企业信息安全风险管理研究.docxVIP

企业信息安全风险管理研究 本文通过对信息安全风险管理存在的问题进行论述，并通过策划和预备、部署和履行、检查和监控三个步骤，提出了企业风险的控制策略，最后对我们国家信息安全风险管理的将来提出了总结与瞻望。 1 企业信息安全风险管理所存在的问题 1.1 缺乏自信心安全意识 很多层对信息安全认识上缺乏看重，信息安全防护意识淡薄。究其根本则是大部分企业以为信息安全无法给企业带来直接的经济效益，而且要进行信息安全管理就和购买保险一样，不进行安全保卫也没有出现什么损失。除此之外，进行企业信息安全管理需要投入相应的资源和时间，在业绩压力、资源限制的影响下，业务部门并不肯意将更多的精神用于保卫信息安全上面。 1.2 缺乏相应的信息安全组织架构 很多IT企业都存在信息安全组织架构不明确的情况，仅设立了类似兼职的职位——信息安全主任，而且是设立在IT部门内部，这在很大水平上减小了信息安全组织的履行力和管理能力。发生信息安全事件后，企业通常都是临时从业务部门或者IT部门调配人手来建立项目小组，然后按照信息安全的新要求找出解决方案，问题解决后就会解散项目小组，所建立的流程也随之不会继续履行、跟进。信息安全没有进行定期的评审和审计，也就无法构成能够不断改良的信息安全机制，这就造成了在安全计划上做了很多反复性工作，增长了安全计划的成本，晦气于效率的提