随着信息化的开展,信息化的风险与风险管理效果曾经成为各个国度、国际组织所普遍关注的效果。如何停止信息化的风险管理,保证网虑终间的平安也成为关系信息化能否安康开展的严重效果。
风险指举动或许事情的结果的不确定性(uncertainty of outcome),无论其结果是积极的时机还是消极的要挟。人们只能经过对这些不确定性发作的能够性,以及实践发作以后所发生的影响和结果来评价风险。在本报告中,信息化的风险被界定为信息化能够或许实践带来的消极要挟。风险管理泛指确认风险、评价风险、回应风险的进程。风险管理触及复杂的结构、机制、进程和制度布置,其目的在于尽能够地降低风险的发作以及风险发作以后所带来的损失和要挟。
信息化风险可划分为团体用户、企业、政府部门和国度四个层次。团体用户和企业能够遭遇:设备、软件、网络、数据、效劳、买卖方面的六大类信息化风险。政府部门还能够遭遇基础设备方面的风险。国度存在着:国度信息、国度机器的功用、国度资产、国度平安、国际关系与社会开展五个方面的风险。实践上,信息化风险的种类要远远超出上述范围,并且将随着信息化的开展而逐渐晋级和好转。我们可以把信息化风险的主要特征归结为四个方面:全球性,传染性,复杂性,隐蔽性。
信息化风险的生成机理是复杂的,一方面是内因,由信息化自身的特点所决议:第一,信息化的无疆界特征;第二,信息化的低本钱特征;第三,信息化的开放性特征;第四,信息化的匿名性特征。另一方面是外因,是信息化的风险源;我们把其中重要的归结为十个方面:第一,自然灾祸;第二,平安消费事故;第三,网络攻击;第四,借助信息化手腕停止欺诈;第五,病毒和蠕虫;第六,外部泄密;第七,运用不当;第八,因外部要素而形成的信息、数据的修正和丧失;第九,因外部要素形成信息、数据的泄露、窜改和丧失;第十,平安防范措施不到位的高端技术。
从国际的阅历和我国的具
体状况动身,我们以为,关于信息化的风险以及风险的管理,我们应确立以下基本的战略和政策应对之。
一、明白政府的角色,强化信息化风险管理的责任
第一,控制者的角色(Regulatory role),关于那些团体或许企业、组织的风险会给其他人、企业、组织甚至于社会形成直接或许直接结果的,政府有必要采取控制或许其他的措施限制或许控制他们的活动或许行为;政府还要使那些使他人承当风险的人或许组织承当此种风险所招致结果的本钱,不至于使他们转嫁本钱。第二,效劳者的角色。在信息化的进程中所出现的一些风险,如大规模的自然灾祸所招致的信息基础设备的破坏;恐惧主义以及网络恐惧主义的攻击等等,政府需求采取直接的干预措施为社会提供直接的公共效劳。政府干预的方式也主要有两个方面:采取举动降低风险发作的能够性;采取举动降低风险发作以后的损失。第三,管理者的角色。在政府自身的事务范围,包括在政府行使职能,提供效劳的进程中,政府有责任确认风险和管理风险。在信息化的进程中,政府自身便是风险的管理者。政府要在其管理的各个层面,如战略层面、政策规划层面、项目层面以及详细的管理运作层面,片面实施风险的管理。作为风险的管理者,政府最主要的责任在于在各个层面的决策进程中,充沛思索到风险的要素,停止决策的风险判别。
二、树立和开展信息化风险管理的文明
高层指导支出和鼓舞风险管理;政府组织支出创新和承当风险;有明白的风险管理的政策;有明白的风险管理的责任和责任机制;风险管理的政策和益处在一切的任务人员中失掉充沛的沟通和了解;风险管理充沛地整合到组织管理的进程之中等。
三、做好国度信息化的单薄环节识别,增加信息化系统中的效果
针对信息化风险的全球性和传染性等特征,政府主管部门尤其要做好国度信息化单薄环节的识别、补偿和防范任务。第一,完善风险识别的机制,将反省定制为惯例性任务,经过排查、采样、比拟、演
习、试点等方法,活期评价系统的风险应对才干,增强对单薄环节的识别和看法。第二,及时纠正所发现的效果,增加现存效果招致灾祸的能够性。第三,在条件允许的状况下,将旧系统改换为效果更少、技术更成熟的新系统。
四、经过有效的教育和培训提高和强化整个社会的信息化风险管理和平安看法与才干
经过宣传和教育方案提升社会公民、法人和其他组织的风险看法和平安看法;经过专门的教育和训练方案,培育风险管理、平安管理的专门人才以满足信息化开展的需求;经过教育和训练方案提高现有管理者的风险管理、平安管理的知识和才干;鼓舞企业、社会组织展开风险管理、平安管理的专业人员的培训和资历认证。
五、强化信息化相关的立法,树立有效的控制机制,以防止和化解信息化的风险
从目前的状况来看,最迫切的任务便是增强以下方面的立法任务,《电子买卖法和电子商务法》、《信息平安管理法》、《支付系统平安法》、《隐私法》、《网络立功法》、《重要和敏理性信息维护法》、《重要信息基础设备维护法》等的立法都与信息化的平安以及风险管理有着十分亲密的关系。
六、树立健全国度信息化的技术平安平台,经过平安技术的开展保证信息化系统的平安
从国际阅历而言,主要包括:访问控制(Access control),系统完整性控制(System integrity),密码控制(Cryptography),审计和监控(Audit and monitoring),配置管理和保证(Configuration management and assurance)等技术。
七、采取有效的措施,确保敏理性信息和国度重要信息基础设备的平安
政府要停止敏理性信息的分类,并增强管理,以防止敏理性信息被恶意者所应用。维护重要的信息基础设备的平安,应该成为信息化风险管理的重点所在。
八、保证政府系统的平安
在信息化的进程中,政府的首要责任在于保证自身系
统的平安。在这方面,首先是增强指导、健全组织、明白责任,各级政府及其部门都要树立IT管理结构,并在此结构中把平安管理结构作为重要的组成局部;其次,要制定网络平安的战略、政策和详细措施,并保证他们可以失掉有效的实施;其三,要对政府系统所面对的要挟以及系统的效果停止不时的评价,以做出有效的回应和处置。
九、树立国度网虑终间平安的危机管理系统
网虑终间的危机管理系统的主要职责在于:剖析与评价,对网虑终间能够出现的各种风险、要挟、攻击停止剖析与评价;预防与预警;停止网络平安事故的管理;回应各种网络平安事故,并且恢复和确保网虑终间以及重要的信息基础设备的正常运转。
十、经过信息的共享和普遍的协作,化解信息化的风险
确认风险和要挟,并且及时向社会披露,共享有关风险和要挟的信息,可以有效地化解风险。网络世界是跨越国界的。因此,国际社会之间的协作,包括政府之间,政府与国际组织之间,政府与官方组织的协作也是有效化解信息化风险的途径。