安全生產(chǎn)之信息風(fēng)險管理體系的構(gòu)建

摘要：企業(yè)安全生產(chǎn)中的信息管理業(yè)務(wù)存在很多風(fēng)險因素，如何像管安全生產(chǎn)的風(fēng)險一樣來管信息化整個過程的風(fēng)險一直是研究的熱點話題，在企業(yè)中建立安全生產(chǎn)信息風(fēng)險管理體系能夠解決這個問題。文章主要研究安全生產(chǎn)中信息業(yè)務(wù)風(fēng)險管理體系的構(gòu)建，希望能為相關(guān)人員帶來一些幫助。

關(guān)鍵詞：安全生產(chǎn)；信息業(yè)務(wù)；風(fēng)險管理體系；企業(yè)風(fēng)險；風(fēng)險場景庫

中圖分類號：F530 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-2374（2014）33-0157-02

隨著經(jīng)濟(jì)全球化的不斷發(fā)展，特別是企業(yè)對信息化依賴程度的增強(qiáng)，信息風(fēng)險已超出傳統(tǒng)的技術(shù)問題范疇，已屬于企業(yè)業(yè)務(wù)風(fēng)險的一個部分，本文主要論述納入安全生產(chǎn)風(fēng)險管理體系中的信息風(fēng)險管理體系的構(gòu)建。

1 影響信息風(fēng)險的因素

影響信息風(fēng)險的因素主要包括外部環(huán)境、內(nèi)部環(huán)境、風(fēng)險管理能力、信息相關(guān)能力等。

外部環(huán)境主要包括市場和經(jīng)濟(jì)因素、同行及競爭、地理環(huán)境、法規(guī)遵從環(huán)境、技術(shù)狀態(tài)和創(chuàng)新、威脅領(lǐng)域，市場和經(jīng)濟(jì)因素是企業(yè)安全生產(chǎn)的行業(yè)因素。比如，金融業(yè)的運營與制造業(yè)的運營對信息化有不同的需求以及不同的IT能力。

內(nèi)部環(huán)境主要包括企業(yè)目標(biāo)、信息化對企業(yè)業(yè)務(wù)的戰(zhàn)略重要性、信息架構(gòu)的復(fù)雜程度、企業(yè)的復(fù)雜性、業(yè)務(wù)變更的深度、業(yè)務(wù)變更管理能力、風(fēng)險管理哲學(xué)和價值觀、安全生產(chǎn)模式、經(jīng)濟(jì)能力以及信息化在企業(yè)戰(zhàn)略中的優(yōu)先級等。安全生產(chǎn)模式關(guān)系到企業(yè)獨立運營的程度或與它的客戶/供應(yīng)商相關(guān)聯(lián)、集中化/非集中化程度，企業(yè)文化決定了企業(yè)需要變更以能夠有效進(jìn)行風(fēng)險管理，經(jīng)濟(jì)能力主要表示企業(yè)當(dāng)優(yōu)化風(fēng)險時，對支持、強(qiáng)化和維護(hù)IT環(huán)境的財務(wù)能力。

風(fēng)險管理能力是衡量企業(yè)實施關(guān)鍵風(fēng)險管理流程和相關(guān)動力水平的一個指標(biāo)。可以通過運用風(fēng)險記錄卡來度量。動力績效指標(biāo)越好，則風(fēng)險管理能力水平越高。對于企業(yè)風(fēng)險事件的頻率和影響，風(fēng)險管理能力是一個非常重要的元素，因為它負(fù)責(zé)管理風(fēng)險決策，以及在企業(yè)內(nèi)建立和實施有效控制，它主要包括治理風(fēng)險和管理風(fēng)險兩個方面。

信息相關(guān)能力與IT流程以及所有其他動力的能力相關(guān)。對于不同動力的一個高成熟度等于高的IT能力，它能夠正面影響：降低事件的頻率，如實施了好的軟件開發(fā)流程將交付高質(zhì)量和穩(wěn)定的軟件或?qū)嵤┝艘粋€好的安全度量將減少安全相關(guān)事故的數(shù)量；減輕事件發(fā)生時對業(yè)務(wù)的影響，如針對災(zāi)難的發(fā)生，具有一個良好的業(yè)務(wù)持續(xù)性計劃/IT災(zāi)難恢復(fù)計劃。IT流程包括評價、指導(dǎo)和監(jiān)管、與業(yè)務(wù)一致、計劃和組織、建立、獲取和實施、交付、服務(wù)和支持以及監(jiān)管、評價和評估等五個管理職能域中的37個流程實踐。風(fēng)險場景庫類別主要包括項目組合建立和維護(hù)、項目/項目群生命周期管理（項目/項目群的啟動、開發(fā)和獲取、交付、質(zhì)量、中止）、信息化投資決策制定、IT經(jīng)驗和技能、員工運營（人力錯誤和惡意企圖）、信息（數(shù)據(jù)破壞、損壞、泄露和訪問）、企業(yè)架構(gòu)（架構(gòu)版本和設(shè)計）、基礎(chǔ)設(shè)施（硬件、操作系統(tǒng)和控制技術(shù)）（選擇、實施、運行和退運）、軟件、信息系統(tǒng)的業(yè)務(wù)所有權(quán)、供應(yīng)商選擇/績效、合同遵從、服務(wù)中止或轉(zhuǎn)移、法規(guī)遵從、地緣政治層面、基礎(chǔ)設(shè)施被盜或破壞、惡意軟件、邏輯攻擊、環(huán)境、大自然行為、創(chuàng)新等。

