借鑒COSO企業(yè)風(fēng)險管理框架構(gòu)建發(fā)電企業(yè)信息安全管理體系

葉夢熊 唐寧

[摘 要] 發(fā)電企業(yè)在開展信息化建設(shè)的同時也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構(gòu)，制定信息安全管理規(guī)章制度，設(shè)計信息安全管理實施方案等已經(jīng)成為發(fā)電企業(yè)的重要工作內(nèi)容。本文借鑒COSO企業(yè)風(fēng)險管理整合框架，從管理層面對發(fā)電企業(yè)構(gòu)建信息安全管理體系提出具體建議。

[關(guān)鍵詞] 風(fēng)險管理；發(fā)電企業(yè)；信息安全；管理體系

[中圖分類號] F270.7；F239.45 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194（2014）15- 0045- 02

近年來，發(fā)電行業(yè)市場競爭日益加劇，同時燃料價格上漲又大大擠占了發(fā)電企業(yè)的盈利空間，如何改善經(jīng)營、提高企業(yè)核心競爭力便成了發(fā)電企業(yè)面臨的迫切問題。在此背景下，各發(fā)電企業(yè)紛紛制訂信息化建設(shè)戰(zhàn)略規(guī)劃，投入了大量人力物力進行信息化建設(shè)，取得了較好的效果。在信息化建設(shè)的同時，發(fā)電企業(yè)也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構(gòu)，制定信息安全管理規(guī)章制度，設(shè)計信息安全管理實施方案等已經(jīng)成為發(fā)電企業(yè)的重要工作內(nèi)容。本文借鑒COSO企業(yè)風(fēng)險管理整合框架，從管理層面對發(fā)電企業(yè)信息安全管理中存在的風(fēng)險以及建立相應(yīng)的信息安全管理體系進行系統(tǒng)的研究。

1 發(fā)電企業(yè)面臨的信息安全風(fēng)險

發(fā)電企業(yè)的信息安全風(fēng)險與企業(yè)的信息化應(yīng)用情況密切相關(guān)，包括采用的軟件和硬件情況、企業(yè)信息化程度等。目前，發(fā)電企業(yè)面臨的信息安全風(fēng)險主要表現(xiàn)在4個方面，即物理安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、系統(tǒng)安全風(fēng)險和用戶安全風(fēng)險等。

1.1 物理安全風(fēng)險

主要是服務(wù)器、路由器、交換機、工作站和通信鏈路等設(shè)備出現(xiàn)的安全風(fēng)險。水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害，人為破壞或誤操作，設(shè)備固有缺陷等都會引起物理安全風(fēng)險。

1.2 網(wǎng)絡(luò)安全風(fēng)險

發(fā)電企業(yè)信息化的深化應(yīng)用離不開網(wǎng)絡(luò)的互聯(lián)，這就導(dǎo)致由計算機病毒、黑客攻擊、信息傳遞等引起的信息安全風(fēng)險。

1.3 系統(tǒng)安全風(fēng)險

發(fā)電企業(yè)的信息系統(tǒng)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和其他應(yīng)用系統(tǒng)等，這些系統(tǒng)存在的功能缺陷或漏洞都是重大的安全隱患，可能給企業(yè)帶來不可估量的損失。

1.4 用戶安全風(fēng)險

主要是指企業(yè)內(nèi)部人員對信息系統(tǒng)的誤用或故意損壞，以及用戶認證和權(quán)限設(shè)置等帶來的應(yīng)用風(fēng)險。

2 借鑒企業(yè)風(fēng)險管理框架構(gòu)建發(fā)電企業(yè)信息安全管理體系

2.1 COSO企業(yè)風(fēng)險管理整合框架概述

COSO企業(yè)風(fēng)險管理整合框架是美國專門研究內(nèi)部控制問題的委員會——COSO委員會（Committee of Sponsoring Organization）于2004年9月發(fā)布的，目的是促使企業(yè)完善公司治理結(jié)構(gòu)和提高風(fēng)險管理能力。

