當前位置:1566范文網(wǎng) > 企業(yè)管理 > 企業(yè)管理 > 管理知識

電力cso必須熟悉風險管理

發(fā)布時間:2024-11-29 查看人數(shù):49

電力cso必須熟悉風險管理

電力cso必須熟悉風險管理

目前,各級電力企業(yè)雖然專門成立了相應(yīng)的信息安全小組,形成了電力企業(yè)信息安全的決策層、管理層、執(zhí)行層等機構(gòu),確保了人員的配置和安全責任制的落實,但還沒有明確設(shè)立cso職位。信息安全小組通常由企業(yè)的一把手負責,同時,指定了安全專職人員負責整個企業(yè)的信息安全,實際上行使著cso的職責,這些安全專職人員可以稱為“準cso”。

通常這些“準cso”是純技術(shù)的人才,熟悉某一方面的安全技術(shù)如防病毒、防火墻、入侵檢測技術(shù)等。然而,一個真正的cso知識要全面,不僅要懂信息安全技術(shù),而且還要懂安全管理。

1.熟悉風險管理

風險管理是指識別電力企業(yè)的資產(chǎn),評估威脅這些資產(chǎn)的風險,評價假定這些風險成為事實時企業(yè)所承受的災(zāi)難和損失,并采取一些解決方案預防風險的發(fā)生及損失補救措施。風險管理是電力企業(yè)安全管理的核心。

要執(zhí)行風險管理,首先必須熟悉本單位的核心業(yè)務(wù)(如業(yè)務(wù)的流程、邊界等)和關(guān)鍵信息資產(chǎn)。哪些業(yè)務(wù)是關(guān)鍵的,需要采取高強度的防護措施進行防護;哪些業(yè)務(wù)是次要的,防護措施的強度可以低一些。同時,要了解業(yè)務(wù)系統(tǒng)安全與運行質(zhì)量性能的關(guān)系,以避免為了提高信息安全而大幅度降低網(wǎng)絡(luò)系統(tǒng)運行的質(zhì)量和性能。因為信息安全是為信息化服務(wù)的,信息化最終是為企業(yè)業(yè)務(wù)穩(wěn)定持續(xù)發(fā)展服務(wù)的。

其次,cso要制定一個風險管理策略,該策略是企業(yè)整體安全策略的組成部分。風險管理策略需明確風險處置的幾種方式,如降低風險(采取各種安全防護措施,如加防火墻、入侵檢測系統(tǒng)等)、轉(zhuǎn)嫁風險(如買保險等)、接受風險(基于企業(yè)的投入/產(chǎn)出比考慮,尋求企業(yè)投資與風險承受能力的平衡點)等。因為安全是相對的,對風險的處置應(yīng)該有個度,如果風險處置的費用超過了系統(tǒng)本身的價值,則再消除風險就毫無意義了,因此,應(yīng)制定一個合理的風險管理策略。

第三,cso要熟悉業(yè)務(wù)持續(xù)性運行與災(zāi)難恢復的知識,如保證業(yè)務(wù)持續(xù)性運行的系統(tǒng)和數(shù)據(jù)的備份。并且配備必要的應(yīng)急設(shè)施和資源,如系統(tǒng)的啟動盤、系統(tǒng)和網(wǎng)絡(luò)管理員的電話號碼、協(xié)助廠商的求助電話等。一旦企業(yè)網(wǎng)絡(luò)系統(tǒng)發(fā)生問題,就可以統(tǒng)一調(diào)度,對安全事件快速響應(yīng),最大限度地降低企業(yè)的損失。

2.熟悉信息安全理念和技術(shù)

cso應(yīng)對安全理念如信息安全模型、國際和國內(nèi)安全標準有較深入的認識。安全標準包括安全策略的標準、安全評估的標準、安全產(chǎn)品選型的標準、安全工程實施的標準、安全管理的標準等,了解這些安全標準可以更好地指導信息安全的建設(shè)。cso還應(yīng)熟悉常用的安全技術(shù)和安全產(chǎn)品,如防火墻、防病毒技術(shù)、加密技術(shù)、物理隔離技術(shù)等,了解他們的原理和部署等知識,這可以提高cso自身的素質(zhì),樹立自己在企業(yè)中的威信。

3.良好的溝通和管理能力

cso要具備良好的上下溝通能力,因為企業(yè)的安全管理制度和安全策略要貫徹執(zhí)行,必須得到企業(yè)高層領(lǐng)導的許可和支持,同時得到企業(yè)員工的理解。但在實際情況中,很多領(lǐng)導和員工都要問,我們企業(yè)在信息安全方面投入很大,那到底取得了什么效果呢?這時cso要讓他們理解,網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正常持續(xù)運行,就是安全工程實施的效果。

信息安全是“三分技術(shù)、七分管理”,這強調(diào)了管理的重要性,特別是要加強對人的管理。因為無論安全制度的落實,還是安全技術(shù)和安全產(chǎn)品的布置,最終是由人來執(zhí)行的。但在實際中,往往人是最難管理的,這就要求cso要具有很強的管理能力。

cso還應(yīng)熟悉安全法律和法規(guī),包括國家、行業(yè)以及企業(yè)的法規(guī),如關(guān)于涉密系統(tǒng)的聯(lián)網(wǎng)規(guī)定、系統(tǒng)日志應(yīng)保存的時間規(guī)定、系統(tǒng)和數(shù)據(jù)的備份規(guī)定、經(jīng)貿(mào)委的30號令等,并把他們應(yīng)用到企業(yè)的業(yè)務(wù)工作中去。

目前,電力企業(yè)的“準cso”們要想成為一個合格的cso,需在以下方面進行努力:

首先,要強化業(yè)務(wù)知識的學習。這些知識不僅包括風險管理、安全技術(shù)、安全標準等信息安全知識,而且還包括企業(yè)自身的業(yè)務(wù)流程、邊界等。

其次,要提高管理能力,特別是日常管理能力。

第三,要加強與其他企業(yè)cso的交流,其他企業(yè)如銀行、電信,甚至國外的cso進行交流,學習他們的成功經(jīng)驗,吸取他們失敗的教訓,爭取少走彎路。相信經(jīng)過這些努力,電力企業(yè)一定會涌現(xiàn)出一批優(yōu)秀的cso。

.

電力cso必須熟悉風險管理

目前,各級電力企業(yè)雖然專門成立了相應(yīng)的信息安全小組,形成了電力企業(yè)信息安全的決策層、管理層、執(zhí)行層等機構(gòu),確保了人員的配置和安全責任制的落實,但還沒有明確設(shè)立cso職位?!?
推薦度:
點擊下載文檔文檔為doc格式

推薦專題

相關(guān)電力cso必須熟悉風險信息

  • 電力cso必須熟悉風險管理
  • 電力cso必須熟悉風險管理49人關(guān)注

    目前,各級電力企業(yè)雖然專門成立了相應(yīng)的信息安全小組,形成了電力企業(yè)信息安全的決策層、管理層、執(zhí)行層等機構(gòu),確保了人員的配置和安全責任制的落實,但還沒有明確設(shè) ...[更多]