信息平台风险评估体系探索
【最新资料,WORD文档,可编辑修改】
第 1 页 共 13 页
信息平台风险评估体系探索
信息化作为企业经济的支撑,在加快实现企业信息化建设的过程中,越来越关注信息化项目的合理性、有效性、经济性、可用性和安全性。在这种需求的推动下,信息系统风险评估走上了企业风险控制的前台,成为企业信息化项目治理的重要组成部分。
运用先进的评估方法,逐步完善信息系统风险评估的流程,建立适合我们行业风险特征的评估的模型,并通过信息系统风险评估的手段,保障信息资产的安全、数据的完整、提高信息系统的效率,可以使我们不断加强信息系统风险管理和内部控制,以适应风险环境日益复杂化的需要,以确保信息系统安全、稳定、有效运行。 2 企业信息系统风险分析 2.1企业信息系统基本特征
企业不断完善信息管理系统,实现信息系统的电子化、网络化,使企业的信息系统具有了新的特点。 1)企业业务系统的特点
第一,是系统支持的业务特性和业务功能。即指系统提供的功能应该较为全面强大,且有一定的针对性,完全满足企业现有业务应用的需要。
第 2 页 共 13 页
第二,是系统的易用性。即指界面友好,易学易用;随功能可见在线联机帮助;有应用快捷通道;可根据工作特性和喜好定制个性化功能界面及菜单选项;以图形方式呈现业务流程及系统功能,以引导操作者顺利快捷的操作;可根据业务逻辑特点及关注程度将业务数据信息进行联动。
第三,是系统的稳定性和高可用性。即指系统是否能够长期稳定地给予用户应用请求的及时反馈。主要包括:是否基于成熟的平台开发;是否经过数百个实际客户应用的检验;在运行中能否给予客户均稀响应,当用户数量达到一定量时,响应速度会否降低或者死机;会不会出现数据丢失现象;有没有防止因误操作对数据造成损害的保护措施;对客户录入的数据是否有合法性判定等。
第四,是系统的可适用性和灵活性。通常系统技术实现的架构,决定了系统是否适用性和灵活性。主要包括:系统的业务流程及输入输出表单是否可自定义、报表格式及报表输出文件格式;查询条件,相关计算公式,数据来源等是否可自定义;系统数据表格字段能否自定义重构等;能否支持客户端的多样性从而无需编程就能满足不同行业和不同企业个性化需要,以及企业未来发展对新业务或业务改造的应用需要。
第五,是系统的扩展性。即指系统是否易于扩展或与其他系统易于集成(在企业当中总是存在多个系统,而企业的业务是相关关联的,所以存在将系统集成的客观需求)。
第六,是系统的易维护和易管理性。即指系统易维护和管理,通过配置就可以实现;数据可备份恢复,防止系统崩溃带来的损失;软件界面、皮肤、菜单、功能都可定义等。
第 3 页 共 13 页
第七,是系统的安全性。即指系统能否很好地处理和应对来自各层面存在的安全问题。 2)信息系统的构成
主要业务系统包括营销信息系统、专卖管理系统、办公自动化系统、财务系统、人力资源系统等等。 3)网络拓扑分析
2.2信息系统风险的特点
业务处理中对及时性和可靠性的特殊需求,使得信息系统风险体现出明显的行业特征。
1)信息系统风险的业务特点
第 4 页 共 13 页
网络和安全技术的飞速发展,使得信息技术越来越成为整个企业管理和业务需求的有力支撑。因此企业对数据完整性要求极高,对业务和数据的可用性、安全性,以及对业务中断和数据丢失等事故的防范和处理要求十分严格。
2)信息系统风险的技术特点
企业开展信息化的时间较长,其应用系统较为普及,但长期来,信息系统相对较为封闭。近年来,随着信息系统的要求越来越高,信息系统不断整合,数据的集中,对网络依赖程度越来越高。 3)信息系统风险的现状
信息系统本身固有的风险在加大。行业是信息化技术与产品相对密集的行业,由于信息化规模的不断扩大,信息技术迅速发展,信息系统所采用信息技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而对信息系统的机密性、完整性及可用性产生损害。
数据集后使信息系统风险不易分解。数据集中后信息系统风险增大,系统一旦出现问题,将影响到整个行业的正常运营。人员的风险成为最大的风险。统计结果表明,在信息安全事故中,只有20%~30%是由于其他外部原因造成的,70%~80%是由于内部员工的疏忽造成的。 3信息系统风险评估模型设计
第 5 页 共 13 页
3.1信息系统风险评估的现状与趋势
信息系统风险评估已得到国际社会的普遍重视,风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现,风险评估作为保证信息安全的重要基石发挥着关键作用。
我国的信息系统风险评估工作目前还处于起步阶段,还没有形成一套成形的专业规范,缺少一支能够全面开展信息系统风险评估的人才队伍。目前我国所进行的一些信息系统风险评估的探索和尝试以及开发的一些计算机审计软件还大都停留在对被评估单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动的应用范围,运用传统的信息技术和风险评估知识已经不能实现真正意义上的“风险基础模式”的风险评估,这些都影响到我国IT治理和信息系统风险控制的实施。
