葉夢熊 唐寧

[摘 要] 發(fā)電企業(yè)在開展信息化建設(shè)的同時(shí)也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構(gòu)，制定信息安全管理規(guī)章制度，設(shè)計(jì)信息安全管理實(shí)施方案等已經(jīng)成為發(fā)電企業(yè)的重要工作內(nèi)容。本文借鑒COSO企業(yè)風(fēng)險(xiǎn)管理整合框架，從管理層面對發(fā)電企業(yè)構(gòu)建信息安全管理體系提出具體建議。

[關(guān)鍵詞] 風(fēng)險(xiǎn)管理；發(fā)電企業(yè)；信息安全；管理體系

[中圖分類號] F270.7；F239.45 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）15- 0045- 02

近年來，發(fā)電行業(yè)市場競爭日益加劇，同時(shí)燃料價(jià)格上漲又大大擠占了發(fā)電企業(yè)的盈利空間，如何改善經(jīng)營、提高企業(yè)核心競爭力便成了發(fā)電企業(yè)面臨的迫切問題。在此背景下，各發(fā)電企業(yè)紛紛制訂信息化建設(shè)戰(zhàn)略規(guī)劃，投入了大量人力物力進(jìn)行信息化建設(shè)，取得了較好的效果。在信息化建設(shè)的同時(shí)，發(fā)電企業(yè)也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構(gòu)，制定信息安全管理規(guī)章制度，設(shè)計(jì)信息安全管理實(shí)施方案等已經(jīng)成為發(fā)電企業(yè)的重要工作內(nèi)容。本文借鑒COSO企業(yè)風(fēng)險(xiǎn)管理整合框架，從管理層面對發(fā)電企業(yè)信息安全管理中存在的風(fēng)險(xiǎn)以及建立相應(yīng)的信息安全管理體系進(jìn)行系統(tǒng)的研究。

1 發(fā)電企業(yè)面臨的信息安全風(fēng)險(xiǎn)

發(fā)電企業(yè)的信息安全風(fēng)險(xiǎn)與企業(yè)的信息化應(yīng)用情況密切相關(guān)，包括采用的軟件和硬件情況、企業(yè)信息化程度等。目前，發(fā)電企業(yè)面臨的信息安全風(fēng)險(xiǎn)主要表現(xiàn)在4個(gè)方面，即物理安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、系統(tǒng)安全風(fēng)險(xiǎn)和用戶安全風(fēng)險(xiǎn)等。

1.1 物理安全風(fēng)險(xiǎn)

主要是服務(wù)器、路由器、交換機(jī)、工作站和通信鏈路等設(shè)備出現(xiàn)的安全風(fēng)險(xiǎn)。水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害，人為破壞或誤操作，設(shè)備固有缺陷等都會引起物理安全風(fēng)險(xiǎn)。

1.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

發(fā)電企業(yè)信息化的深化應(yīng)用離不開網(wǎng)絡(luò)的互聯(lián)，這就導(dǎo)致由計(jì)算機(jī)病毒、黑客攻擊、信息傳遞等引起的信息安全風(fēng)險(xiǎn)。

1.3 系統(tǒng)安全風(fēng)險(xiǎn)

發(fā)電企業(yè)的信息系統(tǒng)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和其他應(yīng)用系統(tǒng)等，這些系統(tǒng)存在的功能缺陷或漏洞都是重大的安全隱患，可能給企業(yè)帶來不可估量的損失。

1.4 用戶安全風(fēng)險(xiǎn)

主要是指企業(yè)內(nèi)部人員對信息系統(tǒng)的誤用或故意損壞，以及用戶認(rèn)證和權(quán)限設(shè)置等帶來的應(yīng)用風(fēng)險(xiǎn)。

