隨著信息化的發(fā)展，信息化的風險與風險管理問題已經成為各個國家、國際組織所普遍關注的問題。如何進行信息化的風險管理，保障網絡空間的安全也成為關系信息化能否健康發(fā)展的重大問題。

    風險指行動或者事件的結果的不確定性(uncertainty of outcome)，無論其結果是積極的機會還是消極的威脅。人們只能通過對這些不確定性發(fā)生的可能性，以及實際發(fā)生以后所產生的影響和后果來評價風險。在本報告中，信息化的風險被界定為信息化可能或者實際帶來的消極威脅。風險管理泛指確認風險、評價風險、回應風險的過程。風險管理涉及復雜的結構、機制、過程和制度安排，其目的在于盡可能地降低風險的發(fā)生以及風險發(fā)生以后所帶來的損失和威脅。

    信息化風險可劃分為個人用戶、企業(yè)、政府部門和國家四個層次。個人用戶和企業(yè)可能遭遇：設備、軟件、網絡、數據、服務、交易方面的六大類信息化風險。政府部門還可能遭遇基礎設施方面的風險。國家存在著：國家信息、國家機器的功能、國家資產、國家安全、國際關系與社會發(fā)展五個方面的風險。實際上，信息化風險的種類要遠遠超出上述范圍，并且將隨著信息化的發(fā)展而逐步升級和惡化。我們可以把信息化風險的主要特征歸納為四個方面：全球性，傳染性，復雜性，隱蔽性。

    信息化風險的生成機理是復雜的，一方面是內因，由信息化自身的特點所決定：第一，信息化的無疆界特征；第二，信息化的低成本特征；第三，信息化的開放性特征；第四，信息化的匿名性特征。另一方面是外因，是信息化的風險源；我們把其中重要的歸納為十個方面：第一，自然災害；第二，安全生產事故；第三，網絡攻擊；第四，借助信息化手段進行欺詐；第五，病毒和蠕蟲；第六，內部泄密；第七，使用不當；第八，因內部因素而造成的信息、數據的修改和丟失；第九，因外部因素造成信息、數據的泄露、篡改和丟失；第十，安全防范措施不到位的高端技術。

    從國際的經驗和我國的具體情況出發(fā)，我們認為，對于信息化的風險以及風險的管理，我們應確立以下基本的戰(zhàn)略和政策應對之。

    一、明確政府的角色，強化信息化風險管理的責任

    第一，管制者的角色(Regulatory role)，對于那些個人或者企業(yè)、組織的風險會給其他人、企業(yè)、組織甚至于社會造成直接或者間接后果的，政府有必要采取管制或者其他的措施限制或者控制他們的活動或者行為；政府還要使那些使他人承擔風險的人或者組織承擔此種風險所導致后果的成本，不至于使他們轉嫁成本。第二，服務者的角色。在信息化的過程中所出現的一些風險，如大規(guī)模的自然災害所導致的信息基礎設施的破壞；恐怖主義以及網絡恐怖主義的攻擊等等，政府需要采取直接的干預措施為社會提供直接的公共服務。政府干預的方式也主要有兩個方面：采取行動降低風險發(fā)生的可能性；采取行動降低風險發(fā)生以后的損失。第三，管理者的角色。在政府自身的事務領域，包括在政府行使職能，提供服務的過程中，政府有責任確認風險和管理風險。在信息化的過程中，政府自身便是風險的管理者。政府要在其管理的各個層面，如戰(zhàn)略層面、政策規(guī)劃層面、項目層面以及具體的管理運作層面，全面實施風險的管理。作為風險的管理者，政府最主要的責任在于在各個層面的決策過程中，充分考慮到風險的因素，進行決策的風險判斷。

    二、建立和發(fā)展信息化風險管理的文化

    高層領導支持和鼓勵風險管理；政府組織支持創(chuàng)新和承擔風險；有明確的風險管理的政策；有明確的風險管理的責任和責任機制；風險管理的政策和好處在所有的工作人員中得到充分的溝通和理解；風險管理充分地整合到組織管理的過程之中等。

