企業(yè)研究論文-信息安全風險評估模型在制造業(yè)企業(yè)中的運用 .doc

企業(yè)研究論文-信息安全風險評估模型在制造業(yè)企業(yè)中的運用摘要：隨著信息技術發(fā)展和社會信息化的加快，國民經(jīng)濟對信息和信息系統(tǒng)的依賴越來越大，由此而產(chǎn)生的信息安全問題也日益突出。本文以有關信息安全的國際標準為理論基礎，提出了以風險管理為核心理念的信息安全風險評估模型，詳細論述了風險評估的兩種模型：根據(jù)ISO17799國際標準以及風險評估方法層次分析法建立基于層次結(jié)構的風險評估模型和建立COSO的ERM框架模型，并介紹了兩種模型在制造業(yè)企業(yè)中的運用。關鍵詞：信息安全；風險評估；模型；層次結(jié)構；ERM框架模型1基于層次結(jié)構的風險評估模型1.1基于層次結(jié)構的風險評估基本概念基于層次結(jié)構的風險評估模型，評估方法為層次分析法。層次分析方法是一種定性和定量分析相結(jié)合的評估方法。層次分析法的關鍵是：將一些定性但不易量化的因素進行量化，從在評判與決策過程中有量化的參考依據(jù)。層次分析法對信息系統(tǒng)進行分層次、擬定量、規(guī)范化處理。主要步驟如下：建立層次結(jié)構模型。構造判斷矩陣。數(shù)學計算。層次總排序。1.2建立層次結(jié)構風險評估模型本文采用ISO17799國際標準作為風險的分類標準。ISO17799規(guī)定了用于組織實施信息安全的管理體制，以信息管理體制為指導依據(jù)對信息系統(tǒng)對象進行分解，找出主要因素。ISO17799由10個控制主題組成，每個主題又由幾個子類組成，子類中又規(guī)定了安全要素，以下給出了10個控制主題4。信息安全方針。企業(yè)組織安全。資產(chǎn)的分類和控制。人為因素的安全防范。實體和環(huán)境安全。通訊和操作管理。訪問控制。系統(tǒng)開發(fā)和維護。商業(yè)連續(xù)性管理。符合性。1.3基于層次結(jié)構的風險評估模型在制造業(yè)企業(yè)中的基本運用制造業(yè)企業(yè)通常組織機構龐大，流程較為復雜。并且所涉及的風險的種類較也為復雜。有效的識別風險，歸類風險，評估風險對于制造業(yè)企業(yè)的風險管理有著至關重要的作用。而層次結(jié)構的風險評估模型由于采用層次結(jié)構設計，并非簡單地將信息系統(tǒng)分解成各個層次，層次間存在著緊密的聯(lián)系，且每個層次的評估結(jié)果也直接影響到上下層次的評估。同時在風險評估的過程中考慮了人為因素在內(nèi)的安全評估綜合方法，采用了ISO17799國際標準作為風險的分類標準，并充分考慮各個安全因素之間的相互影響，引入關系矩陣，以多層分析的模糊邏輯為模型，實現(xiàn)了風險評估綜合決策。采用三層結(jié)構將復雜的關系分解為由局部簡單關系構成的遞增層次結(jié)構關系?；趯哟谓Y(jié)構的風險評估的一般步驟：確定評估因素集。根據(jù)ISO17799的規(guī)定，將因素集U分為子集，再將每個子集Ui根據(jù)安全風險評估的要求分成若干子集Ui.j即Ui.0,Ui.1,Ui.m，再將每個子集Ui.j,分成若干因素,Ui.j.k,。判斷矩陣及權重。采用了3級層次評估的方式，并將前一級的評估結(jié)果作為下一級的評估輸入。評價集。設(v0,v1,v2,v3,v4)為評價集，它們分別代表“很低”、“較低”、“中等”、“較高”、“很高”，它們由低到高表示了要素5系統(tǒng)的安全程度。并對這7種準則按取0或1分別打分再求和得到評價分值。模糊判斷。