企业信息安全风险管理的框架探讨.doc

企业信息安全风险管理的框架探讨 在互联网时代信息安全尤为重要下面是YJBYS小编为大家带来的信息安全毕业论文企业信息安全风险管理的框架探讨欢迎阅读 【摘要】伴随信息化的不断发展各种各样的电脑病毒对企业信息系统的攻击频率也逐渐升高能做出反应的时间越来越短企业信息安全已经不能被传统的事后式和被动式保证风险管理的思想应该被企业构建到信息系统里面企业进行信息安全风险管理项目时安全不能百分之百地得到保证所以要根据成本的效益原则整合企业的各种资源进行有效利用 【关键词】企业信息;信息安全;风险管理;框架探究 1引言 人类社会在不断发展信息化逐渐融入人们生活信息资源对于现代企业来讲是每时每刻都存在的运转载体各种重要数据、企业的知识产权等这些都是企业的内部信息除这些信息外其他相关方面的数据也被企业所利用例如合作伙伴、客户、员工等资料尤其是一些服务性企业比如网商、快递公司、金融公司、通信公司、航空公司等这些企业更需要以信息系统作为支撑信息资源成为企业不可或缺的重要组成部分 2新形势下我国信息安全面临的问题 2.1风险意识在主观上的淡薄 在我国信息安全上面思想认识面临高风险的形势大部分企业的管理高层对信息资产的认识严重不足或者局限在IT的安全方面没有合理的安全观念引导企业在信息安全管理方面的工作信息安全管理制度的完整性缺乏规范安全风险和安全法律法规对员工的培训缺乏很多信息安全事故的发生都是因为安全意识的薄弱造成的 2.2缺乏信息安全管理系统的思想 大部分企业仍是将传统的管理方法用在安全管理模式中这种出现问题再去想弥补的方法是静态的管理不能在提前进行信息安全风险评估上做更有效的信息系统管理 2.3信息安全不仅仅是技术部门的事 多数企业认为信息安全的责任和义务都是IT部门的造成信息技术部门无法和企业内部其他部门互动进而形成孤立的局面但是信息安全的实现需要各个部门的全员行动特别是规范标准以及规章制度的贯彻落实更牵涉到企业的每一名员工全员行动的要求更是不能缺少 2.4存在重视安全技术而轻视安全管理的情况 现今为止仍有很多企业仅仅依赖产品安全认为信息安全就是信息产品安全一般企业现在都会采用计算机和网络技术来构建企业的信息系统但是没有把相应的管理措施开展到位信息安全问题应该加强做好管理工作不能单从技术方面着手 2.5现代管理手段与理论欠缺 日益庞大的现代化信息规模与越来越复杂的网络结构让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足企业应该结合实际情况和需要把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导以此达到信息安全的目的 3企业信息安全风险管理的框架探究 企业信息安全风险管理的框架包括两个部分一是企业信息安全风险管理的过程二是企业信息安全风险管理的实施其中实施是过程的保障整合各种资源要通过实施才能达到;过程是实施的前提对过程的清楚有利于建立企业信息安全风险管理的统一理解以此逐渐实现信息安全风险管理企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程 信息安全风险管理是动态、持续性过程信息安