企业信息安全风险防控研究 本文关键词:防控,信息安全,风险,研究,企业
企业信息安全风险防控研究 本文简介:摘要:企业信息安全工作是影响企业经营发展的重要环节。将企业信息安全风险定义为企业信息受到外部窃取或内部泄露、恶意修改或破坏,而导致企业经济损失或声誉受损等严重后果的风险。阐述企业信息安全风险要素和图谱,提出企业信息安全风险应对的“三维度”模型,给出企业信息安全风险应对的基本流程。关键词:企业信息安全
企业信息安全风险防控研究 本文内容:
摘要:企业信息安全工作是影响企业经营发展的重要环节。将企业信息安全风险定义为企业信息受到外部窃取或内部泄露、恶意修改或破坏,而导致企业经济损失或声誉受损等严重后果的风险。阐述企业信息安全风险要素和图谱,提出企业信息安全风险应对的“三维度”模型,给出企业信息安全风险应对的基本流程。
关键词:企业信息安全;风险;“三维度”模型
近年来,绝大多数企业都选择通过互联网和信息系统等方式获取和存储信息。但由于相关技术及制度的缺陷和漏洞,存储的信息有可能被他人故意泄露或盗取。而这些信息一旦被企业的竞争对手掌握并以此对该企业进行不正当竞争,则有可能对该企业造成巨大的损失。因此,自身的信息安全已经成为各大企业不得不重视的问题。甄杰等(2018)研究了治理机制、制度化和企业信息安全绩效之间的关系。魏凯琳和高启耀(2018)认为在大数据时代企业信息安全需要政府的保护,并提出了企业信息安全公共治理的机制。马书明等(2016)的研究表明,应急响应组织结构、应急响应队伍、应急预案和信息安全文化均能显著影响企业信息安全突发事件的应急响应效果。孙红梅和贾瑞生(2016)给出了大数据时代下基于云安全的企业信息保护框架和管理体系,以及具体工作实施规划。韩文英等(2013)利用博弈论模型研究了企业信息安全中的攻防策略。曾剑秋等(2016)专门针对电信运营企业中的信息安全风险进行了研究,构建了基于PDCA循环的信息安全风险管理体系。现有研究均表明了企业信息安全的重要性,但是对于企业信息安全风险防控和应对的总体方法和流程,目前少有研究涉及。本文将重点研究此内容。
1企业信息安全风险内涵
企业信息安全风险是指企业信息受到外部窃取或内部泄露、恶意修改或破坏,而导致的企业经济损失或声誉受损等严重后果的风险。该风险有两个维度,其一是风险事件的严重程度,其二是风险事件发生的概率。由于硬件设备的不完善,企业信息安全风险是客观存在的。同时,企业信息安全风险又存在不确定性,但其不确定性可以评估。作为企业的无形资产,信息安全风险发生后,其演化过程如图1所示。总体而言,企业信息安全风险可以分为人员泄露信息风险、设备保密措施不足风险、环境风险、管理不到位风险和网络安全风险等5类,每类风险又包含若干个子风险。企业信息安全风险图谱如图2所示。
2企业信息安全风险应对“三维度”模型
在应对企业信息安全风险时,应在应急准备、监测、分级相应、恢复、根除,以及总结改进等阶段从宏观战略和微观执行的方面着手。在宏观战略方面,主要应注重企业各个部门之间的统一领导。对企业信息进行分级、分类管理,使信息安全责任落实到人。把对风险、隐患管控的优先级放在突发事件应急管理之上。同时建立高效的企业信息安全突发事件应急响应机制和具体实施规范。每当出现隐患甚至突发事件时,应该及时、详细地记录应对过程和相关经验教训,以不断修正和完善企业信息安全突发事件应急预案。在微观执行方面,首先应该做到应急预案与实际时间之间的高效衔接,即根据实际事件立即找出合适的应急预案并且在必要时做出修正,以正确应对企业信息安全突发事件。同时,还应尽可能缩短应急响应时间,及时停止信息安全突发事件给企业带来的损失。在整个风险管控和应急响应过程中,应该做到部门之间、员工之间的相互配合。因此,本文给出企业信息安全风险应对的“三维度”模型,如图3所示。3企业信息安全风险应对基本流程基于前文对企业信息安全风险内涵的分析以及风险应对的“三维度”模型,本部分给出企业信息安全风险应对的基本流程。该流程为从事件发生前的风险预警和防控、事件进行时的应急响应,到事件结束后的经验总结的全过程。主要包括应急准备、泄密监测、分级响应、恢复运营、根除泄密源和总结与改进等6个阶段,如图4所示。科技创业月刊2019年第7期息安全责任落实到人。把对风险、隐患管控的优先级放在突发事件应急管理之上。同时建立高效的企业信息安全突发事件应急响应机制和具体实施规范。每当出现隐患甚至突发事件时,应该及时、详细地记录应对过程和相关经验教训,以不断修正和完善企业信息安全突发事件应急预案。图2企业信息安全风险图谱在微观执行方面,首先应该做到应急预案与实际时间之间的高效衔接,即根据实际事件立即找出合适的应急预案并且在必要时做出修正,以正确应对企业信息安全突发事件。同时,还应尽可能缩短应急响应时间,及时停止信息安全突发事件给企业带来的损失。在整个风险管控和应急响应过程中,应该做到部门之间、员工之间的相互配合。因此,本文给出企业信息安全风险应对的“三维度”模型,如图3所示。