2 借鑒企業(yè)風(fēng)險(xiǎn)管理框架構(gòu)建發(fā)電企業(yè)信息安全管理體系

2.1 COSO企業(yè)風(fēng)險(xiǎn)管理整合框架概述

COSO企業(yè)風(fēng)險(xiǎn)管理整合框架是美國專門研究內(nèi)部控制問題的委員會——COSO委員會（Committee of Sponsoring Organization）于2004年9月發(fā)布的，目的是促使企業(yè)完善公司治理結(jié)構(gòu)和提高風(fēng)險(xiǎn)管理能力。

COSO企業(yè)風(fēng)險(xiǎn)管理整合框架認(rèn)為，企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過程，它由一個(gè)主體的董事會、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理的保證；風(fēng)險(xiǎn)管理由內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項(xiàng)識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)對、控制活動、信息與溝通、監(jiān)控8個(gè)要素構(gòu)成，各要素貫穿在風(fēng)險(xiǎn)管理的全過程之中。

2.2 借鑒COSO企業(yè)風(fēng)險(xiǎn)整合框架構(gòu)建信息安全管理體系

COSO企業(yè)風(fēng)險(xiǎn)管理整合框架是一種全新的企業(yè)風(fēng)險(xiǎn)管理思路和方法，本文試圖從8個(gè)構(gòu)成要素的角度系統(tǒng)地分析該整合框架在發(fā)電企業(yè)構(gòu)建企業(yè)信息安全管理體系過程中的應(yīng)用。

2.2.1 內(nèi)部環(huán)境

內(nèi)部環(huán)境是企業(yè)風(fēng)險(xiǎn)管理所有其他構(gòu)成要素的基礎(chǔ)，為其他要素提供約束和結(jié)構(gòu)。

風(fēng)險(xiǎn)管理理念。發(fā)電企業(yè)要做好信息安全管理，風(fēng)險(xiǎn)管理理念的構(gòu)建并為全體員工所理解和信奉尤為重要。發(fā)電企業(yè)應(yīng)通過風(fēng)險(xiǎn)管理制度的制定和頒布，加強(qiáng)信息安全教育與宣傳，組織開展多層次、多方位的系統(tǒng)教育與培訓(xùn)來貫徹和強(qiáng)化信息安全風(fēng)險(xiǎn)管理理念。

組織結(jié)構(gòu)。建立起一個(gè)分工明確、統(tǒng)一高效的包含決策層、管理層和執(zhí)行層的信息安全管理組織架構(gòu)，是發(fā)電企業(yè)信息安全管理得以實(shí)施的基礎(chǔ)。對于集團(tuán)性的發(fā)電企業(yè)，可設(shè)立信息安全管理委員會，負(fù)責(zé)企業(yè)信息安全管理的決策；下設(shè)信息安全管理辦公室，負(fù)責(zé)信息安全的日常管理，該辦公室一般掛靠在企業(yè)信息技術(shù)中心/部門；在企業(yè)相關(guān)部門設(shè)兼職信息安全管理聯(lián)絡(luò)員，負(fù)責(zé)與本部門相關(guān)的信息安全管理工作。

勝任能力。勝任能力反映實(shí)現(xiàn)規(guī)定的任務(wù)所需要的知識和技能。發(fā)電企業(yè)應(yīng)明確信息安全風(fēng)險(xiǎn)管理組織架構(gòu)中各崗位的職責(zé)，并為其選用和配備符合能力水平要求的工作人員。

2.2.2 目標(biāo)設(shè)定

目標(biāo)設(shè)定是事項(xiàng)識別、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)應(yīng)對的前提。在管理當(dāng)局識別和評估實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)并采取行動來管理風(fēng)險(xiǎn)之前，首先必須有目標(biāo)。發(fā)電企業(yè)應(yīng)根據(jù)企業(yè)的發(fā)展戰(zhàn)略和經(jīng)營管理要求，確定恰當(dāng)?shù)男畔踩芾砟繕?biāo)。

