信用风险管理措施篇1
关键词:外贸企业;信用风险管理;防范措施
中图分类号:F752文献标志码:a文章编号:1673-291X(2013)02-0148-02
加入世贸组织和世界经济一体化,给我国外经贸事业的发展带来了前所未有的机遇。与之相伴随的却是,中国出口企业日益陷入海外应收账款“黑洞”。相关统计资料显示,中国出口企业的海外应收账款累计至少超过1000亿美元,相当于中国2004年总出口额的1/5,而且这种海外呆坏账正在以每年150亿美元的速度增加。外贸企业的很多利润被坏账所吞噬,使得许多外贸企业不堪重负,甚至破产倒闭;有的即使能够维持经营,在经营中也常常进退维谷,阻碍了企业的正常发展。另一种极端情况就是部分外贸企业由于惧怕坏账风险采取非常谨慎的信用政策,甚至宣称对非信用证业务一律不做,结果限制了业务的发展。
在与各国经贸往来中我国外贸企业并未充分重视客户信用风险的管理,在对外贸易客户信用风险管理上的欠缺造成的债务拖欠和应收账款问题已成为外贸企业发展的瓶颈。
一、外贸企业客户信用风险特征
下面结合美国邓白氏公司中国代表对我国外贸企业大量逾期应收账款问题的调查报告数据,对我国外贸企业客户信用风险的特征进行结构分析,从更深层次上理解我国外贸企业客户信用风险的现状。
从来源结构看,我国对外贸易客户信用风险的来源以海外华人公司为主。从我国国际贸易拖欠案件所涉及的海外公司性质看,我国的外贸信用风险主要是由海外华人客户带来的。笔者认为,这些为数不多的海外华人,包括港、澳、台地区的华人以及少数原籍中国大陆后来移居海外的华人具有与中国同族同种和语言相通的优势,他们对中国的国内经济环境比较熟悉,了解到我国处于由计划经济体制向市场经济体制转变过程中,各方面的管理仍不完善,存在着各种法律、管理漏洞,外贸企业内部的信用风险防范意识和信用风险管理能力薄弱。同时,他们又抓住我国部分外贸企业领导存在着的一定急功近利和或多或少的崇洋的心态,使得部分海外华人进口商可以肆意拖欠我国外贸企业货款,或诈骗屡屡得手,诈骗成功率要高于一般外国进口商。
从起因结构看,我国对外贸易客户信用风险的直接起因以恶意欺诈为主。具体结构为:有意欺诈的拖欠款占60%;产品质量、数量或交货期有争议的占25%;属于我方外贸企业交易严重失当及管理失误的占10%;交易人员私下默契、台底交易的占2.5%;其他性质的占2.5%。我国对外贸易的过半货款拖欠是由客户的恶意欺诈引起,而非人们通常理解的主要是由诸如产品质量或货期等贸易纠纷引起。
从外贸企业性质结构看,我国对外贸易客户信用风险导致的国际拖欠所涉及的企业以国内的全资中资企业为主体。具体结构为:80%来自国内的企业,其中的50%为国有外贸企业,30%为私营外贸企业;另外的20%来自三资企业。从企业结构中,我们可以明显了解到我国外资外贸企业的信用风险管理意识和水平相对要优于中资的外贸企业。
从客户新旧特征看,过半数的国际货款拖欠由老客户造成。根据邓白氏国际(上海)信息咨询公司1997年度受理的我国398件国际应收账款追讨案件的统计显示,其中的200个案件是由老客户产生的,而非人们通常理解的国际货款拖欠主要由资信不良的新客户造成。
二、外贸企业客户信用风险的成因分析
透过以上表面数据,我们可以看出,造成我国外贸企业风险损失的原因除了企业主体信用管理观念的严重缺乏外,来自企业产权制度的影响也是至关重要的。具体来说,我国外贸企业客户信用风险成因主要体现在以下几个方面。
(一)相关部门缺乏信用风险管理意识
由于从政府到企业信用风险管理意识都比较淡漠,对信用管理工作重视不够,导致政府对企业缺乏政策引导和有效支持;有的企业虽然感到信用风险管理需要,但苦于所知不多无从下手,且成本较高,在本来利润率不高的情况下不愿为此支付费用,进而产生畏难情绪,甚至干脆漠视不管。目前中国出口企业的坏账率超过5%,而发达国家企业却只有0.25%—0.5%的水平,国际平均水平也只在1%左右。中国企业出口中遇到的很多困难,一开始并不是对方存心拖欠,而是中国企业自己出现制度和管理失误。
(二)外贸企业产权不明晰
产权不明晰使得很多国有外贸企业管理者为了应付上级主管部门业绩考核,不顾企业长远利益,盲目赊销;有的企业迫于市场竞争压力,单纯追求销售额增长,盲目打价格战。这些行为导致了企业应收账款上升,销售费用上升、负债增加,呆账坏账增加,效益下降,偏离了最终利润这一企业最主要的目标。强化企业信用管理,就是要在销售收入增长和风险控制这两个目标之间寻求协调一致,保证最终利润这一根本目标的实现。
(三)企业内部职责不明确
在我国外贸企业现有的管理职能中,应收账款的管理职能基本上是由销售部和财务部这两个部门承担的。然而在实践中这两个部门却常常职责分工不清,不能形成协调与制约机制,容易造成外贸企业在客户开发、信用评估、合约签订、资金安排、组织货源、品质监督、租船订舱、制单结汇等诸多贸易环节出现决策失误并导致信用损失。外贸企业内部职责不明确已成为企业账款拖欠趋势得不到有效抑制的根本原因。
(四)信用管理方法落后
目前,我国外贸企业业务人员信用风险防范意识薄弱,信用风险防范手段单一,没能掌握或运用现代先进的信用管理技术和方法。对客户的信用风险缺少评估和预测,交易中往往是凭主观判断作决策,缺少科学的决策依据。在销售业务管理上,由于缺少信用额度控制,在一定程度上给企业销售人员违规经营、违章操作,甚至与客户勾结留下可乘之机。在账款回收工作上更是缺少专业化的方法。