3企业信息安全风险应对基本流程
基于前文对企业信息安全风险内涵的分析以及风险应对的“三维度”模型,本部分给出企业信息安全风险应对的基本流程。该流程为从事件发生前的风险预警和防控、事件进行时的应急响应,到事件结束后的经验总结的全过程。主要包括应急准备、泄密监测、分级响应、恢复运营、根除泄密源和总结与改进等6个阶段,如图4所示。图3企业信息安全风险应对的“三维度”模型(1)应急准备阶段。该阶段是企业信息安全风险管理的第一阶段,也是实施时间最长的阶段。该阶段的实施效果将直接影响企业信息安全突发事件的发生和发展。此阶段企业的主要工作包括对信息资产进行评估,确定相应的潜在威胁,以及目前已经具备的风险防控措施。对于发生概率高且后果严重的企业信息安全风险,应该重点制定风险预警、防控及应急预案。同时,应该对企业的员工进行培训,包括信息安全意识的培养、风险应对方法的演练等。(2)泄密监测阶段。在日常情景下,企业应该做到对信息的实时监测和预警,包括人力主动监测和基于物联网的智能监测等方式。对于部分关键的风险,应该同时运用多种方式重点监测。一旦发现风险事件爆发的征兆,则应立即做出预警。相关人员应该依据具体情况,将预警信息按照事件发生概率及后果严重程度进行分级,然后根据分级结果视情况逐级上报。(3)分级响应阶段。需要立即做出应急响应的企业信息安全风险突发事件,主要包括特别重大信息泄密事件(高风险)、重大信息泄密事件(一般风险),以及较大信息泄密事件等(低风险)。在事件发生时,应该针对事件的不同级别基于预先设置的应急预案做出有区别的应急响应。(4)恢复运营阶段。在企业信息受到破坏后,应该立即基于备份数据进行恢复工作,然后检查企业的运行情况,直至运转恢复正常。针对泄露出去的信息,应该立即做出补救措施,与信息接受或购买方进行交涉,尽可能截断信息的外泄渠道,或者使泄露信息的价值降低,甚至无效化。(5)根除泄密源阶段。在企业信息安全突发事件应急响应结束,企业运转恢复正常后,应该进一步查清事件的致因,从源头上杜绝类似事件的发生。对于设备或技术不完善而导致的信息安全突发事件,应该排查技术方面的漏洞,及时完善;对于人为导致的事件,应该对相关人员进行处理,并保留相关证据,在有必要时通过司法途径解决问题。(6)总结与改进阶段。对于信息安全突发事件发生前的风险防控,发生过程中的应急响应,结束后恢复过程,应该做出完整而详细的总结,提炼经验和教训。从技术改进和完善,以及人员教育和培训等方面,杜绝类似事件的再次发生。同时,改进此类事件的应急预案,使其更符合该企业的应急响应实践。
4结语
本文首先提出企业信息安全风险的内涵,即企业信息受到外部窃取或内部泄露、恶意修改或破坏,而导致的企业经济损失或声誉受损等严重后果的风险。将企业信息安全风险分为人员泄露信息风险、设备保密措施不足风险、环境风险、管理不到位风险和网络安全风险等5类,并给出风险图谱。然后提出企业信息安全风险应对的“三维度”模型,包括时间维度、宏观战略维度和微观执行维度。接下来给出企业信息安全风险应对的基本流程,主要包括应急准备、泄密监测、分级响应、恢复运营、根除泄密源和总结与改进等6个阶段。
参考文献:
[1]甄杰,谢宗晓,林润辉.治理机制、制度化与企业信息安全绩效[J].工业工程与管理,2018,23(3):171-176+191.
[2]魏凯琳,高启耀.大数据供应链时代企业信息安全的公共治理[J].云南社会科学,2018(1):50-56.
[3]马书明,戴友榆,陈晓红.企业信息安全事件应急响应效果的影响因素[J].技术经济,2016,35(10):117-121.
[4]孙红梅,贾瑞生.大数据时代企业信息安全管理体系研究[J].科技管理研究,2016,36(19):210-213.
[5]韩文英,闫明星,柴艳妹,等.基于博弈论的企业信息安全攻防策略研究[J].计算机工程,2013,39(9):162-166.
[6]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016,36(18):160-164.
作者:闻天棋 单位:中南财经政法大学
企业信息安全风险防控研究 来源:网络整理
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
相关文章