在目標(biāo)設(shè)定過程中，必須設(shè)定風(fēng)險(xiǎn)容限。風(fēng)險(xiǎn)容限是相對于目標(biāo)的實(shí)現(xiàn)而言所能接受的偏離程度。風(fēng)險(xiǎn)容限能夠被計(jì)量，而且通常最好采用與相關(guān)目標(biāo)相同的單位來進(jìn)行計(jì)量。發(fā)電企業(yè)在設(shè)定信息安全管理風(fēng)險(xiǎn)容限時(shí)，應(yīng)針對不同信息系統(tǒng)分別設(shè)立。其中涉及安全生產(chǎn)的信息系統(tǒng)應(yīng)設(shè)立嚴(yán)格的風(fēng)險(xiǎn)容限。

2.2.3 事項(xiàng)識別

發(fā)電企業(yè)在信息安全管理過程中，必須識別給企業(yè)信息安全帶來風(fēng)險(xiǎn)的各項(xiàng)內(nèi)部、外部因素，必須詳細(xì)調(diào)查、分析帶來物理安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、系統(tǒng)安全風(fēng)險(xiǎn)和用戶安全風(fēng)險(xiǎn)的根源。

為有效識別帶來風(fēng)險(xiǎn)的各項(xiàng)內(nèi)部、外部因素，常采用的事項(xiàng)識別方法或技術(shù)有：

（1）根據(jù)以往的項(xiàng)目經(jīng)驗(yàn)總結(jié)的風(fēng)險(xiǎn)檢查清單（即事項(xiàng)目錄）；

（2）分析“原因及結(jié)果”（可能會發(fā)生什么，接著將發(fā)生什么）或“結(jié)果及原因”（什么樣的后果需要被避免，每一個(gè)后果是如何發(fā)生的）；

（3）通過與項(xiàng)目風(fēng)險(xiǎn)干系人進(jìn)行針對風(fēng)險(xiǎn)問題的訪談，這種方法有助于識別在通常的計(jì)劃活動中不易被發(fā)現(xiàn)的風(fēng)險(xiǎn)（即推進(jìn)式的研討與訪談）。

2.2.4 風(fēng)險(xiǎn)評估

管理當(dāng)局應(yīng)從兩個(gè)角度——可能性和影響——對事項(xiàng)進(jìn)行評估，并且通常采用定性和定量相結(jié)合的方法。在信息安全管理中，經(jīng)常采用的是定性評估技術(shù)。企業(yè)可對帶來風(fēng)險(xiǎn)的各項(xiàng)內(nèi)部、外部因素進(jìn)行風(fēng)險(xiǎn)評估，列舉出可能影響信息安全管理目標(biāo)實(shí)現(xiàn)的一系列風(fēng)險(xiǎn)因素（潛在事項(xiàng)），并形成風(fēng)險(xiǎn)檢查清單。接著對風(fēng)險(xiǎn)評估清單中的各風(fēng)險(xiǎn)因素進(jìn)行分析評估，評估的內(nèi)容主要包括風(fēng)險(xiǎn)因素發(fā)生的可能性和影響程度。風(fēng)險(xiǎn)因素評估可通過調(diào)查問卷或?qū)＜已杏憰男问竭M(jìn)行。最后形成信息安全管理的風(fēng)險(xiǎn)評估矩陣圖，如圖1所示。

2.2.5 風(fēng)險(xiǎn)應(yīng)對

在評估了相關(guān)的風(fēng)險(xiǎn)之后，管理當(dāng)局就要確定如何應(yīng)對。在考慮應(yīng)對的過程中，管理當(dāng)局評估對風(fēng)險(xiǎn)的可能性和影響的效果，以及成本效益，選擇能夠使剩余風(fēng)險(xiǎn)處于期望的風(fēng)險(xiǎn)容限以內(nèi)的應(yīng)對。

