安全生产风险管理体系中信息风险管理系统建设,信息管理论文.docx

《安全生产风险管理体系中信息风险管理系统建设,信息管理论文.docx》由会员分享，可在线阅读，更多相关《安全生产风险管理体系中信息风险管理系统建设,信息管理论文.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全生产风险管理体系中信息风险管理系统建设,信息管理论文随着经济全球化的不断发展,十分是企业对信息化依靠程度的加强,信息风险已超出传统的技术问题范畴,已属于企业业务风险的一个部分,本文主要阐述纳入安全生产风险管理体系中的信息风险管理体系的构建. 1 影响信息风险的因素 影响信息风险的因素主要包括外部环境、内部环境、风险管理能力、信息相关能力等.外部环境主要包括市场和经济因素、同行及竞争、地理环境、法规遵从环境、技术状态和创新、威胁领域,市场和经济因素是企业安全生产的行业因素.比方,金融业的运营与制造业的运营对信息化有不同的需求以及不同的IT能力. 内部环境主要包括企业目的、信息化对企业业务的战

2、略重要性、信息架构的复杂程度、企业的复杂性、业务变更的深度、业务变更管理能力、风险管理哲学和价值观、安全生产形式、经济能力以及信息化在企业战略中的优先级等.安全生产形式关系到企业独立运营的程度或与它的客户/供给商相关联、集中化/非集中化程度,企业文化决定了企业需要变更以能够有效进行风险管理,经济能力主要表示企业当优化风险时,对支持、强化和维护IT环境的财务能力. 风险管理能力是衡量企业施行关键风险管理流程和相关动力水平的一个指标.能够通过运用风险记录卡来度量.动力绩效指标越好,则风险管理能力水平越高. 对于企业风险事件的频率和影响,风险管理能力是一个非常重要的元素,由于它负责管理风险决策,以及

3、在企业内建立和施行有效控制,它主要包括治理风险和管理风险两个方面. 信息相关能力与IT流程以及所有其他动力的能力相关.对于不同动力的一个高成熟度等于高的IT能力,它能够正面影响:降低事件的频率,如施行了好的软件开发流程将交付高质量和稳定的软件或施行了一个好的安全度量将减少安全相关事故的数量;减轻事件发生时对业务的影响,如针对灾难的发生,具有一个良好的业务持续性计划/IT灾难恢复计划.IT流程包括评价、指导和监管、与业务一致、计划和组织、建立、获取和施行、交付、服务和支持以及监管、评价和评估等五个管理职能域中的37个流程实践.风险场景库类别主要包括项目组合建立和维护、项目/项目群生命周期管理(项

4、目/项目群的启动、开发和获取、交付、质量、中止)、信息化投资决策制定、IT经历体验和技能、员工运营(人力错误和恶意企图)、信息(数据毁坏、损坏、泄露和访问)、企业架构(架构版本和设计)、基础设施(硬件、操作系统和控制技术)(选择、施行、运行和退运)、软件、信息系统的业务所有权、供给商选择/绩效、合同遵从、服务中止或转移、法规遵从、地缘政治层面、基础设施被盗或毁坏、恶意软件、逻辑攻击、环境、大自然行为、创新等. 2 信息业务风险库 在信息化的服务、交付和支持阶段,建立起的信息业务风险库主要包括下面方面:事件和事故管理业务节点包括提交事件、事件记录分类、辨别范围、地市辨别事件范围、一线处理、解决事

5、件与否、事件解决情况、现场处理、处理情况、审批情况、后台处理、能否解决事件、申请挂起、挂起事件、解挂事件、能否发起其他流程、关闭事件、初步确认事件影响范围、统一解释口径、确认能否向省公司升级、向省公司服务台通报、标示大范围事件并向用户解释等.主要存在的风险包括IT系统停工期的增加、客户满意度的降低、客户不知道事件报告的程序、复发问题没有解决、不是所有的事件都被跟踪、事件优先级未反映业务需求、事件未及时解决、服务台的运营操作没有支持业务活动、客户对所提供的服务不满意、事件未及时解决、客户中断服务时间增加等. 管理用户请求业务节点主要包括提交咨询或请求、尝式解答咨询、解决咨询或请求、咨询支持升级或

