浅谈软件企业中的信息安全风险管理

《浅谈软件企业中的信息安全风险管理》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、浅谈软件企业中的信息安全风险管理(作者:单位:邮编:)(14)安全岗位设置和安全管理策略实施难题。根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑：这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。(15)信息安全成本投入和经济效益回报可见性。由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从

2、而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命，成了“救火队员：为了解决信息安全问题，保护企业信息的安全，建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求，越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全，通过建设信息安全管理体系中降低组织存在的信息安全风险的方法，来提高组织信息的安全性。由此可见信息安全风险管理，是我们建立

3、信息安全管理体系的一个重要环节，也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。(2)识别评估威胁。我们应该清楚威胁一定是与资产相对应的，某一资产可能面临多个威胁。在识别威胁时，我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后，综合考虑威胁源的动机、能力和行为，对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁，这种威胁动机、能力较强。(3)识别评估脆弱性。脆弱性可以理解为资产可以被某种威胁所利用的属性，一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性，通常采用文档审核、人员访谈、现场检查等方法。针对“识别

4、评估威胁”中所举例的威胁，软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。(4)识别评估控制措施。在我们识别出威胁和脆弱性之后，我们要针对威胁利用脆弱性产生的风险，来识别组织自身是否已经采取控制措施，并采取叙述性数值的方式来描述已采取控制措施的有效性，评估的标准由组织进行制定，例如控制措施有效性可以定义进行如下定义和赋值：①控制措施影响程度为“好”，赋值为V”，该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果，能够满足公司的信息安全管理要求；①控制措施影响程度为冲”，赋值为“2”，该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果，需要增加辅助的控

5、制措施满足公司信息安全管理要求；②控制措施影响程度为“低”，赋值为3,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果，需要重新制定新的控制措施满足公司信息安全管理要求。控制措施的有效性是我们风险评价的依据之一。