借鉴COSO企业风险管理框架构建发电企业信息安全管理体系
2014-04-29叶梦熊唐宁
叶梦熊 唐宁
[摘 要] 发电企业在开展信息化建设的同时也面临着日益突出的信息安全问题。研究信息安全管理,建立信息安全管理组织架构,制定信息安全管理规章制度,设计信息安全管理实施方案等已经成为发电企业的重要工作内容。本文借鉴COSO企业风险管理整合框架,从管理层面对发电企业构建信息安全管理体系提出具体建议。
[关键词] 风险管理;发电企业;信息安全;管理体系
[中图分类号] F270.7;F239.45 [文献标识码] A [文章编号] 1673 - 0194(2014)15- 0045- 02
近年来,发电行业市场竞争日益加剧,同时燃料价格上涨又大大挤占了发电企业的盈利空间,如何改善经营、提高企业核心竞争力便成了发电企业面临的迫切问题。在此背景下,各发电企业纷纷制订信息化建设战略规划,投入了大量人力物力进行信息化建设,取得了较好的效果。在信息化建设的同时,发电企业也面临着日益突出的信息安全问题。研究信息安全管理,建立信息安全管理组织架构,制定信息安全管理规章制度,设计信息安全管理实施方案等已经成为发电企业的重要工作内容。本文借鉴COSO企业风险管理整合框架,从管理层面对发电企业信息安全管理中存在的风险以及建立相应的信息安全管理体系进行系统的研究。
1 发电企业面临的信息安全风险
发电企业的信息安全风险与企业的信息化应用情况密切相关,包括采用的软件和硬件情况、企业信息化程度等。目前,发电企业面临的信息安全风险主要表现在4个方面,即物理安全风险、网络安全风险、系统安全风险和用户安全风险等。
1.1 物理安全风险
主要是服务器、路由器、交换机、工作站和通信链路等设备出现的安全风险。水灾、火灾、雷击等自然灾害,人为破坏或误操作,设备固有缺陷等都会引起物理安全风险。
1.2 网络安全风险
发电企业信息化的深化应用离不开网络的互联,这就导致由计算机病毒、黑客攻击、信息传递等引起的信息安全风险。
1.3 系统安全风险
发电企业的信息系统包括操作系统、数据库系统和其他应用系统等,这些系统存在的功能缺陷或漏洞都是重大的安全隐患,可能给企业带来不可估量的损失。
1.4 用户安全风险
主要是指企业内部人员对信息系统的误用或故意损坏,以及用户认证和权限设置等带来的应用风险。
2 借鉴企业风险管理框架构建发电企业信息安全管理体系
2.1 COSO企业风险管理整合框架概述
COSO企业风险管理整合框架是美国专门研究内部控制问题的委员会——COSO委员会(Committee of Sponsoring Organization)于2004年9月发布的,目的是促使企业完善公司治理结构和提高风险管理能力。
COSO企业风险管理整合框架认为,企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理的保证;风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控8个要素构成,各要素贯穿在风险管理的全过程之中。
2.2 借鉴COSO企业风险整合框架构建信息安全管理体系
COSO企业风险管理整合框架是一种全新的企业风险管理思路和方法,本文试图从8个构成要素的角度系统地分析该整合框架在发电企业构建企业信息安全管理体系过程中的应用。
2.2.1 内部环境
内部环境是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
风险管理理念。发电企业要做好信息安全管理,风险管理理念的构建并为全体员工所理解和信奉尤为重要。发电企业应通过风险管理制度的制定和颁布,加强信息安全教育与宣传,组织开展多层次、多方位的系统教育与培训来贯彻和强化信息安全风险管理理念。
组织结构。建立起一个分工明确、统一高效的包含决策层、管理层和执行层的信息安全管理组织架构,是发电企业信息安全管理得以实施的基础。对于集团性的发电企业,可设立信息安全管理委员会,负责企业信息安全管理的决策;下设信息安全管理办公室,负责信息安全的日常管理,该办公室一般挂靠在企业信息技术中心/部门;在企业相关部门设兼职信息安全管理联络员,负责与本部门相关的信息安全管理工作。
胜任能力。胜任能力反映实现规定的任务所需要的知识和技能。发电企业应明确信息安全风险管理组织架构中各岗位的职责,并为其选用和配备符合能力水平要求的工作人员。
2.2.2 目标设定
目标设定是事项识别、风险评估和风险应对的前提。在管理当局识别和评估实现目标的风险并采取行动来管理风险之前,首先必须有目标。发电企业应根据企业的发展战略和经营管理要求,确定恰当的信息安全管理目标。
在目标设定过程中,必须设定风险容限。风险容限是相对于目标的实现而言所能接受的偏离程度。风险容限能够被计量,而且通常最好采用与相关目标相同的单位来进行计量。发电企业在设定信息安全管理风险容限时,应针对不同信息系统分别设立。其中涉及安全生产的信息系统应设立严格的风险容限。
2.2.3 事项识别
发电企业在信息安全管理过程中,必须识别给企业信息安全带来风险的各项内部、外部因素,必须详细调查、分析带来物理安全风险、网络安全风险、系统安全风险和用户安全风险的根源。