(五)在全球金融危机的新形势下,外贸企业面临的出口信用风险在加剧
1.随着金融危机不断蔓延扩散,海外买家信用风险加大。国际市场大宗商品价格的暴跌,导致国外买方收货付款意愿陡降、买方违约风险急剧升高。部分国家和地区的信贷紧缩也加大了这些企业拖欠货款甚至赖账的风险。同时,大量企业还将直接面对海外买家的破产危机。
2.在危机的冲击下,海外违约风险加大。一些国家的对外偿付能力、担保有效性、汇率政策的稳定性等都将受到较大影响。随着金融危机对实体经济伤害的不断加大,违约风险的滞后作用将不断显现。
3.危机爆发以来,国外银行的信用风险加大。曾经的国际一流银行频繁陷入困境,以往对贸易中较为安全的信用证结算方式难以为继。随着众多大型商业银行信用等级的急剧降低,信用证交易的收汇风险在不断加剧。
4.出口企业之间的竞争将更激烈。随着国际市场需求进一步萎缩,一些企业为争夺市场可能置出口收汇风险于不顾冒险签约出口。
各种迹象都说明,全球信用风险正在金融危机下升高。
三、加强外贸客户信用风险管理的对策建议
通过以上分析,我们清晰地看出现今我国外贸企业已不是单纯的信用管理技术、手段的缺失,还包括有企业组织结构不协调,和相应企业文化落后等诸多因素制约外贸企业客户信用风险管理的建立和实施。
我国外贸企业可依据自身条件选择实施以下的对策:(1)大型外贸企业可成立客户信用风险管理专职机构来建立健全并贯彻实施科学的客户信用风险管理制度;(2)中小型外贸企业可考虑实施信用管理委托制。具体做法有以下几方面。
(一)做好商业资信调查
预防商业欺诈,还要充分利用现代信息技术,减少商业欺诈的发生。这就要求外贸企业除了尽快提高自己的业务水平外,还要认真考虑建立自己的一套有效的信息情报网络,建立信息渠道。
在国际贸易中,当事人在订立合同前,未能充分利用可得的情报并进行详尽的调查,被认为是导致商业欺诈发生的根本原因。从东方国际保理中心所办理的欺诈案件中可以看出,在有些情况下,只要了解一下未来的贸易伙伴的资信能力和履约信用、支付能力等,就完全可以防止欺诈的发生。
(二)强化合同的规范化管理
双方的责任一定要在合同中明确规定,合同用语要严谨、准确、前后一致。要加强公章、合同的管理,杜绝乱盖公章、空白合同书到处飞的现象。也要抵住“低价、特殊优惠、回扣”的诱惑,切记天下没有免费的午餐。要做到这点,企业应培养自己的高素质的谈判代表,他们要廉洁奉公,要懂法律、经济、航运等方面的知识,有较长的工作经验。
(三)严格履行合同,尽量减少中间环节
合同一经签订,要妥善保存合同原件,保留与对方往来的信函、文件等,以备后用。合同生效后,我方就应根据合同条款履行约定的义务并保留履约的所有证据。因为,只有自己严格履行了义务,才能有力地向对方主张权利;有了先行履约的证据,才有胜诉的可能。要保持合同顺畅履行,警惕对方变更合同条款的请求,更不能允许中间商的随便介入,中间环节越多,产生风险的机会也就越多。
(四)加强账款拖欠的追收
一旦发生账款拖欠要积极想办法追收,追收货款要根据具体情况,来决定是自己追收,还是委托第三方追收。如果公司较小,在拖欠方的国家没有自己公司的办事机构,最好的办法是委托专业的公司追收,主要有三方面的好处:由于是专业公司,效率高,可以赢得宝贵的时间;采取国际合作的方式成功率较高;有利于集中主要精力开展业务。
(五)“外包”给信用管理咨询公司
中小型外贸企业,尤其是我国外贸经营权下放以后初次涉足外贸领域的为数众多的私营企业,可考虑直接将客户信用风险管理工作“外包”给信用管理咨询公司。与企业自己设立专门的管理部门相比,实行信用管理委托制可以节省大量的人力、物力和财力,降低企业的管理成本,具有快速性、专门性和灵活性等优点。
(六)借鉴国际通行的信用风险管理手段降低外贸信用风险
我国外贸企业在建立起信用风险管理制度的基础上,在对外贸易的实践中应该学会借鉴国际通行的信用风险管理的先进做法和手段,诸如信用证、出口信用保险、福费廷和国际保理等。这些在西方国家中相当成熟并行之有效的信用风险管理做法虽然在我国正逐渐得到应用,但有些还远远没有普及,因此,我国商务部应大力推广。
(七)面对当前金融危机困境下的出口信用风险防范措施
1.加强对有关国家进口规定的了解,即企业要对出口国海关规定要做到心知肚明。根据各国海关法规定,一般货物在目的港或海关仓库存放期限为3个月,少数国家为30天或60天。印度、巴基斯坦等国规定,退运或者转卖均需要买家出具《无异议证明》。土耳其海关规定货物滞港时间不得超过45天(除进口商要求延期之外),否则将被没收拍卖,且拍卖时该货物的进口商享有优先购买权。依据出口国海关规定进行出口操作便可有效控制收汇风险。
2.同时,还可以规避受危机影响较重的欧美市场,大力开拓受危机影响较小的中东、非洲、澳洲等市场,以保证出口的正常化。
3.此外,企业还可以充分利用中国信保提供的资信调查、咨询建议和风险保障等全程信用管理工具,以及合理选择结算货币等手段规避市场风险,减少自身的损失,确保外贸业务稳定发展。
参考文献:
[1]黎孝先.国际贸易实务[m].北京:对外经贸大学出版社,1994.
[2]沈瑞年,继红,庞红.国际结算[m].北京:中国人民大学出版社,1999.
[3]梁琦.国际结算与融资[m].南京:南京大学出版社,2000.
[4]黄昕.银行信用证风险及防范措施[J].财政金融,2001,(8).
[5]邹根宝.外贸信用风险管理及案例分析[m].上海:上海人民出版社,2002.
