淺談安全生產之信息風險管理體系的構建論文

時間：2025-12-19 22:59:37 信息安全畢業論文

　　隨著經濟全球化的不斷發展，特別是企業對信息化依賴程度的增強，信息風險已超出傳統的技術問題范疇，已屬于企業業務風險的一個部分，本文主要論述納入安全生產風險管理體系中的信息風險管理體系的構建。

淺談安全生產之信息風險管理體系的構建論文

　　1影響信息風險的因素

　　影響信息風險的因素主要包括外部環境、內部環境、風險管理能力、信息相關能力等。

　　外部環境主要包括市場和經濟因素、同行及競爭、地理環境、法規遵從環境、技術狀態和創新、威脅領域，市場和經濟因素是企業安全生產的行業因素。比如，金融業的運營與制造業的運營對信息化有不同的需求以及不同的IT能力。

　　內部環境主要包括企業目標、信息化對企業業務的戰略重要性、信息架構的復雜程度、企業的復雜性、業務變更的深度、業務變更管理能力、風險管理哲學和價值觀、安全生產模式、經濟能力以及信息化在企業戰略中的優先級等。安全生產模式關系到企業獨立運營的程度或與它的客戶/供應商相關聯、集中化/非集中化程度，企業文化決定了企業需要變更以能夠有效進行風險管理，經濟能力主要表示企業當優化風險時，對支持、強化和維護IT環境的財務能力。

　　風險管理能力是衡量企業實施關鍵風險管理流程和相關動力水平的一個指標。可以通過運用風險記錄卡來度量。動力績效指標越好，則風險管理能力水平越高。對于企業風險事件的頻率和影響，風險管理能力是一個非常重要的元素，因為它負責管理風險決策，以及在企業內建立和實施有效控制，它主要包括治理風險和管理風險兩個方面。

　　信息相關能力與IT流程以及所有其他動力的能力相關。對于不同動力的一個高成熟度等于高的IT能力，它能夠正面影響:降低事件的頻率，如實施了好的軟件開發流程將交付高質量和穩定的軟件或實施了一個好的安全度量將減少安全相關事故的數量;減輕事件發生時對業務的影響，如針對災難的發生，具有一個良好的業務持續性計劃IT災難恢復計劃。IT流程包括評價、指導和監管、與業務一致、計劃和組織、建立、獲取和實施、交付、服務和支持以及監管、評價和評估等五個管理職能域中的37個流程實踐。風險場景庫類別主要包括項目組合建立和維護、項目/項目群生命周期管理 (項目/項目群的啟動、開發和獲取、交付、質量、中比)、信息化投資決策制定、IT經驗和技能、員工運營 (人力錯誤和惡意企圖)、信息(數據破壞、損壞、泄露和訪問)、企業架構(架構版本和設計)、基礎設施 (硬件、操作系統和控制技術)(選擇、實施、運行和退運)、軟件、信息系統的業務所有權、供應商選擇/績效、合同遵從、服務中比或轉移、法規遵從、地緣政治層面、基礎設施被盜或破壞、惡意軟件、邏輯攻擊、環境、大自然行為、創新等。

　　2信息業務風險庫

　　在信息化的服務、交付和支持階段，建立起的信息業務風險庫主要包括以下方面:事件和事故管理業務節點包括提交事件、事件記錄分類、識別范圍、地市識別事件范圍、一線處理、解決事件與否、事件解決情況、現場處理、處理情況、審批情況、后臺處理、是否解決事件、申請掛起、掛起事件、解掛事件、是否發起其他流程、關閉事件、初步確認事件影響范圍、統一解釋口徑、確認是否向省公司升級、向省公司服務臺通報、標不大范圍事件并向用戶解釋等。主要存在的風險包括IT系統停工期的增加、客戶滿意度的降低、客戶不知道事件報告的程序、復發問題沒有解決、不是所有的事件都被跟蹤、事件優先級未反映業務需求、事件未及時解決、服務臺的運營操作沒有支持業務活動、客戶對所提供的服務不滿意、事件未及時解決、客戶中斷服務時間增加等。

　　管理用戶請求業務節點主要包括提交咨詢或請求、嘗式解答咨詢、解決咨詢或請求、咨詢支持升級或轉派任務、用戶評價、升級、給出咨詢答案、轉派事件、判斷用戶反饋情況并處理結果。存在的風險主要包括對硬件和軟件的未授權變更、訪問管理忽略業務需求并且損害業務關鍵系統的安全、未對所有系統規定安全需求、違反職責分離和危害系統信息等。