2 信息業(yè)務(wù)風(fēng)險庫

在信息化的服務(wù)、交付和支持階段，建立起的信息業(yè)務(wù)風(fēng)險庫主要包括以下方面：事件和事故管理業(yè)務(wù)節(jié)點包括提交事件、事件記錄分類、識別范圍、地市識別事件范圍、一線處理、解決事件與否、事件解決情況、現(xiàn)場處理、處理情況、審批情況、后臺處理、是否解決事件、申請掛起、掛起事件、解掛事件、是否發(fā)起其他流程、關(guān)閉事件、初步確認(rèn)事件影響范圍、統(tǒng)一解釋口徑、確認(rèn)是否向省公司升級、向省公司服務(wù)臺通報、標(biāo)示大范圍事件并向用戶解釋等。主要存在的風(fēng)險包括IT系統(tǒng)停工期的增加、客戶滿意度的降低、客戶不知道事件報告的程序、復(fù)發(fā)問題沒有解決、不是所有的事件都被跟蹤、事件優(yōu)先級未反映業(yè)務(wù)需求、事件未及時解決、服務(wù)臺的運營操作沒有支持業(yè)務(wù)活動、客戶對所提供的服務(wù)不滿意、事件未及時解決、客戶中斷服務(wù)時間增加等。

管理用戶請求業(yè)務(wù)節(jié)點主要包括提交咨詢或請求、嘗式解答咨詢、解決咨詢或請求、咨詢支持升級或轉(zhuǎn)派任務(wù)、用戶評價、升級、給出咨詢答案、轉(zhuǎn)派事件、判斷用戶反饋情況并處理結(jié)果。存在的風(fēng)險主要包括對硬件和軟件的未授權(quán)變更、訪問管理忽略業(yè)務(wù)需求并且損害業(yè)務(wù)關(guān)鍵系統(tǒng)的安全、未對所有系統(tǒng)規(guī)定安全需求、違反職責(zé)分離和危害系統(tǒng)信息等。

管理配置項業(yè)務(wù)節(jié)點主要包括操作系統(tǒng)管理、硬件信息管理、中間件信息管理、數(shù)據(jù)庫信息管理、軟件信息管理、操作系統(tǒng)管理。存在的風(fēng)險主要是配置項信息維護(hù)職責(zé)不明確，導(dǎo)致信息更新不及時。

管理服務(wù)級別SLA業(yè)務(wù)節(jié)點主要包括編制服務(wù)目錄、提出業(yè)務(wù)需求、制定服務(wù)級別策略、編制服務(wù)級別協(xié)議、簽訂服務(wù)級別協(xié)議、發(fā)布服務(wù)目錄、召開年度評審會議、制定年度服務(wù)改進(jìn)計劃。存在的風(fēng)險包括用戶和服務(wù)提供者不理解各自的職責(zé)、不恰當(dāng)?shù)膬?yōu)先權(quán)授予不同的服務(wù)提供、不恰當(dāng)交付的服務(wù)、為提供的服務(wù)授予不恰當(dāng)?shù)膬?yōu)先權(quán)、對提供的IT服務(wù)有不同的解釋和誤解、由于期望和實際能力的差距導(dǎo)致糾紛、低效率和昂貴的運行服務(wù)、無法滿足客戶的服務(wù)需求；服務(wù)交付資源的無效和低效使用；無法識別和響應(yīng)關(guān)鍵服務(wù)事件、由于過時的合同導(dǎo)致不能滿足商業(yè)和法律需求、由于服務(wù)偏差導(dǎo)致經(jīng)濟(jì)損失和事件等。

管理問題業(yè)務(wù)節(jié)點主要包括問題記錄、判斷是否問題、判斷提審方案是否能過變更實現(xiàn)、實施方案、啟動變更管理流程、確認(rèn)記錄解決結(jié)果、啟動知識管理流程、問題跟蹤與升級等。存在的風(fēng)險包括IT服務(wù)的中斷、問題重復(fù)發(fā)生的可能性增加、問題和事件沒有及時解決、對主動的問題和事件管理，缺乏問題和事件及解決方案的審計跟蹤、事件重復(fù)發(fā)生、問題和事件重復(fù)發(fā)生、未恰當(dāng)解決的關(guān)鍵事件、業(yè)務(wù)中斷、服務(wù)質(zhì)量不