随着行业经营管理活动对信息技术的高度依存,信息科技风险控制已成为行业风险管理的重要内容,并需要从战略的角度将信息系统与实现公司治理的总体目标紧密联系在一起。因此,解析信息系统风险评估的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到行业信息系统风险评估的有效方法,由此,实现信息系统风险评估在行业的飞跃。
3.2行业信息系统风险评估模型的设计
在目前所应用的风险控制与评估模型中,基本区分为两类,一类是基于业务风险控制的风险评估模型,这类模型的基础是传统的风险评估理
第 6 页 共 13 页
论,因此更加注重于业务流程的控制和业务的风险管理;另一类是关注于技术控制的风险评估模型,这类模型建立在相关的信息安全标准之上,主要考虑的是技术的实现架构和实现方式,评估系统的技术风险。 企业在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。因此,必须结合业务风险模型和技术风险模型的相关方法,通过分析系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,完成系统弱点和安全威胁的定性分析,在信息系统内部风险各要素之间建立风险评估模型。
信息系统的风险评估模型由三个基本元素组成,分别是核心业务系统、信息系统风险管理和风险评估的方法和技术。
核心业务系统是业务运转的基础,是固有风险的体现,它通过硬件平台的支撑、应用软件的设计、数据资源的管理,实现业务职能。 信息系统风险管理,是控制剩余风险的能力。它主要包括系统建设风险控制、系统数据完备性、系统功能实现、业务流程风险控制、数据迁移等6个方面。
风险评估的方法和技术,是风险评估和控制的手段。它针对信息系统风险管理的需求和特点,采用不同的风险评估方法和技术,识别固有风险和剩余风险,对信息系统进行整体风险的评估。 4信息系统风险评估模型的实现
第 7 页 共 13 页
4.1风险评估的实现框架
企业随时面对遭遇伤害和损失的可能性,而这些风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点来确定。实现信息系统风险评估模型,需对信息资产的识别,进行威胁分析和弱点分析,实现框架如图所示。
风险评估模型实现框架
信息资产不仅包括硬件设备,还包括应用软件和信息系统的相关人员。信息资产的识别与赋值可以通过普查和调查的方式实现。
第 8 页 共 13 页
信息系统的威胁来源于内部风险的管理和外部风险环境的变化,通常使用的手段包括:用户访谈、异常行为检测、日志分析等方法进行分析。 弱点来源于信息系统的安全与业务安全需求的不匹配,弱点分析的方法有:应用软件评估、网络构架评估、人工评估、工具扫描、安全管理审计、策略评估等。
4.2风险评估的实施步骤
信息系统风险评估的实施主要有如下步骤: 1)对信息系统风险战略进行分析
首先应建立信息系统风险战略,并在内部发布和维护,以对信息安全的支持与承诺,使其与企业的业务发展相一致。
信息系统风险评估必须对信息系统业务支持的可行性进行分析,了解技术发展的内外部状况和管理层对信息技术的支持度等情况,评价信息系统风险战略是否与业务发展战略相一致。如图所示,首先需要确定总风险和剩余风险;其次把确认的风险进行排序,建立战略风险和流程风险项目;最后确定流程执行的效力。
第 9 页 共 13 页
信息系统风险战略及流程分析
2)对风险评估内容进行详细定义。
建立信息系统风险评估范围的表格,如该项评估所包含的系统、人员、资源等。对信息系统的运行进行评估,如主机系统、硬件设备、人员管理、灾难备份、权限管理等。
建立信息系统流程评估表格,如主流程、次流程、流程所对应的操作;流程中的主要固有风险、风险的控制手段等。 3)明确审计的技术和步骤。
确定信息系统审计需要使用的技术和技术使用的步骤,常用的测试技术有现场观察、访谈、审阅、再执行、知识评估等。
第 10 页 共 13 页
4)出具审计报告。
对信息系统进行测试后,出具评估报告。评估报告应包括信息系统的基本情况、面临的内外部风险、评估所发现的问题、对评估发现事项提出的建议。
5)风险问题的跟踪和跟进。
评估完成后,对发现的问题需根据问题的重要性和对象,提出报告并跟踪解决。 5 结束语
将业务评估模型和技术评估模型相结合,建立一套基于信息系统风险评估评估模型与实施方法,可以避免传统评估模型应用在风险评估上的片面性。并通对企业的资产、威胁、脆弱性、风险进行识别,发现控制缺陷、漏洞和以前从信息系统内部看不到的潜在风险,提出有效的解决方案,帮助企业建立健全内部控制制度,并根据业务发展的需要,明确信息化建设的目标和内容,不断调整现有的信息系统管理架构和流程,使其更好地服务于企业的业务管理。
第 11 页 共 13 页
第 12 页 共 13 页
第 13 页 共 13 页
关于信息平台风险评估体系探索课件知识