6、转派任务、用户评价、升级、给出咨询答案:、转派事件、判定用户反应情况并处理结果.存在的风险主要包括对硬件和软件的未受权变更、访问管理忽略业务需求并且损害业务关键系统的安全、未对所有系统规定安全需求、违背职责分离和危害系统信息等. 管理配置项业务节点主要包括操作系统管理、硬件信息管理、中间件信息管理、数据库信息管理、软件信息管理、操作系统管理.存在的风险主要是配置项信息维护职责不明确,导致信息更新不及时. 管理服务级别SLA业务节点主要包括编制服务目录、提出业务需求、制定服务级别策略、编制服务级别协议、签订服务级别协议、发布服务目录、召开年度评审会议、制定年度服务改良计划.存在的风险包括用户和服

7、务提供者不理解各自的职责、不恰当的优先权授予不同的服务提供、不恰当交付的服务、为提供的服务授予不恰当的优先权、对提供的IT服务有不同的解释和误解、由于期望和实际能力的差距导致纠纷、低效率和昂贵的运行服务、无法知足客户的服务需求;服务交付资源的无效和低效使用;无法辨别和响应关键服务事件、由于过时的合同导致不能知足商业和法律需求、由于服务偏差导致经济损失和事件等. 管理问题业务节点主要包括问题记录、判定能否问题、判定提审方案能否能过变更实现、施行方案、启动变更管理流程、确认记录解决结果、启动知识管理流程、问题跟踪与升级等.存在的风险包括IT服务的中断、问题重复发生的可能性增加、问题和事件没有及时解

8、决、对主动的问题和事件管理,缺乏问题和事件及解决方案的审计跟踪、事件重复发生、问题和事件重复发生、未恰当解决的关键事件、业务中断、服务质量缺乏等. 3 控制措施 在事件和事故管理业务采取的控制措施包括坚持对客户进行满意度回访,并针对用户提出的问题及其本身IT服务的缺乏,进行整改,努力提升服务质量;及时跟进事件处理情况并向用户进行反应;对于复发事件需要进行分析、找出根本源头,启动问题管理流程,进而减少事件复发的几率;加强对服务台人员的事件分类标准、优先级,按标准化准确分类;服务台经理加强对事件单的处理进程的全程跟踪,对当下处理人应实时跟踪进展情况;加强运维人员的沟通能力和技术能力;事件经理监控所

9、有事件并协调处理未解决事件. 在管理用户请求中采取的控制措施包括严格根据规章制度进行,禁止进行未受权的变更;加强对业务需求的分析以及业务关键系统的安全,审核请求的合规性;根据各系统安全需求,拒绝违背系统安全需求的请求;加强各运维人员的职责分离意识,坚决杜绝违背职责分离;加强对请求的审查力度,杜绝一切危害系统的请求. 在管理配置制顶中采用的控制措施主要包括相关的信息维护需要明确到详细岗位;严格把关机房进出制度、工作票制度;完善业务和技术服务目录,明确配置项负责人,加强审查力度. 管理服务级别SLA采取的控制措施主要包括服务目录必须包括服务需求、服务定义、SLA、OLA、资金来源;建立一个包括开发

10、、审核和调整服务目录或服务组合的流程;建立一个确保服务目录或组合是有用的、完好的和及时更新的管理流程;定期审查服务目录和服务组合;建立一个检查程序,使SLA的目的和绩效测量与业务目的和IT政策一致;SLA必须包括例外事项、商业协议和OLA;SLA的改良和调整流程是基于用户和业务的需求的绩效反应和变更;SLA形式和内容必须经所有利益相关方同意;SLA需正式批准和适当签署. 管理问题的控制措施包括建立被适当工具支持的能知足需要的流程,以辨别和分类问题;建立和维护用于问题分类和优先权的已建立的标准,确保这种分类与解决和容忍问题的服务承诺或组织单元职责相一致;开发用来生成问题管理报告的报告工具;问题报

11、告必须包括下面内容:分析根本原因的问题文档、问题所有者和解决责任的辨别、问题状态信息.问题解决后,需经利益相关方确认,问题只要被利益相关方确认解决后才被关闭. 4 结束语 综上所述,本文先分析了当下影响企业信息风险的因素,进而阐述了我企业根据现实情况所建立的信息业务风险库和控制措施,当下很多企业已经认识到了信息风险的重要性,也采取了一些详细的针对措施,但是很多措施在使用中仍然存在一些不可预测的问题,这些还需要更多的人努力去解决. 以下为参考文献 1 ISACA.IT 鉴证指南:使用COBIT. 2 ISACA.COBIT5 Framework. 3 ISACA.RISK IT. 4 ISACA.COBIT5 FOR RISK.