企業(yè)研究論文-信息安全風(fēng)險(xiǎn)評(píng)估模型在制造業(yè)企業(yè)中的運(yùn)用 .doc

企業(yè)研究論文-信息安全風(fēng)險(xiǎn)評(píng)估模型在制造業(yè)企業(yè)中的運(yùn)用摘要：隨著信息技術(shù)發(fā)展和社會(huì)信息化的加快，國民經(jīng)濟(jì)對(duì)信息和信息系統(tǒng)的依賴越來越大，由此而產(chǎn)生的信息安全問題也日益突出。本文以有關(guān)信息安全的國際標(biāo)準(zhǔn)為理論基礎(chǔ)，提出了以風(fēng)險(xiǎn)管理為核心理念的信息安全風(fēng)險(xiǎn)評(píng)估模型，詳細(xì)論述了風(fēng)險(xiǎn)評(píng)估的兩種模型：根據(jù)ISO17799國際標(biāo)準(zhǔn)以及風(fēng)險(xiǎn)評(píng)估方法層次分析法建立基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型和建立COSO的ERM框架模型，并介紹了兩種模型在制造業(yè)企業(yè)中的運(yùn)用。關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；模型；層次結(jié)構(gòu)；ERM框架模型1基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型1.1基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估基本概念基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型，評(píng)估方法為層次分析法。層次分析方法是一種定性和定量分析相結(jié)合的評(píng)估方法。層次分析法的關(guān)鍵是：將一些定性但不易量化的因素進(jìn)行量化，從在評(píng)判與決策過程中有量化的參考依據(jù)。層次分析法對(duì)信息系統(tǒng)進(jìn)行分層次、擬定量、規(guī)范化處理。主要步驟如下：建立層次結(jié)構(gòu)模型。構(gòu)造判斷矩陣。數(shù)學(xué)計(jì)算。層次總排序。1.2建立層次結(jié)構(gòu)風(fēng)險(xiǎn)評(píng)估模型本文采用ISO17799國際標(biāo)準(zhǔn)作為風(fēng)險(xiǎn)的分類標(biāo)準(zhǔn)。ISO17799規(guī)定了用于組織實(shí)施信息安全的管理體制，以信息管理體制為指導(dǎo)依據(jù)對(duì)信息系統(tǒng)對(duì)象進(jìn)行分解，找出主要因素。ISO17799由10個(gè)控制主題組成，每個(gè)主題又由幾個(gè)子類組成，子類中又規(guī)定了安全要素，以下給出了10個(gè)控制主題4。信息安全方針。企業(yè)組織安全。資產(chǎn)的分類和控制。人為因素的安全防范。實(shí)體和環(huán)境安全。通訊和操作管理。訪問控制。系統(tǒng)開發(fā)和維護(hù)。商業(yè)連續(xù)性管理。符合性。1.3基于層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型在制造業(yè)企業(yè)中的基本運(yùn)用制造業(yè)企業(yè)通常組織機(jī)構(gòu)龐大，流程較為復(fù)雜。并且所涉及的風(fēng)險(xiǎn)的種類較也為復(fù)雜。有效的識(shí)別風(fēng)險(xiǎn)，歸類風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)對(duì)于制造業(yè)企業(yè)的風(fēng)險(xiǎn)管理有著至關(guān)重要的作用。而層次結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估模型由于采用層次結(jié)構(gòu)設(shè)計(jì)，并非簡單地將信息系統(tǒng)分解成各個(gè)層次，層次間存在著緊密的聯(lián)系，且每個(gè)層次的評(píng)估結(jié)果也直接影響到上下層次的評(píng)估。同時(shí)在風(fēng)險(xiǎn)評(píng)估的過程中考慮了人為因素在內(nèi)的安全評(píng)估綜合方法，采用了ISO17799國際標(biāo)準(zhǔn)作為風(fēng)險(xiǎn)的分類標(biāo)準(zhǔn)，并充分考慮各個(gè)安全因素之間的相互影響，引入關(guān)系矩陣，以多層分析的模糊邏輯為模型，實(shí)現(xiàn)了風(fēng)險(xiǎn)評(píng)估綜合決策。采用三層結(jié)構(gòu)將復(fù)雜的關(guān)系分解為由局部簡單關(guān)系構(gòu)成的遞增層次結(jié)構(gòu)關(guān)系?；趯哟谓Y(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估的一般步驟：確定評(píng)估因素集。根據(jù)ISO17799的規(guī)定，將因素集U分為子集，再將每個(gè)子集Ui根據(jù)安全風(fēng)險(xiǎn)評(píng)估的要求分成若干子集Ui.j即Ui.0,Ui.1,Ui.m，再將每個(gè)子集Ui.j,分成若干因素,Ui.j.k,。判斷矩陣及權(quán)重。采用了3級(jí)層次評(píng)估的方式，并將前一級(jí)的評(píng)估結(jié)果作為下一級(jí)的評(píng)估輸入。