電力CSO必須熟悉風(fēng)險管理

1、電力CSO必須熟悉風(fēng)險管理目前，各級電力企業(yè)雖然專門成立了相應(yīng)各縣區(qū)的信息安全小組, 形成了電力企業(yè)計算機軟件的決策層、管理層、執(zhí)行層等機構(gòu)，確保 了人員落到實處的配置和安全責(zé)任制的落實，但還沒有明確設(shè)立cso 職位。信息安全智囊團(tuán)小組通常由企業(yè)的一把手負(fù)責(zé)，同時，指定了 安全專職人員負(fù)責(zé)整個企業(yè)的信息安全，實際上行使著cso的職責(zé)， 這些沃洛韋齊區(qū)安全專職人員可以稱為“準(zhǔn)cso”。通常這些“準(zhǔn)cso”是純技術(shù)的人才，熟悉某一方面的安全技 術(shù)如防病毒、防火墻、入侵檢測技術(shù)等。然而，一個真正的CSO知識 要全面，不僅要懂信息安全技術(shù)，而且還要懂安全管理。1 .熟悉風(fēng)險管理風(fēng)險管理是指識別電力企業(yè)

2、的資產(chǎn)，評估威脅這些資產(chǎn)的風(fēng) 險，信用風(fēng)險評價假定這些風(fēng)險成為事實時中小企業(yè)所承受的災(zāi)難和 損失，并采取一些解決方案戰(zhàn)損預(yù)防風(fēng)險的發(fā)生及損失補救措施。風(fēng) 險管理是電力企業(yè)安全管理的交通安全核心。要執(zhí)行風(fēng)險管理，核心內(nèi)容首先必須熟悉本單位的核心業(yè)務(wù) （如業(yè)務(wù)的流程、邊界等）和關(guān)鍵信息資產(chǎn)。哪些業(yè)務(wù)是重要的，需 采取高強度的防護(hù)措施進(jìn)行防護(hù)；哪些管理業(yè)務(wù)是次要的，較高防護(hù) 措施的強度可以較低一些。同時，要了解業(yè)務(wù)系統(tǒng)安全與運行質(zhì)量性 能的關(guān)系，以避免為了提高信息安全而大幅度降低運行的質(zhì)量和性能。 因為信息安全是為信息化一站式的，信息化最終是為企業(yè)業(yè)務(wù)穩(wěn)定持 續(xù)發(fā)展跨國公司服務(wù)的。其次，CSO要制定

3、一個經(jīng)營風(fēng)險管理策略，該策略是企業(yè)整體 安全策略的組成部分。風(fēng)險管理策略需明確風(fēng)險處置的幾種方式，如 降低風(fēng)險（采取各種安全防護(hù)措施，如加防火墻、入侵檢測系統(tǒng)等）、 轉(zhuǎn)嫁風(fēng)險（如買保險等）、接受風(fēng)險（基于企業(yè)的投入/產(chǎn)出比考慮， 尋求企業(yè)投資與風(fēng)險承受能力契合點的平衡點）等。因為安全是相對 的，對違約風(fēng)險的處置應(yīng)該有個度，如果風(fēng)險處置的費用超過了系統(tǒng) 本身的價值，則再消除風(fēng)險就毫無意義了，因此，也須制定一個合理 的合理化風(fēng)險管理策略。第三，CSO要熟悉業(yè)務(wù)持續(xù)性運行與災(zāi)難恢復(fù)的知識，如保證 業(yè)務(wù)持續(xù)性運行的系統(tǒng)和數(shù)據(jù)的備份。并且網(wǎng)絡(luò)資源配備必要的應(yīng)急 設(shè)施和資源，如系統(tǒng)的啟動盤、信息系統(tǒng)和網(wǎng)絡(luò)

4、管理員傳呼機的電話 號碼、協(xié)助廠商的打電話電話等。一旦企業(yè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)發(fā)生問題， 就可以統(tǒng)一調(diào)度，對安全事件快速響應(yīng)，最大限度地降低企業(yè)的損失。2 .熟悉信息安全經(jīng)營理念和技術(shù)CSO應(yīng)對安全理念如信息安全模型、國際和國內(nèi)安全標(biāo)準(zhǔn)有較 深入的認(rèn)識。安全標(biāo)準(zhǔn)包括安全策略的標(biāo)準(zhǔn)、安全評估的標(biāo)準(zhǔn)、安全 產(chǎn)品選型的標(biāo)準(zhǔn)、安全工程實施的標(biāo)準(zhǔn)、安全管控的標(biāo)準(zhǔn)等，了解這 些安全標(biāo)準(zhǔn)可以更好地指導(dǎo)信息安全的建設(shè)。CSO還應(yīng)熟悉常用的安全 技術(shù)和安全產(chǎn)品，如防火墻、防病毒技術(shù)、加密技術(shù)、物理隔離技術(shù) 等，了解他們的原理和部署等知識，這可以提高CSO自身的素質(zhì)，樹 立自己在企業(yè)中同的威信。3 .良好的溝通和行政管理

5、能力CSO要具備良好的上下溝通能力，因為企業(yè)的制度建設(shè)安全管 理制度和安全策略要貫徹執(zhí)行，必須得到企業(yè)高層領(lǐng)導(dǎo)的許可和支持, 同時得到企業(yè)員工的理解。但在實際情況中，很多領(lǐng)導(dǎo)和員工都要問, 我們企業(yè)在信息安全層面投入很大，那到底取得了什么效果呢？這時 CSO要讓他們理解,網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展系統(tǒng)的正常持續(xù)運行，就是安全工 程實施的效果。信息安全是“三分技術(shù)、七分管理”，這強調(diào)指出了管理的 重要性，特別是要加強對人的管理。因為無論安全制度的落實，還是 安全技術(shù)和安全產(chǎn)品的布置，最終是由人來執(zhí)行的。但在實際中，往 往人是最難運營管理的，這就要求CSO要具有很強的管理能力。CSO還應(yīng)熟悉安全國際法和法規(guī)，包括國家、行業(yè)以及企業(yè)的 法規(guī)，如關(guān)于涉密系統(tǒng)的聯(lián)網(wǎng)規(guī)定、系統(tǒng)日志休息時間仍須保存的時 間規(guī)定、系統(tǒng)和數(shù)據(jù)的備份規(guī)定、經(jīng)貿(mào)委的30號令等，并把他們應(yīng)用 到企業(yè)的業(yè)務(wù)其他工作中去。目前，電力企業(yè)的“準(zhǔn)CSO”們要想有望成為一個合格的CSO,需在以下方面進(jìn)行努力：首先，要加強業(yè)務(wù)知識的學(xué)習(xí)。這些知識不僅包括風(fēng)險管理、 安全技術(shù)、安全標(biāo)準(zhǔn)等信息安全知識，而且跨國企業(yè)還包括企業(yè)自身 的業(yè)務(wù)流程、邊界等。其次，要提高管理能力，特別是日常管理能力。第三，要加強與其他企業(yè)C