信息安全風(fēng)險(xiǎn)管理及流程優(yōu)化

來源：    發(fā)布日期：2017.09.15   點(diǎn)擊量：

隨著互聯(lián)網(wǎng)的發(fā)展和網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，信息安全問題已經(jīng)成為每一個(gè)企業(yè)運(yùn)營管理中必須要考慮的一個(gè)問題。由于互聯(lián)網(wǎng)的開放性、便捷性以及業(yè)務(wù)對于IT技術(shù)的依賴性，企業(yè)信息可由諸多方面的原因造成輕易外泄，給企業(yè)的正常運(yùn)營帶來安全隱患。企業(yè)在充分利用IT技術(shù)，享受信息傳遞的方便快捷的同時(shí)，降低企業(yè)信息安全風(fēng)險(xiǎn)顯得尤為重要。

安言咨詢根據(jù)ISO27001：2013版風(fēng)險(xiǎn)評估新要求，采用ISO 31000:2009《風(fēng)險(xiǎn)管理—原則與指南》（國際標(biāo)準(zhǔn)化組織ISO/IEC 于2009年11月15日發(fā)布的國際標(biāo)準(zhǔn)）作為為客戶實(shí)施信息安全風(fēng)險(xiǎn)評估的主要標(biāo)準(zhǔn)依據(jù)。針對信息安全策略層面、信息安全管理層面、組織結(jié)構(gòu)和管理制度層面和信息安全技術(shù)四個(gè)方面提供全面的風(fēng)險(xiǎn)評估過程，識別、分析和處置相關(guān)信息安全風(fēng)險(xiǎn)，形成綜合性信息安全風(fēng)險(xiǎn)管理框架。

信息安全風(fēng)險(xiǎn)評估方法

安言咨詢通過完整的信息安全風(fēng)險(xiǎn)評估可以更加深入地闡明客戶方信息安全管理現(xiàn)狀，企業(yè)業(yè)務(wù)運(yùn)營的特定環(huán)境中存在的信息安全隱患，以及幫助客戶形成信息安全風(fēng)險(xiǎn)庫及評估模板，建立有效的風(fēng)險(xiǎn)管理工具，形成未來動(dòng)態(tài)的、可持續(xù)改進(jìn)的信息安全風(fēng)險(xiǎn)管理機(jī)制，進(jìn)而幫助客戶實(shí)現(xiàn)信息安全目標(biāo)。通過對潛在信息安全風(fēng)險(xiǎn)進(jìn)行量化分析和描述，以數(shù)字化的形式展現(xiàn)風(fēng)險(xiǎn)的影響范圍和發(fā)生的可能性，進(jìn)而幫助客戶確定信息安全管理建設(shè)的詳細(xì)需求和風(fēng)險(xiǎn)處置的投資成本收益。安言咨詢以在信息安全管理咨詢領(lǐng)域中的長期實(shí)踐為依據(jù)對信息安全風(fēng)險(xiǎn)評估提出下述實(shí)施要點(diǎn)：

強(qiáng)調(diào)特定業(yè)務(wù)環(huán)境中的風(fēng)險(xiǎn)來源和識別。業(yè)務(wù)流程和信息資產(chǎn)在企業(yè)的業(yè)務(wù)運(yùn)作中都是靜態(tài)資產(chǎn)，只有將兩者納入到特定的業(yè)務(wù)環(huán)境才能發(fā)現(xiàn)他們對于業(yè)務(wù)的支撐作用，安言咨詢的信息安全風(fēng)險(xiǎn)評估方法在識別業(yè)務(wù)流程和信息資產(chǎn)的基礎(chǔ)上，創(chuàng)新的加入了對業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)源的識別，從而使特定業(yè)務(wù)環(huán)境成為立體的、可見的風(fēng)險(xiǎn)控制模塊，同時(shí)在此基礎(chǔ)上，通過識別業(yè)務(wù)流程和信息資產(chǎn)的風(fēng)險(xiǎn)來源，從而精準(zhǔn)定位信息安全風(fēng)險(xiǎn)發(fā)生的可能性與影響程度，最終為客戶呈現(xiàn)一幅完整且準(zhǔn)確的風(fēng)險(xiǎn)處置菜單。