評(píng)價(jià)集。設(shè)(v0,v1,v2,v3,v4)為評(píng)價(jià)集，它們分別代表“很低”、“較低”、“中等”、“較高”、“很高”，它們由低到高表示了要素5系統(tǒng)的安全程度。并對(duì)這7種準(zhǔn)則按取0或1分別打分再求和得到評(píng)價(jià)分值。模糊判斷。采用3級(jí)模糊評(píng)估方式，運(yùn)用關(guān)系矩陣，確定隸屬度，最后選取隸屬度最大者所對(duì)應(yīng)得評(píng)價(jià)集元素作為對(duì)系統(tǒng)得綜合評(píng)估結(jié)果，其結(jié)果是“很低”、“較低”、“中等”、“較高”、“很高”中的任何一個(gè)。2COSO的ERM框架模型2.1COSO的ERM概況介紹COSO（CommitteeofSponsoringOrganization）的ERM（EnterpriseRiskmanagement）框架模式越來越廣泛應(yīng)用于美國及加拿大企業(yè)，但是該框架不具有實(shí)踐性，沒有基于企業(yè)流程，并且在執(zhí)行中富有挑戰(zhàn)性。許多公司基于現(xiàn)有的COSO以及一個(gè)被稱為澳大利亞/新西蘭的標(biāo)準(zhǔn)來建立自己的ERM構(gòu)架。澳大利亞/新西蘭標(biāo)準(zhǔn)為建立和執(zhí)行風(fēng)險(xiǎn)管理程序提供了一般指引.模型代表一種邏輯和系統(tǒng)方法論，應(yīng)用于建立風(fēng)險(xiǎn)定義、分析、評(píng)估、應(yīng)對(duì)、溝通和實(shí)時(shí)監(jiān)控環(huán)節(jié).該模型是可重復(fù)進(jìn)行的，能應(yīng)用于公司、業(yè)務(wù)單元、服務(wù)機(jī)構(gòu)及項(xiàng)目層面的風(fēng)險(xiǎn)管理活動(dòng)。重復(fù)管理程序的時(shí)間可根據(jù)進(jìn)度表決定(如每年進(jìn)行戰(zhàn)略風(fēng)險(xiǎn)評(píng)估），或者根據(jù)事件來決定（如外部事件、標(biāo)明超過風(fēng)險(xiǎn)門檻水平的報(bào)告、或被提議的項(xiàng)目）。2.2COSO的ERM模型在制造業(yè)企業(yè)中的運(yùn)用2.2.1ERM模型介紹ERM模型：建立風(fēng)險(xiǎn)評(píng)估基礎(chǔ)ERM模型：識(shí)別風(fēng)險(xiǎn)和風(fēng)險(xiǎn)因素ERM模型：分析風(fēng)險(xiǎn)ERM模型：整合風(fēng)險(xiǎn)ERM模型：評(píng)估風(fēng)險(xiǎn)ERM模型：應(yīng)對(duì)風(fēng)險(xiǎn)2.2.2ERM模型在制造業(yè)中的運(yùn)用中國某鋼鐵公司是我國勘察計(jì)行業(yè)的龍頭企業(yè)，擁有巨額的注冊(cè)資本，公司經(jīng)營范圍廣泛涉及冶金、建筑、房地產(chǎn)、市政、環(huán)境等領(lǐng)域的技術(shù)咨詢、工程設(shè)計(jì)、工程總承包、工程監(jiān)理以及相關(guān)設(shè)備成套。對(duì)于鋼鐵企業(yè)來說，保守商業(yè)秘密就是一個(gè)必須重視的重要環(huán)節(jié)。從最基本的層次來說，諸如企業(yè)成本核算與控制、核心設(shè)計(jì)圖紙、報(bào)價(jià)體系、集成商和代理商的利潤激勵(lì)體制、新的投資和擴(kuò)張計(jì)劃等等，都制約和決定著企業(yè)的競爭優(yōu)勢。正是高瞻遠(yuǎn)矚地意識(shí)到了企業(yè)關(guān)鍵數(shù)據(jù)的重要意義，這家鋼鐵公司開始加強(qiáng)對(duì)這些核心數(shù)據(jù)的管理和科學(xué)保護(hù)。這家公司選擇的是ERM體系。該公司對(duì)國內(nèi)外的多家信息安全產(chǎn)品進(jìn)行了全方位的嚴(yán)格測試，廣泛涉及復(fù)雜網(wǎng)絡(luò)環(huán)境應(yīng)用測試、業(yè)務(wù)系統(tǒng)的兼容性評(píng)估、系統(tǒng)穩(wěn)定性以及易用性考察，最終選擇ERM整體解決方案因?yàn)镋RM系統(tǒng)的高加密強(qiáng)度、穩(wěn)定性、易用性以及可靠的系統(tǒng)平臺(tái)能夠降低信息安全管理風(fēng)險(xiǎn)，深化了企業(yè)的執(zhí)行和管理力度。ERM系統(tǒng)通過精準(zhǔn)細(xì)致的數(shù)據(jù)應(yīng)用權(quán)限控制、人員級(jí)別管理以及內(nèi)部信息共享行為的合法性控制，有效防止了機(jī)密數(shù)據(jù)信息被竊取、外泄和破壞，同時(shí)，ERM系統(tǒng)的革命性擴(kuò)展能力也幫助企業(yè)極大地降低了安全體系的成本花費(fèi)。2.3制造業(yè)中ERM安全備份模塊為了幫助企業(yè)保護(hù)其內(nèi)部核心數(shù)據(jù)信息的完整性和安全性，提升企業(yè)重要文檔的抗破壞能力，ERM安全備份模塊顯得尤為重要。2.3.1ERM安全備份模塊主要功能安全備份模塊主要功能1任意格式電子文檔（CAD、Office、PDF、JPG等）在編輯保存后均自動(dòng)備份到備份服務(wù)器中；2所有備份文檔在傳輸、存儲(chǔ)和恢復(fù)過程中均以加密形式存在，有效杜絕了泄