信用风险管理措施篇2
关键词:信息安全;安全生产风险管理体系;风险评估;风险控制
0引言
随着信息化建设的飞速发展和普及,各行各业的网络化、信息化水平显著提高,无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持,在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性,关系企业或国家机密,一旦面临威胁和遭遇攻击,就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域,信息安全风险管理依然研究不够深入,较多采取的基于问题的管理方式,遭到攻击或同类行业遭到攻击后,进行系统排查,查找系统漏洞,然后堵住漏洞,这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线,只有事前做好各类防范和应急处置,管控风险是实现安全生产的重要保证,在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系,降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。
1风险管理体系概述
1.1安全生产风险管理体系概念
安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上,基于电网实际情况提出的了一种安全生产风险管理思路和方法,以风险管控为主线、以“计划-实施-检查-改进(pDCa)“闭环管理为原则,系统地提出了安全生产管理的具体内容,指明了风险管控的目标、规范要求和管理途径,为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”:基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计;系统性是指企业在设计管理系统框架及业务流程节点时,保证流程节点的充分性并遵循pDCa的闭环管理模式,理清业务与业务之间的输入、输出关系;规范性是指企业应明确各项工作的执行标准,确保执行标准的唯一性、科学性,同时企业各部门、生产单位、班组能够按照标准开展工作,保证企业管理的统一性;持续改进是指企业应建立完善的问题发现机制及问题改进机制,能够及时发现系统运行过程中存在的问题并进行改进,同时不断地完善企业管理系统的策划,实现管理系统的持续改进。自2007年建立以来,全网范围内风险管控方法得到有效应用,安全生产管理基础得到进一步夯实,主要安全生产指标持续向好。
1.2基于风险的信息安全管理框架
南方电网安全生产风险管理体系,为电网企业提供了非常有效的一套安全生产管理方法,其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型,强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进,目前主要应用在电网、设备、作业和职业健康风险管控上,并取得了不错的成绩,也为信息安全管理带来了有益的启示,即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架,探索信息安全风险管理长效机制[4]。
2基于风险的信息安全风险管理体系建立的重要环节
2.1确定风险评估的目标
从管理目的出发,是安全生产风险管理体系的一个重要思想,以目的为导向,分析在现状下实现目的存在的障碍因素,也就是管理关键流程节点,从而确定业务的管理脉络,实现以基于风险的管理思路,最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性,并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性,资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求,满足相关方的要求、满足法律法规的要求等方面[4]。
2.2风险识别
风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险,找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标,同时,由于企业信息化水平的逐步提高,对于信息系统和服务技术的依赖日益增加,企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时,确保信息安全的三性,降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效,因此选择合适的风险评估办法和模型,对信息安全管理来说至关重要。
2.3信息安全风险评估
2.3.1信息安全风险评估模型
风险评估是在确定影响信息安全风险评估的三个维度的基础上,选择定性或者定量的风险评估方法,对识别出的风险发生的可能性或可能导致的后果进行衡量,并根据评估结果划分风险等级,然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险值=R(a,t,V)=R(L(t,V),F(a,V))。
2.3.2信息安全风险评估实施与运行
(1)信息安全风险概述通俗来讲,风险概述就是风险的管理方案,基于风险评估的结果,制定年度风险管控重点工作安排,为年度安全生产工作计划提供方向。概述报告编制时,应充分考虑风险数据的输出应用,为涉及相关单位(部门)的管理提供输入。风险概述报告至少包含以下信息:风险描述、风险范畴、风险细分种类、风险等级和风险控制措施,并按风险等级排序。(2)风险控制风险控制是在风险评估之后,控制措施建议应综合考虑风险控制成本与风险造成的影响,结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择:消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出,优先考虑技术措施。属于组织结构不完善的,建立信息安全组织体系。属于管理措施的融入管理办法,编制各层次的信息安全管理体系文件,包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度,明确管理要求;属于物理安全隐患的,加强机房、门控、安保系统和队伍建设;属于信息系统保护的,纳入信息安全项目建设计划,提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力;属于作业过程执行的措施,将信息安全管控要求纳入作业指导书、“两票”等作业标准,减少人的因素引发的信息安全事故事件;属于人员技能和意识的纳入教育培训计划;属于信息安全应急响应的建立信息安全应急预案或现场处置方案,并按照演练计划开展应急演练[7]。
2.4风险监测
风险控制措施制定后需要对措施的有效性进行评估,年度风险预控措施计划表。风险控制措施应明确责任单位(部门)、责任人、完成时间。在制定风险控制措施时,应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容,制定月度风险监督计划,并明确各项预控措施执行情况的各级监督部门,确保风险措施按计划落实执行。
2.5管理回顾,持续改进
