TAG标签 | 网站地图 现代商业杂志社-国内统一刊号:CN11-5392/F,国际标准刊号:ISSN1673-5889,全国中文流通经济类核心期刊
热门搜索:跨境电商 构建 存在的问题及对策 大学生 互联网 财务管理 信息化 目录 大数据 现代商业杂志

管理纵横

当前位置:主页 > 文章导读 > 管理纵横 >

电信运营企业信息安全项目风险管理分析

2015-12-23 12:24 来源:www.xdsyzzs.com 发布:现代商业 阅读:

王瑞珺   中国铁塔股份有限公司山西省分公司

摘要:当前,互联网和电子信息技术的快速发展,为人们的生活、工作和学习提供了极大的便利,为推动国民经济发展做出了突出的贡献。但与此同时,信息安全逐渐成为制约电信运营企业发展的一个瓶颈,各种信息安全风险和隐患随着互联网的普及和信息技术的发展越来越值得关注,怎样保障信息安全成为电信运营企业面临的重要任务。本文结合电信运营企业的实际情况,对电信企业信息安全项目的风险问题进行了分析,提出了加强信息安全项目风险管理的要求和风险控制方法,阐述了电信运营企业信息安全项目风险管理策略,以供参考。

关键词:电信运营企业;信息安全;项目风险管理

    近年来,我国电信网络系统越来越成熟,电信用户数量大幅上涨,而电信运营企业的信息安全系统建设相对比较缓慢,实际运行经验和信息安全系统平台管理都存在很多不足,这也使得各种信息安全事故频发,给国家、社会和人们造成巨大损失。为了解决这个困境,电信运营企业必须积极构建完善的信息安全系统,投入更多精力和成本,加强信息安全项目风险管理,配备先进的网络安全监控技术,实时掌握电信网络安全状态,全面提高电信网络系统的安全性和稳定性。

一、电信运营企业信息安全项目存在的风险问题

1、需求不确定

电信运营企业的信息安全项目涉及相关硬件平台、软件系统以及信息安全保障内容,多种内容和因素的影响使得信息安全项目需求具有不确定性。一方面,用户需求的不确定性,不同用户对于同一个信息安全项目可以有着不同的要求和理解,而同一个用户在不同地点、不同时间也会有不同要求;另一方面,工作量的不确定性,信息安全系统建设的工作量无法通过有效方法进行估算,很多信息安全项目都具有创造性,没有先例可以参考借鉴,实际建设和估算计划往往较大差异,项目计划的不准确很容易造成预算超标、时间拖延,甚至整个项目的失败。

2、技术风险

信息安全项目在某些方面都具有抽象性,这样使得各个阶段的项目设计没有可以遵循和参照的规范,信息安全项目设计和传统项目相比存在较大差异,设计和施工无法分离,前期的需求说明和要求不能确定对于后期设计是否充分和完整,存在很多技术方面的风险。由于组织设计存在问题或者缺陷,信息安全项目功能无法达到用户要求,例如,信息安全项目运转效率较低,无法保障信息安全质量;相关信息安全资料不方面,使用和理解不方便;信息安全项目响应速度过慢,无法满足用户要求。同时,数据库设计不合理也是信息安全项目面临的常见技术问题,代码设计不全面、数据完整性控制不足、数据冗余等,都导致信息安全项目存在潜在风险。

3、进度风险

对于信息安全项目,严格控制项目进度、优化项目进度管理,确保整个信息安全项目在规定时间内完成是电信运营企业信息安全项目风险管理的重要内容,但是在实际应用中,一方面前期的规划设计方案不合理,后期开发建设过程中出现各种问题;另一方面,信息安全项目实施过程中出现问题或者遇到意外,又没有有效的补救办法,造成工期延误。一旦信息安全项目被延误,仅通过增加工作人员无法有效地进行弥补,开发设计人员之间需要沟通交流和默契配合,而随着工作人员的增多,会加剧信息安全项目设计开发的复杂性,甚至导致更多的返工和混乱。

4、成本风险

    信息安全项目的实施成本主要包括维护费用、软件培训费用、使用许可费用、硬件费用等,在具体的应用过程中,结合时间安排和项目进度,怎样合理分配应用费用,有效控制应用成本是电信运营企业需要面临的重要问题。若信息安全项目无法按照相关进度计划有效开展,会导致实施成本增加和时间延误,即使信息安全项目被使用,也达不到预算和时间要求。

5、其他风险

    信息安全项目风险管理和安全管理人员、工作目标、组织结构、信息网络、信息系统、网络架构等有着密切的关系,并且信息安全项目开发设计是一个劳动密集型任务,每个阶段都需要有人的参与,但是人的行为是很难预测和控制的,因此人的因素使信息安全项目存在很大不确定性。

