信息設備風險管理思考

前言：尋找寫作靈感？中文期刊網用心挑選的信息設備風險管理思考，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1引言

隨著信息化的不斷推進，信息設備的使用也變得越來越廣泛，越來越多單位的主營業務系統開始基于信息設備來構建，鑒于此，信息設備及信息系統是否能持續穩定的運行以及承載在這些信息設備之上的數據是否安全成為關注的熱點問題。目前信息數據的主要載體便是各種類型的信息設備，所以對信息設備的信息安全防護即是對其包含的信息數據的安全防護。隨著信息設備所面臨的越來越嚴峻的信息安全威脅，如何做好信息設備的風險管理工作是一個值得深入探討的課題。

2信息設備風險管理

2.1信息設備的風險概述

參照信息安全風險評估規范等標準來說，信息設備信息安全風險包含三個要素，即脆弱性、威脅和資產，每個要素有各自的屬性，資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度。信息設備所面臨的信息安全風險并非某種單一來源的安全威脅，而是三種要素互相影響、互相關聯的某種動態的平衡關系，而信息設備的風險管理本質上講是對這三種要素造成的安全風險程度的可控管理。

2.2信息設備全生命周期風險管理

信息設備全生命周期風險管理包括信息設備規劃設計階段、部署階段、測試階段、運行階段和廢棄階段。規劃設計階段應能夠描述信息系統建成后對現有模式的作用,包括技術、管理等方面,并根據其作用確定系統建設應達到的目標。這個階段,風險威脅應根據未來系統的應用對象、應用環境、業務狀況、操作要求等方面進行分析。部署階段是根據規劃設計階段分析的威脅和制定的安全措施,在設備部署階段應進行質量控制。測試階段是對已經部署完成的信息設備結合前期規劃設計方案的要求對采購來的信息設備進行全面的測試，包括基礎測試、功能性測試及安全性測試等。運行階段讓信息設備穩定運行并起到其應有的功能。該階段應做好設備監控、脆弱性發現、設備異常報警、信息設備日志搜集和分析等工作。廢棄階段存在的風險包括未對殘留信息進行適當處理、未對系統組件進行合理的丟棄或更換或未關閉相關連接，對于變更的系統，還可能存在新的信息安全風險，因為其可能替換了新的系統組件等。

2.3信息設備風險管理體系

傳統的信息安全管理體系主要依據ISO27001相關標準搭建,ISO27001標準采用基于風險評估的信息安全風險管理，具體采用了PDCA模型過程方法來全面、系統、持續的改進組織的信息安全管理。ISO27001采用的PDCA模型不僅適用于傳統信息安全管理，同時也適用于信息設備的安全風險管理。

2.3.1總體思路

信息設備風險管理總體借鑒PDCA管理模型的相關理念，將信息安全設計方案制定、各階段的信息安全風險管理實施、各階段信息安全管理檢查、信息安全管理改進，形成一套有效的安全風險管理防護方法，對信息設備進行不同時間階段、不同維度、不同重點的管理，有效防范和控制信息安全風險，增強信息安全體系的檢測能力、保護能力，為用戶開展風險管理提供全方位的管理思路。

2.3.2風險管理模型

融合傳統風險管理的PDCA模型，將傳統風險管理中動態模型的思路加以延續，增強信息設備狀態的動態特性，主要分為四部分：管理規劃、管理實施、管理檢查、管理改進。管理規劃：決策層要明確政策、目標、策略、計劃，形成具體的管理規劃，明確組織風險管理的整體目標和方向，確定對信息設備進行風險管理所要達到的目的和狀態，從而防止后續制定的風險管理規范和組織與已有的戰略決策、制度、規范等相違背而導致不可執行的問題。管理實施：管理層在深入領會和遵照管理規劃的指示后深入研究信息設備各階段所面臨的信息安全風險，對信息設備各環節制定詳細的風險管理實施規范和標準，以便具體的業務部門、人員等能嚴格按照管理規劃的計劃和要求來實施風險管理規范。管理檢查：管理檢查作為監督信息風險管理實施效果的主要手段之一，需要確保管理檢查手段的全面性、科學性、客觀性，需要覆蓋各個管理階段，客觀而高效的評價風險管理實施效果。管理改進：通過歸納總結前階段管理檢查的工作成果，結合信息設備各階段在實施信息風險管理中碰到的各類問題，從管理規劃、管理實施、管理檢查等各階段提出信息風險管理改進意見，從而持續的改進信息設備各階段的安全風險管理體系。

2.3.3風險管理體系的構建

根據安全風險的特點、信息安全三個關鍵要素以及信息設備各階段的特點，我們應明確安全風險的幾個控制手段，然后有計劃的加強整個信息設備安全風險管理體系的建設，才有可能最終有效控制信息安全設備風險。首先，根據企業所處的環境，全面準確的評估安全風險，并根據安全風險的狀況結合系統、網絡層面的安全防御手段有效抵御各種威脅，最終主動降低安全風險。要實現對安全風險的管理和控制，需要實現完整的風險管理流程，具體為發現安全風險，即通過有效的手段確定安全風險的資產和區域、定位安全風險存在的區域、評估安全風險，準確高效的評估安全風險，了解安全風險的大小和實質、強制措施降低風險，通過管理或強制等安全手段，主動降低安全風險、安全防御通過各類系統、網絡安全設備、防御各類安全威脅、安全問題修補，主動修補存在的各類安全漏洞，全面降低安全風險。以上是完整的信息設備安全風險管理流程，對整個信息設備安全風險的管理和控制，這些步驟缺一不可，同時，風險管理流程還應根據企業的具體情況，有不同的實現方式。其次，實現信息設備風險管理的詳細步驟包括：確定信息安全標準和方針、統計信息設備資產，進行資產識別、檢測信息設備資產存在的安全漏洞、了解潛在的威脅、分析存在的安全風險、通過各種手段如安全防護產品來降低已有的安全風險、對信息設備評估安全效果和影響、對已有信息設備安全策略進行對比及改進。最后，實現完善的信息設備安全風險管理，還需要有計劃的完善自身的安全風險管理體系，制定相應的整體安全策略。建立全面的資產管理和風險管理體系，整合現有的安全設備和手段，形成信息設備成熟完備的動態安全風險管理體系。

3結束語

本文提出信息設備風險管理模型，同時對風險管理體系的構建提出建議，對今后抵御風險，提升供電局信息安全水平提供理論支持，也為信息設備全生命周期系統的開發提供了需求分析的依據。

作者：李巍 單位：興義供電局