信息安全风险管理框架研究

【前言】信息安全风险管理框架研究由文秘帮小编整理而成，但愿对你的学习工作带来帮助。信息安全的解决不仅要要依靠技术，更应当加强安全方面的管理。只有建立有效的信息安全管理体系，对信息安全进行正确的分析评估，制定出相应的策略并实施控制，才能保证信息系统和信息资源的安全。 二、信息安全风险管理的一般过程概况 至目前为止，信息安全风险管理没...

摘要：伴随着计算机和网络技术的发展，信息安全越来越引起人们的重视。为保护企业的信息资产安全，为企业发展提供了一个安全的环境，对信息安全进行风险评估和风险管理是必须的。文章论述了信息安全风险管理的发展及其相关的一些标准，给出了一个综合的信息安全风险管理框架，从四个方面对信息安全风险管理进行了分析。

关键词：信息安全；风险管理；信息安全风险管理框架

中图分类号：G203 文献标识码：A 文章编号：1001-828X（2012）02-00-01

一、引言

20世纪90年代以来，计算机技术以及网络技术的发展把人类带入了信息时代，信息技术被广泛应用到各个领域，给人类社会的发展带来巨大的生产力，信息技术正逐步改变着人类的生产方式和生活方式，社会的发展对信息资源的依赖程序越来越高。然而由于环境的开放性以及信息系统自身的缺陷等因素，导致信息面临着巨大的安全隐患。如何保护信息安全逐步成为人们关注的焦点。

信息安全的解决不仅要要依靠技术，更应当加强安全方面的管理。只有建立有效的信息安全管理体系，对信息安全进行正确的分析评估，制定出相应的策略并实施控制，才能保证信息系统和信息资源的安全。

二、信息安全风险管理的一般过程概况

至目前为止，信息安全风险管理没有通用的管理方法、管理模式。不同的标准有着各自的风险评估方法和管理流程，下面文章分析了一些主要的标准的风险管理方法。

1.英国的BS7799，英国标准协会(BSI)颁布《信息安全管理实施细则》，形成了BS7799的基础。之后经过改版成为国际标准。BS7799提供了一个对组织有效进行信息安全风险管理的公共基础，体现了信息安全的“三分技术，七分管理”的原则。

2.AS/NZS4360：1999《风险管理指南》是澳大利亚和新西兰两个国家联合开发的风险管理标准，第一版于1995年，是在全世界内制定最早、影响最大、并且被国际标准组织(ISO)的国家性风险管理标准。

3.NIST SP800-30风险管理标准，是美国国家技术标准局(NIST)于2002年的信息技术风险管理指南，风险管理包括三个过程：风险评估、风险缓解、再评价及评估。

此外，有关风险管理和风险评估的理论和方法有许多，比如微软的The Security Risk Management Guide(《信息安全管理指南》)，美国卡耐基・梅隆大学开发的风险评估方法OCTIVE，系统安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Model)等。还有许多企业或个人参考标准开发的一些风险评估工具等。

三、一种综合的风险管理框架

近年来，许多学者指出需要建立一种综合的信息安全风险管理的方法以减少传统的风险管理方法的一些不足。文章提出一个综合的信息安全风险管理的框架，如图1所示。

框架将风险管理分为四个方面，四个角度，涵盖了风险管理风险评估的所有的内容。

框架的第一部分是标准规范，这是进行风险评估的指导性文件。

第二部分是工具技术，包括数学的模型、统计学的方法、相关的工具以及开发的计算机软件，还有操作中的某些经验等。

第三部分是过程步骤，这是一个动态的角度来分析风险管理。将把信息安全风险管理分为风险规划、风险识别、风险评估、风险决策、风险实施、风险评价等六个阶段。

第四部分是风险管理的对象，企业组织中的人员、资产(主要指物理设备)和资产赖以存在的环境构成了实体层，企业的信息安全既要依靠技术，更要注重管理，管理则主要体现于策略中。而最终的目标都是保证企业的核心业务能正常运转，不会受到信息安全风险的影响。各层内部之间也存在着相互关系。在实体层如人力管理、人员培训，对资产的管理需要分类分级别进行、要落实到人，资产设备的安全则有赖于周围的环境，比如安全边界的划分，电力、温度湿度的保障等。而这些都含有策略因素。此外，环境包括硬环境和软环境，软环境的因素也部分影响着策略的选择，如相关的法律法规、相关的知识产权、个人隐私权等也会影响组织的策略，组织在制定策略时不能与之冲突。在管理层，策略与技术是相互补充的，一些策略的实现离不开技术，比如不同层次的人员具有不同的访问控制权限，信息安全的保障也需要信息技术本身。技术本身也需要一定的管理。在目标层，保持核心业务的连续性，不受干扰是组织的目标。因此需要不断地进行风险管理和风险评估。

四、总结

信息安全对组织的重要性是不言而喻的，对信息安全管理不仅是技术层面的问题，更是管理层面的事件。本文给出的信息安全风险管理综合框架涵盖了风险管理的各个方面，为企业的风险评估和风险管理提供一些有益的帮助。

参考文献：

[1]BS 7799-1,Information Security Management. Code of Practice for Information Security Management System, British Standards Institute,1999.

[2]Australian/New Zealand Standard AN/NZS 4360:Risk Management[S].1999.

[3]NIST SP800-30, Risk Management Guide for Information Technology Systems[S].2002.

[4] Microsoft. The Security Risk Management Guide[S].2004.

[5]ISO/IEC TR 13335-1 Management of Information and Communications technology Security- -part1:Concepts and models of IT Security[S].1997.1.

[6] uccato,A.,Holistic security management framework applied in electronic commerce. Computer&Security 26(1), p256-265.

[7]吕俊杰.信息安全风险管理方法及应用.知识产权出版社,2010-6.

作者简介：刘文臣（1974-），男，山东招远人，工程师，从事电子商务和电子政务、信息安全方向的研究。