信息安全风险管控建设体系概述
2020-06-03门晓东
门晓东
摘 要 风险管控能力是信息安全建设的核心竞争力,企业的发展要根据公司的战略和信息化发展的趋势,建设符合信息安全目标的信息安全方针,改变信息安全意识,由被动的信息安全向主动转变,由分散的信息安全防护向体系防护转变,由传统的静态信息安全防护向动态安全防护理念转变,同时从人、策略等多角度出发,加强风险管控能力体系建设,综合提高企业核心竞争力。
关键词 信息安全;风险管控能力;安全防护
风险管控能力是信息安全建设的核心竞争力。中冶集团财务有限公司(以下简称“中冶财务公司”)作为中央企业非银行金融机构,它的信息安全建设,一方面必须符合监管机构相关标准和监管要求,另一方面,必须立足集团战略目标,并保障公司各种金融服务过程中的资金安全。为了实现以风险管控能力为核心的信息安全建设目标,中冶财务公司的信息安全建设在深入分析公司信息化现状基础上,根据公司发展战略、信息化发展趋势,建立了符合信息安全建设目标的信息安全方针、信息安全总目标,构建了以信息安全风险管控能力即信息安全管理能力、感知、防护和应急恢复能力为核心的建设思路和技术支撑平台。
1实现信息安全风险管控建设理念的“三个转变”
当今信息安全形势复杂多变,信息安全威胁不断推陈出新,信息安全风险事件频发。为了更有效地防范信息安全风险,实现风险管控能力的指导作用,中冶财务公司实现了信息安全防护的“三个转变”:由被动的信息安全防护向主动防护转变,由分散的信息安全防护向体系防护转变,由传统的静态信息安全防护向动态安全防护理念转变。
“动态防护”思路是中冶财务公司信息安全建设的核心理念,即结合设计和制定好的信息安全策略、信息安全防护体系,通过全体参与者的协同,从而实现防范风险、降低风险的信息安全风险管控目标。感知风险、防护风险、快速响应、风险集中管控是信息安全建设的核心[1]。
2确定信息安全风险管控能力建设的核心因素
2.1 人是信息安全风险管控能力的顶层设计
中冶财务公司形成了以公司领导、信息部门、人力资源部门为顶层设计的风险管控安全组织,通过全员共同参与,构建安全组织架构,实现人员安全管理的同时,也减少了人员带来的信息安全风险。
2.2 策略建设形成了信息安全的内部控制系统
中冶财务公司建立了风险管控能力体系建设的信息安全方针、策略、规范、标准和制度。这些策略指导人员开展信息安全活动,对人员行为起到了约束的行为规范,也是各类管理和技术措施建设的主要依据。这些策略的体系化的设计和制定,有力地对中冶财务公司的信息安全需求进行了梳理、设计和流程固化,最终形成公司信息安全管理的内部控制系统。
2.3 信息安全的管理活动
依据策略的体系化作用,指导了企业日常信息安全的管理活动,这些活动主要涉及三个方面:信息系统的设计、信息安全规划设计;信息信息系统和信息安全机制的建设实施;信息系统的安全运维、信息安全事件的监视和处理、信息安全事故的处置;信息安全管理活动是对信息安全策略中的管理措施的直接落实。当然,管理活动不仅需要人员的管理活动,同时必须依靠技术手段进行辅助,综合利用构建的信息安全技术措施,实现信息安全风险的管控。
2.4 信息安全的保护对象
信息安全风险管控,就是管理保护对象面临的威胁、脆弱性等安全属性。这些保护对象,物理环境、网络和主机、应用系统、数据,通过构建的安全防护、感知和响应恢复措施,结合保护对象自身安全措施的落实和能力提升,保障其处于持续安全状态。
3信息安全风险管控体系建设基本过程
通过信息安全策略的指导和信息安全技术的支撑下,中冶财务公司完成各类信息安全业务,包括管理活动、监督审计、检查、评估、检测、合规管理等方面实现全方位的风险管控。
3.1 信息安全战略规划的顶层设计
中冶财务公司根据企业发展规划形成了信息化发展规划,制定了信息安全的总体目标和发展战略,确保信息安全发展符合企业的整体发展。
3.2 制定信息安全管控策略
根据信息化发展现状,制定实现和满足信息安全目标和战略的信息安全总体策略,即,信息安全风险管控策略。
3.3 明确信息安全建设的分类和内容
根据信息安全总体策略,规划设计需要哪些信息安全管理工作支撑信息安全风险管控的落实和落地,明确信息安全工作的具体分类和信息安全工作的具体工作内容,其中包括设计信息安全组织结构、人员配备、职责和责任。
3.4 确定人员安全管理的各类机制和要求
依据设计的信息安全工作及其内容,结合中冶财务公司现有人员管理情况,完善人员安全管理的各类机制和要求,并根据信息安全组织结构、人员配备、职责和责任,制定人员安全管理制度、规范,或形成企业标准。
3.5 信息安全风险的感知、防护和应急恢复能力的建设
设计符合中冶财务公司的信息安全技术体系框架。在框架中明确未来一定时期内将采用的各类安全机制,并对安全机制进行基本分类,形成对威胁、脆弱性和风险能够快速感知的技术机制群,对脆弱性进行加固、对威胁和风险进行抵御防护的技术机制群,对安全事件快速响应和应急处置的技术机制群。
设计多层纵深防御的信息安全防护体系和能力。建立多层次防护体系,识别不同类型的威胁和风险进行防御。当信息安全事件发生时,应急恢复能力能够将信息系统从威胁和风险中快速解救或恢复。并通过信息安全技术快速响应安全事件、及时中断攻击行为,获取攻击证据,及时恢复应用系统正常运行。
4提升风险管控能力的活动
提高信息安全管控能力和水平需要有两个特殊管理活动的参与:
4.1 持续开展信息安全监督审計
持续开展的监督审计、检查评估、检测合规管理,进行面向基础设施、重要信息系统、安全管理活动各类指标和内容的检测、检查和合规审计。
4.2 动态开展信息安全风险评价
动态地对信息安全状态及风险情况进行评价分析活动,实现信息安全威胁、风险、脆弱性的实时监测和分析,并能给出某时刻的信息安全状态。
通过对风险管控提升了信息安全能力即管理能力、感知能力、防护能力及应急响应恢复能力,为中冶财务公司信息安全治理能力提供了有力支撑。
风险管控能力是衡量信息安全建设的核心竞争力的重要标志,也是防范中冶财务公司信息安全系统性风险,保障公司资金运营安全,促进公司金融业务健康可持续发展的法宝。
参考文献
[1] 网络环境下的信息安全[J].通讯世界,2019,(5):130-131.