采用3級模糊評估方式，運用關系矩陣，確定隸屬度，最后選取隸屬度最大者所對應得評價集元素作為對系統(tǒng)得綜合評估結(jié)果，其結(jié)果是“很低”、“較低”、“中等”、“較高”、“很高”中的任何一個。2COSO的ERM框架模型2.1COSO的ERM概況介紹COSO（CommitteeofSponsoringOrganization）的ERM（EnterpriseRiskmanagement）框架模式越來越廣泛應用于美國及加拿大企業(yè)，但是該框架不具有實踐性，沒有基于企業(yè)流程，并且在執(zhí)行中富有挑戰(zhàn)性。許多公司基于現(xiàn)有的COSO以及一個被稱為澳大利亞/新西蘭的標準來建立自己的ERM構架。澳大利亞/新西蘭標準為建立和執(zhí)行風險管理程序提供了一般指引.模型代表一種邏輯和系統(tǒng)方法論，應用于建立風險定義、分析、評估、應對、溝通和實時監(jiān)控環(huán)節(jié).該模型是可重復進行的，能應用于公司、業(yè)務單元、服務機構及項目層面的風險管理活動。重復管理程序的時間可根據(jù)進度表決定(如每年進行戰(zhàn)略風險評估），或者根據(jù)事件來決定（如外部事件、標明超過風險門檻水平的報告、或被提議的項目）。2.2COSO的ERM模型在制造業(yè)企業(yè)中的運用2.2.1ERM模型介紹ERM模型：建立風險評估基礎ERM模型：識別風險和風險因素ERM模型：分析風險ERM模型：整合風險ERM模型：評估風險ERM模型：應對風險2.2.2ERM模型在制造業(yè)中的運用中國某鋼鐵公司是我國勘察計行業(yè)的龍頭企業(yè)，擁有巨額的注冊資本，公司經(jīng)營范圍廣泛涉及冶金、建筑、房地產(chǎn)、市政、環(huán)境等領域的技術咨詢、工程設計、工程總承包、工程監(jiān)理以及相關設備成套。對于鋼鐵企業(yè)來說，保守商業(yè)秘密就是一個必須重視的重要環(huán)節(jié)。從最基本的層次來說，諸如企業(yè)成本核算與控制、核心設計圖紙、報價體系、集成商和代理商的利潤激勵體制、新的投資和擴張計劃等等，都制約和決定著企業(yè)的競爭優(yōu)勢。正是高瞻遠矚地意識到了企業(yè)關鍵數(shù)據(jù)的重要意義，這家鋼鐵公司開始加強對這些核心數(shù)據(jù)的管理和科學保護。這家公司選擇的是ERM體系。該公司對國內(nèi)外的多家信息安全產(chǎn)品進行了全方位的嚴格測試，廣泛涉及復雜網(wǎng)絡環(huán)境應用測試、業(yè)務系統(tǒng)的兼容性評估、系統(tǒng)穩(wěn)定性以及易用性考察，最終選擇ERM整體解決方案因為ERM系統(tǒng)的高加密強度、穩(wěn)定性、易用性以及可靠的系統(tǒng)平臺能夠降低信息安全管理風險，深化了企業(yè)的執(zhí)行和管理力度。ERM系統(tǒng)通過精準細致的數(shù)據(jù)應用權限控制、人員級別管理以及內(nèi)部信息共享行為的合法性控制，有效防止了機密數(shù)據(jù)信息被竊取、外泄和破壞，同時，ERM系統(tǒng)的革命性擴展能力也幫助企業(yè)極大地降低了安全體系的成本花費。2.3制造業(yè)中ERM安全備份模塊為了幫助企業(yè)保護其內(nèi)部核心數(shù)據(jù)信息的完整性和安全性，提升企業(yè)重要文檔的抗破壞能力，ERM安全備份模塊顯得尤為重要。2.3.1ERM安全備份模塊主要功能安全備份模塊主要功能1任意格式電子文檔（CAD、Office、PDF、JPG等）在編輯保存后均自動備份到備份服務器中；2所有備份文檔在傳輸、存儲和恢復過程中均以加密形式存在，有效杜絕了泄