企业研究论文-信息安全风险评估模型在制造业企业中的运用 .doc

企业研究论文-信息安全风险评估模型在制造业企业中的运用摘要：随着信息技术发展和社会信息化的加快，国民经济对信息和信息系统的依赖越来越大，由此而产生的信息安全问题也日益突出。本文以有关信息安全的国际标准为理论基础，提出了以风险管理为核心理念的信息安全风险评估模型，详细论述了风险评估的两种模型：根据ISO17799国际标准以及风险评估方法层次分析法建立基于层次结构的风险评估模型和建立COSO的ERM框架模型，并介绍了两种模型在制造业企业中的运用。关键词：信息安全；风险评估；模型；层次结构；ERM框架模型1基于层次结构的风险评估模型1.1基于层次结构的风险评估基本概念基于层次结构的风险评估模型，评估方法为层次分析法。层次分析方法是一种定性和定量分析相结合的评估方法。层次分析法的关键是：将一些定性但不易量化的因素进行量化，从在评判与决策过程中有量化的参考依据。层次分析法对信息系统进行分层次、拟定量、规范化处理。主要步骤如下：建立层次结构模型。构造判断矩阵。数学计算。层次总排序。1.2建立层次结构风险评估模型本文采用ISO17799国际标准作为风险的分类标准。ISO17799规定了用于组织实施信息安全的管理体制，以信息管理体制为指导依据对信息系统对象进行分解，找出主要因素。ISO17799由10个控制主题组成，每个主题又由几个子类组成，子类中又规定了安全要素，以下给出了10个控制主题4。信息安全方针。企业组织安全。资产的分类和控制。人为因素的安全防范。实体和环境安全。通讯和操作管理。访问控制。系统开发和维护。商业连续性管理。符合性。1.3基于层次结构的风险评估模型在制造业企业中的基本运用制造业企业通常组织机构庞大，流程较为复杂。并且所涉及的风险的种类较也为复杂。有效的识别风险，归类风险，评估风险对于制造业企业的风险管理有着至关重要的作用。而层次结构的风险评估模型由于采用层次结构设计，并非简单地将信息系统分解成各个层次，层次间存在着紧密的联系，且每个层次的评估结果也直接影响到上下层次的评估。同时在风险评估的过程中考虑了人为因素在内的安全评估综合方法，采用了ISO17799国际标准作为风险的分类标准，并充分考虑各个安全因素之间的相互影响，引入关系矩阵，以多层分析的模糊逻辑为模型，实现了风险评估综合决策。采用三层结构将复杂的关系分解为由局部简单关系构成的递增层次结构关系。基于层次结构的风险评估的一般步骤：确定评估因素集。根据ISO17799的规定，将因素集U分为子集，再将每个子集Ui根据安全风险评估的要求分成若干子集Ui.j即Ui.0,Ui.1,Ui.m，再将每个子集Ui.j,分成若干因素,Ui.j.k,。判断矩阵及权重。采用了3级层次评估的方式，并将前一级的评估结果作为下一级的评估输入。评价集。设(v0,v1,v2,v3,v4)为评价集，它们分别代表“很低”、“较低”、“中等”、“较高”、“很高”，它们由低到高表示了要素5系统的安全程度。并对这7种准则按取0或1分别打分再求和得到评价分值。模糊判断。采用3级模糊评估方式，运用关系矩阵，确定隶属度，最后选取隶属度最大者所对应得评价集元素作为对系统得综合评估结果，其结果是“很低”、“较低”、“中等”、“较高”、“很高”中的任何一个。2COSO的ERM框架模型2.1COSO的ERM概况介绍COSO（CommitteeofSponsoringOrganization）的ERM（EnterpriseRiskmanagement）框架模式越来越广泛应用于美国及加拿大企业，但是该框架不具有实践性，没有基于企业流程，并且在执行中富有挑战性。许多公司基于现有的COSO以及一个被称为澳大利亚/新西兰的标准来建立自己的ERM构架。澳大利亚/新西兰标准为建立和执行风险管理程序提供了一般指引.模型代表一种逻辑和系统方法论，应用于建立风险定义、分析、评估、应对、沟通和实时监控环节.该模型是可重复进行的，能应用于公司、业务单元、服务机构及项目层面的风险管理活动。重复管理程序的时间可根据进度表决定(如每年进行战略风险评估），或者根据事件来决定（如外部事件、标明超过风险门槛水平的报告、或被提议的项目）。2.2COSO的ERM模型在制造业企业中的运用2.2.1ERM模型介绍ERM模型：建立风险评估基础ERM模型：识别风险和风险因素ERM模型：分析风险ERM模型：整合风险ERM模型：评估风险ERM模型：应对风险2.2.2ERM模型在制造业中的运用中国某钢铁公司是我国勘察计行业的龙头企业，拥有巨额的注册资本，公司经营范围广泛涉及冶金、建筑、房地产、市政、环境等领域的技术咨询、工程设计、工程总承包、工程监理以及相关设备成套。对于钢铁企业来说，保守商业秘密就是一个必须重视的重要环节。从最基本的层次来说，诸如企业成本核算与控制、核心设计图纸、报价体系、集成商和代理商的利润激励体制、新的投资和扩张计划等等，都制约和决定着企业的竞争优势。正是高瞻远瞩地意识到了企业关键数据的重要意义，这家钢铁公司开始加强对这些核心数据的管理和科学保护。这家公司选择的是ERM体系。该公司对国内外的多家信息安全产品进行了全方位的严格测试，广泛涉及复杂网络环境应用测试、业务系统的兼容性评估、系统稳定性以及易用性考察，最终选择ERM整体解决方案因为ERM系统的高加密强度、稳定性、易用性以及可靠的系统平台能够降低信息安全管理风险，深化了企业的执行和管理力度。ERM系统通过精准细致的数据应用权限控制、人员级别管理以及内部信息共享行为的合法性控制，有效防止了机密数据信息被窃取、外泄和破坏，同时，ERM系统的革命性扩展能力也帮助企业极大地降低了安全体系的成本花费。2.3制造业中ERM安全备份模块为了帮助企业保护其内部核心数据信息的完整性和安全性，提升企业重要文档的抗破坏能力，ERM安全备份模块显得尤为重要。2.3.1ERM安全备份模块主要功能安全备份模块主要功能1任意格式电子文档（CAD、Office、PDF、JPG等）在编辑保存后均自动备份到备份服务器中；2所有备份文档在传输、存储和恢复过程中均以加密形式存在，有效杜绝了泄