1)信息系统规划阶段的风险控制 系统规划阶段要解决的问题就是清楚信息系统是要“干什么的”,要确定系统处理对象、系统与外界的接口、系统的功能与性能、系统所处的环境以及有关的约束条件和限制。那么这个阶段的风险控制需要做什么呢? 在这阶段,应对系统认真地进行需求分析,以制定出较为合理的系统设计方案,应在对方案进行反复论证的同时,对系统和信息系统进行风险分析,力求在系统实施前预先发现存在的安全问题,并在设计方案中加以改进和完善。其成果就是信息系统安全策略。信息系统的安全重在防御。任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的信息系统安全策略及相关的管理策略。不适当的安全防护,追求不切合实际的高安全性,不仅不能减少网络的风险,还可能造成大量的资金浪费,降低系统的效率,甚至还可能招致更大的风险。应对系统的成本、效率、风险等因素进行综合考虑,不能盲目地追求系统的高安全零风险,不同用途的信息系统应有不同的安全要求,在对系统进行详细分析的基础上,应允许系统存在一定的可以接受的风险。 需求分析是要对用户、计划、系统、软硬环境、数据机构等方方面面进行分析,当然包括了本文前面提起的四种风险的分析,也就是风险评估。所谓风险评估,就是指对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估,也就是确认安全风险及其等级的过程。 风险评估的最终目的是控制信息安全风险,所以风险评估的结果,如资产评估、威胁评估和脆弱性评估中得到的信息是,风险控制的识别和选择的依据。风险控制的分析绝对需要有用户等多方的参与,才能达到某种平衡,即使要代价合理和适当的信息系统安全目标。信息安全同时意味着开销,而这些开销不能直接产生利润,因此应该尽量将信息安全代价调整到合理的范围。这方面如果没有使用者的参与,必然无法达到使用者满意的程度。使用者应特别关注成本与风险的平衡。再如购买保险,这是不可能信息系统开发者提供的,需要使用者自身对系统的考虑。在这个阶段特别的需要开发者与使用者的沟通和协作。可行性分析,详细调查,功能分析,数据分析等等。
2)信息系统设计和测试阶段的风险控制 系统设计阶段,就是对规划阶段的具体实现。在规划阶段注重管理性措施,既通过对实体、组织、人等方面的管理来实现对信息系统风险的控制。而在设计阶段,就主要运用技术措施,就是根据具体系统存在的各种安全漏洞和安全威胁采用相应技术的防范措施,避免对系统攻击的进行。 在这个阶段运用的信息安全技术,系统的安全管理是风险管理控制的重要部分。信息系统是处理、传输和储存信息的。信息系统的风险控制包括信息的安全,就信息的保密性、完整性和可用性等。由于计算机网络世界的复杂性,信息系统的安全性可能受的的攻击无所不在,无孔不入。对信息系统的攻击有对系统的直接攻击,进行破坏,更多还有对其信息的非法操作。相应的防范措施也是不计其数,既要保护系统本身,更要保护系统中的重要信息。如包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、系统保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、信息泄漏防护技术、系统安全监测报警与审计技术、阻断技术、技术隔离技术等。在设计阶段根据规划阶段中对信息系统和环境的分析结果实现其要求。测试阶 段是很重要的,是系统质量保证的关键,也是对之前阶段的评审。好的测试是能暴露出尚为发现的风险。 在设计和测试过程不是说就不需要管理的。规划阶段和设计阶段并不是单向的,而是双向的,需要不断的接触、沟通、了解。对设计人员要进行一定的监督与管理,暗箱操作是一个潜在的风险。
3)信息系统维护阶段的风险控制 信息系统的维护阶段是系统已经进入实际运行中的,纠正用户发现的错误,适应用户的需求变更而修改系统,适应硬件环境的更新等。系统维护包括纠错性维护、适应性维护、改善性维护和预防性维护。在信息系统 规划阶段是对系统的风险进行预测分析,预测是无法100%准确的,即使我们希望可以,即使预测到的风险,也不一定可以照预计那样解决。所以必须要有风险监视。系统是运行于动态的环境中,风险监视可以要根据环境变化而进行风险分析和风险控制。在信息系统运行中,遇到之前没有预测到的问题,当然没有计划的对策,这个时候反应必须要迅速,第一时间采取应对措施,隔离危险,尽量降低损失。这需要管理人员与技术人员的通力合作。并且必须要进行因果分析以避免类似危机的再次发生。
温馨提示:答案为网友推荐,仅供参考