[摘 要] 發電整體櫥柜企業在開展信息化建設的同時也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構，制定信息安全管理規章制度，設計信息安全管理實施方案等已經成為發電整體櫥柜企業的重要工作內容。本文借鑒COSO整體櫥柜企業風險管理整合框架，從管理層面對發電整體櫥柜企業構建信息安全管理體系提出具體建議。
　　[關鍵詞] 風險管理；發電整體櫥柜企業；信息安全；管理體系
　　[中圖分類號] F270.7；F239.45 [文獻標識碼] A [文章編號] 1673 - 0194（2014）15- 0045- 02
　　近年來，發電行業市場競爭日益加劇，同時燃料價格上漲又大大擠占了發電整體櫥柜企業的盈利空間，如何改善經營、提高整體櫥柜企業核心競爭力便成了發電整體櫥柜企業面臨的迫切問題。在此背景下，各發電整體櫥柜企業紛紛制訂信息化建設戰略規劃，投入了大量人力物力進行信息化建設，取得了較好的效果。在信息化建設的同時，發電整體櫥柜企業也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構，制定信息安全管理規章制度，設計信息安全管理實施方案等已經成為發電整體櫥柜企業的重要工作內容。本文借鑒COSO整體櫥柜企業風險管理整合框架，從管理層面對發電整體櫥柜企業信息安全管理中存在的風險以及建立相應的信息安全管理體系進行系統的研究。
　　1 發電整體櫥柜企業面臨的信息安全風險
　　發電整體櫥柜企業的信息安全風險與整體櫥柜企業的信息化應用情況密切相關，包括采用的軟件和硬件情況、整體櫥柜企業信息化程度等。目前，發電整體櫥柜企業面臨的信息安全風險主要表現在4個方面，即物理安全風險、網絡安全風險、系統安全風險和用戶安全風險等。
　　1.1 物理安全風險
　　主要是服務器、路由器、交換機、工作站和通信鏈路等設備出現的安全風險。水災、火災、雷擊等自然災害，人為破壞或誤操作，設備固有缺陷等都會引起物理安全風險。
　　1.2 網絡安全風險
　　發電整體櫥柜企業信息化的深化應用離不開網絡的互聯，這就導致由計算機病毒、黑客攻擊、信息傳遞等引起的信息安全風險。
　　1.3 系統安全風險
　　發電整體櫥柜企業的信息系統包括操作系統、數據庫系統和其他應用系統等，這些系統存在的功能缺陷或漏洞都是重大的安全隱患，可能給整體櫥柜企業帶來不可估量的損失。
　　1.4 用戶安全風險
　　主要是指整體櫥柜企業內部人員對信息系統的誤用或故意損壞，以及用戶認證和權限設置等帶來的應用風險。
　　2 借鑒整體櫥柜企業風險管理框架構建發電整體櫥柜企業信息安全管理體系
　　2.1 COSO整體櫥柜企業風險管理整合框架概述
　　COSO整體櫥柜企業風險管理整合框架是美國專門研究內部控制問題的委員會——COSO委員會（Committee of Sponsoring Organization）于2004年9月發布的，目的是促使整體櫥柜企業完善整體櫥柜公司治理結構和提高風險管理能力。
　　COSO整體櫥柜企業風險管理整合框架認為，整體櫥柜企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制定并貫穿于整體櫥柜企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理的保證；風險管理由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控8個要素構成，各要素貫穿在風險管理的全過程之中。
　　2.2 借鑒COSO整體櫥柜企業風險整合框架構建信息安全管理體系
　　COSO整體櫥柜企業風險管理整合框架是一種全新的整體櫥柜企業風險管理思路和方法，本文試圖從8個構成要素的角度系統地分析該整合框架在發電整體櫥柜企業構建整體櫥柜企業信息安全管理體系過程中的應用。
　　2.2.1 內部環境
　　內部環境是整體櫥柜企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。
　　風險管理理念。發電整體櫥柜企業要做好信息安全管理，風險管理理念的構建并為全體員工所理解和信奉尤為重要。發電整體櫥柜企業應通過風險管理制度的制定和頒布，加強信息安全教育與宣傳，組織開展多層次、多方位的系統教育與培訓來貫徹和強化信息安全風險管理理念。
　　組織結構。建立起一個分工明確、統一高效的包含決策層、管理層和執行層的信息安全管理組織架構，是發電整體櫥柜企業信息安全管理得以實施的基礎。對于集團性的發電整體櫥柜企業，可設立信息安全管理委員會，負責整體櫥柜企業信息安全管理的決策；下設信息安全管理辦公室，負責信息安全的日常管理，該辦公室一般掛靠在整體櫥柜企業信息技術中心/部門；在整體櫥柜企業相關部門設兼職信息安全管理聯絡員，負責與本部門相關的信息安全管理工作。
　　勝任能力。勝任能力反映實現規定的任務所需要的知識和技能。發電整體櫥柜企業應明確信息安全風險管理組織架構中各崗位的職責，并為其選用和配備符合能力水平要求的工作人員。
　　2.2.2 目標設定
　　目標設定是事項識別、風險評估和風險應對的前提。在管理當局識別和評估實現目標的風險并采取行動來管理風險之前，首先必須有目標。發電整體櫥柜企業應根據整體櫥柜企業的發展戰略和經營管理要求，確定恰當的信息安全管理目標。
　　在目標設定過程中，必須設定風險容限。風險容限是相對于目標的實現而言所能接受的偏離程度。風險容限能夠被計量，而且通常最好采用與相關目標相同的單位來進行計量。發電整體櫥柜企業在設定信息安全管理風險容限時，應針對不同信息系統分別設立。其中涉及安全生產的信息系統應設立嚴格的風險容限。
　　2.2.3 事項識別
　　發電整體櫥柜企業在信息安全管理過程中，必須識別給整體櫥柜企業信息安全帶來風險的各項內部、外部因素，必須詳細調查、分析帶來物理安全風險、網絡安全風險、系統安全風險和用戶安全風險的根源。
　　為有效識別帶來風險的各項內部、外部因素，常采用的事項識別方法或技術有：
　�。�1）根據以往的項目經驗總結的風險檢查清單（即事項目錄）；
　　（2）分析“原因及結果”（可能會發生什么，接著將發生什么）或“結果及原因”（什么樣的后果需要被避免，每一個后果是如何發生的）；