門曉東

摘 要 風險管控能力是信息安全建設的核心競爭力，企業(yè)的發(fā)展要根據(jù)公司的戰(zhàn)略和信息化發(fā)展的趨勢，建設符合信息安全目標的信息安全方針，改變信息安全意識，由被動的信息安全向主動轉變，由分散的信息安全防護向體系防護轉變，由傳統(tǒng)的靜態(tài)信息安全防護向動態(tài)安全防護理念轉變，同時從人、策略等多角度出發(fā)，加強風險管控能力體系建設，綜合提高企業(yè)核心競爭力。

關鍵詞 信息安全;風險管控能力;安全防護

風險管控能力是信息安全建設的核心競爭力。中冶集團財務有限公司（以下簡稱“中冶財務公司”）作為中央企業(yè)非銀行金融機構，它的信息安全建設，一方面必須符合監(jiān)管機構相關標準和監(jiān)管要求，另一方面，必須立足集團戰(zhàn)略目標，并保障公司各種金融服務過程中的資金安全。為了實現(xiàn)以風險管控能力為核心的信息安全建設目標，中冶財務公司的信息安全建設在深入分析公司信息化現(xiàn)狀基礎上，根據(jù)公司發(fā)展戰(zhàn)略、信息化發(fā)展趨勢，建立了符合信息安全建設目標的信息安全方針、信息安全總目標，構建了以信息安全風險管控能力即信息安全管理能力、感知、防護和應急恢復能力為核心的建設思路和技術支撐平臺。

1實現(xiàn)信息安全風險管控建設理念的“三個轉變”

當今信息安全形勢復雜多變，信息安全威脅不斷推陳出新，信息安全風險事件頻發(fā)。為了更有效地防范信息安全風險，實現(xiàn)風險管控能力的指導作用，中冶財務公司實現(xiàn)了信息安全防護的“三個轉變”：由被動的信息安全防護向主動防護轉變，由分散的信息安全防護向體系防護轉變，由傳統(tǒng)的靜態(tài)信息安全防護向動態(tài)安全防護理念轉變。

“動態(tài)防護”思路是中冶財務公司信息安全建設的核心理念，即結合設計和制定好的信息安全策略、信息安全防護體系，通過全體參與者的協(xié)同，從而實現(xiàn)防范風險、降低風險的信息安全風險管控目標。感知風險、防護風險、快速響應、風險集中管控是信息安全建設的核心[1]。

2確定信息安全風險管控能力建設的核心因素

2.1 人是信息安全風險管控能力的頂層設計

中冶財務公司形成了以公司領導、信息部門、人力資源部門為頂層設計的風險管控安全組織，通過全員共同參與，構建安全組織架構，實現(xiàn)人員安全管理的同時，也減少了人員帶來的信息安全風險。

2.2 策略建設形成了信息安全的內(nèi)部控制系統(tǒng)

中冶財務公司建立了風險管控能力體系建設的信息安全方針、策略、規(guī)范、標準和制度。這些策略指導人員開展信息安全活動，對人員行為起到了約束的行為規(guī)范，也是各類管理和技術措施建設的主要依據(jù)。這些策略的體系化的設計和制定，有力地對中冶財務公司的信息安全需求進行了梳理、設計和流程固化，最終形成公司信息安全管理的內(nèi)部控制系統(tǒng)。

2.3 信息安全的管理活動

依據(jù)策略的體系化作用，指導了企業(yè)日常信息安全的管理活動，這些活動主要涉及三個方面：信息系統(tǒng)的設計、信息安全規(guī)劃設計;信息信息系統(tǒng)和信息安全機制的建設實施;信息系統(tǒng)的安全運維、信息安全事件的監(jiān)視和處理、信息安全事故的處置;信息安全管理活動是對信息安全策略中的管理措施的直接落實。當然，管理活動不僅需要人員的管理活動，同時必須依靠技術手段進行輔助，綜合利用構建的信息安全技術措施，實現(xiàn)信息安全風險的管控。

