水电厂信息安全风险控制机制设计.docx

《水电厂信息安全风险控制机制设计.docx》由会员分享，可在线阅读，更多相关《水电厂信息安全风险控制机制设计.docx（14页珍藏版）》请在第一文库网上搜索。

1、水电厂信息安全风险控制机制设计1策划和准备1.1 为安全风险管理建立开端1.1.1 获取支持组织不了解自身发展要求标准、企业资源计划执行的妨碍因素以及资源投入量过少是组织企业资源计划执行失败的主要缘故。所以公司研制软件时，第一必须将自身的现状以及实际能力纳入考虑范围，第二需要掌握企业自身的相关标准要求，第三了解目前企业所面临的风险，第四明确企业之后的发展方向。企业资源计划是目前全球一种先进的企业信息管理系统，其涉及了全球最新的管理知识，为组织信息化发展奠定了重要基础。企业资源计划充分利用组织内部的各种资源，同时有效地结合相关资源，从而创造更多的企业利润。企业在选择购买软件时要以发展的眼光看问题

2、，不能只看产品本身，要结合自身需求来选择合适的企业资源计划系统。中小选择企业资源计划系统需要按照以下流程:掌握企业资源计划的基本理论、系统研究组织标准要求，选择适合企业自身特点的各类软件和管理程序。在选择相关企业资源计划时，必须研究公司特色和自身的发展理念，充分掌握组织现时所面临的风险，研究哪一种类型的企业资源计划系统更适合自身企业的发展。公司在分析企业资源计划系统时，不仅需要将系统自身的特点属性纳入考虑范围，还必须仔细分析管理咨询公司或软件商提供的服务，根据企业的经营理念和手段、服务特色、管理方式等方面来引入相应的系统。商品容易生产的，系统必须包括企业生产各个环节，明确资源充分利用的目标；商

3、品不易生产的,系统运行时间相对较长，还需要包括对销售环节进行管理，从而充分利用资源；然而对于成批制造的企业软件作用应该把重点放在销售控制方面，从而提高分销点销售量,加快资金周转。1.1.2 确定企业现有安全威胁管理的有效程度1、物理风险管理和环境控制基础设备的安全性是信息风险管理的重要保障，物理风险管理主要涉及基础设施维护和避免不合法、不规范操作。环境控制指的是确保系统运行环境的稳定性，比如地区性控制和非人为破坏控制。2、设备安全保障设备的安全措施主要由设备防毁、防盗、预防电磁辐射导致的信息泄漏、预防线路截取、抗干扰以及保护电源等方面组成；在相关服务器或者DCS工程设计站装配UPS等。3、网络

4、框架在网络结构上建立的是安全系统，安全系统是否成功构建的关键是整体系统是否稳定。在进行网络系统的安全设置时，应当将计算机系统、整体结构和路由器选择考虑在内。网络系统的改善，在网络结构上应当考虑整个线路的简洁程度、非法入侵监控的及时性和有效性。4、整体系统风险控制访问权限设定和非法入侵监控，访问权限的设定主要可通过以下几方面：（1）保证管理制度制定和实施时的严肃性。（2）、一系列安全设备的配备：在内外网中，非法入侵的监控有效防止了非法程序的植入，另外与限制用户访问组成客观全面的系统维护方式。通常情况下非法入侵入侵监控设置在信息传输唯一接口处。防火墙的主要包括以下5个基本功能：对输入和输出的网络数

5、据进行过滤；限制进出内部网的访问权限；对禁止的网络业务进行封堵；记录进出内部网的活动、内容和信息；对病毒等具有攻击性的数据信息进行检测和警告。目前风险控制体系中相对较弱的环节是风险检测方面。怎样有效找出网络体系中相对比较薄弱的部分?怎样最大程度地规避系统所出现的风险?这些风险最全面的规避手段是是定期研究系统所面临的风险，另外找出并更正出现的不足与缺陷。1.1.3 主要角色和职责风险评估在全面开展实施过程中通常需要涉及许多参与者，参与者在风险评估过程中具有不同程度的作用。一个系统全面的风险评估主要包含了主管部门、信息风险评估系统持有者和构建者、信息风险评估组织以及其他一系列相关部门（即因信息系统

6、互联、信息交换和共享、系统采购等行为与该系统发生关联的机构）。主管部门享有评估风险的行政审阅权责，其主要对本部门的安全管理方针的提出、计划和审批负责，领导本部门有效地组织相关信息风险评估工作。根据本部门信息安全系统的特点及评估风险所得到的的结果，对信息安全系统剩余风险可接受程度进行判断，同时审批信息安全系统的运行报告。进行信息安全系统运行检查生成相关的系统安全报告；不定时或定时进行风险评估活动。信息安全风险系统的持有者拥有在评估风险时的协调组织权，对安全计划的制定负责，同时报经相关主管部门批准；组织协调信息安全风险系统自我测评工作的实施;与强制评估检查或者授权评估检查工作，同时提供相关的文档等

7、一系列资料；提供给主管部门最新的风险评估报告和相关应对措施；提升信息安全风险系统的预防性能，有效控制和管理信息风险。信息安全风险系统构建者按照对信息安全风险系统构建策略进行风险评估所得到的结果，完善安全计划，保证安全计划积极有效、成本合理，在整个计划中有效地管理和控制已出现的风险；加强建设的规范，规避在信息系统构建环节新出现的风险；保证相关安全配件产品获得认证机构的证书。信息安全风险系统提供全面独立的风险评估报告；针对信息安全风险系统中的威胁预防方式进行一系列评估，从而对这些危险预防方式在特殊环境中是否起作用以及实施这些方式后导致的剩余风险进行判断；给出更改意见，从而达到削弱或者消除信息安全风

