信息安全风险评估模型在制造业企业中的运用
来源:岁月联盟
时间:2010-07-01
关键词:信息安全;风险评估;模型;层次结构;ERM框架模型
1基于层次结构的风险评估模型
1.1 基于层次结构的风险评估基本概念
基于层次结构的风险评估模型,评估方法为层次分析法。层次分析方法是一种定性和定量分析相结合的评估方法。层次分析法的关键是:将一些定性但不易量化的因素进行量化,从在评判与决策过程中有量化的依据。层次分析法对信息系统进行分层次、拟定量、规范化处理。主要步骤如下:
①建立层次结构模型。
②构造判断矩阵。
③数学。
④层次总排序。
1.2建立层次结构风险评估模型
本文采用ISO17799国际标准作为风险的分类标准。ISO17799规定了用于组织实施信息安全的管理体制,以信息管理体制为指导依据对信息系统对象进行分解,找出主要因素。ISO17799由10个控制主题组成,每个主题又由几个子类组成,子类中又规定了安全要素,以下给出了10个控制主题[4]。
①信息安全方针。
②企业组织安全。
③资产的分类和控制。
④人为因素的安全防范。
⑤实体和环境安全。
⑥通讯和操作管理。
⑦访问控制。
⑧系统开发和维护。
⑨商业连续性管理。
⑩符合性。
1.3基于层次结构的风险评估模型在制造业企业中的基本运用
制造业企业通常组织机构庞大,流程较为复杂。并且所涉及的风险的种类较也为复杂。有效的识别风险,归类风险,评估风险对于制造业企业的风险管理有着至关重要的作用。而层次结构的风险评估模型由于采用层次结构设计,并非简单地将信息系统分解成各个层次,层次间存在着紧密的联系,且每个层次的评估结果也直接影响到上下层次的评估。同时在风险评估的过程中考虑了人为因素在内的安全评估综合方法,采用了ISO17799国际标准作为风险的分类标准,并充分考虑各个安全因素之间的相互影响,引入关系矩阵,以多层分析的模糊逻辑为模型,实现了风险评估综合决策。采用三层结构将复杂的关系分解为由局部简单关系构成的递增层次结构关系。
基于层次结构的风险评估的一般步骤:
①确定评估因素集。
根据ISO17799的规定,将因素集U分为子集,再将每个子集Ui 根据安全风险评估的要求分成若干子集Ui.j即{Ui.0,Ui.1,…Ui..m},再将每个子集Ui.j,分成若干因素,Ui.j.k,。
②判断矩阵及权重。
采用了3级层次评估的方式,并将前一级的评估结果作为下一级的评估输入。
③评价集。
设V(v0,v1,v2,v3,v4)为评价集,它们分别代表“很低”、“较低”、“中等”、“较高”、“很高”,它们由低到高表示了要素5系统的安全程度。 并对这7种准则按取0或1分别打分再求和得到评价分值。
④模糊判断。
采用3级模糊评估方式,运用关系矩阵,确定隶属度,最后选取隶属度最大者所对应得评价集元素作为对系统得综合评估结果,其结果是“很低”、“较低”、“中等”、“较高”、“很高”中的任何一个。
2COSO的ERM框架模型
2.1COSO的ERM概况介绍
COSO(Committee of Sponsoring Organization)的ERM(Enterprise Risk management)框架模式越来越广泛应用于美国及加拿大,但是该框架不具有实践性,没有基于企业流程,并且在执行中富有挑战性。许多公司基于现有的COSO以及一个被称为澳大利亚/新西兰的标准来建立自己的ERM构架。澳大利亚/新西兰标准为建立和执行风险管理程序提供了一般指引.模型代表一种逻辑和系统方法论,应用于建立风险定义、分析、评估、应对、沟通和实时监控环节.该模型是可重复进行的,能应用于公司、业务单元、服务机构及项目层面的风险管理活动。重复管理程序的时间可根据进度表决定 (如每年进行战略风险评估),或者根据事件来决定(如外部事件、标明超过风险门槛水平的报告、或被提议的项目)。
2.2COSO的ERM模型在制造业企业中的运用
2.2.1 ERM模型介绍
①ERM 模型: 建立风险评估基础
②ERM模型:识别风险和风险因素
③ERM模型:分析风险
④ERM模型:整合风险
⑤ERM 模型:评估风险
⑥ERM 模型:应对风险
2.2.2ERM模型在制造业中的运用
某钢铁公司是我国勘察计行业的龙头企业,拥有巨额的注册资本,公司经营范围广泛涉及冶金、建筑、房地产、市政、环境等领域的技术咨询、工程设计、工程总承包、工程监理以及相关设备成套。
