随着经济全球化的不断发展,特别是企业对信息化依赖程度的增强,信息风险已超出传统的技术问题范畴,已属于企业业务风险的一个部分,本文主要论述纳入安全生产风险管理体系中的信息风险管理体系的构建.
1 影响信息风险的因素
影响信息风险的因素主要包括外部环境、内部环境、风险管理能力、信息相关能力等.外部环境主要包括市场和经济因素、同行及竞争、地理环境、法规遵从环境、技术状态和创新、威胁领域,市场和经济因素是企业安全生产的行业因素.比如,金融业的运营与制造业的运营对信息化有不同的需求以及不同的IT能力.
内部环境主要包括企业目标、信息化对企业业务的战略重要性、信息架构的复杂程度、企业的复杂性、业务变更的深度、业务变更管理能力、风险管理哲学和价值观、安全生产模式、经济能力以及信息化在企业战略中的优先级等.安全生产模式关系到企业独立运营的程度或与它的客户/供应商相关联、集中化/非集中化程度,企业文化决定了企业需要变更以能够有效进行风险管理,经济能力主要表示企业当优化风险时,对支持、强化和维护IT环境的财务能力.
风险管理能力是衡量企业实施关键风险管理流程和相关动力水平的一个指标.可以通过运用风险记录卡来度量.动力绩效指标越好,则风险管理能力水平越高.
对于企业风险事件的频率和影响,风险管理能力是一个非常重要的元素,因为它负责管理风险决策,以及在企业内建立和实施有效控制,它主要包括治理风险和管理风险两个方面.
信息相关能力与IT流程以及所有其他动力的能力相关.对于不同动力的一个高成熟度等于高的IT能力,它能够正面影响:降低事件的频率,如实施了好的软件开发流程将交付高质量和稳定的软件或实施了一个好的安全度量将减少安全相关事故的数量;减轻事件发生时对业务的影响,如针对灾难的发生,具有一个良好的业务持续性计划/IT灾难恢复计划.IT流程包括评价、指导和监管、与业务一致、计划和组织、建立、获取和实施、交付、服务和支持以及监管、评价和评估等五个管理职能域中的37个流程实践.风险场景库类别主要包括项目组合建立和维护、项目/项目群生命周期管理(项目/项目群的启动、开发和获取、交付、质量、中止)、信息化投资决策制定、IT经验和技能、员工运营(人力错误和恶意企图)、信息(数据破坏、损坏、泄露和访问)、企业架构(架构版本和设计)、基础设施(硬件、操作系统和控制技术)(选择、实施、运行和退运)、软件、信息系统的业务所有权、供应商选择/绩效、合同遵从、服务中止或转移、法规遵从、地缘政治层面、基础设施被盗或破坏、恶意软件、逻辑攻击、环境、大自然行为、创新等.
2 信息业务风险库
在信息化的服务、交付和支持阶段,建立起的信息业务风险库主要包括以下方面:事件和事故管理业务节点包括提交事件、事件记录分类、识别范围、地市识别事件范围、一线处理、解决事件与否、事件解决情况、现场处理、处理情况、审批情况、后台处理、是否解决事件、申请挂起、挂起事件、解挂事件、是否发起其他流程、关闭事件、初步确认事件影响范围、统一解释口径、确认是否向省公司升级、向省公司服务台通报、标示大范围事件并向用户解释等.主要存在的风险包括IT系统停工期的增加、客户满意度的降低、客户不知道事件报告的程序、复发问题没有解决、不是所有的事件都被跟踪、事件优先级未反映业务需求、事件未及时解决、服务台的运营操作没有支持业务活动、客户对所提供的服务不满意、事件未及时解决、客户中断服务时间增加等.
管理用户请求业务节点主要包括提交咨询或请求、尝式解答咨询、解决咨询或请求、咨询支持升级或转派任务、用户评价、升级、给出咨询答案、转派事件、判断用户反馈情况并处理结果.存在的风险主要包括对硬件和软件的未授权变更、访问管理忽略业务需求并且损害业务关键系统的安全、未对所有系统规定安全需求、违反职责分离和危害系统信息等.
管理配置项业务节点主要包括操作系统管理、硬件信息管理、中间件信息管理、数据库信息管理、软件信息管理、操作系统管理.存在的风险主要是配置项信息维护职责不明确,导致信息更新不及时.