2.4 信息安全的保護對象

信息安全風險管控，就是管理保護對象面臨的威脅、脆弱性等安全屬性。這些保護對象，物理環(huán)境、網(wǎng)絡和主機、應用系統(tǒng)、數(shù)據(jù)，通過構建的安全防護、感知和響應恢復措施，結合保護對象自身安全措施的落實和能力提升，保障其處于持續(xù)安全狀態(tài)。

3信息安全風險管控體系建設基本過程

通過信息安全策略的指導和信息安全技術的支撐下，中冶財務公司完成各類信息安全業(yè)務，包括管理活動、監(jiān)督審計、檢查、評估、檢測、合規(guī)管理等方面實現(xiàn)全方位的風險管控。

3.1 信息安全戰(zhàn)略規(guī)劃的頂層設計

中冶財務公司根據(jù)企業(yè)發(fā)展規(guī)劃形成了信息化發(fā)展規(guī)劃，制定了信息安全的總體目標和發(fā)展戰(zhàn)略，確保信息安全發(fā)展符合企業(yè)的整體發(fā)展。

3.2 制定信息安全管控策略

根據(jù)信息化發(fā)展現(xiàn)狀，制定實現(xiàn)和滿足信息安全目標和戰(zhàn)略的信息安全總體策略，即，信息安全風險管控策略。

3.3 明確信息安全建設的分類和內(nèi)容

根據(jù)信息安全總體策略，規(guī)劃設計需要哪些信息安全管理工作支撐信息安全風險管控的落實和落地，明確信息安全工作的具體分類和信息安全工作的具體工作內(nèi)容，其中包括設計信息安全組織結構、人員配備、職責和責任。

3.4 確定人員安全管理的各類機制和要求

依據(jù)設計的信息安全工作及其內(nèi)容，結合中冶財務公司現(xiàn)有人員管理情況，完善人員安全管理的各類機制和要求，并根據(jù)信息安全組織結構、人員配備、職責和責任，制定人員安全管理制度、規(guī)范，或形成企業(yè)標準。

3.5 信息安全風險的感知、防護和應急恢復能力的建設

設計符合中冶財務公司的信息安全技術體系框架。在框架中明確未來一定時期內(nèi)將采用的各類安全機制，并對安全機制進行基本分類，形成對威脅、脆弱性和風險能夠快速感知的技術機制群，對脆弱性進行加固、對威脅和風險進行抵御防護的技術機制群，對安全事件快速響應和應急處置的技術機制群。

設計多層縱深防御的信息安全防護體系和能力。建立多層次防護體系，識別不同類型的威脅和風險進行防御。當信息安全事件發(fā)生時，應急恢復能力能夠將信息系統(tǒng)從威脅和風險中快速解救或恢復。并通過信息安全技術快速響應安全事件、及時中斷攻擊行為，獲取攻擊證據(jù)，及時恢復應用系統(tǒng)正常運行。

4提升風險管控能力的活動

提高信息安全管控能力和水平需要有兩個特殊管理活動的參與：

4.1 持續(xù)開展信息安全監(jiān)督審計

持續(xù)開展的監(jiān)督審計、檢查評估、檢測合規(guī)管理，進行面向基礎設施、重要信息系統(tǒng)、安全管理活動各類指標和內(nèi)容的檢測、檢查和合規(guī)審計。

4.2 動態(tài)開展信息安全風險評價

動態(tài)地對信息安全狀態(tài)及風險情況進行評價分析活動，實現(xiàn)信息安全威脅、風險、脆弱性的實時監(jiān)測和分析，并能給出某時刻的信息安全狀態(tài)。

通過對風險管控提升了信息安全能力即管理能力、感知能力、防護能力及應急響應恢復能力，為中冶財務公司信息安全治理能力提供了有力支撐。

風險管控能力是衡量信息安全建設的核心競爭力的重要標志，也是防范中冶財務公司信息安全系統(tǒng)性風險，保障公司資金運營安全，促進公司金融業(yè)務健康可持續(xù)發(fā)展的法寶。

參考文獻

[1] 網(wǎng)絡環(huán)境下的信息安全[J].通訊世界，2019，（5）：130-131.