pDCa闭环管理是安全生产风险管理体系核心之一,通过定期开展管理回顾,审视信息安全风险管控的有效性,进而形成长效机制持续改进。在回顾过程中注意以下几个方面:(1)识别变化,优化管控手段企业所面临的内部和外部环境不是一成不变的,当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入;当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案,并保存变化过程的相关资料。(2)建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进,通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面,纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等,并进行根本原因分析,制定纠正或预防措施,通过评估措施的有效性,进行统计输出应用,输出应用到信息安全管理制度、能力与意识提升等各个环节,进而确保企业的信息安全管理水平得到持续提升。
3结语
信用风险管理措施篇3
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
信用风险管理措施篇4
【关键词】信息系统项目风险管理探讨
企业信息系统是指在企业中,由人或计算机组成的能够进行信息收集、传递、储存、加工、维护和使用的系统。而项目风险管理,是指项目管理人对项目风险进行识别、评估、及使用多种措施与手段对其进行有效控制的一系列活动。在信息系统项目中运用风险管理有助于项目实施者通过科学的方法降低风险发生的概率或者转移风险;在风险出现时,能有一个详细计划、周密部署的解决方法对其做出快速反应,以避免和减少损失,实现项目管理过程中使损失降到最小,让效益或效率达到最大化的目的。
1信息系统项目风险的一般来源
1.1共同风险
信息系统项目开发过程中的不确定因素很多,在即便是进行了科学的、详细周密的计划和跟踪后,有时,风险依然不可避免,难以预测。然而在这其中,信息系统项目有一些共同的风险来源。其中主要包括用户参与、高层管理层支持、需求说明书清晰、计划编制适当、预期切合实际、细化项目里程碑、技术能力足够等。信息系统项目建设只有充分考虑到这些重要因素,才能有效减少风险。
1.2其他风险
除了共同风险外,还存在与信息系统项目相关的其他风险,其主要包括市场风险,财务风险、技术风险、集成风险和管理风险。其中,尤其需要强调的是在技术风险方面,由于人们过于追求技术的先进性,把建设的重点放在了技术上,而忽略了对商业需求的考虑,往往使得建设项目存在着较大的技术风险。
2在信息系统项目中的有效的风险管理措施
2.1制定风险管理计划
风险管理计划是风险管理的关键环节,其内容决定了项目风险管理的实施方案和实施过程,是开展信息系统风险管理活动的重要依据。由于信息系统项目的风险隐患可能贯穿于项目的整个生命周期,因此,相关风险的预测和规划对于项目的每一个阶段来说都是有利且必要的。企业首先应充分意识到风险管理计划的重要性;其次,安排专门人员结合公司实际情况和相关法律法规,明确科学制定出风险管理的步骤;风险管理的负责人及其具体职责范围、任务和方法措施;项目的投入预算;风险的分类、分级;根据风险,如何进行成本、进度、质量的平衡等。同时,该风险管理计划要随着项目的不断推进,及时作出相应的的调整和修改,以增强其实用性与有效性。
2.2风险的识别
风险识别是将不确定性转变为明确的风险陈述过程,它是进行风险管理的第一步。但有时候,它不仅仅存在于项目的开始,也存在于项目建设的后续过程中。风险的识别可依据相关的资料,使用头脑风暴,问询法(即定期召开会议,以讨论的形式发现信息系统的风险)、项目分解法(将信息系统实施中的工作不断细化,分成较小的任务,便于找出风险)等方法来进行。通过这些方法集思广益多方面的意见,以相对全面的识别项目的风险。在经过风险识别后,可得出信息系统项目的常见风险,如项目频繁变更、人员职业素质低下、缺乏开发工具、使用过时技术、人员变动、用户使用困难、对工作分析评估不足等。进而根据识别出的风险进一步针对性的制定出相应的风险防范措施,促进风险管理的有效进行。
2.3制定相应的风险防范措施和应对策略
风险应对计划与防范措施是信息系统一旦发生已识别风险的有效指南,能够大大减少发生风险所造成的损失。因此,企业应对已识别的风险进行深入的分析,并科学制定出相应的风险防范措施和应对策略。具体而言,其内容主要包括;保证信息系统的机房安全、对内部系统中的设备及数据、软件进行备份;积极更新风险信息,加强工作人员的培训力度,防止人员过度流失;保证系统应对突发事件的能力。在具体的应对策略方面,包括规避风险、转移风险、缓解风险和接受风险,企业应结合自身的实际情况与风险的发展发展趋势,选取合适的应对策略,以有效减少风险带来的损失。
2.4做好风险监督与控制
风险监控是指在信息系统实施中,对风险发生情况的控制和对风险管理过程的监督。其主要技术有差异和趋势分析、预留管理、风险审计、技术绩效评估等。其主要内容包括跟踪已识别的风险、监视残余风险和不断识别新的风险,保证风险管理计划和风险应对计划的执行;评估这些计划对降低风险的有效性;以及对突发的风险或使用消极接受策略的风险采取适当的权变措施等。做好风险监督与控制工作是有效控制风险的重要途径。
3结语
综上所述,风险管理不仅其自身对信息系统项目管理有着不可替代的重要作用,同时,他还对项目管理的其他方面产生着重要影响。因此,我们只有在信息系统项目中进行风险管理时,首先制定出严格的风险规划并对可能存在的风险进行有效识别,再针对性的制定出相应的防范措施和应对措施,同时做好风险监督与控制工作,才能保证风险管理工作的有效性和及时性,真正做好信息系统项目的风险管理工作。
参考文献
[1]徐向东.项目管理在信息化建设中的应用分析[J].山西电子技术,2014(05).
[2]陈和军.开放式公路计重收费软件开发[J].软件导刊,2014(07).
[3]刘伟.项目风险管理在信息系统中的应用[J].铁路计算机应用,2014(06).
[4]徐阳对项目风险管理过程的一般探讨[J]国际经济合作,2012(04).
信用风险管理措施篇5
【关键词】风险管理;建立背景;风险评估;风险处置;批准监督;监控审查;沟通咨询;系统生命周期
当今我们是如何看待网络与信息化?对个人,人需要信息化还是信息化“绑架”人?对企事业单位和社会团体,组织依赖信息化还是信息化成就组织?对经济发展,经济发展带动了信息技术还是信息技术促进了经济发展?对社会稳定,信息化的发展对社会稳定的影响是正面的还是负面的?对国家安全,信息化是国家安全的利器还是祸害?没有标准答案,但值得思考。检察业务系统风险管理的内容有哪些呢?我们作了以下的探讨:
1.风险管理的基本架构与概念
1.1风险管理的基本架构(如图1-1所示)
1.2风险管理工作内容
1.2.1风险管理工作主要内容有:建立背景、风险评估、风险处置、批准监督、监控审查、沟通咨询(如图1-2所示)。
1.2.2系统生命周期中的风险管理:掌握系统规划阶段的风险管理工作;掌握系统设计阶段的风险管理工作;掌握系统实施阶段的风险管理工作;掌握系统运行维护阶段的风险管理工作;掌握系统废弃阶段的风险管理工作(如图1-3所示)。
信息安全风险管理是信息安全保障工作中的一项基础性工作,是需要贯穿信息系统生命周期,持续进行的工作。我们的检察业务系统是顺应信息化发展及业务需求的实际情况,经过检察系统多部门合作开发的符合全国检察业务需求的背景下建立的。那么我们应该要掌握一套完善的管理方式去做好这件事。那就是要学会风险管理运用好风险管理的实质内容。
1.3相关概念
1.3.1通用风险管理定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。
1.3.2检察业务系统信息安全工作为什么需要风险管理方式?