COSO企業(yè)風(fēng)險管理整合框架認為，企業(yè)風(fēng)險管理是一個過程，它由一個主體的董事會、管理當(dāng)局和其他人員實施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風(fēng)險以使其在該主體的風(fēng)險容量之內(nèi)，并為主體目標(biāo)的實現(xiàn)提供合理的保證；風(fēng)險管理由內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對、控制活動、信息與溝通、監(jiān)控8個要素構(gòu)成，各要素貫穿在風(fēng)險管理的全過程之中。

2.2 借鑒COSO企業(yè)風(fēng)險整合框架構(gòu)建信息安全管理體系

COSO企業(yè)風(fēng)險管理整合框架是一種全新的企業(yè)風(fēng)險管理思路和方法，本文試圖從8個構(gòu)成要素的角度系統(tǒng)地分析該整合框架在發(fā)電企業(yè)構(gòu)建企業(yè)信息安全管理體系過程中的應(yīng)用。

2.2.1 內(nèi)部環(huán)境

內(nèi)部環(huán)境是企業(yè)風(fēng)險管理所有其他構(gòu)成要素的基礎(chǔ)，為其他要素提供約束和結(jié)構(gòu)。

風(fēng)險管理理念。發(fā)電企業(yè)要做好信息安全管理，風(fēng)險管理理念的構(gòu)建并為全體員工所理解和信奉尤為重要。發(fā)電企業(yè)應(yīng)通過風(fēng)險管理制度的制定和頒布，加強信息安全教育與宣傳，組織開展多層次、多方位的系統(tǒng)教育與培訓(xùn)來貫徹和強化信息安全風(fēng)險管理理念。

組織結(jié)構(gòu)。建立起一個分工明確、統(tǒng)一高效的包含決策層、管理層和執(zhí)行層的信息安全管理組織架構(gòu)，是發(fā)電企業(yè)信息安全管理得以實施的基礎(chǔ)。對于集團性的發(fā)電企業(yè)，可設(shè)立信息安全管理委員會，負責(zé)企業(yè)信息安全管理的決策；下設(shè)信息安全管理辦公室，負責(zé)信息安全的日常管理，該辦公室一般掛靠在企業(yè)信息技術(shù)中心/部門；在企業(yè)相關(guān)部門設(shè)兼職信息安全管理聯(lián)絡(luò)員，負責(zé)與本部門相關(guān)的信息安全管理工作。

勝任能力。勝任能力反映實現(xiàn)規(guī)定的任務(wù)所需要的知識和技能。發(fā)電企業(yè)應(yīng)明確信息安全風(fēng)險管理組織架構(gòu)中各崗位的職責(zé)，并為其選用和配備符合能力水平要求的工作人員。

2.2.2 目標(biāo)設(shè)定

目標(biāo)設(shè)定是事項識別、風(fēng)險評估和風(fēng)險應(yīng)對的前提。在管理當(dāng)局識別和評估實現(xiàn)目標(biāo)的風(fēng)險并采取行動來管理風(fēng)險之前，首先必須有目標(biāo)。發(fā)電企業(yè)應(yīng)根據(jù)企業(yè)的發(fā)展戰(zhàn)略和經(jīng)營管理要求，確定恰當(dāng)?shù)男畔踩芾砟繕?biāo)。

在目標(biāo)設(shè)定過程中，必須設(shè)定風(fēng)險容限。風(fēng)險容限是相對于目標(biāo)的實現(xiàn)而言所能接受的偏離程度。風(fēng)險容限能夠被計量，而且通常最好采用與相關(guān)目標(biāo)相同的單位來進行計量。發(fā)電企業(yè)在設(shè)定信息安全管理風(fēng)險容限時，應(yīng)針對不同信息系統(tǒng)分別設(shè)立。其中涉及安全生產(chǎn)的信息系統(tǒng)應(yīng)設(shè)立嚴(yán)格的風(fēng)險容限。

2.2.3 事項識別

發(fā)電企業(yè)在信息安全管理過程中，必須識別給企業(yè)信息安全帶來風(fēng)險的各項內(nèi)部、外部因素，必須詳細調(diào)查、分析帶來物理安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、系統(tǒng)安全風(fēng)險和用戶安全風(fēng)險的根源。

