《安全生產(chǎn)風(fēng)險(xiǎn)管理體系中信息風(fēng)險(xiǎn)管理系統(tǒng)建設(shè)》由會(huì)員分享�,可在線(xiàn)閱讀,更多相關(guān)《安全生產(chǎn)風(fēng)險(xiǎn)管理體系中信息風(fēng)險(xiǎn)管理系統(tǒng)建設(shè)(5頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索�����。
1�����、安全生產(chǎn)風(fēng)險(xiǎn)管理體系中信息風(fēng)險(xiǎn)管理系統(tǒng)建設(shè)
風(fēng)險(xiǎn)管理能力是衡量企業(yè)實(shí)施關(guān)鍵風(fēng)險(xiǎn)管理流程和相關(guān)動(dòng)力水平的一個(gè)指標(biāo),下面是小編搜集整理的一篇探究信息風(fēng)險(xiǎn)管理系統(tǒng)建設(shè)的論文范文���,供大家閱讀參考。
隨著經(jīng)濟(jì)全球化的不斷發(fā)展,特別是企業(yè)對(duì)信息化依賴(lài)程度的增強(qiáng),信息風(fēng)險(xiǎn)已超出傳統(tǒng)的技術(shù)問(wèn)題范疇,已屬于企業(yè)業(yè)務(wù)風(fēng)險(xiǎn)的一個(gè)部分,本文主要論述納入安全生產(chǎn)風(fēng)險(xiǎn)管理體系中的信息風(fēng)險(xiǎn)管理體系的構(gòu)建.
1���、影響信息風(fēng)險(xiǎn)的因素
影響信息風(fēng)險(xiǎn)的因素主要包括外部環(huán)境�����、內(nèi)部環(huán)境、風(fēng)險(xiǎn)管理能力�、信息相關(guān)能力等.外部環(huán)境主要包括市場(chǎng)和經(jīng)濟(jì)因素
2����、�、同行及競(jìng)爭(zhēng)�����、地理環(huán)境����、法規(guī)遵從環(huán)境����、技術(shù)狀態(tài)和創(chuàng)新�、威脅領(lǐng)域,市場(chǎng)和經(jīng)濟(jì)因素是企業(yè)安全生產(chǎn)的行業(yè)因素.比如,金融業(yè)的運(yùn)營(yíng)與制造業(yè)的運(yùn)營(yíng)對(duì)信息化有不同的需求以及不同的IT能力.
內(nèi)部環(huán)境主要包括企業(yè)目標(biāo)�、信息化對(duì)企業(yè)業(yè)務(wù)的戰(zhàn)略重要性、信息架構(gòu)的復(fù)雜程度�����、企業(yè)的復(fù)雜性���、業(yè)務(wù)變更的深度、業(yè)務(wù)變更管理能力����、風(fēng)險(xiǎn)管理哲學(xué)和價(jià)值觀(guān)��、安全生產(chǎn)模式���、經(jīng)濟(jì)能力以及信息化在企業(yè)戰(zhàn)略中的優(yōu)先級(jí)等.安全生產(chǎn)模式關(guān)系到企業(yè)獨(dú)立運(yùn)營(yíng)的程度或與它的客戶(hù)/供應(yīng)商相關(guān)聯(lián)����、集中化/非集中化程度,企業(yè)文化決定了企業(yè)需要變更以能夠有效進(jìn)行風(fēng)險(xiǎn)管理,經(jīng)濟(jì)能力主要表示企業(yè)當(dāng)優(yōu)化風(fēng)險(xiǎn)時(shí),對(duì)支持����、強(qiáng)化和維護(hù)IT環(huán)境的財(cái)務(wù)能力
3、.
風(fēng)險(xiǎn)管理能力是衡量企業(yè)實(shí)施關(guān)鍵風(fēng)險(xiǎn)管理流程和相關(guān)動(dòng)力水平的一個(gè)指標(biāo).可以通過(guò)運(yùn)用風(fēng)險(xiǎn)記錄卡來(lái)度量.動(dòng)力績(jī)效指標(biāo)越好,則風(fēng)險(xiǎn)管理能力水平越高.
對(duì)于企業(yè)風(fēng)險(xiǎn)事件的頻率和影響,風(fēng)險(xiǎn)管理能力是一個(gè)非常重要的元素,因?yàn)樗?fù)責(zé)管理風(fēng)險(xiǎn)決策,以及在企業(yè)內(nèi)建立和實(shí)施有效控制,它主要包括治理風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)兩個(gè)方面.