常见问题:安全投资逐年增加,但看不到收益;按照国家要求或行业要求开展信息安全工作,但安全事件仍出现;it安全需求很多,有限的资金应优先拨向哪个领域;当了Cio,时刻担心系统出事,无法预见可能会出什么事。
问题根源浅析:没有根据风险优先级做安全投资规划,没有抓住主要矛盾,导致有限资金的有效利用率低;没有根据企业自身安全需求部署安全控制措施,没有突出控制高风险。决策者没有看到安全投资收益报告,资金划拨无参考依据。没有残余风险清单,在什么条件可被触发,如何做好控制。总的来说可以概括为以下三点:(1)信息安全风险和事件不可能完全避免,没有绝对的安全。(2)信息安全是高技术的对抗,有别于传统安全,呈现扩散速度快、难控制等特点。(3)因此管理信息安全必须以风险管理的方式,关键在于如何控制、化解和规避风险,而不是完全消除风险。
风险管理是信息安全保障工作有效工作方式。好的风险管理过程可以让机构以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平。好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。而不是将保贵的资源用于解决所有可能的风险。风险管理是一个持续的pDCa管理过程,即计划-做-检查-执行循环的管理过程。也可以这样理解,在全国使用统一的检察业务系统,做需求分析计划组织开发业务系统--全国各省市部分基层院试运行使用--检查业务系统的可行性及需要完善的报告--执行需要完善的地方继续开发完善。一个持续的不断完善的管理过程。
在全国使用统一的检察业务系统,也就会出现数据大集中,数据大集中天生的脆弱性就是数据集中的销毁或丢失,这就是它与生俱来的风险,那么我们认识了这一点,就应该采用相应的技术措施来控制风险。什么是信息安全风险管理?了解风险+控制风险=管理风险。定义一:GB/Z24364《信息安全风险管理指南》指:信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二:在组织机构内部识别、优化、管理风险,使风险降低到可接受水平的过程。
1.3.3正确的风险管理方法是前瞻性风险管理加反应性风险管理。
(1)前瞻性风险管理:评估风险、实施风险决策、风险控制、评定风险管理的有效性。(2)反应性风险管理:保护人身安全、遏制损害、评估损害、确定损害部位、修复损害部位、审查响应过程并更新安全策略。风险管理最佳实践。简单的例子:流行性感冒是一种致命的呼吸道疾病,美国每年都会有数以百万计的感染者。这些感染者中,至少有100,000人必须入院治疗,并且约有36,000人死亡。您可能会选择通过等待以确定您是否受到感染,如果确实受到感染,则采用服药治疗这种方式来治疗疾病。此外,您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。
1.3.4全国使用统一的检察业务系信息安全风险管理的目标是它能做好:保密性、完善性、可用性、真实性、抗抵赖性。GB/t20984的定义,信息安全风险:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。
2.风险管理的工作内容
2.1背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。风险管理准备:确定对象、组建团队、制定计划、获得支持。信息系统调查:信息系统的业务目标、技术和管理上的特点。信息系统分析:信息系统的体系结构、关键要素。信息安全分析:分析安全要求、分析安全环境。如图2-1所示。
2.2信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。
信息系统的安全风险信息是动态变化的,只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作,通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。风险评估是风险管理的起点和基础环节。风险管理是在倡导适度安全。
2.3风险处理是为了将风险始终控制在可接受的范围内。现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以。处理目标确认:不可接受的风险需要控制到怎样的程度。处理措施选择:选择风险处理方式,确定风险控制措施。处理措施实施:制定具体安全方案,部署控制措施。常用的四类风险处置方法如下:
2.3.1减低风险:通过对面临风险的资产采取保护措施来降低风险。首先应当考虑的风险处置措施,通常在安全投入小于负面影响价值的情况下采用。保护措施可以从构成风险的五个方面(即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。减低风险办法:减少威胁源:采用法律的手段制裁计算机犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机;减低威胁能力:采取身份认证措施,从而抵制身份假冒这种威胁行为的能力;减少脆弱性:及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;防护资产:采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;降低负面影响:采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。
2.3.2转移风险:通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险。通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。
2.4批准监督。批准:是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险。
2.5监控审查的意义,监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性。
3.安全风险评估实践与国家相关政策
3.1国家对开展风险评估工作的政策要求
3.1.1信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确提出:“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”
3.1.2《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办【2006】5号文)中明确规定了风险评估工作的相关要求:风险评估的基本内容和原则;风险评估工作的基本要求;开展风险评估工作的有关安排。
3.2《关于开展信息安全风险评估工作的意见》的实施要求
3.2.1信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施,从而避免产生欠保护或过保护的情况。
3.2.2在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能,是否满足了信息系统的安全需求并达到预期的安全目标。
3.3《关于开展信息安全风险评估工作的意见》的管理要求
3.3.1信息安全风险评估工作敏感性强,涉及系统的关键资产和核心信息,一旦处理不当,反而可能引入新的风险,《意见》强调,必须高度重视信息安全风险评估的组织管理工作。
3.3.2为规避由于风险评估工作而引入新的安全风险,《意见》提出以下要求:(1)参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规,并承担相应的责任和义务。(2)风险评估工作的发起方必须采取相应保密措施,并与参与评估的有关单位或人员签订具有法律约束力的保密协议。(3)对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。
3.3.3加快制定和完善信息安全风险评估有关技术标准,尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准,各行业主管部门也可根据本行业特点制定相应的技术规范。
3.42071号文件对电子政务提出要求
为落实《国家电子政务工程建设项目管理暂行办法》(发改委[2007]55号令)对风险评估的要求,发改高技【2008】2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》提出了具体要求:(相当于“信息安全审计”)电子政务工程建设项目应开展信息安全风险评估工作;评估的主要内容应包含:资产、威胁、脆弱性、已有的安全措施和残余风险的影响等;项目建设单位应在试运行期间开展风险评估工作,作为项目验收的重要依据;项目验收申请时,应提交信息安全风险评估报告;系统投入运行后,应定期开展信息安全风险评估。
参考文献
[1]信息安全测评中心.信息安全保障[Z].
