现代信息和网络技术就像一把双刃剑。一方面,企业借助信息系统准确、高效、互联的特性拥有了更大的发展空间;另一方面,企业也不得不关注由此引发的信息安全问题。 信息和信息系统面临的威胁趋于多样化和频繁化,攻击频率越来越高,需要做出反应的时间越来越短,传统的事后式、被动式的安全管理已经不能保证企业的信息安全,企业应该用风险管理的思想构建安全的信息系统。 信息安全风险管理是一个动态的、循环的过程,在风险评估的基础上,还要对风险控制措施加以落实,并进行有效的监督和控制。安全不是绝对的,在企业实施信息安全风险管理项目时,要按照成本—效益的原则,有效的整合企业各种资源。 本文在对信息安全和风险管理理论进行研究的基础上,结合企业安全需求和信息安全风险管理实践,提出企业信息安全风险管理的框架,用以指导企业信息安全的实践。框架包括两个部分:企业信息安全风险管理的一般过程框架和企业信息安全风险管理的实施框架。框架第一部分将信息安全风险管理定义成为包括风险识别、风险分析、风险计划、计划实施、风险监督和风险改进六个过程元素的过程。第二部分按照质量管理的PDCA(Plan-Do-Check-Action)模式,给出了企业通过具体安全项目实施信息安全风险管理的步骤。 论文最后结合国内S公司信息安全风险管理案例,对本文提出的企业信息安全风险管理项目实施框架进行了初步应用。