信息相關(guān)能力與IT流程以及所有其他動(dòng)力的能力相關(guān).對(duì)于不同動(dòng)力的一個(gè)高成熟度等于高的IT能力,它能夠正面影響:降低事件的頻率,如實(shí)施了好的軟件開(kāi)發(fā)流程將交付高質(zhì)量和穩(wěn)定的軟件或?qū)嵤┝艘粋€(gè)好的安全度量將減少安全相關(guān)事故的數(shù)量;減輕事件發(fā)生時(shí)對(duì)業(yè)務(wù)的影響,
4、如針對(duì)災(zāi)難的發(fā)生,具有一個(gè)良好的業(yè)務(wù)持續(xù)性計(jì)劃/IT災(zāi)難恢復(fù)計(jì)劃.IT流程包括評(píng)價(jià)��、指導(dǎo)和監(jiān)管�、與業(yè)務(wù)一致、計(jì)劃和組織����、建立、獲取和實(shí)施��、交付��、服務(wù)和支持以及監(jiān)管���、評(píng)價(jià)和評(píng)估等五個(gè)管理職能域中的37個(gè)流程實(shí)踐.風(fēng)險(xiǎn)場(chǎng)景庫(kù)類(lèi)別主要包括項(xiàng)目組合建立和維護(hù)、項(xiàng)目/項(xiàng)目群生命周期管理(項(xiàng)目/項(xiàng)目群的啟動(dòng)���、開(kāi)發(fā)和獲取、交付��、質(zhì)量�、中止)��、信息化投資決策制定�、IT經(jīng)驗(yàn)和技能����、員工運(yùn)營(yíng)(人力錯(cuò)誤和惡意企圖)���、信息(數(shù)據(jù)破壞���、損壞���、泄露和訪(fǎng)問(wèn))�����、企業(yè)架構(gòu)(架構(gòu)版本和設(shè)計(jì))��、基礎(chǔ)設(shè)施(硬件���、操作系統(tǒng)和控制技術(shù))(選擇����、實(shí)施���、運(yùn)行和退運(yùn))�����、軟件、信息系統(tǒng)的業(yè)務(wù)所有權(quán)、供應(yīng)商選擇/績(jī)效�����、合同遵從、服務(wù)中止或轉(zhuǎn)移�、法
5����、規(guī)遵從��、地緣政治層面��、基礎(chǔ)設(shè)施被盜或破壞����、惡意軟件���、邏輯攻擊��、環(huán)境、大自然行為�����、創(chuàng)新等.
2����、信息業(yè)務(wù)風(fēng)險(xiǎn)庫(kù)
在信息化的服務(wù)、交付和支持階段,建立起的信息業(yè)務(wù)風(fēng)險(xiǎn)庫(kù)主要包括以下方面:事件和事故管理業(yè)務(wù)節(jié)點(diǎn)包括提交事件�����、事件記錄分類(lèi)�����、識(shí)別范圍��、地市識(shí)別事件范圍����、一線(xiàn)處理���、解決事件與否��、事件解決情況�、現(xiàn)場(chǎng)處理��、處理情況、審批情況�����、后臺(tái)處理、是否解決事件��、申請(qǐng)掛起��、掛起事件���、解掛事件、是否發(fā)起其他流程�、關(guān)閉事件、初步確認(rèn)事件影響范圍�����、統(tǒng)一解釋口徑����、確認(rèn)是否向省公司升級(jí)��、向省公司服務(wù)臺(tái)通報(bào)����、標(biāo)示大范圍事件并向用戶(hù)解釋等.主要存在的風(fēng)險(xiǎn)包括IT系統(tǒng)停工期的增加、客戶(hù)滿(mǎn)意度的降
6�����、低�、客戶(hù)不知道事件報(bào)告的程序�、復(fù)發(fā)問(wèn)題沒(méi)有解決、不是所有的事件都被跟蹤��、事件優(yōu)先級(jí)未反映業(yè)務(wù)需求����、事件未及時(shí)解決、服務(wù)臺(tái)的運(yùn)營(yíng)操作沒(méi)有支持業(yè)務(wù)活動(dòng)�、客戶(hù)對(duì)所提供的服務(wù)不滿(mǎn)意、事件未及時(shí)解決、客戶(hù)中斷服務(wù)時(shí)間增加等.