为有效识别带来风险的各项内部、外部因素,常采用的事项识别方法或技术有:
(1)根据以往的项目经验总结的风险检查清单(即事项目录);
(2)分析“原因及结果”(可能会发生什么,接着将发生什么)或“结果及原因”(什么样的后果需要被避免,每一个后果是如何发生的);
(3)通过与项目风险干系人进行针对风险问题的访谈,这种方法有助于识别在通常的计划活动中不易被发现的风险(即推进式的研讨与访谈)。
2.2.4 风险评估
管理当局应从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。在信息安全管理中,经常采用的是定性评估技术。企业可对带来风险的各项内部、外部因素进行风险评估,列举出可能影响信息安全管理目标实现的一系列风险因素(潜在事项),并形成风险检查清单。接着对风险评估清单中的各风险因素进行分析评估,评估的内容主要包括风险因素发生的可能性和影响程度。风险因素评估可通过调查问卷或专家研讨会的形式进行。最后形成信息安全管理的风险评估矩阵图,如图1所示。
2.2.5 风险应对
在评估了相关的风险之后,管理当局就要确定如何应对。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
在信息安全管理中选择风险应对措施时,对发生可能性大、影响程度大的风险以风险回避措施为主;对发生可能性小、影响程度大的风险以风险分担措施为主;对发生可能性大、影响程度小的风险以风险降低措施为主;对发生可能性小、影响程度小的风险以风险承受措施为主。
(1)风险回避。在信息安全管理中,当判断某项潜在事项的发生不可接受时,应采取风险回避措施。这通常是将信息安全管理的触角前伸到信息化建设阶段来实现,如通过选择合适的软件而回避软件风险,或是在实施阶段通过调整技术方案来回避相关的实施风险。
(2)风险降低。风险降低是信息安全管理中的重点工作,可借助于同行业的历史经验,或是寻求外部专家的咨询服务,同时引入和采用先进的风险管理技术,建立系统的风险降低方法体系,在信息安全管理全过程中实施这一行为。具体可通过发布风险管理制度,强化流程化管理;或者有针对性地对关键人员进行风险教育和业务技能培训;或是完善信息安全应急制度、优化数据备份和灾后恢复策略等。
(3)风险分担。风险分担可分为保险型分担和非保险型分担。保险型分担通常为购买财产险,以有效转移物理安全风险所带来的损失。非保险型分担主要有充分利用供应商的质保条款,或是涉及运维业务外包时在合同中增加索赔性条款等。
(4)风险承受。通常在下列情况下采用风险承受的方法:①采取风险应对措施的成本大于承担风险所造成的损失;②预计风险所造成的最大损失在主体风险容限以内;③缺乏风险应对能力,采取风险应对措施对风险的可能性和影响的效果轻微。在信息安全管理过程中,对于局部业务模块,其发生风险时如带来的风险很小,在企业的风险容限范围内,则可采取该风险应对策略。
2.2.6 控制活动
控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。在信息安全管理中常用的控制活动包括制定相关的风险管理规定、明确不同岗位在风险管理中的职责并充分授权、对重要的潜在事项制定严格的审批流程、加强系统服务器机房的安全管理以及对数据库进行异地备份等。
2.2.7 信息与沟通
一个组织中的各个层级都需要信息,以便识别、评估和应对风险,以及从其他方面去经营主体和实现目标。沟通的方式多样,在信息安全管理中最普遍使用的方式有口头沟通、书面沟通、会议沟通和非常规沟通等。
在信息安全管理中建立有效的沟通,需要具备如下的要素:
(1)制订清晰、一致、适时的沟通方法和计划;
(2)按计划适时沟通,传递合适、一致及清晰的项目信息;
(3)充分理解沟通效果、参与及反馈,以取得广泛的支持。
2.2.8 监控
企业的风险管理随着时间变化而变化。曾经有效的风险应对可能会变得不相关;控制活动可能会变得不太有效,或者不再被执行;企业的目标也可能变化。风险监控可以通过持续的活动、个别评价或两者结合来完成。
持续的活动主要来自经常性的管理活动,如向管理委员会定期提交工作报告和重要工作专项报告,由内部审计部门进行日常监督和审查等。
个别评价通常作为辅助,它提供一个考察持续监控程序的持续有效性的机会。对于信息安全管理,可在重要、关键的信息系统实施过程中,邀请有关专家集中对信息安全的潜在风险等进行审核和评估;上市的发电企业也可在进行内部控制审计时,加强对信息安全管理有效性的审计监督。
3 结 语
信息安全管理是一个全过程、全方位、全员的风险管理。只要发电企业依据COSO企业风险管理整合框架的思路和方法建立信息安全管理体系,并确保风险管理八要素设计的完整性和合理性以及八要素的执行情况,那么企业的信息安全管理就基本不会存在重大缺陷,风险被控制在管理当局的风险容限内。
本文利用 COSO企业风险管理整合框架进行发电企业信息安全管理体系的构建,主要是从管理层面进行探讨分析,希望能够为发电企业的信息安全管理提供一定的思路。
主要参考文献
[1]吴明珠,魏鹏飞.简论电力企业信息安全策略选择[J].硅谷,2009(20).
[2][美]COSO.企业风险管理——整合框架[M].方红星,译.大连.东北财经大学出版社,2005.