信用风险管理措施篇6
然而,面对严峻的市场竞争,如何更好地保障船岸职工和油品运输的安全,特别是人员安全,更好地履行各项职责保障。作为中海集团廉洁风险防控的试点单位,中海油运结合实际,加强领导,认真落实上市公司新要求,已经初步建立起了比较科学、规范的从源头上有效防控廉洁风险的新机制,为建设全球一流承运人品牌发挥了重要作用。
廉洁风险防控:势在必行
廉洁风险防控,防范的是廉洁风险,管理的是防范工作。开展廉洁风险防控工作,是把现代管理科学的风险管理理论和方法引入反腐倡廉建设,有效预防腐败的重要举措。
承担企业的社会责任。
中海油运是国家控股的特大型企业,承担着国家能源运输的重要责任。企业领导人员在经营管理活动中,承担着保障国有资产安全和保值增值的责任。开展廉洁风险防控,是加强企业反腐倡廉建设、推进企业廉洁文化、建设企业廉洁品牌形象的有力措施。
提升企业的管理水平。
在改革发展中走向世界运输市场,油运的船队结构、经营方式、资产管理发生了很大变化,反腐倡廉工作不断呈现新的特点。自成立以来,公司在船舶油污水管理方面曾多次发生违纪违法案件,先后有6名干部船员被判刑,在社会和资本市场上造成了不良影响。公司三令五申,不断完善制度,严格操作程序,对违规事件采取零容忍态度,积极提出廉洁风险防控的新措施,坚决遏制一切违纪违规行为。
加强员工队伍的信念。
廉洁风险的全员自查、同事互查和组织帮查,充分调动了受教育者的主体意识,每一位员工都了解了自身所处岗位的廉洁风险和廉洁要求,逐步建立起廉洁意识、规则意识,提高了是非辨别力,铭记于心,外践于行,提高了廉洁风险防范水平,提升了为企业、为客户服务的能力。
廉洁风险防控:探路而行
按照上级文件精神,中海油运建立了廉洁风险防控的领导小组和工作小组,并结合自身行业特点,制定了工作计划,组织了骨干培训,建立了相应的信息传递和工作联系机制,按规定实施了以下五项工作步骤:
一是广泛开展风险收集
广泛收集风险信息是科学确定风险点的基础。在明确风险性质的基础上,油运纪委依靠基层党支部发动员工一起,认真查找可能利用职务便利谋取利益的各种因素,286名机关员工,共查找廉洁风险信息182个,做到纵向到底、横向到边。
二是严格组织风险识别
准确识别风险,是科学制订防控措施的前提。根据所收集的风险信息,严格开展风险识别,编制风险点信息评估表,认真分析风险的发生概率和影响程度,排查出真正影响企业健康发展的风险,确定重要风险1个、一般风险17个、轻度风险28个,无重大风险,形成了宝塔形的风险等级结构。
三是全面制订防控措施
针对发生廉洁风险的相关因素,科学制订防控措施,防控责任的层面高低与风险等级成正比。油运将油污水处理作为公司重要风险,明确公司分管领导为风险防控第一责任人,制定了相关部门共同参与的21项防控措施,内容涵盖员工管理、廉洁承诺、资金监控、业务操作、监督检查等五个方面,并建立了预警机制。
四是扎实开展检查考核
监督检查是落实防控措施的必要手段。按规定制定了检查考核办法,每年对风险防控的重要部门和关键岗位进行检查,检查的主要内容包括:措施落实、责任履行、预警处置、现场管理等,将防控情况纳入个人和部门的考核范围。
五是积极提升防控水平
廉洁风险防控是在全面风险管理、内控机制建设基础上建立起来的,必须和现代信息技术相结合,走“科技加制度”的发展道路。制定风险防控措施及指标提取表,纳入全面风险管理信息系统,设置黄、红、绿警示标志,一旦发生问题警示,立即启动应对措施。
廉洁风险防控:行之有道
通过探索和实践,廉洁风险防控工作取得了“三落实”的成效:把惩防体系建设的要求,落实到核心部门、关键环节和重点岗位;把反腐倡廉建设的责任,落实到各级领导、业务部门和管理人员;把风险防控的措施,落实到内控制度、风险管理和信息工程。中海油运的经验是,组织开展廉洁风险防控一定要健全机构、加强指导、抓住重点、融入管理、服务企业。
一为健全机构,完善工作体系。做到了“五有”:有工作领导,有办事机构,有推进计划,有落实措施,有考核办法。企业党组织负责人把廉洁风险防控作为反腐倡廉建设的工作重点,亲自抓,亲自部署;企业行政领导把廉洁风险防控作为提升管理水平的重要措施,一同部署、一同落实,形成了党委统一领导、党政齐抓共管的领导体制。建立由惩防体系建设领导小组、风控工作小组、部门党支部、工作联络员构成的组织体系,健全了风险防控工作计划、工作措施、责任考核等组成的制度体系,形成了纪委组织协调、业务单位各负其责、管理人员积极参与的工作机制。
二为组织培训,加强沟通指导。纪检监察机构是开展廉洁风险防控的职能部门,起着组织协调的关键作用。油运纪委在工作中发挥了四个作用:宣传教育作用,组织骨干培训,宣传廉洁风险防控的目的意义,明确步骤方法。工作指导作用,加强对下属党组织和联络员的工作指导,提出每一个工作阶段的具体要求和任务。部门协调作用,整合监督资源,实现多部门的联合防控。防控中的督促作用,把握工作进度,组织考核检查,把关防控质量。
三为把握重点,解决关键问题。在监督资源有限的情况下,廉洁风险防控必须抓重点,解决主要问题。我们分析了石油运输特点、船舶管理难点和制度执行薄弱点,把油污水处理作为廉洁风险防控的工作重点,集中监督力量,通过强化授权审批、部门间相互监督、细化强化岗位责任等,制定了周全的防控措施和预警机制,有效提升了公司系统防控重点风险的能力。
信用风险管理措施篇7
关键词:地理信息系统;风险评估
2006年1月国家网络与信息安全协调小组发表了“关于开展信息安全风险评估工作的意见”,意见中指出:随着国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。
1什么是GiS
地理信息系统(GeographicinformationSystem,简称GiS)是在计算机软硬件支持下,管理和研究空间数据的技术系统,它可以对空间数据按地理坐标或空间位置进行各种处理、对数据的有效管理、研究各种空间实体及相互关系,并能以地图、图形或数据的形式表示处理的结果。
2风险评估简介
风险评估是在综合考虑成本效益的前提下,针对确立的风险管理对象所面临的风险进行识别、分析和评价,即根据资产的实际环境对资产的脆弱性、威胁进行识别,对脆弱性被威胁利用的可能性和所产生的影响进行评估,从而确认该资产的安全风险及其大小,并通过安全措施控制风险,使残余风险降低到可以控制的程度。
3地理信息系统面临的威胁
评估开始之前首先要确立评估范围和对象,地理信息系统需要保护的资产包括物理资产和信息资产两部分。
3.1物理资产
包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备等网络设备。软件资产包括计算机操作系统、网络操作系统、通用应用软件、网络管理软件、数据库管理软件和业务应用软件等。物理设施包括场地、机房、电力供给以及防水、防火、地震、雷击等的灾难应急等设施。
3.2信息资产
包括系统数据信息、系统维护管理信息。系统数据信息主要包括地图数据。系统维护管理信息包括系统运行、审计日志、系统监督日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、ip地址分配信息等。
从应用的角度,地理信息系统由硬件、软件、数据、人员和方法五部分组成:硬件和软件为地理信息系统建设提供环境;数据是GiS的重要内容;方法为GiS建设提供解决方案;人员是系统建设中的关键和能动性因素,直接影响和协调其它几个组成部分。
险评估工作流程
地理信息系统安全风险评估工作一般应遵循如下工作流程。
4.1确定资产列表及信息资产价值
这一步需要对能够收集、建立、整理出来的、涉及到所有环节的信息资产进行统计。将它们按类型、作用、所属进行分类,并估算其价值,计算各类信息资产的数量、总量及增长速度,明确它们需要存在的期限或有效期。同时,还应考虑到今后的发展规划,预算今后的信息资产增长。这里所说的信息资产包括:物理资产(计算机硬件、通讯设备及建筑物等)信息/数据资产(文档、数据库等)、软件资产、制造产品和提供服务能力、人力资源以及无形资产(良好形象等),这些都是确定的对象。
4.2识别威胁
地理信息系统安全威胁是指可以导致安全事件发生和信息资产损失的活动。在实际评估时,威胁来源应主要考虑这几个方面,并分析这些威胁直接的损失和潜在的影响、数据破坏、丧失数据的完整性、资源不可用等:
(1)系统本身的安全威胁。
非法设备接入、终端病毒感染、软件跨平台出错、操作系统缺陷、有缺陷的地理信息系统体系结构的设计和维护出错。
(2)人员的安全威胁。
由于内部人员原因导致的信息系统资源不可用、内部人员篡改数据、越权使用或伪装成授权用户的操作、未授权外部人员访问系统资源、内部用户越权执行未获准访问权限的操作。
(3)外部环境的安全威胁。
包括电力系统故障可能导致系统的暂停或服务中断。
(4)自然界的安全威胁。
包括洪水、飓风、地震等自然灾害可能引起系统的暂停或服务中断。
4.3识别脆弱性
地理信息系统存在的脆弱性(安全漏洞)是地理信息系统自身的一种缺陷,本身并不对地理信息系统构成危害,在一定的条件得以满足时,就可能被利用并对地理信息系统造成危害。
4.4分析现有的安全措施
对于已采取控制措施的有效性,需要进行确认,继续保持有效的控制措施,以避免不必要的工作和费用,对于那些确认为不适当的控制,应取消或采用更合适的控制替代。
4.5确定风险
风险是资产所受到的威胁、存在的脆弱点及威胁利用脆弱点所造成的潜在影响三方面共同作用的结果。风险是威胁发生的可能性、脆弱点被威胁利用的可能性和威胁的潜在影响的函数,记为:
Rc=(pt,pv,i)
式中:Rc为资产受到威胁的风险系数;pt为威胁发生的可能性;pv为脆弱点被威胁利用的可能性;i为威胁的潜在影响(可用资产的相对价值V代替)。为了便于计算,通常将三者相乘或相加,得到风险系数。新晨
4.6评估结果的处置措施
在确定了地理信息系统安全风险后,就应设计一定的策略来处置评估得到的信息系统安全风险。根据风险计算得出风险值,确定风险等级,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式包括:回避风险、降低风险(降低发生的可能性或减小后果)、转移风险和接受风险。
究竟采取何种风险处置措施,需要对地理信息系统进行安全需求分析,但采取了上述风险处置措施,仍然不是十全十美,绝对不存在风险的信息系统,人们追求的所谓安全的地理信息系统,实际是指地理信息系统在风险评估并做出风险控制后,仍然存在的残余风险可被接受的地理信息系统。所谓安全的地理信息系统是相对的。
4.7残余风险的评价
对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行,考虑选择的控制措施和已有的控制措施对于威胁发生可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应通过管理层依据风险接受的原则,考虑是否接受此类风险或增加控制措施。
信用风险管理措施篇8
论文摘要:随着软件行业特别是软件外包行业在国内的蓬勃发展,如何保证自身的信息安全成了摆在软件企业面前的重要课题。文章通过对软件企业现有信息安全问题的分析,提出了采用信息安全体系建设系统解决信息安全问题,着重阐述了信息安全风险管理的原理和方法在软件行业中的应用。
论文关键词:软件企业;信息安全;风险管理
