1.1.4 信息系统研发风险管控
现代企业的信息系统一般具有较高的复杂性,其面临的信息安全形势也日趋严峻。随着业务的扩张和IT技术的发展,新的攻击形式和威胁不断出现,信息系统的安全需求也在不断增加。同时,不同类型的企业具有不同经营管理的特点,也催生出一些新的安全需求,例如商业银行的信息系统必须满足外部监管要求等。但是企业对信息系统的研发投入是有限的,因此必须考虑总体安全策略和风险容忍度,重点系统的重点投入,对新出现安全威胁的持续防范机制,投入和产出之间的平衡等问题,由此诞生了统筹解决企业研发风险的信息系统研发风险管控概念。
1.信息系统研发风险管控的目标
信息系统研发风险管控是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,其主要目标是提升企业信息系统的安全性,减少和避免信息安全事件发生,进而保证企业的业务连续性,保护企业资产和声誉,提高经济效益。
信息系统研发风险管控的理想状态,是实现对所有信息系统研发风险的统筹管理和良性循环,实现外部监管要求、信息安全技术发展变化与信息系统研发之间的有效衔接,做到对最新安全要求的快速响应、准确解读、全程跟踪、有效落地。
2.信息系统研发风险管控的特点
信息系统研发风险管控工作的目标和组织形式决定了其具有统筹管理、持续改进的特点。
(1)统筹管理 根据木桶原理,一个木桶的最大容量取决于最短的那块木板。企业要想实现安全的目标,必须使构成信息系统安全“木桶”的所有木板都要达到一定的长度。这是一个体系化的问题,必须由企业在组织层面进行统筹管理和推动,包括建立统一的安全策略,建立信息系统分级保护机制,采取企业级的安全解决方案等,唯有这样才能最有效地避免安全短板的存在,才能把握工作重点,准确投入有限的安全资源,实现安全和效率之间的平衡。
(2)持续改进 很明显,安全问题是一个多层面、多因素的、动态的问题。随着时间的推移,信息系统研发风险管控工作重点会不断改变,现有技术和管理措施也可能失去作用。正确的做法是遵循国内外相关信息安全标准与最佳实践,考虑企业对信息安全各方面的实际需求,在风险分析的基础上不断更新或引入恰当的控制方法,建立合理的信息系统研发风险管控体系。这个体系还不能一成不变,应当随着环境变化、业务发展和信息技术提高而不断改进。
3.信息系统研发风险管控的工作方法
为有效保障和提高信息系统的安全性,除了加强信息系统的安全设计之外,企业还可以采取多种方法来提高研发风险管控工作的实施效果。
(1)安全培训 通过对企业各个层面员工进行有针对性的安全培训,实现安全管理要求的传导,安全知识和技能的传播,这是提高企业全体成员安全素质的重要手段。
(2)风险评估 对信息系统进行风险评估,能够发现安全漏洞和隐患,及时排除潜在风险,提高信息系统的安全性和合规性,是研发风险管控的重要手段之一。
(3)安全评审 在信息系统研发过程中的需求、设计、编码等阶段进行安全评审,能够及时发现安全设计开发问题,减小安全问题修复工作量,保证安全实施效果。
(4)安全检查和测评 通过定期或不定期对信息系统安全情况进行检查,或者聘请外部第三方进行安全测评,能够掌握信息系统安全水平的第一手资料,及时排除风险隐患。
(5)安全评价和考核 通过对信息系统安全开发完成情况进行评价和考核,能够有效提高研发人员的积极性,推动研发风险管控工作的开展,确保安全相关要求的落实。