隨著信息化的發(fā)展，信息化的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)管理問(wèn)題已經(jīng)成為各個(gè)國(guó)家、國(guó)際組織所普遍關(guān)注的問(wèn)題。如何進(jìn)行信息化的風(fēng)險(xiǎn)管理，保障網(wǎng)絡(luò)空間的安全也成為關(guān)系信息化能否健康發(fā)展的重大問(wèn)題。

    風(fēng)險(xiǎn)指行動(dòng)或者事件的結(jié)果的不確定性(uncertainty of outcome)，無(wú)論其結(jié)果是積極的機(jī)會(huì)還是消極的威脅。人們只能通過(guò)對(duì)這些不確定性發(fā)生的可能性，以及實(shí)際發(fā)生以后所產(chǎn)生的影響和后果來(lái)評(píng)價(jià)風(fēng)險(xiǎn)。在本報(bào)告中，信息化的風(fēng)險(xiǎn)被界定為信息化可能或者實(shí)際帶來(lái)的消極威脅。風(fēng)險(xiǎn)管理泛指確認(rèn)風(fēng)險(xiǎn)、評(píng)價(jià)風(fēng)險(xiǎn)、回應(yīng)風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理涉及復(fù)雜的結(jié)構(gòu)、機(jī)制、過(guò)程和制度安排，其目的在于盡可能地降低風(fēng)險(xiǎn)的發(fā)生以及風(fēng)險(xiǎn)發(fā)生以后所帶來(lái)的損失和威脅。

    信息化風(fēng)險(xiǎn)可劃分為個(gè)人用戶、企業(yè)、政府部門和國(guó)家四個(gè)層次。個(gè)人用戶和企業(yè)可能遭遇：設(shè)備、軟件、網(wǎng)絡(luò)、數(shù)據(jù)、服務(wù)、交易方面的六大類信息化風(fēng)險(xiǎn)。政府部門還可能遭遇基礎(chǔ)設(shè)施方面的風(fēng)險(xiǎn)。國(guó)家存在著：國(guó)家信息、國(guó)家機(jī)器的功能、國(guó)家資產(chǎn)、國(guó)家安全、國(guó)際關(guān)系與社會(huì)發(fā)展五個(gè)方面的風(fēng)險(xiǎn)。實(shí)際上，信息化風(fēng)險(xiǎn)的種類要遠(yuǎn)遠(yuǎn)超出上述范圍，并且將隨著信息化的發(fā)展而逐步升級(jí)和惡化。我們可以把信息化風(fēng)險(xiǎn)的主要特征歸納為四個(gè)方面：全球性，傳染性，復(fù)雜性，隱蔽性。

    信息化風(fēng)險(xiǎn)的生成機(jī)理是復(fù)雜的，一方面是內(nèi)因，由信息化自身的特點(diǎn)所決定：第一，信息化的無(wú)疆界特征；第二，信息化的低成本特征；第三，信息化的開(kāi)放性特征；第四，信息化的匿名性特征。另一方面是外因，是信息化的風(fēng)險(xiǎn)源；我們把其中重要的歸納為十個(gè)方面：第一，自然災(zāi)害；第二，安全生產(chǎn)事故；第三，網(wǎng)絡(luò)攻擊；第四，借助信息化手段進(jìn)行欺詐；第五，病毒和蠕蟲(chóng)；第六，內(nèi)部泄密；第七，使用不當(dāng)；第八，因內(nèi)部因素而造成的信息、數(shù)據(jù)的修改和丟失；第九，因外部因素造成信息、數(shù)據(jù)的泄露、篡改和丟失；第十，安全防范措施不到位的高端技術(shù)。

    從國(guó)際的經(jīng)驗(yàn)和我國(guó)的具體情況出發(fā)，我們認(rèn)為，對(duì)于信息化的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)的管理，我們應(yīng)確立以下基本的戰(zhàn)略和政策應(yīng)對(duì)之。

