隨著信息化的發(fā)展，信息化的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)管理問題已經(jīng)成為各個(gè)國家、國際組織所普遍關(guān)注的問題。如何進(jìn)行信息化的風(fēng)險(xiǎn)管理，保障網(wǎng)絡(luò)空間的安全也成為關(guān)系信息化能否健康發(fā)展的重大問題。

    風(fēng)險(xiǎn)指行動或者事件的結(jié)果的不確定性(uncertainty of outcome)，無論其結(jié)果是積極的機(jī)會還是消極的威脅。人們只能通過對這些不確定性發(fā)生的可能性，以及實(shí)際發(fā)生以后所產(chǎn)生的影響和后果來評價(jià)風(fēng)險(xiǎn)。在本報(bào)告中，信息化的風(fēng)險(xiǎn)被界定為信息化可能或者實(shí)際帶來的消極威脅。風(fēng)險(xiǎn)管理泛指確認(rèn)風(fēng)險(xiǎn)、評價(jià)風(fēng)險(xiǎn)、回應(yīng)風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)管理涉及復(fù)雜的結(jié)構(gòu)、機(jī)制、過程和制度安排，其目的在于盡可能地降低風(fēng)險(xiǎn)的發(fā)生以及風(fēng)險(xiǎn)發(fā)生以后所帶來的損失和威脅。

    信息化風(fēng)險(xiǎn)可劃分為個(gè)人用戶、企業(yè)、政府部門和國家四個(gè)層次。個(gè)人用戶和企業(yè)可能遭遇：設(shè)備、軟件、網(wǎng)絡(luò)、數(shù)據(jù)、服務(wù)、交易方面的六大類信息化風(fēng)險(xiǎn)。政府部門還可能遭遇基礎(chǔ)設(shè)施方面的風(fēng)險(xiǎn)。國家存在著：國家信息、國家機(jī)器的功能、國家資產(chǎn)、國家安全、國際關(guān)系與社會發(fā)展五個(gè)方面的風(fēng)險(xiǎn)。實(shí)際上，信息化風(fēng)險(xiǎn)的種類要遠(yuǎn)遠(yuǎn)超出上述范圍，并且將隨著信息化的發(fā)展而逐步升級和惡化。我們可以把信息化風(fēng)險(xiǎn)的主要特征歸納為四個(gè)方面：全球性，傳染性，復(fù)雜性，隱蔽性。

    信息化風(fēng)險(xiǎn)的生成機(jī)理是復(fù)雜的，一方面是內(nèi)因，由信息化自身的特點(diǎn)所決定：第一，信息化的無疆界特征；第二，信息化的低成本特征；第三，信息化的開放性特征；第四，信息化的匿名性特征。另一方面是外因，是信息化的風(fēng)險(xiǎn)源；我們把其中重要的歸納為十個(gè)方面：第一，自然災(zāi)害；第二，安全生產(chǎn)事故；第三，網(wǎng)絡(luò)攻擊；第四，借助信息化手段進(jìn)行欺詐；第五，病毒和蠕蟲；第六，內(nèi)部泄密；第七，使用不當(dāng)；第八，因內(nèi)部因素而造成的信息、數(shù)據(jù)的修改和丟失；第九，因外部因素造成信息、數(shù)據(jù)的泄露、篡改和丟失；第十，安全防范措施不到位的高端技術(shù)。

    從國際的經(jīng)驗(yàn)和我國的具體情況出發(fā)，我們認(rèn)為，對于信息化的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)的管理，我們應(yīng)確立以下基本的戰(zhàn)略和政策應(yīng)對之。

