信息安全风险管控建设体系概述

2020-06-03门晓东

科学与信息化 2020年9期

门晓东

摘要风险管控能力是信息安全建设的核心竞争力，企业的发展要根据公司的战略和信息化发展的趋势，建设符合信息安全目标的信息安全方针，改变信息安全意识，由被动的信息安全向主动转变，由分散的信息安全防护向体系防护转变，由传统的静态信息安全防护向动态安全防护理念转变，同时从人、策略等多角度出发，加强风险管控能力体系建设，综合提高企业核心竞争力。

关键词信息安全;风险管控能力;安全防护

风险管控能力是信息安全建设的核心竞争力。中冶集团财务有限公司（以下简称“中冶财务公司”）作为中央企业非银行金融机构，它的信息安全建设，一方面必须符合监管机构相关标准和监管要求，另一方面，必须立足集团战略目标，并保障公司各种金融服务过程中的资金安全。为了实现以风险管控能力为核心的信息安全建设目标，中冶财务公司的信息安全建设在深入分析公司信息化现状基础上，根据公司发展战略、信息化发展趋势，建立了符合信息安全建设目标的信息安全方针、信息安全总目标，构建了以信息安全风险管控能力即信息安全管理能力、感知、防护和应急恢复能力为核心的建设思路和技术支撑平台。

1实现信息安全风险管控建设理念的“三个转变”

当今信息安全形势复杂多变，信息安全威胁不断推陈出新，信息安全风险事件频发。为了更有效地防范信息安全风险，实现风险管控能力的指导作用，中冶财务公司实现了信息安全防护的“三个转变”：由被动的信息安全防护向主动防护转变，由分散的信息安全防护向体系防护转变，由传统的静态信息安全防护向动态安全防护理念转变。

“动态防护”思路是中冶财务公司信息安全建设的核心理念，即结合设计和制定好的信息安全策略、信息安全防护体系，通过全体参与者的协同，从而实现防范风险、降低风险的信息安全风险管控目标。感知风险、防护风险、快速响应、风险集中管控是信息安全建设的核心[1]。

2确定信息安全风险管控能力建设的核心因素

2.1 人是信息安全风险管控能力的顶层设计

中冶财务公司形成了以公司领导、信息部门、人力资源部门为顶层设计的风险管控安全组织，通过全员共同参与，构建安全组织架构，实现人员安全管理的同时，也减少了人员带来的信息安全风险。

2.2 策略建设形成了信息安全的内部控制系统

中冶财务公司建立了风险管控能力体系建设的信息安全方针、策略、规范、标准和制度。这些策略指导人员开展信息安全活动，对人员行为起到了约束的行为规范，也是各类管理和技术措施建设的主要依据。这些策略的体系化的设计和制定，有力地对中冶财务公司的信息安全需求进行了梳理、设计和流程固化，最终形成公司信息安全管理的内部控制系统。

2.3 信息安全的管理活动

依据策略的体系化作用，指导了企业日常信息安全的管理活动，这些活动主要涉及三个方面：信息系统的设计、信息安全规划设计;信息信息系统和信息安全机制的建设实施;信息系统的安全运维、信息安全事件的监视和处理、信息安全事故的处置;信息安全管理活动是对信息安全策略中的管理措施的直接落实。当然，管理活动不仅需要人员的管理活动，同时必须依靠技术手段进行辅助，综合利用构建的信息安全技术措施，实现信息安全风险的管控。

2.4 信息安全的保护对象

信息安全风险管控，就是管理保护对象面临的威胁、脆弱性等安全属性。这些保护对象，物理环境、网络和主机、应用系统、数据，通过构建的安全防护、感知和响应恢复措施，结合保护对象自身安全措施的落实和能力提升，保障其处于持续安全状态。

3信息安全风险管控体系建设基本过程

通过信息安全策略的指导和信息安全技术的支撑下，中冶财务公司完成各类信息安全业务，包括管理活动、监督审计、检查、评估、检测、合规管理等方面实现全方位的风险管控。

3.1 信息安全战略规划的顶层设计

中冶财务公司根据企业发展规划形成了信息化发展规划，制定了信息安全的总体目标和发展战略，确保信息安全发展符合企业的整体发展。

3.2 制定信息安全管控策略

根据信息化发展现状，制定实现和满足信息安全目标和战略的信息安全总体策略，即，信息安全风险管控策略。

3.3 明确信息安全建设的分类和内容

根据信息安全总体策略，规划设计需要哪些信息安全管理工作支撑信息安全风险管控的落实和落地，明确信息安全工作的具体分类和信息安全工作的具体工作内容，其中包括设计信息安全组织结构、人员配备、职责和责任。

3.4 确定人员安全管理的各类机制和要求

依据设计的信息安全工作及其内容，结合中冶财务公司现有人员管理情况，完善人员安全管理的各类机制和要求，并根据信息安全组织结构、人员配备、职责和责任，制定人员安全管理制度、规范，或形成企业标准。