    一、明確政府的角色，強(qiáng)化信息化風(fēng)險(xiǎn)管理的責(zé)任

    第一，管制者的角色(Regulatory role)，對(duì)于那些個(gè)人或者企業(yè)、組織的風(fēng)險(xiǎn)會(huì)給其他人、企業(yè)、組織甚至于社會(huì)造成直接或者間接后果的，政府有必要采取管制或者其他的措施限制或者控制他們的活動(dòng)或者行為；政府還要使那些使他人承擔(dān)風(fēng)險(xiǎn)的人或者組織承擔(dān)此種風(fēng)險(xiǎn)所導(dǎo)致后果的成本，不至于使他們轉(zhuǎn)嫁成本。第二，服務(wù)者的角色。在信息化的過(guò)程中所出現(xiàn)的一些風(fēng)險(xiǎn)，如大規(guī)模的自然災(zāi)害所導(dǎo)致的信息基礎(chǔ)設(shè)施的破壞；恐怖主義以及網(wǎng)絡(luò)恐怖主義的攻擊等等，政府需要采取直接的干預(yù)措施為社會(huì)提供直接的公共服務(wù)。政府干預(yù)的方式也主要有兩個(gè)方面：采取行動(dòng)降低風(fēng)險(xiǎn)發(fā)生的可能性；采取行動(dòng)降低風(fēng)險(xiǎn)發(fā)生以后的損失。第三，管理者的角色。在政府自身的事務(wù)領(lǐng)域，包括在政府行使職能，提供服務(wù)的過(guò)程中，政府有責(zé)任確認(rèn)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)。在信息化的過(guò)程中，政府自身便是風(fēng)險(xiǎn)的管理者。政府要在其管理的各個(gè)層面，如戰(zhàn)略層面、政策規(guī)劃層面、項(xiàng)目層面以及具體的管理運(yùn)作層面，全面實(shí)施風(fēng)險(xiǎn)的管理。作為風(fēng)險(xiǎn)的管理者，政府最主要的責(zé)任在于在各個(gè)層面的決策過(guò)程中，充分考慮到風(fēng)險(xiǎn)的因素，進(jìn)行決策的風(fēng)險(xiǎn)判斷。

    二、建立和發(fā)展信息化風(fēng)險(xiǎn)管理的文化

    高層領(lǐng)導(dǎo)支持和鼓勵(lì)風(fēng)險(xiǎn)管理；政府組織支持創(chuàng)新和承擔(dān)風(fēng)險(xiǎn)；有明確的風(fēng)險(xiǎn)管理的政策；有明確的風(fēng)險(xiǎn)管理的責(zé)任和責(zé)任機(jī)制；風(fēng)險(xiǎn)管理的政策和好處在所有的工作人員中得到充分的溝通和理解；風(fēng)險(xiǎn)管理充分地整合到組織管理的過(guò)程之中等。

    三、做好國(guó)家信息化的薄弱環(huán)節(jié)識(shí)別，減少信息化系統(tǒng)中的問(wèn)題

    針對(duì)信息化風(fēng)險(xiǎn)的全球性和傳染性等特征，政府主管部門尤其要做好國(guó)家信息化薄弱環(huán)節(jié)的識(shí)別、彌補(bǔ)和防范工作。第一，完善風(fēng)險(xiǎn)識(shí)別的機(jī)制，將檢查定制為常規(guī)性工作，通過(guò)排查、采樣、比較、演習(xí)、試點(diǎn)等方法，定期評(píng)估系統(tǒng)的風(fēng)險(xiǎn)應(yīng)對(duì)能力，加強(qiáng)對(duì)薄弱環(huán)節(jié)的識(shí)別和認(rèn)識(shí)。第二，及時(shí)糾正所發(fā)現(xiàn)的問(wèn)題，減少現(xiàn)存問(wèn)題導(dǎo)致災(zāi)害的可能性。第三，在條件允許的情況下，將舊系統(tǒng)更換為問(wèn)題更少、技術(shù)更成熟的新系統(tǒng)。

    四、通過(guò)有效的教育和培訓(xùn)提高和強(qiáng)化整個(gè)社會(huì)的信息化風(fēng)險(xiǎn)管理和安全意識(shí)與能力

    通過(guò)宣傳和教育計(jì)劃提升社會(huì)公民、法人和其他組織的風(fēng)險(xiǎn)意識(shí)和安全意識(shí)；通過(guò)專門的教育和訓(xùn)練計(jì)劃，培養(yǎng)風(fēng)險(xiǎn)管理、安全管理的專門人才以滿足信息化發(fā)展的需要；通過(guò)教育和訓(xùn)練計(jì)劃提高現(xiàn)有管理者的風(fēng)險(xiǎn)管理、安全管理的知識(shí)和能力；鼓勵(lì)企業(yè)、社會(huì)組織開(kāi)展風(fēng)險(xiǎn)管理、安全管理的專業(yè)人員的培訓(xùn)和資格認(rèn)證。