    一、明確政府的角色，強(qiáng)化信息化風(fēng)險(xiǎn)管理的責(zé)任

    第一，管制者的角色(Regulatory role)，對于那些個(gè)人或者企業(yè)、組織的風(fēng)險(xiǎn)會給其他人、企業(yè)、組織甚至于社會造成直接或者間接后果的，政府有必要采取管制或者其他的措施限制或者控制他們的活動或者行為；政府還要使那些使他人承擔(dān)風(fēng)險(xiǎn)的人或者組織承擔(dān)此種風(fēng)險(xiǎn)所導(dǎo)致后果的成本，不至于使他們轉(zhuǎn)嫁成本。第二，服務(wù)者的角色。在信息化的過程中所出現(xiàn)的一些風(fēng)險(xiǎn)，如大規(guī)模的自然災(zāi)害所導(dǎo)致的信息基礎(chǔ)設(shè)施的破壞；恐怖主義以及網(wǎng)絡(luò)恐怖主義的攻擊等等，政府需要采取直接的干預(yù)措施為社會提供直接的公共服務(wù)。政府干預(yù)的方式也主要有兩個(gè)方面：采取行動降低風(fēng)險(xiǎn)發(fā)生的可能性；采取行動降低風(fēng)險(xiǎn)發(fā)生以后的損失。第三，管理者的角色。在政府自身的事務(wù)領(lǐng)域，包括在政府行使職能，提供服務(wù)的過程中，政府有責(zé)任確認(rèn)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)。在信息化的過程中，政府自身便是風(fēng)險(xiǎn)的管理者。政府要在其管理的各個(gè)層面，如戰(zhàn)略層面、政策規(guī)劃層面、項(xiàng)目層面以及具體的管理運(yùn)作層面，全面實(shí)施風(fēng)險(xiǎn)的管理。作為風(fēng)險(xiǎn)的管理者，政府最主要的責(zé)任在于在各個(gè)層面的決策過程中，充分考慮到風(fēng)險(xiǎn)的因素，進(jìn)行決策的風(fēng)險(xiǎn)判斷。

    二、建立和發(fā)展信息化風(fēng)險(xiǎn)管理的文化

    高層領(lǐng)導(dǎo)支持和鼓勵(lì)風(fēng)險(xiǎn)管理；政府組織支持創(chuàng)新和承擔(dān)風(fēng)險(xiǎn)；有明確的風(fēng)險(xiǎn)管理的政策；有明確的風(fēng)險(xiǎn)管理的責(zé)任和責(zé)任機(jī)制；風(fēng)險(xiǎn)管理的政策和好處在所有的工作人員中得到充分的溝通和理解；風(fēng)險(xiǎn)管理充分地整合到組織管理的過程之中等。

    三、做好國家信息化的薄弱環(huán)節(jié)識別，減少信息化系統(tǒng)中的問題

    針對信息化風(fēng)險(xiǎn)的全球性和傳染性等特征，政府主管部門尤其要做好國家信息化薄弱環(huán)節(jié)的識別、彌補(bǔ)和防范工作。第一，完善風(fēng)險(xiǎn)識別的機(jī)制，將檢查定制為常規(guī)性工作，通過排查、采樣、比較、演習(xí)、試點(diǎn)等方法，定期評估系統(tǒng)的風(fēng)險(xiǎn)應(yīng)對能力，加強(qiáng)對薄弱環(huán)節(jié)的識別和認(rèn)識。第二，及時(shí)糾正所發(fā)現(xiàn)的問題，減少現(xiàn)存問題導(dǎo)致災(zāi)害的可能性。第三，在條件允許的情況下，將舊系統(tǒng)更換為問題更少、技術(shù)更成熟的新系統(tǒng)。

    四、通過有效的教育和培訓(xùn)提高和強(qiáng)化整個(gè)社會的信息化風(fēng)險(xiǎn)管理和安全意識與能力

    通過宣傳和教育計(jì)劃提升社會公民、法人和其他組織的風(fēng)險(xiǎn)意識和安全意識；通過專門的教育和訓(xùn)練計(jì)劃，培養(yǎng)風(fēng)險(xiǎn)管理、安全管理的專門人才以滿足信息化發(fā)展的需要；通過教育和訓(xùn)練計(jì)劃提高現(xiàn)有管理者的風(fēng)險(xiǎn)管理、安全管理的知識和能力；鼓勵(lì)企業(yè)、社會組織開展風(fēng)險(xiǎn)管理、安全管理的專業(yè)人員的培訓(xùn)和資格認(rèn)證。