管理服务级别SLA业务节点主要包括编制服务目录、提出业务需求、制定服务级别策略、编制服务级别协议、签订服务级别协议、发布服务目录、召开年度评审会议、制定年度服务改进计划.存在的风险包括用户和服务提供者不理解各自的职责、不恰当的优先权授予不同的服务提供、不恰当交付的服务、为提供的服务授予不恰当的优先权、对提供的IT服务有不同的解释和误解、由于期望和实际能力的差距导致纠纷、低效率和昂贵的运行服务、无法满足客户的服务需求;服务交付资源的无效和低效使用;无法识别和响应关键服务事件、由于过时的合同导致不能满足商业和法律需求、由于服务偏差导致经济损失和事件等.
管理问题业务节点主要包括问题记录、判断是否问题、判断提审方案是否能过变更实现、实施方案、启动变更管理流程、确认记录解决结果、启动知识管理流程、问题跟踪与升级等.存在的风险包括IT服务的中断、问题重复发生的可能性增加、问题和事件没有及时解决、对主动的问题和事件管理,缺乏问题和事件及解决方案的审计跟踪、事件重复发生、问题和事件重复发生、未恰当解决的关键事件、业务中断、服务质量不足等.
3 控制措施
在事件和事故管理业务采取的控制措施包括坚持对客户进行满意度回访,并针对用户提出的问题及其自身IT服务的不足,进行整改,努力提升服务质量;及时跟进事件处理情况并向用户进行反馈;对于复发事件需要进行分析、找出根源,启动问题管理流程,从而减少事件复发的几率;加强对服务台人员的事件分类标准、优先级,按标准化准确分类;服务台经理加强对事件单的处理进程的全程跟踪,对当前处理人应实时跟踪进展情况;加强运维人员的沟通能力和技术能力;事件经理监控所有事件并协调处理未解决事件.
在管理用户请求中采取的控制措施包括严格按照规章制度进行,禁止进行未授权的变更;加强对业务需求的分析以及业务关键系统的安全,审核请求的合规性;按照各系统安全需求,拒绝违反系统安全需求的请求;加强各运维人员的职责分离意识,坚决杜绝违反职责分离;加强对请求的审查力度,杜绝一切危害系统的请求.
在管理配置制顶中采用的控制措施主要包括相关的信息维护需要明确到具体岗位;严格把关机房进出制度、工作票制度;完善业务和技术服务目录,明确配置项负责人,加强审查力度.
管理服务级别SLA采取的控制措施主要包括服务目录必须包括服务需求、服务定义、SLA、OLA、资金来源;建立一个包括开发、审核和调整服务目录或服务组合的流程;建立一个确保服务目录或组合是有用的、完整的和及时更新的管理流程;定期审查服务目录和服务组合;建立一个检查程序,使SLA的目标和绩效测量与业务目标和IT政策一致;SLA必须包括例外事项、商业协议和OLA;SLA的改进和调整流程是基于用户和业务的需求的绩效反馈和变更;SLA形式和内容必须经所有利益相关方同意;SLA需正式批准和适当签署.
管理问题的控制措施包括建立被适当工具支持的能满足需要的流程,以识别和分类问题;建立和维护用于问题分类和优先权的已建立的标准,确保这种分类与解决和容忍问题的服务承诺或组织单元职责相一致;开发用来生成问题管理报告的报告工具;问题报告必须包括以下内容:分析根本原因的问题文档、问题所有者和解决责任的识别、问题状态信息.问题解决后,需经利益相关方确认,问题只有被利益相关方确认解决后才被关闭.
4 结语
综上所述,本文先分析了当前影响企业信息风险的因素,进而论述了我企业根据现实情况所建立的信息业务风险库和控制措施,当前很多企业已经认识到了信息风险的重要性,也采取了一些具体的针对措施,但是很多措施在使用中仍然存在一些不可预测的问题,这些还需要更多的人努力去解决.
参考文献
[1] ISACA.IT 鉴证指南:使用COBIT.
[2] ISACA.COBIT5 Framework.
[3] ISACA.RISK IT.
[4] ISACA.COBIT5 FOR RISK.