网络信息系统的安全应建设在风险评估的基础之上,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。
随着信息化的发展,信息化风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题,目前,这个问题已得到各个国家和国际组织的普遍关心。特别是伴随着国内对信息化风险问题的认识越来越深入,在国家层面上也越来越重视。但是与欧美等发达国家相比,我国在信息化风险管理方面还存在相当大的差距。
了解信息化风险
信息化风险的主要特征可以归纳为四点: 全球性,传染性,复杂性,隐蔽性。全球性的风险指的是像病毒这样的风险扩散起来往往是全球性的,而复杂性则是因为信息安全非常庞大、复杂。导致信息化的风险有很多因素,但笔者认为,基本原因是内因。这是由于信息化自身的无疆界、低成本和开放性等特点所决定的。当然,信息化风险还包括一些外部因素,如自然灾害、误操作和安全生产事故,以及病毒、蠕虫及网络攻击等。
信息安全风险问题是一个国际问题,但每个国家都有自己的特点。要做好风险的管理必须了解国内信息安全的特点。我国的信息化风险的特点大致可以归纳为以下几个方面:
1.战略能力不足,规划不明确。目前,我们的信息化建设缺乏项目的建设战略、缺乏项目的中长期发展规划、缺乏明确项目发展步骤、缺乏项目的阶段性和绩效标准。
2.领导与组织能力不到位,统筹协调不力。首先,领导对风险管理的重视不足,忽视了信息化项目的高风险等固有问题,而且,还普遍存在跨部门信息化进程的协调问题。现在,我们国内的信息化建设中比较突出的是条块分割、行业之间的跨部门协调等问题。
3.投资管理的能力比较差,项目管理体系不成熟,资金的预算和管理能力差。
此外,还有人力资源不足,缺乏信息安全风险管理的人才和能力,以及法律与政策的不足,比如缺少保护隐私、数据安全等方面的法律和规范。
如何应对风险
那么,该如何应对信息安全风险呢?笔者认为主要应该从以下几方面着手: 第一,应建立信息安全风险的应对战略和政策。我们应该明确政府的角色,强化信息安全风险管理的责任; 第二,建立和发展信息安全风险管理的文化; 第三,做好国家信息安全的薄弱环节识别,减少信息化系统的问题; 第四,通过有效的教育和培训,提高和强化整个社会的信息安全风险管理和安全意识能力; 第五,强化信息化相关的立法,建立有效的管理机制,以防止和化解信息安全风险; 第六,建立健全国家信息化的技术安全平台,通过安全技术保障信息系统的安全。信息安全应该是管理和技术并重才行。以前说七分管理,三分技术。有管理,没有一定的技术支持肯定是不行的,但光有技术,管理不到位肯定也是不行的; 第七,采取有效的措施,确保敏感信息和国家重要信息基础设施的安全; 第八,保障政府系统的安全。这是非常重要的,在2001年中美黑客大战中,70%~80%被“黑”的网站是政府网站; 第九,建立国家网络空间安全的危机管理系统; 第十,通过信息的共享和广泛的合作,化解信息安全风险。
要应对安全风险,首先要确切掌握网络和信息系统的安全程度,分析安全威胁来自何方,安全风险有多大,风险评估就是解决这一问题的重要方法和基础性工作。
系统的安全性可以通过风险大小来衡量,科学地分析系统的保密性、完整性、程序性方面面临的问题,发现危险的主要位置,就能在风险的预防、减少、转移、补偿和分散上做出决策,最大限度地控制和化解安全风险。实际上,我们都知道安全和效率是互相矛盾的,如何在安全和效率之间进行平衡,这是风险评估中一个非常重要的内容。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
我国风险评估工作还应该立足国情,以我为主,突出重点,整合资源,并遵守以下原则:国家指导,政府监管,统一规范,分类指导,突出重点,兼顾一般,军民结合,分工协作,逐步建成有中国特色的风险评估体系,为全面提高国家的安全保障能力而服务。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