為有效識別帶來風(fēng)險的各項內(nèi)部、外部因素，常采用的事項識別方法或技術(shù)有：

（1）根據(jù)以往的項目經(jīng)驗總結(jié)的風(fēng)險檢查清單（即事項目錄）；

（2）分析“原因及結(jié)果”（可能會發(fā)生什么，接著將發(fā)生什么）或“結(jié)果及原因”（什么樣的后果需要被避免，每一個后果是如何發(fā)生的）；

（3）通過與項目風(fēng)險干系人進行針對風(fēng)險問題的訪談，這種方法有助于識別在通常的計劃活動中不易被發(fā)現(xiàn)的風(fēng)險（即推進式的研討與訪談）。

2.2.4 風(fēng)險評估

管理當(dāng)局應(yīng)從兩個角度——可能性和影響——對事項進行評估，并且通常采用定性和定量相結(jié)合的方法。在信息安全管理中，經(jīng)常采用的是定性評估技術(shù)。企業(yè)可對帶來風(fēng)險的各項內(nèi)部、外部因素進行風(fēng)險評估，列舉出可能影響信息安全管理目標(biāo)實現(xiàn)的一系列風(fēng)險因素（潛在事項），并形成風(fēng)險檢查清單。接著對風(fēng)險評估清單中的各風(fēng)險因素進行分析評估，評估的內(nèi)容主要包括風(fēng)險因素發(fā)生的可能性和影響程度。風(fēng)險因素評估可通過調(diào)查問卷或?qū)＜已杏憰男问竭M行。最后形成信息安全管理的風(fēng)險評估矩陣圖，如圖1所示。

2.2.5 風(fēng)險應(yīng)對

在評估了相關(guān)的風(fēng)險之后，管理當(dāng)局就要確定如何應(yīng)對。在考慮應(yīng)對的過程中，管理當(dāng)局評估對風(fēng)險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風(fēng)險處于期望的風(fēng)險容限以內(nèi)的應(yīng)對。

在信息安全管理中選擇風(fēng)險應(yīng)對措施時，對發(fā)生可能性大、影響程度大的風(fēng)險以風(fēng)險回避措施為主；對發(fā)生可能性小、影響程度大的風(fēng)險以風(fēng)險分擔(dān)措施為主；對發(fā)生可能性大、影響程度小的風(fēng)險以風(fēng)險降低措施為主；對發(fā)生可能性小、影響程度小的風(fēng)險以風(fēng)險承受措施為主。

（1）風(fēng)險回避。在信息安全管理中，當(dāng)判斷某項潛在事項的發(fā)生不可接受時，應(yīng)采取風(fēng)險回避措施。這通常是將信息安全管理的觸角前伸到信息化建設(shè)階段來實現(xiàn)，如通過選擇合適的軟件而回避軟件風(fēng)險，或是在實施階段通過調(diào)整技術(shù)方案來回避相關(guān)的實施風(fēng)險。

（2）風(fēng)險降低。風(fēng)險降低是信息安全管理中的重點工作，可借助于同行業(yè)的歷史經(jīng)驗，或是尋求外部專家的咨詢服務(wù)，同時引入和采用先進的風(fēng)險管理技術(shù)，建立系統(tǒng)的風(fēng)險降低方法體系，在信息安全管理全過程中實施這一行為。具體可通過發(fā)布風(fēng)險管理制度，強化流程化管理；或者有針對性地對關(guān)鍵人員進行風(fēng)險教育和業(yè)務(wù)技能培訓(xùn)；或是完善信息安全應(yīng)急制度、優(yōu)化數(shù)據(jù)備份和災(zāi)后恢復(fù)策略等。

（3）風(fēng)險分擔(dān)。風(fēng)險分擔(dān)可分為保險型分擔(dān)和非保險型分擔(dān)。保險型分擔(dān)通常為購買財產(chǎn)險，以有效轉(zhuǎn)移物理安全風(fēng)險所帶來的損失。非保險型分擔(dān)主要有充分利用供應(yīng)商的質(zhì)保條款，或是涉及運維業(yè)務(wù)外包時在合同中增加索賠性條款等。