管理用戶(hù)請(qǐng)求業(yè)務(wù)節(jié)點(diǎn)主要包括提交咨詢(xún)或請(qǐng)求���、嘗式解答咨詢(xún)���、解決咨詢(xún)或請(qǐng)求�、咨詢(xún)支持升級(jí)或轉(zhuǎn)派任務(wù)����、用戶(hù)評(píng)價(jià)���、升級(jí)�����、給出咨詢(xún)答案�、轉(zhuǎn)派事件���、判斷用戶(hù)反饋情況并處理結(jié)果.存在的風(fēng)險(xiǎn)主要包括對(duì)硬件和軟件的未授權(quán)變更�、訪(fǎng)問(wèn)管理忽略業(yè)務(wù)需求并且損害業(yè)務(wù)關(guān)鍵系統(tǒng)的安全�����、未對(duì)所有系統(tǒng)規(guī)定安全需求、違反職責(zé)分離和危害系統(tǒng)信息等.
管理配置項(xiàng)業(yè)務(wù)節(jié)點(diǎn)主要包括操作系統(tǒng)管理����、
7、硬件信息管理、中間件信息管理��、數(shù)據(jù)庫(kù)信息管理���、軟件信息管理���、操作系統(tǒng)管理.存在的風(fēng)險(xiǎn)主要是配置項(xiàng)信息維護(hù)職責(zé)不明確,導(dǎo)致信息更新不及時(shí).
管理服務(wù)級(jí)別SLA業(yè)務(wù)節(jié)點(diǎn)主要包括編制服務(wù)目錄、提出業(yè)務(wù)需求�、制定服務(wù)級(jí)別策略、編制服務(wù)級(jí)別協(xié)議、簽訂服務(wù)級(jí)別協(xié)議�、發(fā)布服務(wù)目錄、召開(kāi)年度評(píng)審會(huì)議����、制定年度服務(wù)改進(jìn)計(jì)劃.存在的風(fēng)險(xiǎn)包括用戶(hù)和服務(wù)提供者不理解各自的職責(zé)、不恰當(dāng)?shù)膬?yōu)先權(quán)授予不同的服務(wù)提供��、不恰當(dāng)交付的服務(wù)�、為提供的服務(wù)授予不恰當(dāng)?shù)膬?yōu)先權(quán)��、對(duì)提供的IT服務(wù)有不同的解釋和誤解�����、由于期望和實(shí)際能力的差距導(dǎo)致糾紛�、低效率和昂貴的運(yùn)行服務(wù)���、無(wú)法滿(mǎn)足客戶(hù)的服務(wù)需求;服務(wù)交付資源的無(wú)效和低效使用
8、;無(wú)法識(shí)別和響應(yīng)關(guān)鍵服務(wù)事件����、由于過(guò)時(shí)的合同導(dǎo)致不能滿(mǎn)足商業(yè)和法律需求��、由于服務(wù)偏差導(dǎo)致經(jīng)濟(jì)損失和事件等.
管理問(wèn)題業(yè)務(wù)節(jié)點(diǎn)主要包括問(wèn)題記錄�、判斷是否問(wèn)題����、判斷提審方案是否能過(guò)變更實(shí)現(xiàn)��、實(shí)施方案���、啟動(dòng)變更管理流程���、確認(rèn)記錄解決結(jié)果�、啟動(dòng)知識(shí)管理流程、問(wèn)題跟蹤與升級(jí)等.存在的風(fēng)險(xiǎn)包括IT服務(wù)的中斷��、問(wèn)題重復(fù)發(fā)生的可能性增加��、問(wèn)題和事件沒(méi)有及時(shí)解決����、對(duì)主動(dòng)的問(wèn)題和事件管理,缺乏問(wèn)題和事件及解決方案的審計(jì)跟蹤、事件重復(fù)發(fā)生、問(wèn)題和事件重復(fù)發(fā)生、未恰當(dāng)解決的關(guān)鍵事件���、業(yè)務(wù)中斷�����、服務(wù)質(zhì)量不足等.
3����、控制措施
在事件和事故管理業(yè)務(wù)采取的控制措施包括堅(jiān)持對(duì)客戶(hù)進(jìn)行
9����、滿(mǎn)意度回訪(fǎng),并針對(duì)用戶(hù)提出的問(wèn)題及其自身IT服務(wù)的不足,進(jìn)行整改,努力提升服務(wù)質(zhì)量;及時(shí)跟進(jìn)事件處理情況并向用戶(hù)進(jìn)行反饋;對(duì)于復(fù)發(fā)事件需要進(jìn)行分析、找出根源,啟動(dòng)問(wèn)題管理流程,從而減少事件復(fù)發(fā)的幾率;加強(qiáng)對(duì)服務(wù)臺(tái)人員的事件分類(lèi)標(biāo)準(zhǔn)��、優(yōu)先級(jí),按標(biāo)準(zhǔn)化準(zhǔn)確分類(lèi);服務(wù)臺(tái)經(jīng)理加強(qiáng)對(duì)事件單的處理進(jìn)程的全程跟蹤,對(duì)當(dāng)前處理人應(yīng)實(shí)時(shí)跟蹤進(jìn)展情況;加強(qiáng)運(yùn)維人員的溝通能力和技術(shù)能力;事件經(jīng)理監(jiān)控所有事件并協(xié)調(diào)處理未解決事件.