量化分析和評價(jià)信息科技風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處置的前提是理解風(fēng)險(xiǎn)對于企業(yè)業(yè)務(wù)的影響程度，也就是說在處置風(fēng)險(xiǎn)之前必須明確風(fēng)險(xiǎn)一旦發(fā)生，企業(yè)的業(yè)務(wù)會(huì)遭受什么樣的損失，以及這種情況發(fā)生的概率究竟有多大？這就離不開量化的分析和評價(jià)。安言咨詢的信息安全風(fēng)險(xiǎn)評估方法科學(xué)的利用了模糊理論和概率論方法，將定性的風(fēng)險(xiǎn)評估與定量的方法相結(jié)合，最終呈現(xiàn)給客戶一套數(shù)字化的風(fēng)險(xiǎn)評估結(jié)論，支撐客戶做出科學(xué)的風(fēng)險(xiǎn)處置決策。

區(qū)分風(fēng)險(xiǎn)優(yōu)先級，保障處置成本收益最大。風(fēng)險(xiǎn)處置并非故意而為，而應(yīng)使處置風(fēng)險(xiǎn)的成本收益與業(yè)務(wù)發(fā)展方向和重要性相符合，利用安言咨詢的信息安全風(fēng)險(xiǎn)評估方法中的影響范圍識別，可以清晰地呈現(xiàn)所識別的信息安全風(fēng)險(xiǎn)對于企業(yè)業(yè)務(wù)網(wǎng)絡(luò)的影響區(qū)間和作用深度，從而杜絕了常見風(fēng)險(xiǎn)評估方法僅根據(jù)風(fēng)險(xiǎn)的相對高低決定處置的優(yōu)先級，而忽略了非重要風(fēng)險(xiǎn)往往可能導(dǎo)致關(guān)鍵的業(yè)務(wù)模塊和流程不可用。

信息安全風(fēng)險(xiǎn)評估實(shí)施框架

根據(jù)信息安全風(fēng)險(xiǎn)評估結(jié)果，結(jié)合企業(yè)特有的風(fēng)險(xiǎn)承受偏好，安言咨詢將會(huì)至少從4方面為客戶實(shí)施信息安全管理機(jī)制優(yōu)化：

信息安全策略管理體系：建立信息安全管理方針與策略，加強(qiáng)對信息資產(chǎn)的有效管理，規(guī)定人員安全操作的流程與規(guī)范，制定系統(tǒng)配置標(biāo)準(zhǔn)、使用策略等。

信息安全組織管理體系：建立符合安全標(biāo)準(zhǔn)的組織機(jī)構(gòu)，包括跨部門的信息安全管理委員會(huì)、安全工作小組、第三方安全服務(wù)組織等。

信息安全運(yùn)行管理體系：建立日常安全運(yùn)行與維護(hù)機(jī)制，重點(diǎn)是建立運(yùn)行問題處理機(jī)制，形成完善的運(yùn)行保障機(jī)制，及時(shí)、準(zhǔn)確、快速地處理生產(chǎn)問題，強(qiáng)調(diào)執(zhí)行過程安全。

應(yīng)急恢復(fù)管理體系：建立基于信息安全管理層面IT系統(tǒng)及業(yè)務(wù)系統(tǒng)的應(yīng)急方案，控制事態(tài)發(fā)展，保障生命財(cái)產(chǎn)安全，恢復(fù)正常運(yùn)行狀態(tài)。

安言咨詢又會(huì)將上述四個(gè)體系包含的策略、制度、流程、操作指南等內(nèi)容分成四個(gè)層級：

信息安全管理制度層級圖

相關(guān)客戶案例：