对于钢铁企业来说,保守商业秘密就是一个必须重视的重要环节。从最基本的层次来说,诸如企业成本核算与控制、核心设计图纸、报价体系、集成商和代理商的利润激励体制、新的投资和扩张计划等等,都制约和决定着企业的竞争优势。正是高瞻远瞩地意识到了企业关键数据的重要意义,这家钢铁公司开始加强对这些核心数据的管理和保护。这家公司选择的是ERM体系。该公司对国内外的多家信息安全产品进行了全方位的严格测试,广泛涉及复杂环境应用测试、业务系统的兼容性评估、系统稳定性以及易用性考察,最终选择ERM整体解决方案因为ERM系统的高加密强度、稳定性、易用性以及可靠的系统平台能够降低信息安全管理风险,深化了企业的执行和管理力度。
ERM系统通过精准细致的数据应用权限控制、人员级别管理以及内部信息共享行为的合法性控制,有效防止了机密数据信息被窃取、外泄和破坏,同时,ERM系统的革命性扩展能力也帮助企业极大地降低了安全体系的成本花费。
2.3制造业中ERM安全备份模块
为了帮助企业保护其内部核心数据信息的完整性和安全性,提升企业重要文档的抗破坏能力, ERM安全备份模块显得尤为重要。
2.3.1 ERM安全备份模块主要功能
安全备份模块主要功能
1 任意格式文档(CAD、Office、PDF、JPG等)在编辑保存后均自动备份到备份服务器中;
2 所有备份文档在传输、存储和恢复过程中均以加密形式存在,有效杜绝了泄密和窃密的发生;
3 管理员通过策略可以任意指定所有机密文档的备份路径和备份模式(按版本备份、备份最后的版本),方便文档管理;
4 用户在离线工作模式下生成的文档,将首先自动备份在本地硬盘中,有效避免了由于各种原因造成的企业机密数据信息的破坏;
5 数据恢复过程简单、快捷。
2.3.2 ERM安全备份模块主要优势
①安全性。ERM安全备份模块以高强度的数据加密技术为依托,对企业的核心数据信息进行实时备份。任意格式电子文档(CAD、Office、PDF、JPG等)在新建后均自动备份到备份服务器中。并且所有备份文档在传输、存储和恢复过程中均以加密形式存在,有效杜绝了窃密、泄密和破坏事件的发生,充分确保了企业核心数据信息的完整性和安全性。
②稳定性。机密文件安全备份是整个信息安全管理过程中的重要一环,也是企业在面临数据毁坏这种致命安全风险时的有力保护手段。为了帮助企业保证业务流程的连续性。
③灵活性。ERM安全备份模块充分利用企业现有和设备,为用户定制了能够全面满足各种企业安全管理需求的备份模块。对于需要实施文件备份的企业用户,管理员可以通过策略灵活指定需要备份的文件源和文件类型。
3结语
文章提出了信息安全风险评估的两种模型,基于层次结构的风险评估模型是建立在一种定量与定性结合的风险评估方法上,通过层次的模糊综合评估来一个值,定义了值得范围对应的"很低"、"较低"、"中等"、"较高"、"很高"来进行风险评估。针对相应的风险程度,写改进的意见、如何改善完成整个风险评估的流程,制定风险防范措施,加强内部控制,提供解除风险的方法,减少因为相关的风险而面临的问题。ERM法是针对企业的具体情况,设定单体风险档案,通过对减值点相对应的相关风险进行描述,以问卷的形式请相关负责人员对其评分,来确定是"很高""高""中""低""很低",来确定风险。填写一些缓解措施,来相应地采取措施,应对风险、解除风险。两种模型都在制造业企业信息资产的风险评估中得到广泛运用。
:
[1]信息安全组织[DB/OL].http://www.infosecurity.org.cn/forum/,2009-07-20.
[2]孙强,陈伟,王东红.信息安全管理——全球最佳实务与实施指南[M].北京:清华大学出版社,2004.
[3]潘宏伟.基于模糊层次分析法的信息安全风险评估研究[D].南京:南京师范大学,2007.
[4] 朱岩,杨永田,张玉清,等.基于层次结构的信息安全评估模型研究[J].计算机工程与应用,2006,(6):40-43.
[5] 黄勤,张月琴,刘益良.信息安全风险模块化层次评估方法研究[J].计算机,2007,(10):309-311.
[6] 杨继华,许春香.信息安全多层次综合量化评价模型研究[J].情报,2006,(9):64-66.
[7] 刘楠.信息系统规划阶段风险评估模型[D].哈尔滨:哈尔滨大学,2006.
[8] 赵冬梅,马建峰,王跃生.信息系统的模糊风险评估模型[J].通信学报,200,(7).
[9] SO ERM管理框架模型与澳大利亚/新西兰标准[S], AS/NZS 4360.
[10] Michael E Whitman,Herbert J Mattord.Principal of Information Security[M].Thomson Learning,2003.
上一篇:科学发展观与企业的和谐发展