    三、做好國家信息化的薄弱環(huán)節(jié)識別，減少信息化系統(tǒng)中的問題

    針對信息化風險的全球性和傳染性等特征，政府主管部門尤其要做好國家信息化薄弱環(huán)節(jié)的識別、彌補和防范工作。第一，完善風險識別的機制，將檢查定制為常規(guī)性工作，通過排查、采樣、比較、演習、試點等方法，定期評估系統(tǒng)的風險應對能力，加強對薄弱環(huán)節(jié)的識別和認識。第二，及時糾正所發(fā)現的問題，減少現存問題導致災害的可能性。第三，在條件允許的情況下，將舊系統(tǒng)更換為問題更少、技術更成熟的新系統(tǒng)。

    四、通過有效的教育和培訓提高和強化整個社會的信息化風險管理和安全意識與能力

    通過宣傳和教育計劃提升社會公民、法人和其他組織的風險意識和安全意識；通過專門的教育和訓練計劃，培養(yǎng)風險管理、安全管理的專門人才以滿足信息化發(fā)展的需要；通過教育和訓練計劃提高現有管理者的風險管理、安全管理的知識和能力；鼓勵企業(yè)、社會組織開展風險管理、安全管理的專業(yè)人員的培訓和資格認證。

    五、強化信息化相關的立法，建立有效的管制機制，以防止和化解信息化的風險

    從目前的情況來看，最迫切的工作便是加強以下方面的立法工作，《電子交易法和電子商務法》、《信息安全管理法》、《支付系統(tǒng)安全法》、《隱私法》、《網絡犯罪法》、《重要和敏感性信息保護法》、《重要信息基礎設施保護法》等的立法都與信息化的安全以及風險管理有著十分密切的關系。

    六、建立健全國家信息化的技術安全平臺，通過安全技術的發(fā)展保障信息化系統(tǒng)的安全

    從國際經驗而言，主要包括：訪問控制(Access control)，系統(tǒng)完整性控制(System integrity)，密碼控制(Cryptography)，審計和監(jiān)控(Audit and monitoring)，配置管理和保證(Configuration management and assurance)等技術。

    七、采取有效的措施，確保敏感性信息和國家重要信息基礎設施的安全

    政府要進行敏感性信息的分類，并加強管理，以防止敏感性信息被惡意者所利用。維護重要的信息基礎設施的安全，應該成為信息化風險管理的重點所在。

    八、保障政府系統(tǒng)的安全

    在信息化的過程中，政府的首要責任在于保障自身系統(tǒng)的安全。在這方面，首先是加強領導、健全組織、明確責任，各級政府及其部門都要建立IT治理結構，并在此結構中把安全治理結構作為重要的組成部分；其次，要制定網絡安全的戰(zhàn)略、政策和具體措施，并保證他們能夠得到有效的實施；其三，要對政府系統(tǒng)所面對的威脅以及系統(tǒng)的問題進行不斷的評估，以做出有效的回應和解決。

    九、建立國家網絡空間安全的危機管理系統(tǒng)

    網絡空間的危機管理系統(tǒng)的主要職責在于：分析與評價，對網絡空間可能出現的各種風險、威脅、攻擊進行分析與評價；預防與預警；進行網絡安全事故的管理；回應各種網絡安全事變，并且恢復和確保網絡空間以及重要的信息基礎設施的正常運轉。

    十、通過信息的共享和廣泛的合作，化解信息化的風險

    確認風險和威脅，并且及時向社會披露，共享有關風險和威脅的信息，可以有效地化解風險。網絡世界是跨越國界的。因此，國際社會之間的合作，包括政府之間，政府與國際組織之間，政府與民間組織的合作也是有效化解信息化風險的途徑。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.ezxoed.cn/

本文標題：保障信息安全——信息化風險及風險管理研究

本文網址：http://www.ezxoed.cn/html/support/11121824448.html