随着国家大力推动软件外包行业和it行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和it技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2007年5月~2008年5月间,有62.7%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为85.5%,遭到端口扫描或网络攻击的占31.4%,垃圾邮件占25.4%。
信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。
(1)网络共享与恶意代码防控。
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。
(2)信息化建设超速与安全规范不协调。
网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
(3)信息产品国外引进与安全自主控制。
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
(4)it产品单一性和大规模攻击问题。
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。
(5)it产品类型繁多和安全管理滞后矛盾。
目前,信息系统部署了众多的it产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
(6)it系统复杂性和漏洞管理。
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
(7)攻击突发性和防范响应滞后。
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
(8)口令安全设置和口令易记性难题。
在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、Ftp口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
(9)远程移动办公和内网安全。
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。
(10)内外网络隔离安全和数据交换方便性。
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
(11)业务快速发展与安全建设滞后。
在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
(12)网络资源健康应用与管理手段提升。
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
(13)信息系统用户安全意识差和安全整体提高困难。
目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如DnS服务配置信息。
(14)安全岗位设置和安全管理策略实施难题。
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
(15)信息安全成本投入和经济效益回报可见性。
由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。
为了解决信息安全问题,保护企业信息的安全,建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全,通过建设信息安全管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全管理体系的一个重要环节,也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。
1.信息安全风险管理概述
我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理,风险管理被认为是良好管理的一个组成部分,
2.确定范围
在建立信息安全管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织iSmS的范围,那么风险管理的范围应该和我们确定的iSmS的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中
3.风险分析
风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:
(1)识别评估资产。
在iSmS中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。
在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:
①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;
②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;
③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。
(2)识别评估威胁。
我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。
(3)识别评估脆弱性。
脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(4)识别评估控制措施。
在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:
①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;
②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;
③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全管理要求。
控制措施的有效性是我们风险评价的依据之一。
4.风险评价
风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:
(1)分析评估可能性和影响。
“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:
①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;
②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;
③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。
在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:
①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;
②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。
③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。
参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。
可能性和影响都是我们进行风险评价的依据。
(2)评价风险。
在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:
①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;
②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;
③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。
5.风险处置。
风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:
①行动优先级排序。
行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。
②评估建议的安全选项
评估建议的安全选项主要考虑安全选项的可行性和有效性。
③实施成本效益分析。
对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。
④选择控制措施。
在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。
⑤责任分配。
根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。
⑥制定控制措施的实施计划。
明确控制措施的具体行动时间表。
⑦实现所选择的安全防护措施。
根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织管理者批示,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。
信用风险管理措施篇9
论文关键词:软件企业;信息安全;风险管理
随着国家大力推动软件外包行业和it行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和it技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2007年5月~2008年5月间,有62.7%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为85.5%,遭到端口扫描或网络攻击的占31.4%,垃圾邮件占25.4%。
信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。
(1)网络共享与恶意代码防控。
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的qos下降,甚至系统瘫痪不可用。
(2)信息化建设超速与安全规范不协调。
网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
(3)信息产品国外引进与安全自主控制。
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
(4)it产品单一性和大规模攻击问题。
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。
(5)it产品类型繁多和安全管理滞后矛盾。
目前,信息系统部署了众多的it产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
(6)it系统复杂性和漏洞管理。