（4）風(fēng)險承受。通常在下列情況下采用風(fēng)險承受的方法：①采取風(fēng)險應(yīng)對措施的成本大于承擔(dān)風(fēng)險所造成的損失；②預(yù)計風(fēng)險所造成的最大損失在主體風(fēng)險容限以內(nèi)；③缺乏風(fēng)險應(yīng)對能力，采取風(fēng)險應(yīng)對措施對風(fēng)險的可能性和影響的效果輕微。在信息安全管理過程中，對于局部業(yè)務(wù)模塊，其發(fā)生風(fēng)險時如帶來的風(fēng)險很小，在企業(yè)的風(fēng)險容限范圍內(nèi)，則可采取該風(fēng)險應(yīng)對策略。

2.2.6 控制活動

控制活動是幫助確保管理當(dāng)局的風(fēng)險應(yīng)對得以實施的政策和程序。在信息安全管理中常用的控制活動包括制定相關(guān)的風(fēng)險管理規(guī)定、明確不同崗位在風(fēng)險管理中的職責(zé)并充分授權(quán)、對重要的潛在事項制定嚴(yán)格的審批流程、加強系統(tǒng)服務(wù)器機房的安全管理以及對數(shù)據(jù)庫進行異地備份等。

2.2.7 信息與溝通

一個組織中的各個層級都需要信息，以便識別、評估和應(yīng)對風(fēng)險，以及從其他方面去經(jīng)營主體和實現(xiàn)目標(biāo)。溝通的方式多樣，在信息安全管理中最普遍使用的方式有口頭溝通、書面溝通、會議溝通和非常規(guī)溝通等。

在信息安全管理中建立有效的溝通，需要具備如下的要素：

（1）制訂清晰、一致、適時的溝通方法和計劃；

（2）按計劃適時溝通，傳遞合適、一致及清晰的項目信息；

（3）充分理解溝通效果、參與及反饋，以取得廣泛的支持。

2.2.8 監(jiān)控

企業(yè)的風(fēng)險管理隨著時間變化而變化。曾經(jīng)有效的風(fēng)險應(yīng)對可能會變得不相關(guān)；控制活動可能會變得不太有效，或者不再被執(zhí)行；企業(yè)的目標(biāo)也可能變化。風(fēng)險監(jiān)控可以通過持續(xù)的活動、個別評價或兩者結(jié)合來完成。

持續(xù)的活動主要來自經(jīng)常性的管理活動，如向管理委員會定期提交工作報告和重要工作專項報告，由內(nèi)部審計部門進行日常監(jiān)督和審查等。

個別評價通常作為輔助，它提供一個考察持續(xù)監(jiān)控程序的持續(xù)有效性的機會。對于信息安全管理，可在重要、關(guān)鍵的信息系統(tǒng)實施過程中，邀請有關(guān)專家集中對信息安全的潛在風(fēng)險等進行審核和評估；上市的發(fā)電企業(yè)也可在進行內(nèi)部控制審計時，加強對信息安全管理有效性的審計監(jiān)督。

3 結(jié) 語

信息安全管理是一個全過程、全方位、全員的風(fēng)險管理。只要發(fā)電企業(yè)依據(jù)COSO企業(yè)風(fēng)險管理整合框架的思路和方法建立信息安全管理體系，并確保風(fēng)險管理八要素設(shè)計的完整性和合理性以及八要素的執(zhí)行情況，那么企業(yè)的信息安全管理就基本不會存在重大缺陷，風(fēng)險被控制在管理當(dāng)局的風(fēng)險容限內(nèi)。

本文利用 COSO企業(yè)風(fēng)險管理整合框架進行發(fā)電企業(yè)信息安全管理體系的構(gòu)建，主要是從管理層面進行探討分析，希望能夠為發(fā)電企業(yè)的信息安全管理提供一定的思路。

主要參考文獻

[1]吳明珠，魏鵬飛.簡論電力企業(yè)信息安全策略選擇[J].硅谷，2009（20）.

[2][美]COSO.企業(yè)風(fēng)險管理——整合框架[M].方紅星，譯.大連.東北財經(jīng)大學(xué)出版社，2005.