在信息安全管理中選擇風(fēng)險(xiǎn)應(yīng)對措施時(shí)，對發(fā)生可能性大、影響程度大的風(fēng)險(xiǎn)以風(fēng)險(xiǎn)回避措施為主；對發(fā)生可能性小、影響程度大的風(fēng)險(xiǎn)以風(fēng)險(xiǎn)分擔(dān)措施為主；對發(fā)生可能性大、影響程度小的風(fēng)險(xiǎn)以風(fēng)險(xiǎn)降低措施為主；對發(fā)生可能性小、影響程度小的風(fēng)險(xiǎn)以風(fēng)險(xiǎn)承受措施為主。

（1）風(fēng)險(xiǎn)回避。在信息安全管理中，當(dāng)判斷某項(xiàng)潛在事項(xiàng)的發(fā)生不可接受時(shí)，應(yīng)采取風(fēng)險(xiǎn)回避措施。這通常是將信息安全管理的觸角前伸到信息化建設(shè)階段來實(shí)現(xiàn)，如通過選擇合適的軟件而回避軟件風(fēng)險(xiǎn)，或是在實(shí)施階段通過調(diào)整技術(shù)方案來回避相關(guān)的實(shí)施風(fēng)險(xiǎn)。

（2）風(fēng)險(xiǎn)降低。風(fēng)險(xiǎn)降低是信息安全管理中的重點(diǎn)工作，可借助于同行業(yè)的歷史經(jīng)驗(yàn)，或是尋求外部專家的咨詢服務(wù)，同時(shí)引入和采用先進(jìn)的風(fēng)險(xiǎn)管理技術(shù)，建立系統(tǒng)的風(fēng)險(xiǎn)降低方法體系，在信息安全管理全過程中實(shí)施這一行為。具體可通過發(fā)布風(fēng)險(xiǎn)管理制度，強(qiáng)化流程化管理；或者有針對性地對關(guān)鍵人員進(jìn)行風(fēng)險(xiǎn)教育和業(yè)務(wù)技能培訓(xùn)；或是完善信息安全應(yīng)急制度、優(yōu)化數(shù)據(jù)備份和災(zāi)后恢復(fù)策略等。

（3）風(fēng)險(xiǎn)分擔(dān)。風(fēng)險(xiǎn)分擔(dān)可分為保險(xiǎn)型分擔(dān)和非保險(xiǎn)型分擔(dān)。保險(xiǎn)型分擔(dān)通常為購買財(cái)產(chǎn)險(xiǎn)，以有效轉(zhuǎn)移物理安全風(fēng)險(xiǎn)所帶來的損失。非保險(xiǎn)型分擔(dān)主要有充分利用供應(yīng)商的質(zhì)保條款，或是涉及運(yùn)維業(yè)務(wù)外包時(shí)在合同中增加索賠性條款等。

（4）風(fēng)險(xiǎn)承受。通常在下列情況下采用風(fēng)險(xiǎn)承受的方法：①采取風(fēng)險(xiǎn)應(yīng)對措施的成本大于承擔(dān)風(fēng)險(xiǎn)所造成的損失；②預(yù)計(jì)風(fēng)險(xiǎn)所造成的最大損失在主體風(fēng)險(xiǎn)容限以內(nèi)；③缺乏風(fēng)險(xiǎn)應(yīng)對能力，采取風(fēng)險(xiǎn)應(yīng)對措施對風(fēng)險(xiǎn)的可能性和影響的效果輕微。在信息安全管理過程中，對于局部業(yè)務(wù)模塊，其發(fā)生風(fēng)險(xiǎn)時(shí)如帶來的風(fēng)險(xiǎn)很小，在企業(yè)的風(fēng)險(xiǎn)容限范圍內(nèi)，則可采取該風(fēng)險(xiǎn)應(yīng)對策略。

