文档介绍：信息系统风险评估
广东工业大学
柴文光
信息安全风险管理的目的和意义
信息安全风险管理是信息安全保障工作中的一项基础性
工作。
信息安全风险管理体现在信息安全保障体系的技术、组
织和管理等方面。
信息安全风险管理贯穿信息系统生命周期的全部过程。
信息安全风险管理依据等级保护的思想和适度安全的原
则,平衡成本与效益,合理部署和利用信息安全的信任体
系、监控体系和应急处理等重要的基础设施,确定合适的
安全措施,从而确保机构具有完成其使命的信息安全保障
能力。
信息系统中的风险产生范围
DNS Server
Mail Server
路由器 Application Server
Search Server
防火墙
Web Server
评估软件
Agent
风险评估 1
风险评估 2
服务网
DB Server
Application Server
审计中心
内部网
Work station
七大业务--技术问题(调查国家分布)
七大业务--技术问题(调查人员分布)
七大业务--技术问题
1. 适应变化的章程机构组织现在面临着比以前越来越
多的挑战。他们必须抓住机会发展以及争取最大化的市场
占有率,这需要增加执行新的规章制度和标准以适应这种
发展。一个重要的任务是保持订立的章程能够适应变化的
需求,否则调整的规程仍然会停留在计划模式从而不会应
用于商业过程。不论是否具备有条件的框架,IT必须设计
和维护系统以支持新订立的章程能够适应变化的需求。
2. 企业级的IT管理和IT治理高效的管理和有效的IT部
门需要IT治理(IT governance),通过严密和高性能的
服务为业务系统传递准确和可靠的信息。IT治理需要有业
务目标的及有序的IT操作。同时,IT信息服务需要经过完
善设计的IT流程和IT成员的协调工作。无论如何,在执行
中有一些需要重视的IT治理问题将来需要进一步认识。
七大业务--技术问题(cont.)
3. 信息安全管理在经历一些重大的破坏和损失、并且
在安全技术发展上花费巨大后,企业最终认识到信息安全
的关键是职员的管理和工作流程,技术上的发展完善并非
是主要的。因此,企业需要国际信息安全管理标准作为指
导方针和实践手段,避免重复走别人的老路。
4. 灾难恢复及业务连续性所有的业务活动都有可能被
如技术故障、崩溃、破坏和恐怖活动所中断。所以一些企
业实施了业务连续性管理计划来保证业务在灾难时的恢复。
但是,只有少数企业实施了业务连续性管理计划,仍然有
很多组织在采用脆弱的业务计划。
七大业务--技术问题(cont.)
5. IT资产管理 IT计划经常缺乏和业务目标的统一,结
果不能认识到业务的利益。在一些IT计划中缺少业务关联,
有些则在IT服务和业务之间有简单的内容联系。实施IT资
产管理过程将会帮助填补这个鸿沟,使IT服务于业务及管
理资产。
6. 降低IT风险的问题风险管理实践很少在最短时间内
能理解,所以对于风险管理不够重视的情况并不吃惊。不
幸地,IT风险在所有的企业都存在,因此不重视IT风险管
理将导致惨重的损失。
7. 遵守财务报表准则全球的财务报表标准,如美国的
SOX 法案是从2004开始制订,另一方面它持续关注企业
的IT部门。只有当改进它的标准使它关注于高风险的方面
时,企业才会在实际中为解决这些问题而持续投资。
美国明尼苏达大学Bush Kugel的研究报
告指出:企业在没有信息资料可用的情况
下,金融业至多只能运作2天,
天,工业则为5天,。而以
经济情况来看,有25%的企业,因为数据
的损毁可能立即破产,40%会在两年内宣
布破产,只有7%不到的企业在五年后能够
继续存活。
美国公司行贿案
“美国控制组件公司”(CCI)行贿案,
最早2009年美国司法部文件显示,有六家
I贿赂名单中,分别是中石油、
中海油、江苏核电、国华能源、中国石油
材料设备、东方电气。