　　管理配置項業務節點主要包括操作系統管理、硬件信息管理、中間件信息管理、數據庫信息管理、軟件信息管理、操作系統管理。存在的風險主要是配置項信息維護職責不明確，導致信息更新不及時。

　　管理服務級別SLA業務節點主要包括編制服務目錄、提出業務需求、制定服務級別策略、編制服務級別協議、簽訂服務級別協議、發布服務目錄、召開年度評審會議、制定年度服務改進計劃。存在的風險包括用戶和服務提供者不理解各自的職責、不恰當的優先權授予不同的服務提供、不恰當交付的服務、為提供的服務授予不恰當的優先權、對提供的IT服務有不同的解釋和誤解、由于期望和實際能力的差距導致糾紛、低效率和昂貴的運行服務、無法滿足客戶的服務需求;服務交付資源的無效和低效使用;無法識別和響應關鍵服務事件、由于過時的合同導致不能滿足商業和法律需求、由于服務偏差導致經濟損失和事件等。

　　管理問題業務節點主要包括問題記錄、判斷是否問題、判斷提審方案是否能過變更實現、實施方案、啟動變更管理流程、確認記錄解決結果、啟動知識管理流程、問題跟蹤與升級等。存在的風險包括IT服務的中斷、問題重復發生的可能性增加、問題和事件沒有及時解決、對主動的問題和事件管理，缺乏問題和事件及解決方案的審計跟蹤、事件重復發生、問題和事件重復發生、未恰當解決的關鍵事件、業務中斷、服務質量不足等。

　　3控制措施

　　在事件和事故管理業務采取的控制措施包括堅持對客戶進行滿意度回訪，并針對用戶提出的問題及其自身IT服務的不足，進行整改，努力提升服務質量;及時跟進事件處理情況并向用戶進行反饋;對于復發事件需要進行分析、找出根源，啟動問題管理流程，從而減少事件復發的幾率;加強對服務臺人員的事件分類標準、優先級，按標準化準確分類;服務臺經理加強對事件單的處理進程的全程跟蹤，對當前處理人應實時跟蹤進展情況;加強運維人員的溝通能力和技術能力;事件經理監控所有事件并協調處理未解決事件。

　　在管理用戶請求中采取的控制措施包括嚴格按照規章制度進行，禁止進行未授權的變更;加強對業務需求的分析以及業務關鍵系統的安全，審核請求的合規性;按照各系統安全需求，拒絕違反系統安全需求的請求;加強各運維人員的職責分離意識，堅決杜絕違反職責分離;加強對請求的審查力度，杜絕一切危害系統的請求。

　　在管理配置制頂中采用的控制措施主要包括相關的信息維護需要明確到具體崗位;嚴格把關機房進出制度、工作票制度;完善業務和技術服務目錄，明確配置項負責人，加強審查力度。

　　管理服務級別SLA采取的控制措施主要包括服務目錄必須包括服務需求、服務定義、SLA. OLA、資金來源;建立一個包括開發、審核和調整服務目錄或服務組合的流程;建立一個確保服務目錄或組合是有用的、完整的和及時更新的管理流程;定期審查服務目錄和服務組合;建立一個檢查程序，使SLA的目標和績效測量與業務目標和IT政策一致;SLA必須包括例外事項、商業協議和OLA; SLA的改進和調整流程是基于用戶和業務的需求的績效反饋和變更;SLA形式和內容必須經所有利益相關方同意;SLA需正式批準和適當簽署。

　　管理問題的控制措施包括建立被適當工具支持的能滿足需要的流程，以識別和分類問題;建立和維護用于問題分類和優先權的已建立的標準，確保這種分類與解決和容忍問題的服務承諾或組織單元職責相一致;開發用來生成問題管理報告的報告工具;問題報告必須包括以下內容:分析根本原因的問題文檔、問題所有者和解決責任的識別、問題狀態信息。問題解決后，需經利益相關方確認，問題只有被利益相關方確認解決后才被關閉。

　　4結語

　　綜上所述，本文先分析了當前影響企業信息風險的因素，進而論述了我企業根據現實情況所建立的信息業務風險庫和控制措施，當前很多企業已經認識到了信息風險的重要性，也采取了一些具體的針對措施，但是很多措施在使用中仍然存在一些不可預測的問題，這些還需要更多的人努力去解決。

【淺談安全生產之信息風險管理體系的構建論文】相關文章：

部隊信息安全保密風險管理探究論文06-04