足等。

3 控制措施

在事件和事故管理業(yè)務(wù)采取的控制措施包括堅持對客戶進(jìn)行滿意度回訪，并針對用戶提出的問題及其自身IT服務(wù)的不足，進(jìn)行整改，努力提升服務(wù)質(zhì)量；及時跟進(jìn)事件處理情況并向用戶進(jìn)行反饋；對于復(fù)發(fā)事件需要進(jìn)行分析、找出根源，啟動問題管理流程，從而減少事件復(fù)發(fā)的幾率；加強(qiáng)對服務(wù)臺人員的事件分類標(biāo)準(zhǔn)、優(yōu)先級，按標(biāo)準(zhǔn)化準(zhǔn)確分類；服務(wù)臺經(jīng)理加強(qiáng)對事件單的處理進(jìn)程的全程跟蹤，對當(dāng)前處理人應(yīng)實時跟蹤進(jìn)展情況；加強(qiáng)運維人員的溝通能力和技術(shù)能力；事件經(jīng)理監(jiān)控所有事件并協(xié)調(diào)處理未解決事件。

在管理用戶請求中采取的控制措施包括嚴(yán)格按照規(guī)章制度進(jìn)行，禁止進(jìn)行未授權(quán)的變更；加強(qiáng)對業(yè)務(wù)需求的分析以及業(yè)務(wù)關(guān)鍵系統(tǒng)的安全，審核請求的合規(guī)性；按照各系統(tǒng)安全需求，拒絕違反系統(tǒng)安全需求的請求；加強(qiáng)各運維人員的職責(zé)分離意識，堅決杜絕違反職責(zé)分離；加強(qiáng)對請求的審查力度，杜絕一切危害系統(tǒng)的

請求。

在管理配置制頂中采用的控制措施主要包括相關(guān)的信息維護(hù)需要明確到具體崗位；嚴(yán)格把關(guān)機(jī)房進(jìn)出制度、工作票制度；完善業(yè)務(wù)和技術(shù)服務(wù)目錄，明確配置項負(fù)責(zé)人，加強(qiáng)審查力度。

管理服務(wù)級別SLA采取的控制措施主要包括服務(wù)目錄必須包括服務(wù)需求、服務(wù)定義、SLA、OLA、資金來源；建立一個包括開發(fā)、審核和調(diào)整服務(wù)目錄或服務(wù)組合的流程；建立一個確保服務(wù)目錄或組合是有用的、完整的和及時更新的管理流程；定期審查服務(wù)目錄和服務(wù)組合；建立一個檢查程序，使SLA的目標(biāo)和績效測量與業(yè)務(wù)目標(biāo)和IT政策一致；SLA必須包括例外事項、商業(yè)協(xié)議和OLA；SLA的改進(jìn)和調(diào)整流程是基于用戶和業(yè)務(wù)的需求的績效反饋和變更；SLA形式和內(nèi)容必須經(jīng)所有利益相關(guān)方同意；SLA需正式批準(zhǔn)和適當(dāng)簽署。

管理問題的控制措施包括建立被適當(dāng)工具支持的能滿足需要的流程，以識別和分類問題；建立和維護(hù)用于問題分類和優(yōu)先權(quán)的已建立的標(biāo)準(zhǔn)，確保這種分類與解決和容忍問題的服務(wù)承諾或組織單元職責(zé)相一致；開發(fā)用來生成問題管理報告的報告工具；問題報告必須包括以下內(nèi)容：分析根本原因的問題文檔、問題所有者和解決責(zé)任的識別、問題狀態(tài)信息。問題解決后，需經(jīng)利益相關(guān)方確認(rèn)，問題只有被利益相關(guān)方確認(rèn)解決后才被

關(guān)閉。

4 結(jié)語

綜上所述，本文先分析了當(dāng)前影響企業(yè)信息風(fēng)險的因素，進(jìn)而論述了我企業(yè)根據(jù)現(xiàn)實情況所建立的信息業(yè)務(wù)風(fēng)險庫和控制措施，當(dāng)前很多企業(yè)已經(jīng)認(rèn)識到了信息風(fēng)險的重要性，也采取了一些具體的針對措施，但是很多措施在使用中仍然存在一些不可預(yù)測的問題，這些還需要更多的人努力去解決。

參考文獻(xiàn)

[1] ISACA.IT 鑒證指南：使用COBIT.

[2] ISACA.COBIT5 Framework.

[3] ISACA.RISK IT.

[4] ISACA.COBIT5 FOR RISK.

作者簡介：伍明（1963-），男，湖北武漢人，廣東電網(wǎng)有限責(zé)任公司中山供電局CISA，研究方向：信息治理和管理體系。