快捷搜索:

信息化风险及风险管理研究

跟着信息化的成长,信息化的风险与风险治理问题已经成为各个国家、国际组织所普遍关注的问题。若何进行信息化的风险治理,保障收集空间的安然也成为关系信息化能否康健成长的重大年夜问题。

风险指行动或者事故的结果的不确定性(uncertainty of outcome),无论其结果是积极的时机照样悲不雅的要挟。人们只能经由过程对这些不确定性发生的可能性,以及实际发生今后所孕育发生的影响和后果来评价风险。在本申报中,信息化的风险被界定为信息化可能或者实际带来的悲不雅要挟。风险治理泛指确认风险、评价风险、回应风险的历程。风险治理涉及繁杂的布局、机制、历程和轨制安排,其目的在于尽可能地低落风险的发生以及风险发生今后所带来的丧掉和要挟。

信息化风险可划分为小我用户、企业、政府部门和国家四个层次。小我用户和企业可能蒙受:设备、软件、收集、数据、办事、买卖营业方面的六大年夜类信息化风险。政府部门还可能蒙受根基举措措施方面的风险。国家存在着:国乡信息、国家机械的功能、国家资产、国家安然、国际关系与社会成长五个方面的风险。实际上,信息化风险的种类要远远越过上述范围,并且将跟着信息化的成长而慢慢进级和恶化。我们可以把信息化风险的主要特性归纳为四个方面:举世性,熏染性,繁杂性,隐蔽性。

信息化风险的天生机理是繁杂的,一方面是内因,由信息化自身的特征所抉择:第一,信息化的无疆界特性;第二,信息化的低资源特性;第三,信息化的开放性特性;第四,信息化的匿名性特性。另一方面是外因,是信息化的风险源;我们把此中紧张的归纳为十个方面:第一,自然灾难;第二,安然临盆变乱;第三,收集进击;第四,借助信息化手段进行敲诈;第五,病毒和蠕虫;第六,内部泄密;第七,应用欠妥;第八,因内部身分而造成的信息、数据的改动和损掉;第九,因外部身分造成信息、数据的泄露、窜改和损掉;第十,安然警备步伐不到位的高端技巧。

从国际的履历和我国的详细环境启程,我们觉得,对付信息化的风险以及风险的治理,我们应确立以下基础的计谋和政策应对之。

一、明的政府的角色,强化信息化风险治理的责任

第一,管束者的角色(Regulatory role),对付那些小我或者企业、组织的风险会给其他人、企业、组织以致于社会造成直接或者间接后果的,政府有需要采取管束或者其他的步伐限定或者节制他们的活动或者行径;政府还要使那些使他人承担风险的人或者组织承担此种风险所导致后果的资源,不至于使他们转嫁资源。第二,办事者的角色。在信息化的历程中所呈现的一些风险,如大年夜规模的自然灾难所导致的信息根基举措措施的破坏;可怕主义以及收集可怕主义的进击等等,政府必要采取直接的干预步伐为社会供给直接的公共办事。政府干预的要领也主要有两个方面:采取行动低落风险发生的可能性;采取行动低落风险发生今后的丧掉。第三,治理者的角色。在政府自身的事务领域,包括在政府行使本能机能,供给办事的历程中,政府有责任确认风险和治理风险。在信息化的历程中,政府自身就是风险的治理者。政府要在其治理的各个层面,如计谋层面、政策筹划层面、项目层面以及详细的治理运作层面,周全实施风险的治理。作为风险的治理者,政府最主要的责任在于在各个层面的决策历程中,充分斟酌到风险的身分,进行决策的风险判断。

二、建立和成长信息化风险治理的文化

高层引导支持和鼓励风险治理;政府组织支持立异和承担风险;有明确的风险治理的政策;有明确的风险治理的责任和责任机制;风险治理的政策和好处在所有的事情职员中获得充分的沟通和理解;风险治理充分地整合到组织治理的历程之中等。

三、做好国乡信息化的懦弱环节识别,削减信息化系统中的问题

针对信息化风险的举世性和熏染性等特性,政府主管部门尤其要做好国乡信息化懦弱环节的识别、增补和警备事情。第一,完善风险识别的机制,将反省定制为老例性事情,经由过程排查、采样、对照、实习、试点等措施,按期评估系统的风险应对能力,加强对懦弱环节的识别和熟识。第二,及时矫正所发明的问题,削减现致意题导致灾难的可能性。第三,在前提容许的环境下,将旧系统替换为问题更少、技巧更成熟的新系统。

四、经由过程有效的教导和培训前进和强化全部社会的信息化风险治理和安然意识与能力

经由过程鼓吹和教导计划提升社会公夷易近、法人和其他组织的风险意识和安然意识;经由过程专门的教导和练习计划,培养风险治理、安然治理的专门人才以满意信息化成长的必要;经由过程教导和练习计划前进现有治理者的风险治理、安然治理的常识和能力;鼓励企业、社会组织开展风险治理、安然治理的专业职员的培训和资格认证。

五、强化信息化相关的立法,建立有效的管束机制,以防止和化解信息化的风险

从今朝的环境来看,最迫切的事情就是加强以下方面的立法事情,《电子买卖营业法和电子商务法》、《信息安然治理法》、《支付系统安然法》、《隐私法》、《收集犯罪法》、《紧张和敏感性信息保护法》、《紧张信息根基举措措施保护法》等的立法都与信息化的安然以及风险治理有着十分亲昵的关系。

六、建立健全国乡信息化的技巧安然平台,经由过程安然技巧的成长保障信息化系统的安然

从国际履历而言,主要包括:造访节制(Access control),系统完备性节制(System integrity),密码节制(Cryptography),审计和监控(Audit and monitoring),设置设置设备摆设摆设治理和包管(Configuration management and assurance)等技巧。

七、采取有效的步伐,确保敏感性信息和国家紧张信息根基举措措施的安然

政府要进行敏感性信息的分类,并加强治理,以防止敏感性信息被恶意者所使用。掩护紧张的信息根基举措措施的安然,应该成为信息化风险治理的重点所在。

八、保障政府系统的安然

在信息化的历程中,政府的重要责任在于保障自身系统的安然。在这方面,首先是加强引导、健全组织、明确责任,各级政府及其部门都要建立IT管理布局,并在此布局中把安然管理布局作为紧张的组成部分;其次,要拟订收集安然的计谋、政策和详细步伐,并包管他们能够获得有效的实施;其三,要对政府系统所面对的要挟以及系统的问题进行赓续的评估,以做出有效的回应和办理。

九、建立国家收集空间安然的危急治理系统

收集空间的危急治理系统的主要职责在于:阐发与评价,对收集空间可能呈现的各类风险、要挟、进击进行阐发与评价;预防与预警;进行收集安然变乱的治理;回应各类收集安然事项,并且规复和确保收集空间以及紧张的信息根基举措措施的正常运转。

十、经由过程信息的共享和广泛的相助,化解信息化的风险

确认风险和要挟,并且及时向社会表露,共享有关风险和要挟的信息,可以有效地化解风险。收集天下是超过国界的。是以,国际社会之间的相助,包括政府之间,政府与国际组织之间,政府与夷易近间组织的相助也是有效化解信息化风险的道路。

您可能还会对下面的文章感兴趣: