借鑒COSO企業風險管理框架構建發電企業信息安全管理體系

葉夢熊 唐寧

[摘 要] 發電企業在開展信息化建設的同時也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構，制定信息安全管理規章制度，設計信息安全管理實施方案等已經成為發電企業的重要工作內容。本文借鑒COSO企業風險管理整合框架，從管理層面對發電企業構建信息安全管理體系提出具體建議。

[關鍵詞] 風險管理；發電企業；信息安全；管理體系

[中圖分類號] F270.7；F239.45 [文獻標識碼] A [文章編號] 1673 - 0194（2014）15- 0045- 02

近年來，發電行業市場競爭日益加劇，同時燃料價格上漲又大大擠占了發電企業的盈利空間，如何改善經營、提高企業核心競爭力便成了發電企業面臨的迫切問題。在此背景下，各發電企業紛紛制訂信息化建設戰略規劃，投入了大量人力物力進行信息化建設，取得了較好的效果。在信息化建設的同時，發電企業也面臨著日益突出的信息安全問題。研究信息安全管理，建立信息安全管理組織架構，制定信息安全管理規章制度，設計信息安全管理實施方案等已經成為發電企業的重要工作內容。本文借鑒COSO企業風險管理整合框架，從管理層面對發電企業信息安全管理中存在的風險以及建立相應的信息安全管理體系進行系統的研究。

1 發電企業面臨的信息安全風險

發電企業的信息安全風險與企業的信息化應用情況密切相關，包括采用的軟件和硬件情況、企業信息化程度等。目前，發電企業面臨的信息安全風險主要表現在4個方面，即物理安全風險、網絡安全風險、系統安全風險和用戶安全風險等。

1.1 物理安全風險

主要是服務器、路由器、交換機、工作站和通信鏈路等設備出現的安全風險。水災、火災、雷擊等自然災害，人為破壞或誤操作，設備固有缺陷等都會引起物理安全風險。

1.2 網絡安全風險

發電企業信息化的深化應用離不開網絡的互聯，這就導致由計算機病毒、黑客攻擊、信息傳遞等引起的信息安全風險。

1.3 系統安全風險

發電企業的信息系統包括操作系統、數據庫系統和其他應用系統等，這些系統存在的功能缺陷或漏洞都是重大的安全隱患，可能給企業帶來不可估量的損失。

1.4 用戶安全風險

主要是指企業內部人員對信息系統的誤用或故意損壞，以及用戶認證和權限設置等帶來的應用風險。

2 借鑒企業風險管理框架構建發電企業信息安全管理體系

2.1 COSO企業風險管理整合框架概述

COSO企業風險管理整合框架是美國專門研究內部控制問題的委員會——COSO委員會（Committee of Sponsoring Organization）于2004年9月發布的，目的是促使企業完善公司治理結構和提高風險管理能力。

COSO企業風險管理整合框架認為，企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制定并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理的保證；風險管理由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控8個要素構成，各要素貫穿在風險管理的全過程之中。

2.2 借鑒COSO企業風險整合框架構建信息安全管理體系

COSO企業風險管理整合框架是一種全新的企業風險管理思路和方法，本文試圖從8個構成要素的角度系統地分析該整合框架在發電企業構建企業信息安全管理體系過程中的應用。

2.2.1 內部環境

內部環境是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。

風險管理理念。發電企業要做好信息安全管理，風險管理理念的構建并為全體員工所理解和信奉尤為重要。發電企業應通過風險管理制度的制定和頒布，加強信息安全教育與宣傳，組織開展多層次、多方位的系統教育與培訓來貫徹和強化信息安全風險管理理念。

組織結構。建立起一個分工明確、統一高效的包含決策層、管理層和執行層的信息安全管理組織架構，是發電企業信息安全管理得以實施的基礎。對于集團性的發電企業，可設立信息安全管理委員會，負責企業信息安全管理的決策；下設信息安全管理辦公室，負責信息安全的日常管理，該辦公室一般掛靠在企業信息技術中心/部門；在企業相關部門設兼職信息安全管理聯絡員，負責與本部門相關的信息安全管理工作。

勝任能力。勝任能力反映實現規定的任務所需要的知識和技能。發電企業應明確信息安全風險管理組織架構中各崗位的職責，并為其選用和配備符合能力水平要求的工作人員。

2.2.2 目標設定

目標設定是事項識別、風險評估和風險應對的前提。在管理當局識別和評估實現目標的風險并采取行動來管理風險之前，首先必須有目標。發電企業應根據企業的發展戰略和經營管理要求，確定恰當的信息安全管理目標。

在目標設定過程中，必須設定風險容限。風險容限是相對于目標的實現而言所能接受的偏離程度。風險容限能夠被計量，而且通常最好采用與相關目標相同的單位來進行計量。發電企業在設定信息安全管理風險容限時，應針對不同信息系統分別設立。其中涉及安全生產的信息系統應設立嚴格的風險容限。

2.2.3 事項識別

發電企業在信息安全管理過程中，必須識別給企業信息安全帶來風險的各項內部、外部因素，必須詳細調查、分析帶來物理安全風險、網絡安全風險、系統安全風險和用戶安全風險的根源。

