信息科技風險管理論文

信息科技風險管理論文

　　信息科技是如今社會發展的潮流，以下是小編整理的信息科技風險管理論文，歡迎參考閱讀！

　　1企業信息安全風險管理的主要內容

　　開放、互聯的信息技術與信息安全就像一把雙刃劍。一方面，企業需要借助信息技術或信息系統集中信息并開放共享；另一方面，企業的核心信息資產又在不斷外泄，引發無數信息安全問題。一談到信息安全，首先想到的是網絡安全，比如防火墻、入侵檢測、漏洞掃描、數據加密等傳統意義上的網絡底層安全防護。但從廣義上來講，隨著信息化建設的不斷深入，企業的信息資產對經營的貢獻比重越來越大。尤其在信息訪問越加便捷的前提下，根據市場競爭的需要，企業需要源源不斷地將信息不同程度地開放給客戶、供應商、員工等，企業的信息資產也越來越暴露在更多的威脅之中。信息的三個安全特性，即完整性、保密性和可用性。

　�。�1）信息完整性風險管理。一方面，要保證信息在收集、加工過程中不能被惡意篡改、不能丟失、被竊取、損壞等；另一方面，也常為人忽視的是加工過程本身的科學性，需要防范因不恰當的加工方式而導致的數據失效或結果錯誤。

　�。�2）信息保密性風險管理。主要是指要保障沒有被授權的用戶無法使用信息系統，訪問相應的資源。防止該類用戶訪問、通過非法手段攻擊破壞企業信息資產。

　�。�3）信息可用性風險管理。主要是指保障被授權用戶可以順利、快速訪問信息資產，保障信息系統穩定性和可用性。以上三個特性，同時也是信息安全風險管理的主要內容，管理過程包括風險識別、風險評估和風險控制三個步驟。

　　2企業信息安全風險識別

　　由于涉及企業的核心信息資產，所以相應的信息安全風險點分布在企業管理的各個環節和層面。但是由于種種原因，目前國內企業對信息安全風險管理的認識仍不到位�？傮w來說，有以下主要問題，也是常見的信息安全風險管理的風險點。

　　（1）信息安全組織和制度保障不足。沒有有效的信息安全管理組織機構，就無法有效地制定、執行安全管理策略，更無法進行有效的信息安全協作。信息安全管理制度通常都有，但很少有單位能夠嚴格執行，信息安全的政策制定也常常不符合標準，導致可操作性比較差或者達不到控制的目的。

　�。�2）信息安全相關人員意識不足。信息安全雖然已經被很多企業提到戰略高度，但更多停留在口頭上和管理層。大部分企業人員比較缺乏信息安全意識，安全事件報告不及時；對各自崗位相關的信息資產職責了解不清，對信息系統的錯誤操作導致信息泄密的事件屢有發生；部門單位還存在因人員流動導致的信息資產不連續等問題。

　　（3）傳輸、存儲信息資產的設備與網絡存在安全隱患。部分企業存在網絡有安全漏洞、存儲設備老舊、數據資產缺乏備份機制等常見問題，一旦受到網絡入侵、病毒攻擊，或者發生硬件及性能問題，會導致信息資產大量泄漏或損壞。

　　（4）訪問控制及用戶權限管理存在漏洞。在信息系統的實施階段，為了便于用戶測試或其他目的，部分用戶權往往限過大。隨著系統正式上線及應用，相應權限又由于種種原因沒有調整，對信息安全也留下了比較大的隱患。

　�。�5）軟件系統及業務持續性風險。因為國產化和自主開發的趨勢逐漸確立，大量企業選擇自行開發軟件系統，由于軟件開發技術而導致軟件本身存在一定漏洞，相應的開發質量存在隱患，連帶的如運維、業務持續性風險均應相應考慮。

　　3企業信息安全風險評估和控制

　　考慮到每個企業均有自身特點，面臨的信息安全風險點也不同。按照通常的信息安全風險管理理論，在完成上節所述的風險識別之后，需要進行詳細的風險評估和風險控制。信息安全風險評估是指確認風險大小程度的過程，主要是要借用適當的風險評估工具和模型，包括定量的或者定性的方法，對信息安全風險點造成的影響進行評估，以確定風險的大小和控制方式。其主要目的是為了確定風險的大小并量化，從而可以采取適當的控制目標和控制方式開展風險控制工作。信息安全風險控制的作用體現在對組織信息安全的保障上，其有效性體現在當企業面臨信息安全風險時對風險控制的有效程度，換句話說，在信息安全風險評估的基礎上，考驗控制力度的有效性就是損失的程度，損失的越少越有效。反之，則控制無效。另一方面，信息安全風險控制也是需要成本的，控制力度大小與成本通常成正比關系，而且在達到一定程度之后，控制力度增長比例較小可能帶來成本大幅增加。因此，信息安全風險控制的總體目標，是以最小的投入將信息安全面臨的風險控制在組織可接受的范圍內。

　　4結語

　　信息安全已經上升為國家戰略。對于國內企業來說，信息安全也日益重要，尤其對于高科技企業及涉及國計民生的大型國有企業，信息往往是企業的核心資產。拿筆者所在企業來說，大量的研發成果日益依賴信息技術，大量的內部經營決策通過信息系統流轉。任何一個數據或者信息的泄漏，一旦被競爭者竊取，將給公司帶來不可估量的損失。有效做到信息安全可知、可控、可承受，關系到企業的生死存亡，需要引起所有企業管理者和員工的充分重視，并采用一切可能手段加以保護。

【信息科技風險管理論文】相關文章：

探討企業稅務風險管理思考論文02-22

建筑企業稅務風險管理研究論文02-21

風險管理學士論文03-06

風險管理與精算畢業論文選題03-28

物流企業的稅務風險管理論文02-21

管理風險控制論文參考文獻11-15

云計算信息存在風險及應對策略論文02-24

盈余管理與審計風險控制論文文獻12-08

建筑工程安全風險管理問題探究論文02-19