    五、強(qiáng)化信息化相關(guān)的立法，建立有效的管制機(jī)制，以防止和化解信息化的風(fēng)險(xiǎn)

    從目前的情況來看，最迫切的工作便是加強(qiáng)以下方面的立法工作，《電子交易法和電子商務(wù)法》、《信息安全管理法》、《支付系統(tǒng)安全法》、《隱私法》、《網(wǎng)絡(luò)犯罪法》、《重要和敏感性信息保護(hù)法》、《重要信息基礎(chǔ)設(shè)施保護(hù)法》等的立法都與信息化的安全以及風(fēng)險(xiǎn)管理有著十分密切的關(guān)系。

    六、建立健全國家信息化的技術(shù)安全平臺，通過安全技術(shù)的發(fā)展保障信息化系統(tǒng)的安全

    從國際經(jīng)驗(yàn)而言，主要包括：訪問控制(Access control)，系統(tǒng)完整性控制(System integrity)，密碼控制(Cryptography)，審計(jì)和監(jiān)控(Audit and monitoring)，配置管理和保證(Configuration management and assurance)等技術(shù)。

    七、采取有效的措施，確保敏感性信息和國家重要信息基礎(chǔ)設(shè)施的安全

    政府要進(jìn)行敏感性信息的分類，并加強(qiáng)管理，以防止敏感性信息被惡意者所利用。維護(hù)重要的信息基礎(chǔ)設(shè)施的安全，應(yīng)該成為信息化風(fēng)險(xiǎn)管理的重點(diǎn)所在。

    八、保障政府系統(tǒng)的安全

    在信息化的過程中，政府的首要責(zé)任在于保障自身系統(tǒng)的安全。在這方面，首先是加強(qiáng)領(lǐng)導(dǎo)、健全組織、明確責(zé)任，各級政府及其部門都要建立IT治理結(jié)構(gòu)，并在此結(jié)構(gòu)中把安全治理結(jié)構(gòu)作為重要的組成部分；其次，要制定網(wǎng)絡(luò)安全的戰(zhàn)略、政策和具體措施，并保證他們能夠得到有效的實(shí)施；其三，要對政府系統(tǒng)所面對的威脅以及系統(tǒng)的問題進(jìn)行不斷的評估，以做出有效的回應(yīng)和解決。

    九、建立國家網(wǎng)絡(luò)空間安全的危機(jī)管理系統(tǒng)

    網(wǎng)絡(luò)空間的危機(jī)管理系統(tǒng)的主要職責(zé)在于：分析與評價(jià)，對網(wǎng)絡(luò)空間可能出現(xiàn)的各種風(fēng)險(xiǎn)、威脅、攻擊進(jìn)行分析與評價(jià)；預(yù)防與預(yù)警；進(jìn)行網(wǎng)絡(luò)安全事故的管理；回應(yīng)各種網(wǎng)絡(luò)安全事變，并且恢復(fù)和確保網(wǎng)絡(luò)空間以及重要的信息基礎(chǔ)設(shè)施的正常運(yùn)轉(zhuǎn)。

    十、通過信息的共享和廣泛的合作，化解信息化的風(fēng)險(xiǎn)

    確認(rèn)風(fēng)險(xiǎn)和威脅，并且及時(shí)向社會披露，共享有關(guān)風(fēng)險(xiǎn)和威脅的信息，可以有效地化解風(fēng)險(xiǎn)。網(wǎng)絡(luò)世界是跨越國界的。因此，國際社會之間的合作，包括政府之間，政府與國際組織之間，政府與民間組織的合作也是有效化解信息化風(fēng)險(xiǎn)的途徑。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：保障信息安全——信息化風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理研究

本文網(wǎng)址：http://www.oesoe.com/html/support/11121824448.html