信息安全风险管理论文范文

本站小编为你精心准备了信息安全风险管理论文参考范文，愿这些范文能点燃您思维的火花，激发您的写作灵感。欢迎深入阅读并收藏。

一、信息安全风险管理的流程

立足于上述对于信息安全风险管理的界定，可以看出，就企业而言，信息安全风险管理就是企业通过对信息安全风险进行识别和评估，采取有效的措施控制信息安全风险管理的过程，以实现企业生产经营过程中的安全目标。基于此，信息安全风险的识别、信息安全风险的评估以及信息安全风险的控制是企业信息安全风险管理的主要步骤。具体而言，企业信息安全风险管理的流程包括四个步骤。第一步：确定信息安全风险管理的对象，从企业信息安全业务的目标和特点出发，确定信息安全风险管理的对象。第二步：信息安全风险评估。针对信息安全风险管理的对象，对企业信息安全风险进行识别和评价。第三步：信息安全风险控制。从企业信息安全风险评估的结果出发，选取合理的措施，对企业信息安全存在的风险进行控制。第四步：信息安全风险监控与反馈。通过测试、检查等手段，检验信息安全风险控制是否达到既定目标。如果与既定目标出现偏离，采取相应的措施进行修正，以不断完善信息安全风险控制手段。当企业受保护的信息安全系统所面临的外部环境发生变化之时，或者面临新的风险之时，需要再次进入上述四个步骤，形成新的一次循环。因此，上述四个步骤在保护企业信息安全的过程中，必须形成一个相对稳定的循环运动过程，以满足企业新的安全需求和应对信息的信息安全风险。

二、信息安全风险管理的标准

1.国际标准信息安全风险管理标准也是与信息安全风险管理密切相关的要素，当前，无论是国际上还是国内，针对信息安全风险管理，都出台了相应的标准，以指导信息安全风险管理工作。英国制定的BS7799标准可以说是当前世界范围内应用较广的信息安全风险管理标准，该标准由英国标准协会（BSI）在1995年第一次提出，并于2000年通过ISO的认可，成为了国际通用的标准。从内容维度上看，该标准分为两个部分，第一部分为《信息安全管理实施规则》，在该规则中提供了一套系统的信息安全管理实施规则，为信息安全的管理人员在采取信息安全管理措施时提供了参考。第二部分为《信息安全管理体系规范》，其中详细说明了信息安全管理体系与信息安全控制的要求，对于广大企业形成体系化的信息安全管理制度和组织架构起到了很好的推动作用。从两个部分的关系来看，BS7799标准提出了信息安全具体的控制措施，第二部分提出了信息安全控制的要求，因此可以确定该标准的第一部分为第二部分的具体实施提供了参考和指南。除了英国的BS7799标准，国际上通用的信息安全管理标准还有ISO/IEC15408-1999和OCTAVE标准。ISO/IEC15408-1999标准是当前国际上最通行的信息安全评估准则，该标准从信息的完整性、可用性以及机密性出发，论述了信息安全维护过程中所应遵循的标准为可控性、可审计性（责任可追查性），这对于企业进行信息安全系统的开发、生产、运营以及维护都具有很大的借鉴意义。而OCTAVE标准的重点为信息安全风险评估标准，该标准提出以资产驱动的评估方法来评估信息安全风险，依据组织所处的具体环境来构造信息安全系统组织的风险标准框架。但OCTAVE标准中的评估标准较为抽象，且极为繁琐，不利于相关企业在实际操作中采用。

2.国内标准在我国国内，信息安全风险管理所参照的标准主要是GB17859《安全保护等级划分准则》，这是我国目前计算机信息安全等级保护系列标准的核心，是我国以等级划分为依据保护信息安全制度建设的根基，同时也是信息安全风险评估参照的重要标准之一。在该标准中，从信息安全的等级出发，从低到高将信息安全等级分为5个等级，第一级是用户自主保护级，第二级是系统审计保护级，第三级是安全标记保护级，第四级是结构化保护级，第五级是访问验证保护级。其中高级别的信息安全要求是低级别要求的集合，信息安全等级越高，对于计算机系统的安全性要求越高。针对不同的级别，信息安全保护的指标主要有身份认同、数据完整性、责任审计、自主访问控制、强制访问控制、可信路径等，这些涵盖了不同级别的信息安全标准。从该标准来看，其信息安全保护的本质是从不同信息资产的等级出发，针对不同等级的信息资产采取不同程度的措施。对于企业来说，可以参照此种方法，通过将信息资产进行分类，对不同类别的信息采取不同的保护标准，以突出不同信息的重要程度。

作者：杨姗姗单位：武汉大学信息管理学院