    五、強(qiáng)化信息化相關(guān)的立法，建立有效的管制機(jī)制，以防止和化解信息化的風(fēng)險(xiǎn)

    從目前的情況來(lái)看，最迫切的工作便是加強(qiáng)以下方面的立法工作，《電子交易法和電子商務(wù)法》、《信息安全管理法》、《支付系統(tǒng)安全法》、《隱私法》、《網(wǎng)絡(luò)犯罪法》、《重要和敏感性信息保護(hù)法》、《重要信息基礎(chǔ)設(shè)施保護(hù)法》等的立法都與信息化的安全以及風(fēng)險(xiǎn)管理有著十分密切的關(guān)系。

    六、建立健全國(guó)家信息化的技術(shù)安全平臺(tái)，通過(guò)安全技術(shù)的發(fā)展保障信息化系統(tǒng)的安全

    從國(guó)際經(jīng)驗(yàn)而言，主要包括：訪問(wèn)控制(Access control)，系統(tǒng)完整性控制(System integrity)，密碼控制(Cryptography)，審計(jì)和監(jiān)控(Audit and monitoring)，配置管理和保證(Configuration management and assurance)等技術(shù)。

    七、采取有效的措施，確保敏感性信息和國(guó)家重要信息基礎(chǔ)設(shè)施的安全

    政府要進(jìn)行敏感性信息的分類，并加強(qiáng)管理，以防止敏感性信息被惡意者所利用。維護(hù)重要的信息基礎(chǔ)設(shè)施的安全，應(yīng)該成為信息化風(fēng)險(xiǎn)管理的重點(diǎn)所在。

    八、保障政府系統(tǒng)的安全

    在信息化的過(guò)程中，政府的首要責(zé)任在于保障自身系統(tǒng)的安全。在這方面，首先是加強(qiáng)領(lǐng)導(dǎo)、健全組織、明確責(zé)任，各級(jí)政府及其部門都要建立IT治理結(jié)構(gòu)，并在此結(jié)構(gòu)中把安全治理結(jié)構(gòu)作為重要的組成部分；其次，要制定網(wǎng)絡(luò)安全的戰(zhàn)略、政策和具體措施，并保證他們能夠得到有效的實(shí)施；其三，要對(duì)政府系統(tǒng)所面對(duì)的威脅以及系統(tǒng)的問(wèn)題進(jìn)行不斷的評(píng)估，以做出有效的回應(yīng)和解決。

    九、建立國(guó)家網(wǎng)絡(luò)空間安全的危機(jī)管理系統(tǒng)

    網(wǎng)絡(luò)空間的危機(jī)管理系統(tǒng)的主要職責(zé)在于：分析與評(píng)價(jià)，對(duì)網(wǎng)絡(luò)空間可能出現(xiàn)的各種風(fēng)險(xiǎn)、威脅、攻擊進(jìn)行分析與評(píng)價(jià)；預(yù)防與預(yù)警；進(jìn)行網(wǎng)絡(luò)安全事故的管理；回應(yīng)各種網(wǎng)絡(luò)安全事變，并且恢復(fù)和確保網(wǎng)絡(luò)空間以及重要的信息基礎(chǔ)設(shè)施的正常運(yùn)轉(zhuǎn)。

    十、通過(guò)信息的共享和廣泛的合作，化解信息化的風(fēng)險(xiǎn)

    確認(rèn)風(fēng)險(xiǎn)和威脅，并且及時(shí)向社會(huì)披露，共享有關(guān)風(fēng)險(xiǎn)和威脅的信息，可以有效地化解風(fēng)險(xiǎn)。網(wǎng)絡(luò)世界是跨越國(guó)界的。因此，國(guó)際社會(huì)之間的合作，包括政府之間，政府與國(guó)際組織之間，政府與民間組織的合作也是有效化解信息化風(fēng)險(xiǎn)的途徑。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.kaqidy.com/

本文標(biāo)題：保障信息安全——信息化風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理研究

本文網(wǎng)址：http://www.kaqidy.com/html/support/11121824448.html