為有效識別帶來風險的各項內部、外部因素，常采用的事項識別方法或技術有：

（1）根據以往的項目經驗總結的風險檢查清單（即事項目錄）；

（2）分析“原因及結果”（可能會發生什么，接著將發生什么）或“結果及原因”（什么樣的后果需要被避免，每一個后果是如何發生的）；

（3）通過與項目風險干系人進行針對風險問題的訪談，這種方法有助于識別在通常的計劃活動中不易被發現的風險（即推進式的研討與訪談）。

2.2.4 風險評估

管理當局應從兩個角度——可能性和影響——對事項進行評估，并且通常采用定性和定量相結合的方法。在信息安全管理中，經常采用的是定性評估技術。企業可對帶來風險的各項內部、外部因素進行風險評估，列舉出可能影響信息安全管理目標實現的一系列風險因素（潛在事項），并形成風險檢查清單。接著對風險評估清單中的各風險因素進行分析評估，評估的內容主要包括風險因素發生的可能性和影響程度。風險因素評估可通過調查問卷或專家研討會的形式進行。最后形成信息安全管理的風險評估矩陣圖，如圖1所示。

2.2.5 風險應對

在評估了相關的風險之后，管理當局就要確定如何應對。在考慮應對的過程中，管理當局評估對風險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風險處于期望的風險容限以內的應對。

在信息安全管理中選擇風險應對措施時，對發生可能性大、影響程度大的風險以風險回避措施為主；對發生可能性小、影響程度大的風險以風險分擔措施為主；對發生可能性大、影響程度小的風險以風險降低措施為主；對發生可能性小、影響程度小的風險以風險承受措施為主。

（1）風險回避。在信息安全管理中，當判斷某項潛在事項的發生不可接受時，應采取風險回避措施。這通常是將信息安全管理的觸角前伸到信息化建設階段來實現，如通過選擇合適的軟件而回避軟件風險，或是在實施階段通過調整技術方案來回避相關的實施風險。

（2）風險降低。風險降低是信息安全管理中的重點工作，可借助于同行業的歷史經驗，或是尋求外部專家的咨詢服務，同時引入和采用先進的風險管理技術，建立系統的風險降低方法體系，在信息安全管理全過程中實施這一行為。具體可通過發布風險管理制度，強化流程化管理；或者有針對性地對關鍵人員進行風險教育和業務技能培訓；或是完善信息安全應急制度、優化數據備份和災后恢復策略等。

（3）風險分擔。風險分擔可分為保險型分擔和非保險型分擔。保險型分擔通常為購買財產險，以有效轉移物理安全風險所帶來的損失。非保險型分擔主要有充分利用供應商的質保條款，或是涉及運維業務外包時在合同中增加索賠性條款等。

（4）風險承受。通常在下列情況下采用風險承受的方法：①采取風險應對措施的成本大于承擔風險所造成的損失；②預計風險所造成的最大損失在主體風險容限以內；③缺乏風險應對能力，采取風險應對措施對風險的可能性和影響的效果輕微。在信息安全管理過程中，對于局部業務模塊，其發生風險時如帶來的風險很小，在企業的風險容限范圍內，則可采取該風險應對策略。

2.2.6 控制活動

控制活動是幫助確保管理當局的風險應對得以實施的政策和程序。在信息安全管理中常用的控制活動包括制定相關的風險管理規定、明確不同崗位在風險管理中的職責并充分授權、對重要的潛在事項制定嚴格的審批流程、加強系統服務器機房的安全管理以及對數據庫進行異地備份等。

2.2.7 信息與溝通

一個組織中的各個層級都需要信息，以便識別、評估和應對風險，以及從其他方面去經營主體和實現目標。溝通的方式多樣，在信息安全管理中最普遍使用的方式有口頭溝通、書面溝通、會議溝通和非常規溝通等。

在信息安全管理中建立有效的溝通，需要具備如下的要素：

（1）制訂清晰、一致、適時的溝通方法和計劃；

（2）按計劃適時溝通，傳遞合適、一致及清晰的項目信息；

（3）充分理解溝通效果、參與及反饋，以取得廣泛的支持。

2.2.8 監控

企業的風險管理隨著時間變化而變化。曾經有效的風險應對可能會變得不相關；控制活動可能會變得不太有效，或者不再被執行；企業的目標也可能變化。風險監控可以通過持續的活動、個別評價或兩者結合來完成。

持續的活動主要來自經常性的管理活動，如向管理委員會定期提交工作報告和重要工作專項報告，由內部審計部門進行日常監督和審查等。

個別評價通常作為輔助，它提供一個考察持續監控程序的持續有效性的機會。對于信息安全管理，可在重要、關鍵的信息系統實施過程中，邀請有關專家集中對信息安全的潛在風險等進行審核和評估；上市的發電企業也可在進行內部控制審計時，加強對信息安全管理有效性的審計監督。

3 結 語

信息安全管理是一個全過程、全方位、全員的風險管理。只要發電企業依據COSO企業風險管理整合框架的思路和方法建立信息安全管理體系，并確保風險管理八要素設計的完整性和合理性以及八要素的執行情況，那么企業的信息安全管理就基本不會存在重大缺陷，風險被控制在管理當局的風險容限內。

本文利用 COSO企業風險管理整合框架進行發電企業信息安全管理體系的構建，主要是從管理層面進行探討分析，希望能夠為發電企業的信息安全管理提供一定的思路。

主要參考文獻

[1]吳明珠，魏鵬飛.簡論電力企業信息安全策略選擇[J].硅谷，2009（20）.

[2][美]COSO.企業風險管理——整合框架[M].方紅星，譯.大連.東北財經大學出版社，2005.