浅谈电网企业信息安全管理体系建设中的风险管理

廖仲钦

（云南电网有限责任公司瑞丽供电局，云南 瑞丽 678600）

目前，电网企业对于信息化管理系统的依赖性时越来越强。企业信息化管理系统必须满足：可用性、稳定性、保密性、可扩展性，这个四个基本要求。可在实际的运行过程中却常常出现系统意外停机、数据错误、数据丢失，甚至还有多系统无法有效集成等诸多问题。ISO/IEC27000系列国际标准信息安全管理理念为电网企业提高了有效的解决方案和最佳实践。本文具体论述在建设信息安全管理体系的过程中，实现风险的识别、风险评估、风险监控、风险应对，从而真正实现企业信息安全。

1 信息安全风险管理的概念

信息安全风险管理是从满足信息系统对可用性、稳定性、保密性、可扩展性的需求出发，系统地分析网络与信息系统所面临的风险及其存在的薄弱点，评估安全事件可能造成的危害程度，提出防护对策和控制措施，防范和化解信息安全风险，或将风险控制在可接受的水平，为确定和调整信息安全管理体系的范围和边界，选择信息安全控制目表，制定适用性标准，提供依据。在组织实施信息风险管理的时候，首先要找出机构当中的信息系统所存在的漏洞，通过选择适当的步骤以明确整个机构的信息系统当中所组成的部分，有机整合与分析其有效性、完整性和机密性。风险管理首先要对自己内部的信息系统详细熟知，对存在的风险问题要进行主动识别和检查。其次要了解和分析来自于外部的风险威胁。

2 信息安全的风险识别

识别风险是对于企业信息化系统的单个或者整体的安全风险的来源进行识别，并将所识别风险记录在册的一个过程。这个过程的主要作用：（1）将已经识别的单个或者整体的信息安全风险进行登记整理；（2）根据企业的要求或者一定的整理格式进行汇总，方便企业能够在信息系统的建设过程中能够有效地应对已经识别的风险。这个过程伴随着信息管理系统建设的整个周期，会一直反复地进行开展。

在信息管理系统的整个建设过程中，单个安全风险有可能会随着的信息管理系统建设工作的开展和深入而不断地出现；另外整体的安全风险等级也会随之出现变化，通常单个风险出现的次数越多，信息管理建设的难度就会加大，整体安全风险就会变得更加不可控。因此，风险识别是一个不断迭代、渐进明细的过程。这个迭代的次数和每次迭代需要的实际工作量也会根据实际情况发生变化的，所以要在风险管理计划中给出具体的定义。识别风险时，要将识别过程进行合理的规划，规划与组织相关人员参与其中，对信息系统的组件合理分类。详细的划分出信息构件以及资产清单，并按照识别的要点展开分类。对可能存在的威胁和风险快速分辨。将对信息安全产生影响的因素展开风险评估，是为资产受到的攻击赋值，评估漏洞攻击的可能性，计算资产的相对风险因素，检查可能的控制措施。记录所发现的事件。

3 信息安全的风险分析

在组织实施信息安全风险应对的过程当中，第一要坚持自主的原则。要组织企业内部的信息化管理人员展开信息安全风险评估，对内部存在的安全隐患快速排检，提出针对化的解决方案，以有效规避信息安全。第二要始终坚持适应量度的原则，一个灵活的评估过程可以适应不断变化的技术和进展。既不会因为受到当前威胁源的限制而导致模型出现不适应现象，也不会因为受到限制而导致最终的信息安全风险评估存在落实困难现象。第三，对已定义的过程展开信息安全评估，详细的描述信息安全评估程序依赖于已定义的标准化评估规程的需要。第四，连续过程的基础原则。机构必须实施基于实践安全策略和计划，以逐渐的改进自身信息系统的安全状态。

3.1 实施定性风险分析

实施定性风险分析就是通过分析单个风险可能发生的次数、可能会造成的影响以及其他的特征或者因素，将这些已经识别的风险根据优先级、重要性或者其他评判指标进行排序，为后面的分析或者制定应对计划提供理论基础的一个过程。这个过程的主要重用是将这些优先级高、重要性高的风险进行重点关注，确定后期风险应对工作的重心。因为实施定性风险分析，是分析单个风险可能发生的次数、可能会对体系建设目标造成的影响以及其他的特征或者因素，来确定风险优先级的，所以这个分析方式会很强的主观性。为了确保定性分析的有效，就需要充分了解和管理好本过程的关键参与者对已识别风险所所持有的态度。风险的感知很可能会导致在分析风险时出现偏差，所以要注意找出这些偏见并且加以改正。另外，分析单个风险时所依据的信息质量，也可以帮助我们去澄清风险的优先级和重要性。

3.2 实施定量风险分析

实施定量风险分析是将已识别的风险和其他可能会对整体建设目标造成影响的不确定性来源进行定量分析的过程。这个过程的主要作用是，量化整体风险的敞口，并且提供额外的定量风险信息，用于支持后续的风险应对措施。执行定量风险分析通常会用到专业的风险分析工具，以及建立风险模型和计算风险影响的专业知识；另外这个过程还需要投入额外的时间和成本。所以这个定量分析一般是用于大型、复杂的系统，或者是对于企业具有战略价值的信息化系统。由于这种分析会将单个风险和其他不确定影响因素进行模型推演和统筹评估，是评估系统整体风险的惟一可靠方法，是降低后期风险的必要步骤。

3.3 信息安全的风险监控

风险监控是在整个体系建设周期里，监控已制定好的风险应对计划的实施情况，对已识别的风险进行跟踪、确认是否有新的风险进行识别和风险，以及评估风险管理有效性的过程。这个过程的主要作用是确定风险应对策略是否都是基于整体风险敞口，并未出现明显偏差。这个过程伴随着信息管理系统建设的整个周期，会一直反复地进行开展。

4 信息安全的风险应对

在控制风险的时候及策略大体分为几个环节，首先要合理的避免风险出现，尝试性的防止漏洞被利用而导致的风险。如，合理的应用风险规避策略来避免风险，强化教育培训工作，注重对新技术的灵活运用。将风险进行转移，比如，可以提供相应的服务、修改部署模式，将企业的部分信息外包给其他机构、购买相应的保险、与供应商签署服务合同等。通过规划和预先的准备工作降低漏洞所产生的不良影响。若是不能有效的转移和规避风险，那么应该采取有效的手段进行解决。首先要确定风险的等级，对风险做可能带来的破坏和攻击进行合理评估。展开较为全面的成本效益分析，充分认定某些功能服务信息或者是资产是不值得进行保护的。

4.1 规避

规避是指采取具体的行动来清除风险，或者使得建设信息系统免受这些风险的影响。这是一种积极应对风险的方式，所以一般用于那些发生次数较多，并且对于系统建设会产生严重不利影响的那些优先级很高的风险。这种规避风险的应对方式往往会涉及到系统整体建设某些方面的变更，例如变更系统建设的某些指标，延长系统建设的周期，增加额外的投入等。这种应对方式可以最大程度地去消除风险，也是风险应对措施的首选方式。

4.2 转移

转移就是将应对这些风险的责任转移给第三方，让第三方管理风险并且承担风险发生时造成的不利影响。这种策略通常的处理方式有以下两种办法：（1）在确定建设系统之前购买一份保险，让保险公司去承担系统建设过程中产生的风险；（2）在完成风险分析之后，将己方无法完成的那些高风险的工作，外包给其他供应商，让他们去完成这些高风险的工作。

4.3 减轻

减轻就是采取一定的措施来降低风险发生的可能性或是风险发生时造成的不利影响。这种措施通过要在风险发生之前使用才会有效果，不推荐在风险发生之后使用，因为事后弥补很难对消除不利影响产生作用，甚至会加重那些不利影响。通常的办法包括简化业务流程，进行多次的审核、测试等。

5 结束语

在电网企业信息安全管理体系建立过程中，必须抓住风险管理这个核心，科学的、系统地分析网络与信息系统所面临的风险，有针对性地制定风险控制策略和风险控制措施，以便建立起完整的信息安全管理体系。通过采取合理的安全控制措施，以尽可能的降低漏洞被利用的可能性。从而可以保证信息系统的可用性、稳定性、保密性、可扩展性；更重要的是通过这种安全管理体系来持续地对信息安全管理进行优化和改进，实现信息系统的自我完善和与时俱进。