电力CSO必须熟悉风险管理.docx

电力CSO必须熟悉风险管理（正式） Standardize The Management Mechanism To Make The Personnel In The Organiza廿on Operate According To The Established Standards And Reach The Expected Level. 编订： 单位： 时间： 文件编号：KG-A0-2373-39 电力CS0必须熟悉风险管理（正式） 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管 理机构进行设置固定的规范，从而使得组织内人员按照既定标准规范的要求进行操作, 使日常工作或活动达到预期的水平。下载后就可自由编辑。 目前，各级电力企业虽然专门成立了相应的信息 安全小组，形成了电力企业信息安全的决策层、管理 层、执行层等机构，确保了人员的配置和安全责任制 的落实，但还没有明确设立CS0职位。信息安全小组 通常由企业的一把手负责，同时，指定了安全专职人 员负责整个企业的信息安全，实际上行使着CS0的职 责，这些安全专职人员可以称为“准cso\ 通常这些“准CS0是纯技术的人才，熟悉某一方 面的安全技术如防病毒、防火墙、入侵检测技术等。 然而，一个真正的CS0知识要全面，不仅要懂信息安 全技术，而且还要懂安全管理。 1?熟悉风险管理 风险管理是指识别电力企业的资产，评估威胁这 些资产的风险，评价假定这些风险成为事实时企业所承受的灾难和损失，并采取一些解决方案预防风险的 发生及损失补救措施。风险管理是电力企业安全管理 的核心。 要执行风险管理，首先必须熟悉本单位的核心业 务（如业务的流程、边界等）和关键信息资产。哪些 业务是关键的，需要采取高强度的防护措施进行防护; 哪些业务是次要的，防护措施的强度可以低一些。同 时，要了解业务系统安全与运行质量性能的关系，以 避免为了提高信息安全而大幅度降低网络系统运行的 质量和性能。因为信息安全是为信息化服务的，信息 化最终是为企业业务稳定持续发展服务的。 其次，CS0要制定一个风险管理策略，该策略是 风险管理策略需明确 风险管理策略需明确 风险处置的几种方式，如降低风险（采取各种安全防 护措施，如加防火墙、入侵检测系统等）、转嫁风险（如 买保险等）、接受风险（基于企业的投入/产出比考虑， 寻求企业投资与风险承受能力的平衡点）等。因为安 全是相对的，对风险的处置应该有个度，如果风险处 置的费用超过了系统本身的价值，则再消除风险就毫 无意义了，因此，应制定一个合理的风险管理策略。 第三，CS0要熟悉业务持续性运行与灾难恢复的 知识，如保证业务持续性运行的系统和数据的备份。 并且配备必要的应急设施和资源，如系统的启动盘、 系统和网络管理员的电话号码、协助厂商的求助电话 等。一旦企业网络系统发生问题，就可以统一调度， 对安全事件快速响应，最大限度地降低企业的损失。 2.熟悉信息安全理念和技术 CS0应对安全理念如信息安全模型、国际和国内 安全标准有较深入的认识。安全标准包括安全策略的 标准、安全评估的标准、安全产品选型的标准、安全 工程实施的标准、安全管理的标准等，了解这些安全 标准可以更好地指导信息安全的建设。CS0还应熟悉 常用的安全技术和安全产品，如防火墙、防病毒技术、 加密技术、物理隔离技术等，了解他们的原理和部署 等知识，这可以提高CS0自身的素质，树立自己在企 业中的威信。 3.良好的沟通和管理能力 CS0要具备良好的上下沟通能力，因为企业的安 全管理制度和安全策略要贯彻执行，必须得到企业高 层领导的许可和支持，同时得到企业员工的理解。但 在实际情况中，很多领导和员工都要问，我们企业在 信息安全方面投入很大，那到底取得了什么效果呢？ 这时CS0要让他们理解，网络和业务系统的正常持续 运行，就是安全工程实施的效果。 信息安全是“三分技术、七分管理S这强调了管 理的重要性，特别是要加强对人的管理。因为无论安 全制度的落实，还是安全技术和安全产品的布置，最 终是由人来执行的。但在实际中，往往人是最难管理 的，这就要求CS0要具有很强的管理能力。 CS0还应熟悉安全法律和法规，包括国家、行业 以及企业的法规，如关于涉密系统的联网规定、系统 日志应保存的时间规定、系统和数据的备份规定、经 贸委的30号令等，并把他们应用到企业的业务工作中 去。 目前，电力企业的“准cso们要想成为一个合格 的CS0,需在以下方面进行努力： 首先，要强化业务知识的学习。这些知识不仅包 括风险管理、安全技术、安全标准等信息安全知识， 而且还包括企业自身的业务流程、边界等。 其次，要提高管理能力，特别是日常管理能力。 第三，要加强与其他企业CSO的交流，其他企业 如银行、电信，甚至国外