在管理用戶(hù)請(qǐng)求中采取的控制措施包括嚴(yán)格按照規(guī)章制度進(jìn)行,禁止進(jìn)行未授權(quán)的變更;加強(qiáng)對(duì)業(yè)務(wù)需求的分析以及業(yè)務(wù)關(guān)鍵系統(tǒng)的安全,審核請(qǐng)求的合規(guī)性;按照各系統(tǒng)安全需求,拒絕違反系統(tǒng)安
10���、全需求的請(qǐng)求;加強(qiáng)各運(yùn)維人員的職責(zé)分離意識(shí),堅(jiān)決杜絕違反職責(zé)分離;加強(qiáng)對(duì)請(qǐng)求的審查力度,杜絕一切危害系統(tǒng)的請(qǐng)求.
在管理配置制頂中采用的控制措施主要包括相關(guān)的信息維護(hù)需要明確到具體崗位;嚴(yán)格把關(guān)機(jī)房進(jìn)出制度�����、工作票制度;完善業(yè)務(wù)和技術(shù)服務(wù)目錄,明確配置項(xiàng)負(fù)責(zé)人,加強(qiáng)審查力度.
管理服務(wù)級(jí)別SLA采取的控制措施主要包括服務(wù)目錄必須包括服務(wù)需求�����、服務(wù)定義����、SLA、OLA�����、資金來(lái)源;建立一個(gè)包括開(kāi)發(fā)、審核和調(diào)整服務(wù)目錄或服務(wù)組合的流程;建立一個(gè)確保服務(wù)目錄或組合是有用的�、完整的和及時(shí)更新的管理流程;定期審查服務(wù)目錄和服務(wù)組合;建立一個(gè)檢查程序,使SLA的目標(biāo)和績(jī)效測(cè)量與業(yè)
11、務(wù)目標(biāo)和IT政策一致;SLA必須包括例外事項(xiàng)、商業(yè)協(xié)議和OLA;SLA的改進(jìn)和調(diào)整流程是基于用戶(hù)和業(yè)務(wù)的需求的績(jī)效反饋和變更;SLA形式和內(nèi)容必須經(jīng)所有利益相關(guān)方同意;SLA需正式批準(zhǔn)和適當(dāng)簽署.
管理問(wèn)題的控制措施包括建立被適當(dāng)工具支持的能滿(mǎn)足需要的流程,以識(shí)別和分類(lèi)問(wèn)題;建立和維護(hù)用于問(wèn)題分類(lèi)和優(yōu)先權(quán)的已建立的標(biāo)準(zhǔn),確保這種分類(lèi)與解決和容忍問(wèn)題的服務(wù)承諾或組織單元職責(zé)相一致;開(kāi)發(fā)用來(lái)生成問(wèn)題管理報(bào)告的報(bào)告工具;問(wèn)題報(bào)告必須包括以下內(nèi)容:分析根本原因的問(wèn)題文檔���、問(wèn)題所有者和解決責(zé)任的識(shí)別����、問(wèn)題狀態(tài)信息.問(wèn)題解決后,需經(jīng)利益相關(guān)方確認(rèn),問(wèn)題只有被利益相關(guān)方確認(rèn)解決后才被關(guān)閉.
4����、結(jié)語(yǔ)
綜上所述,本文先分析了當(dāng)前影響企業(yè)信息風(fēng)險(xiǎn)的因素,進(jìn)而論述了我企業(yè)根據(jù)現(xiàn)實(shí)情況所建立的信息業(yè)務(wù)風(fēng)險(xiǎn)庫(kù)和控制措施,當(dāng)前很多企業(yè)已經(jīng)認(rèn)識(shí)到了信息風(fēng)險(xiǎn)的重要性,也采取了一些具體的針對(duì)措施,但是很多措施在使用中仍然存在一些不可預(yù)測(cè)的問(wèn)題,這些還需要更多的人努力去解決.
參考文獻(xiàn)
[1]ISACA.IT鑒證指南:使用COBIT.
[2]ISACA.COBIT5Framework.
[3]ISACA.RISKIT.
[4]ISACA.COBIT5FORRISK.
安全生產(chǎn)風(fēng)險(xiǎn)管理體系中信息風(fēng)險(xiǎn)管理系統(tǒng)建設(shè)
