基于风险的信息安全管理体系
摘要:企业逐步进入信息化办公时代,企业的资产信息基本上全部保存在信息系统中,信息安全管理水平影响企业的安全生产水平,如何建立一套系统的方法来管理信息安全是一个重要的研究课题。本文主要研究以南方电网安全生产风险管理体系核心思想构建信息安全风险管理体系,为企业信息安全管理提供思路。
关键词:信息安全;安全生产风险管理体系;风险评估;风险控制
0引言
随着信息化建设的飞速发展和普及,各行各业的网络化、信息化水平显著提高,无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持,在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性,关系企业或国家机密,一旦面临威胁和遭遇攻击,就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域,信息安全风险管理依然研究不够深入,较多采取的基于问题的管理方式,遭到攻击或同类行业遭到攻击后,进行系统排查,查找系统漏洞,然后堵住漏洞,这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线,只有事前做好各类防范和应急处置,管控风险是实现安全生产的重要保证,在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系,降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。
1风险管理体系概述
1.1安全生产风险管理体系概念
安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上,基于电网实际情况提出的了一种安全生产风险管理思路和方法,以风险管控为主线、以“计划-实施-检查-改进(PDCA)“闭环管理为原则,系统地提出了安全生产管理的具体内容,指明了风险管控的目标、规范要求和管理途径,为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”:基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计;系统性是指企业在设计管理系统框架及业务流程节点时,保证流程节点的充分性并遵循PDCA的闭环管理模式,理清业务与业务之间的输入、输出关系;规范性是指企业应明确各项工作的执行标准,确保执行标准的唯一性、科学性,同时企业各部门、生产单位、班组能够按照标准开展工作,保证企业管理的统一性;持续改进是指企业应建立完善的问题发现机制及问题改进机制,能够及时发现系统运行过程中存在的问题并进行改进,同时不断地完善企业管理系统的策划,实现管理系统的持续改进。自2007年建立以来,全网范围内风险管控方法得到有效应用,安全生产管理基础得到进一步夯实,主要安全生产指标持续向好。
1.2基于风险的信息安全管理框架
南方电网安全生产风险管理体系,为电网企业提供了非常有效的一套安全生产管理方法,其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型,强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进,目前主要应用在电网、设备、作业和职业健康风险管控上,并取得了不错的成绩,也为信息安全管理带来了有益的启示,即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架,探索信息安全风险管理长效机制[4]。
2基于风险的信息安全风险管理体系建立的重要环节
2.1确定风险评估的目标
从管理目的出发,是安全生产风险管理体系的一个重要思想,以目的为导向,分析在现状下实现目的存在的障碍因素,也就是管理关键流程节点,从而确定业务的管理脉络,实现以基于风险的管理思路,最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性,并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性,资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求,满足相关方的要求、满足法律法规的要求等方面[4]。
2.2风险识别
风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险,找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标,同时,由于企业信息化水平的逐步提高,对于信息系统和服务技术的依赖日益增加,企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时,确保信息安全的三性,降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效,因此选择合适的风险评估办法和模型,对信息安全管理来说至关重要。
2.3信息安全风险评估
2.3.1信息安全风险评估模型
风险评估是在确定影响信息安全风险评估的三个维度的基础上,选择定性或者定量的风险评估方法,对识别出的风险发生的可能性或可能导致的后果进行衡量,并根据评估结果划分风险等级,然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险值=R(A,T,V)=R(L(T,V),F(A,V))。
2.3.2信息安全风险评估实施与运行
(1)信息安全风险概述通俗来讲,风险概述就是风险的管理方案,基于风险评估的结果,制定年度风险管控重点工作安排,为年度安全生产工作计划提供方向。概述报告编制时,应充分考虑风险数据的输出应用,为涉及相关单位(部门)的管理提供输入。风险概述报告至少包含以下信息:风险描述、风险范畴、风险细分种类、风险等级和风险控制措施,并按风险等级排序。(2)风险控制风险控制是在风险评估之后,控制措施建议应综合考虑风险控制成本与风险造成的影响,结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择:消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出,优先考虑技术措施。属于组织结构不完善的,建立信息安全组织体系。属于管理措施的融入管理办法,编制各层次的信息安全管理体系文件,包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度,明确管理要求;属于物理安全隐患的,加强机房、门控、安保系统和队伍建设;属于信息系统保护的,纳入信息安全项目建设计划,提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力;属于作业过程执行的措施,将信息安全管控要求纳入作业指导书、“两票”等作业标准,减少人的因素引发的信息安全事故事件;属于人员技能和意识的纳入教育培训计划;属于信息安全应急响应的建立信息安全应急预案或现场处置方案,并按照演练计划开展应急演练[7]。
2.4风险监测
风险控制措施制定后需要对措施的有效性进行评估,年度风险预控措施计划表。风险控制措施应明确责任单位(部门)、责任人、完成时间。在制定风险控制措施时,应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容,制定月度风险监督计划,并明确各项预控措施执行情况的各级监督部门,确保风险措施按计划落实执行。
2.5管理回顾,持续改进
PDCA闭环管理是安全生产风险管理体系核心之一,通过定期开展管理回顾,审视信息安全风险管控的有效性,进而形成长效机制持续改进。在回顾过程中注意以下几个方面:(1)识别变化,优化管控手段企业所面临的内部和外部环境不是一成不变的,当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入;当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案,并保存变化过程的相关资料。(2)建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进,通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面,纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等,并进行根本原因分析,制定纠正或预防措施,通过评估措施的有效性,进行统计输出应用,输出应用到信息安全管理制度、能力与意识提升等各个环节,进而确保企业的信息安全管理水平得到持续提升。
3结语
以南方电网安全生产风险管理体系的核心思想为基础,通过对企业信息安全风险进行评估和分析、风险监测、风险控制和持续改进建立完整的PDCA管理体系,有助于给企业提供信息安全管理思路,提升企业信息安全管理的系统性、规范性,减少信息安全事故的发生。
作者:张芳 单位:中国南方电网调峰调频发电有限公司信息通信分公司