二、电信运营企业信息安全项目风险管理策略

电信运营企业的信息安全项目具有复杂性、创造性、一次性等特点,建设过程中需要耗费大量的财力、物力和人力,而信息安全项目往往是风险和收益共存,项目规模越大,利润越高,但是风险也越高,信息安全项目必须进行有效地控制和管理,但是这些项目往往受到多种因素的影响,管理控制不到位,就会造成项目无法达到预期目标、工期超出计划、投资超出预算等。在实际应用中,电信运营企业的信息安全项目风险管理必须做好以下几点:

1、制定风险应对计划

为了避免发生各种风险事件,应制定科学合理的风险应对计划,结合电信运营企业的实际情况和自身特点,基于风险定量分析和定性识别,采取预防式策略,减轻或者避免风险事件,做好充分的准备工作,最大程度地降低或者消除信息安全项目风险事件发生概率。电信运营企业在制定信息安全项目的风险应对计划时,应包括应急方案、资源需求、风险应对行动计划、风险量化评估、风险定性识别等内容。结合项目应用条件、环境和项目自身的变化,根据专家经验、历史经验、风险影响等判断信息安全项目的风险征兆,有针对性地制定相应风险应对计划。同时,信息安全项目的应急方案应坚持按需定制,对项目中的紧急或者特殊事件采取有效的应急控制措施,确保信息安全项目顺利实施。

2、风险主动控制

基于信息安全项目的风险分析,电信运营企业应做好风险主动控制,全面控制和监督信息安全项目全过程。首先,结合已经识别的信息安全项目风险,整理和获取当前风险状态,结合已经发生的条件,判断信息安全项目风险是否已经发展为问题。其次,结合风险分析和跟踪结果,有效、及时地控制信息安全项目实施,结合风险应对计划,确定采用怎样的行动。电信运营企业对信息安全项目进行风险主动控制时,主要包括以下三个步骤:

第一步,执行风险预防性措施,结合信息安全项目制定的风险应对计划,做好风险的事前防范和控制,避免发生安全事故影响信息安全项目的进度、质量和成本,实施第一步时,结合信息安全项目应对计划中的各种防范活动,做好事前管理和控制,对相应执行情况进行存档,便于风险发展评估和执行效果跟踪。

第二步,确定风险,结合信息安全项目的风险定量分析结果进行风险评估排序,对不同阶段内已经识别的项目风险,重点关注高影响风险,广泛收集风险事件相关信息,跟踪信息风险。

第三步,判断新情况,结合信息安全项目具体情况,根据风险控制和跟踪结果,判断是否存在一些没有被识别的风险或者风险是否发生一些新情况,结合具体情况,重新调整信息安全项目管理计划。

3、健全信息安全项目风险管理制度

    电信运营企业应高度重视信息安全项目的风险管理,严格落实保密制度,加强保密监督,平衡保密和电信网络系统信息资源开放共享的关系,强化电信保密管理,确保电信运营企业的信息安全项目顺利实施。首先,对于电信运营企业的信息安全项目进行风险划分,严格控制秘密信息;其次,落实保密审批和信息公开制度,构建信息安全项目风险管理责任制;再次,强化保密监督,信息安全项目风险控制和信息保护应由专门的工作人员或者机构负责,检查和监督信息安全项目风险管理情况。

4、加强风险管理控制

    首先,电信运营企业应认真分析信息安全项目的用户要求和应用特点,安排专业技术功底好、实践经验丰富的工作人员进行开发设计,规划设计阶段应全面考虑到信息安全项目的各种影响因素,制定科学合理、切实可行的风险管理计划。其次,加强信息安全项目进度风险控制,一个项目的顺利实施需要很多工作人员的共同努力,通过加强风险跟踪、风险分析、风险识别、风险管理等措施,加快信息安全项目开发速度,保障电信运营企业的经济效益。最后,信息安全项目实施过程中一旦遇到问题或者发生安全事件,会给电信运营企业造成很大的经济损失,在前期规划设计阶段,应做好成本投资计划,充分考虑到信息安全项目的经济利益和风险,在整个项目实施过程中加强成本风险控制,强化工作人员的责任意识,最大程度地确保信息安全项目的顺利进行。

结束语:

    近年来,我国电信行业快速发展,信息化已经成为人们生活的常态,信息安全项目的风险问题是电信运营企业面临的重要课题,结合当前电信运营企业信息安全项目风险现状,采取有效的风险管理措施,提高信息安全项目的经济效益和社会效益。

参考文献:

[1]高凌雯. 电信运营企业信息安全项目风险管理研究[D].南京邮电大学,2012.

[2]常剑. 信息安全项目管理体系框架和建设流程研究[D].北京邮电大学,2014.

[3]范卿. 电信行业信息安全风险评估的研究[D].天津大学,2013.

[4]常华斌. 电信企业信息安全管理策略[D].北京交通大学,2012.

推荐内容
相关内容
发表评论