(3)通過與項目風險干系人進行針對風險問題的訪談,這種方法有助于識別在通常的計劃活動中不易被發現的風險(即推進式的研討與訪談)。
2.2.4 風險評估
管理當局應從兩個角度——可能性和影響——對事項進行評估,并且通常采用定性和定量相結合的方法。在信息安全管理中,經常采用的是定性評估技術。整體櫥柜企業可對帶來風險的各項內部、外部因素進行風險評估,列舉出可能影響信息安全管理目標實現的一系列風險因素(潛在事項),并形成風險檢查清單。接著對風險評估清單中的各風險因素進行分析評估,評估的內容主要包括風險因素發生的可能性和影響程度。風險因素評估可通過調查問卷或專家研討會的形式進行。最后形成信息安全管理的風險評估矩陣圖,如圖1所示。
2.2.5 風險應對
在評估了相關的風險之后,管理當局就要確定如何應對。在考慮應對的過程中,管理當局評估對風險的可能性和影響的效果,以及成本效益,選擇能夠使剩余風險處于期望的風險容限以內的應對。
在信息安全管理中選擇風險應對措施時,對發生可能性大、影響程度大的風險以風險回避措施為主;對發生可能性小、影響程度大的風險以風險分擔措施為主;對發生可能性大、影響程度小的風險以風險降低措施為主;對發生可能性小、影響程度小的風險以風險承受措施為主。
(1)風險回避。在信息安全管理中,當判斷某項潛在事項的發生不可接受時,應采取風險回避措施。這通常是將信息安全管理的觸角前伸到信息化建設階段來實現,如通過選擇合適的軟件而回避軟件風險,或是在實施階段通過調整技術方案來回避相關的實施風險。
(2)風險降低。風險降低是信息安全管理中的重點工作,可借助于同行業的歷史經驗,或是尋求外部專家的咨詢服務,同時引入和采用先進的風險管理技術,建立系統的風險降低方法體系,在信息安全管理全過程中實施這一行為。具體可通過發布風險管理制度,強化流程化管理;或者有針對性地對關鍵人員進行風險教育和業務技能培訓;或是完善信息安全應急制度、優化數據備份和災后恢復策略等。
(3)風險分擔。風險分擔可分為保險型分擔和非保險型分擔。保險型分擔通常為購買財產險,以有效轉移物理安全風險所帶來的損失。非保險型分擔主要有充分利用供應商的質保條款,或是涉及運維業務外包時在合同中增加索賠性條款等。
(4)風險承受。通常在下列情況下采用風險承受的方法:①采取風險應對措施的成本大于承擔風險所造成的損失;②預計風險所造成的最大損失在主體風險容限以內;③缺乏風險應對能力,采取風險應對措施對風險的可能性和影響的效果輕微。在信息安全管理過程中,對于局部業務模塊,其發生風險時如帶來的風險很小,在整體櫥柜企業的風險容限范圍內,則可采取該風險應對策略。
2.2.6 控制活動
控制活動是幫助確保管理當局的風險應對得以實施的政策和程序。在信息安全管理中常用的控制活動包括制定相關的風險管理規定、明確不同崗位在風險管理中的職責并充分授權、對重要的潛在事項制定嚴格的審批流程、加強系統服務器機房的安全管理以及對數據庫進行異地備份等。
2.2.7 信息與溝通
一個組織中的各個層級都需要信息,以便識別、評估和應對風險,以及從其他方面去經營主體和實現目標。溝通的方式多樣,在信息安全管理中最普遍使用的方式有口頭溝通、書面溝通、會議溝通和非常規溝通等。
在信息安全管理中建立有效的溝通,需要具備如下的要素:
(1)制訂清晰、一致、適時的溝通方法和計劃;
(2)按計劃適時溝通,傳遞合適、一致及清晰的項目信息;
(3)充分理解溝通效果、參與及反饋,以取得廣泛的支持。
2.2.8 監控
整體櫥柜企業的風險管理隨著時間變化而變化。曾經有效的風險應對可能會變得不相關;控制活動可能會變得不太有效,或者不再被執行;整體櫥柜企業的目標也可能變化。風險監控可以通過持續的活動、個別評價或兩者結合來完成。
持續的活動主要來自經常性的管理活動,如向管理委員會定期提交工作報告和重要工作專項報告,由內部審計部門進行日常監督和審查等。
個別評價通常作為輔助,它提供一個考察持續監控程序的持續有效性的機會。對于信息安全管理,可在重要、關鍵的信息系統實施過程中,邀請有關專家集中對信息安全的潛在風險等進行審核和評估;上市的發電整體櫥柜企業也可在進行內部控制審計時,加強對信息安全管理有效性的審計監督。
3 結 語
信息安全管理是一個全過程、全方位、全員的風險管理。只要發電整體櫥柜企業依據COSO整體櫥柜企業風險管理整合框架的思路和方法建立信息安全管理體系,并確保風險管理八要素設計的完整性和合理性以及八要素的執行情況,那么整體櫥柜企業的信息安全管理就基本不會存在重大缺陷,風險被控制在管理當局的風險容限內。
本文利用 COSO整體櫥柜企業風險管理整合框架進行發電整體櫥柜企業信息安全管理體系的構建,主要是從管理層面進行探討分析,希望能夠為發電整體櫥柜企業的信息安全管理提供一定的思路。
主要參考文獻
[1]吳明珠,魏鵬飛.簡論電力整體櫥柜企業信息安全策略選擇[J].硅谷,2009(20).
