电力CSO必须熟悉风险管理

电力电力 csocso 必须熟悉风险管理必须熟悉风险管理 目前 各级电力企业虽然专门成立了相应的信息安全小组 形成了电力企业信息安全的决策层 管理层 执行层等机构 确保了人员的配置和安全责任制的落实 但还没有明确设立 cso 职位 信息安全小组通常由企业的一把手负责 同时 指 定了安全专职人员负责整个企业的信息安全 实际上行使着 cso 的职责 这些安全专职人员可以称为 准 cso 通常这些 准 cso 是纯技术的人才 熟悉某一方面的安全 技术如防病毒 防火墙 入侵检测技术等 然而 一个真正的 cso 知识要全面 不仅要懂信息安全技术 而且还要懂安全管 理 1 熟悉风险管理 风险管理是指识别电力企业的资产 评估威胁这些资产的 风险 评价假定这些风险成为事实时企业所承受的灾难和损失 并采取一些解决方案预防风险的发生及损失补救措施 风险管 理是电力企业安全管理的核心 要执行风险管理 首先必须熟悉本单位的核心业务 如业 务的流程 边界等 和关键信息资产 哪些业务是关键的 需 要采取高强度的防护措施进行防护 哪些业务是次要的 防护 措施的强度可以低一些 同时 要了解业务系统安全与运行质 量性能的关系 以避免为了提高信息安全而大幅度降低网络系 统运行的质量和性能 因为信息安全是为信息化服务的 信息 化最终是为企业业务稳定持续发展服务的 其次 cso 要制定一个风险管理策略 该策略是企业整体 安全策略的组成部分 风险管理策略需明确风险处置的几种方 式 如降低风险 采取各种安全防护措施 如加防火墙 入侵 检测系统等 转嫁风险 如买保险等 接受风险 基于企 业的投入 产出比考虑 寻求企业投资与风险承受能力的平衡点 等 因为安全是相对的 对风险的处置应该有个度 如果风险 处置的费用超过了系统本身的价值 则再消除风险就毫无意义 了 因此 应制定一个合理的风险管理策略 第三 cso 要熟悉业务持续性运行与灾难恢复的知识 如 保证业务持续性运行的系统和数据的备份 并且配备必要的应 急设施和资源 如系统的启动盘 系统和网络管理员的电话号 码 协助厂商的求助电话等 一旦企业网络系统发生问题 就 可以统一调度 对安全事件快速响应 最大限度地降低企业的 损失 2 熟悉信息安全理念和技术 cso 应对安全理念如信息安全模型 国际和国内安全标准 有较深入的认识 安全标准包括安全策略的标准 安全评估的 标准 安全产品选型的标准 安全工程实施的标准 安全管理 的标准等 了解这些安全标准可以更好地指导信息安全的建设 cso 还应熟悉常用的安全技术和安全产品 如防火墙 防病毒 技术 加密技术 物理隔离技术等 了解他们的原理和部署等 知识 这可以提高 cso 自身的素质 树立自己在企业中的威信 3 良好的沟通和管理能力 cso 要具备良好的上下沟通能力 因为企业的安全管理制 度和安全策略要贯彻执行 必须得到企业高层领导的许可和支 持 同时得到企业员工的理解 但在实际情况中 很多领导和 员工都要问 我们企业在信息安全方面投入很大 那到底取得 了什么效果呢 这时 cso 要让他们理解 网络和业务系统的正常 持续运行 就是安全工程实施的效果 信息安全是 三分技术 七分管理 这强调了管理的重要 性 特别是要加强对人的管理 因为无论安全制度的落实 还 是安全技术和安全产品的布置 最终是由人来执行的 但在实 际中 往往人是最难管理的 这就要求 cso 要具有很强的管理 能力 cso 还应熟悉安全法律和法规 包括国家 行业以及企业 的法规 如关于涉密系统的联网规定 系统日志应保存的时间 规定 系统和数据的备份规定 经贸委的 30 号令等 并把他们 应用到企业的业务工作中去 目前 电力企业的 准 cso 们要想成为一个合格的 cso 需 在以下方面进行努力 首先 要强化业务知识的学习 这些知识不仅包括风险管 理 安全技术 安全标准等信息安全知识 而且还包括企业自 身的业务流程 边界等 其次 要提高管理能力 特别是日常管理能力 第三 要加强与其他企业 cso