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
(7)攻击突发性和防范响应滞后。
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
(8)口令安全设置和口令易记性难题。
在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、ftp口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
(9)远程移动办公和内网安全。
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。
(10)内外网络隔离安全和数据交换方便性。
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
(11)业务快速发展与安全建设滞后。
在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
(12)网络资源健康应用与管理手段提升。
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
(13)信息系统用户安全意识差和安全整体提高困难。
目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如dns服务配置信息。
(14)安全岗位设置和安全管理策略实施难题。
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
(15)信息安全成本投入和经济效益回报可见性。
由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。
为了解决信息安全问题,保护企业信息的安全,建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全,通过建设信息安全管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全管理体系的一个重要环节,也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。
1.信息安全风险管理概述
我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理,风险管理被认为是良好管理的一个组成部分,其过程如图1所示。
2.确定范围
在建立信息安全管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织isms的范围,那么风险管理的范围应该和我们确定的isms的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中
3.风险分析
风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:
(1)识别评估资产。
在isms中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。
在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:
①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;
②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;
③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。
(2)识别评估威胁。
我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。
(3)识别评估脆弱性。
脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(4)识别评估控制措施。
在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:
①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;
②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;
③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全管理要求。
控制措施的有效性是我们风险评价的依据之一。
4.风险评价
风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:
(1)分析评估可能性和影响。
“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:
①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;
②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;
③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。
在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:
①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;
②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。
③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。
参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。
可能性和影响都是我们进行风险评价的依据。
(2)评价风险。
在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:
①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;
②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;
③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。
5.风险处置。
风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:
①行动优先级排序。
行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。
②评估建议的安全选项
评估建议的安全选项主要考虑安全选项的可行性和有效性。
③实施成本效益分析。
对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。
④选择控制措施。
在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。
⑤责任分配。
根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。
⑥制定控制措施的实施计划。
明确控制措施的具体行动时间表。
⑦实现所选择的安全防护措施。
根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织管理者批示,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。
信用风险管理措施篇10
档案信息资产是与档案信息系统有关的所有资产,包括档案信息系统的硬件、软件、数据、人员、服务及组织形象等,是有形和无形资产的总和。脆弱性是档案信息系统自身存在的技术和管理漏洞,可能被外部威胁利用,造成安全事故;威胁是外部存在的、可能导致档案信息系统发生安全事故的潜在因素。威胁、脆弱性及档案信息资产的相互影响造成档案信息系统面临安全风险,最后计算出风险值。
档案信息安全风险评估总体方法
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1 档案信息安全风险评估标准的确定
信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《iSo/ieC13335 信息技术 it安全管理指南》、《iSo/ieC17799:2005信息安全管理实施指南》、《iSo/ieC27001:2005信息安全管理体系要求》、《niStSp800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/t20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/t20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取oB/t20984-2007标准。
2 档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3 档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/t20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4 档案信息安全风险评估需整体评估
信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1 资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/t20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/t20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。
(2)资产赋值方法
由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。
2 威胁识别方法
(1)威胁分类方法
对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。
(2)威胁赋值方法
威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
3 脆弱性识别方法
脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4 已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5 风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
风险=影响等级×可能性=3×6=18