[2][美]COSO.整體櫥柜企業風險管理——整合框架[M].方紅星,譯.大連.東北財經大學出版社,2005.
2.2.4 風險評估
管理當局應從兩個角度——可能性和影響——對事項進行評估,并且通常采用定性和定量相結合的方法。在信息安全管理中,經常采用的是定性評估技術。整體櫥柜企業可對帶來風險的各項內部、外部因素進行風險評估,列舉出可能影響信息安全管理目標實現的一系列風險因素(潛在事項),并形成風險檢查清單。接著對風險評估清單中的各風險因素進行分析評估,評估的內容主要包括風險因素發生的可能性和影響程度。風險因素評估可通過調查問卷或專家研討會的形式進行。最后形成信息安全管理的風險評估矩陣圖,如圖1所示。
2.2.5 風險應對
在評估了相關的風險之后,管理當局就要確定如何應對。在考慮應對的過程中,管理當局評估對風險的可能性和影響的效果,以及成本效益,選擇能夠使剩余風險處于期望的風險容限以內的應對。
在信息安全管理中選擇風險應對措施時,對發生可能性大、影響程度大的風險以風險回避措施為主;對發生可能性小、影響程度大的風險以風險分擔措施為主;對發生可能性大、影響程度小的風險以風險降低措施為主;對發生可能性小、影響程度小的風險以風險承受措施為主。
(1)風險回避。在信息安全管理中,當判斷某項潛在事項的發生不可接受時,應采取風險回避措施。這通常是將信息安全管理的觸角前伸到信息化建設階段來實現,如通過選擇合適的軟件而回避軟件風險,或是在實施階段通過調整技術方案來回避相關的實施風險。
(2)風險降低。風險降低是信息安全管理中的重點工作,可借助于同行業的歷史經驗,或是尋求外部專家的咨詢服務,同時引入和采用先進的風險管理技術,建立系統的風險降低方法體系,在信息安全管理全過程中實施這一行為。具體可通過發布風險管理制度,強化流程化管理;或者有針對性地對關鍵人員進行風險教育和業務技能培訓;或是完善信息安全應急制度、優化數據備份和災后恢復策略等。
(3)風險分擔。風險分擔可分為保險型分擔和非保險型分擔。保險型分擔通常為購買財產險,以有效轉移物理安全風險所帶來的損失。非保險型分擔主要有充分利用供應商的質保條款,或是涉及運維業務外包時在合同中增加索賠性條款等。
(4)風險承受。通常在下列情況下采用風險承受的方法:①采取風險應對措施的成本大于承擔風險所造成的損失;②預計風險所造成的最大損失在主體風險容限以內;③缺乏風險應對能力,采取風險應對措施對風險的可能性和影響的效果輕微。在信息安全管理過程中,對于局部業務模塊,其發生風險時如帶來的風險很小,在整體櫥柜企業的風險容限范圍內,則可采取該風險應對策略。
2.2.6 控制活動
控制活動是幫助確保管理當局的風險應對得以實施的政策和程序。在信息安全管理中常用的控制活動包括制定相關的風險管理規定、明確不同崗位在風險管理中的職責并充分授權、對重要的潛在事項制定嚴格的審批流程、加強系統服務器機房的安全管理以及對數據庫進行異地備份等。
2.2.7 信息與溝通
一個組織中的各個層級都需要信息,以便識別、評估和應對風險,以及從其他方面去經營主體和實現目標。溝通的方式多樣,在信息安全管理中最普遍使用的方式有口頭溝通、書面溝通、會議溝通和非常規溝通等。
在信息安全管理中建立有效的溝通,需要具備如下的要素:
(1)制訂清晰、一致、適時的溝通方法和計劃;
(2)按計劃適時溝通,傳遞合適、一致及清晰的項目信息;
(3)充分理解溝通效果、參與及反饋,以取得廣泛的支持。
2.2.8 監控
整體櫥柜企業的風險管理隨著時間變化而變化。曾經有效的風險應對可能會變得不相關;控制活動可能會變得不太有效,或者不再被執行;整體櫥柜企業的目標也可能變化。風險監控可以通過持續的活動、個別評價或兩者結合來完成。
持續的活動主要來自經常性的管理活動,如向管理委員會定期提交工作報告和重要工作專項報告,由內部審計部門進行日常監督和審查等。
個別評價通常作為輔助,它提供一個考察持續監控程序的持續有效性的機會。對于信息安全管理,可在重要、關鍵的信息系統實施過程中,邀請有關專家集中對信息安全的潛在風險等進行審核和評估;上市的發電整體櫥柜企業也可在進行內部控制審計時,加強對信息安全管理有效性的審計監督。
3 結 語
信息安全管理是一個全過程、全方位、全員的風險管理。只要發電整體櫥柜企業依據COSO整體櫥柜企業風險管理整合框架的思路和方法建立信息安全管理體系,并確保風險管理八要素設計的完整性和合理性以及八要素的執行情況,那么整體櫥柜企業的信息安全管理就基本不會存在重大缺陷,風險被控制在管理當局的風險容限內。
本文利用 COSO整體櫥柜企業風險管理整合框架進行發電整體櫥柜企業信息安全管理體系的構建,主要是從管理層面進行探討分析,希望能夠為發電整體櫥柜企業的信息安全管理提供一定的思路。
主要參考文獻
[1]吳明珠,魏鵬飛.簡論電力整體櫥柜企業信息安全策略選擇[J].硅谷,2009(20).
[2][美]COSO.整體櫥柜企業風險管理——整合框架[M].方紅星,譯.大連.東北財經大學出版社,2005.