关部门设兼职信息安全管理联络员，负责与本部门相关的信息安全管理工作。 　　胜任能力。胜任能力反映实现规定的任务所需要的知识和技能。发电企业应明确信息安全风险管理组织架构中各岗位的职责，并为其选用和配备符合能力水平要求的工作人员。 　　2.2.2 目标设定 　　目标设定是事项识别、风险评估和风险应对的前提。在管理当局识别和评估实现目标的风险并采取行动来管理风险