2.2.6 控制活動

控制活動是幫助確保管理當(dāng)局的風(fēng)險(xiǎn)應(yīng)對得以實(shí)施的政策和程序。在信息安全管理中常用的控制活動包括制定相關(guān)的風(fēng)險(xiǎn)管理規(guī)定、明確不同崗位在風(fēng)險(xiǎn)管理中的職責(zé)并充分授權(quán)、對重要的潛在事項(xiàng)制定嚴(yán)格的審批流程、加強(qiáng)系統(tǒng)服務(wù)器機(jī)房的安全管理以及對數(shù)據(jù)庫進(jìn)行異地備份等。

2.2.7 信息與溝通

一個(gè)組織中的各個(gè)層級都需要信息，以便識別、評估和應(yīng)對風(fēng)險(xiǎn)，以及從其他方面去經(jīng)營主體和實(shí)現(xiàn)目標(biāo)。溝通的方式多樣，在信息安全管理中最普遍使用的方式有口頭溝通、書面溝通、會議溝通和非常規(guī)溝通等。

在信息安全管理中建立有效的溝通，需要具備如下的要素：

（1）制訂清晰、一致、適時(shí)的溝通方法和計(jì)劃；

（2）按計(jì)劃適時(shí)溝通，傳遞合適、一致及清晰的項(xiàng)目信息；

（3）充分理解溝通效果、參與及反饋，以取得廣泛的支持。

2.2.8 監(jiān)控

企業(yè)的風(fēng)險(xiǎn)管理隨著時(shí)間變化而變化。曾經(jīng)有效的風(fēng)險(xiǎn)應(yīng)對可能會變得不相關(guān)；控制活動可能會變得不太有效，或者不再被執(zhí)行；企業(yè)的目標(biāo)也可能變化。風(fēng)險(xiǎn)監(jiān)控可以通過持續(xù)的活動、個(gè)別評價(jià)或兩者結(jié)合來完成。

持續(xù)的活動主要來自經(jīng)常性的管理活動，如向管理委員會定期提交工作報(bào)告和重要工作專項(xiàng)報(bào)告，由內(nèi)部審計(jì)部門進(jìn)行日常監(jiān)督和審查等。

個(gè)別評價(jià)通常作為輔助，它提供一個(gè)考察持續(xù)監(jiān)控程序的持續(xù)有效性的機(jī)會。對于信息安全管理，可在重要、關(guān)鍵的信息系統(tǒng)實(shí)施過程中，邀請有關(guān)專家集中對信息安全的潛在風(fēng)險(xiǎn)等進(jìn)行審核和評估；上市的發(fā)電企業(yè)也可在進(jìn)行內(nèi)部控制審計(jì)時(shí)，加強(qiáng)對信息安全管理有效性的審計(jì)監(jiān)督。

3 結(jié) 語

信息安全管理是一個(gè)全過程、全方位、全員的風(fēng)險(xiǎn)管理。只要發(fā)電企業(yè)依據(jù)COSO企業(yè)風(fēng)險(xiǎn)管理整合框架的思路和方法建立信息安全管理體系，并確保風(fēng)險(xiǎn)管理八要素設(shè)計(jì)的完整性和合理性以及八要素的執(zhí)行情況，那么企業(yè)的信息安全管理就基本不會存在重大缺陷，風(fēng)險(xiǎn)被控制在管理當(dāng)局的風(fēng)險(xiǎn)容限內(nèi)。

本文利用 COSO企業(yè)風(fēng)險(xiǎn)管理整合框架進(jìn)行發(fā)電企業(yè)信息安全管理體系的構(gòu)建，主要是從管理層面進(jìn)行探討分析，希望能夠?yàn)榘l(fā)電企業(yè)的信息安全管理提供一定的思路。

主要參考文獻(xiàn)

[1]吳明珠，魏鵬飛.簡論電力企業(yè)信息安全策略選擇[J].硅谷，2009（20）.

[2][美]COSO.企業(yè)風(fēng)險(xiǎn)管理——整合框架[M].方紅星，譯.大連.東北財(cái)經(jīng)大學(xué)出版社，2005.