8、险系统中的易破坏性，能够有效与安全系统中的威胁和风险进行对抗；对评估风险过程中得到的相关敏感信息进行保护，有效地预防被无关组织或人员获取。信息安全风险系统的有关部位支持和辅助风险评估活动，严格遵循安全方针、法律、规章制度等可能对信息安全风险系统的相互交流行为有影响的安全要求，减少信息威胁和风险；协助风险评估机构确定评估边界；在风险评估中提供必要的资源和资料。1.2 风险评估1、动机与管理变革风险评估X水电厂应该明确实施ERP的最终目的，若仅仅为了开展“面子项目”，或者是受媒体等方面给予的负荷，或者为了实现某种不正当目的，进而引进企业资源计划，那么其结果必然是失败的。可以说企业资源计划的执行是相

9、关企业全部工作人员、全过程、全部资产的重新调动与整合，进而会使公司工作人员尤其是公司高层人员在管理方式和思想上的改变，公司的决策部门必须将因此导致的公司不固定费用纳入考虑范围，所以最终目的控制与改革引发的威胁相对较低。2、市场情况威胁检测社会经济系统仍未成熟，某些电力公司在对外界客户和市场信息的获取方式方面相对缺乏，外界相关信息的获取能力仍然不强。由此可见，构建能够保证ERP正常实施的有效的销售方案，这个难度系数大的项目计划需要耗费大量的时间，即使经过时间的考验，公司的企业资源计划所存在的威胁仍然会不断出现。3、管理程度降低的威胁评估企业实施ERP系统项目之后，将以前由管理层拥有的多数管理权利

10、转变成系统自身的相关功能，所以对相关组织结构的调整很可能会削弱企业的控制力。公司在实施ERP系统项目之后，一旦管理层不能建立有效的控制体系和管理系统，就会造成企业内部工作效率低下，整体利润减少的后果。4、软件决定安全问题评估为了顺应企业发展的需要，许多企业资源计划管理系统应运而生。就软件所带来的作用而言，软件是否符合组织的标准要求，软件固定性和安全性都面临着巨大的挑战。相关公司在进行软件定制前，必须充分认识到公司自身的标准需要，全面客观分析企业资源计划管理系统，例如软件作用效果、后期升级等。另外还需要将本身的发展标准与系统软件进行相关匹配，进而选出最实用、最合适的ERP软件。另外，ERP软件还

11、存在客户化问题国外的ERP软件可能不适合我国企业。企业各层次的发展情况会随时发生变化，ERP软件必须能够方便企业进行二次开发。5、人员素质风险评估ERP是新一代计算机信息系统，结合了新的管理理念，技术复杂，涉及面广，要求高。X水电厂想要要执行企业资源计划管理,需要不仅具备管理能力还掌握企业资源管理基本理论的计划控制人才。这些人需要掌握最新的管理思想，能够知晓并研究企业目前控制情形，熟练驾驭一系列模型构建和材料研究技能，了解大多数ERP的理论，熟知执行流程，进而根据企业发展理念和目标给出信息安全的最终目的，对产品进行相关的配置。这种综合性的人才不能与ERP基本管理员工相比，这种人才通常需要长期训

12、练。对于X水电厂而言，造就这类型的综合性专业员工的关键在于与专业ERP训练企业的合作培养。所以人才的选择企业资源管理顺利实施的重要前提条件之一，若相关组织未吸收这类员工或未对已有员工进行这方面培训，那么企业资源管理的失败率将很大程度提高。1.3 开发风险行动方案.1.3.1 控制措施的选择a动机与管理变革风险的应对策略ERP软件的引入是X电厂为了达到加强自身信息化程度目的的措施之一，也是某电厂信息化程度显著提高的奠基石，同时也是针对企业管理变革与创新的重要方针，其主要为了实现管理信息化、完善管理结构、提高业务流程效率、生产与销售合同协调与集成的实现、增强工作可控性和透明度的目标。只有通过一系列

13、的宣传工作才能在企业内部形成良好的氛围，才能更有效地执行这个项目。如果做到这种程度，一方面能够更正内部工作人员的思想错误，增强企业内部工作人员对信息化管理的积极性，提升对信息管理的依赖度；另外，还必须让所有工作人员意识到ERP执行过程中会出现的各类型安全问题，主动积极地养成威胁预防的思想观念。b社会环境威胁的解决措施公司首先要即时地熟悉社会经济发展方向的改变，同时据此研窕对于的解决方案，相关组织必须按照本身发展的能力和方向，根据最终发展目标，确立企业资源管理系统执行能力和目的。同时在对企业发展研究时着重于以下几点:分析实际情况；明确管理目标；有效配置企业资源；分析环境因素；明确信息管理框架。另

14、外，还需要保证时机合适。通常情况下，ERP系统实施的黄金时机是企业发展旺盛时期或者停滞时期,在发展旺盛时期，公司会考虑不好的情况，在发展停滞期间，公司会自行寻求变革，这两个时期是ERP系统实施成功的黄金时期。c控制程度降低的解决措施。控制合法性，规避项目执行风险。企业资源系统的引入一定会导致常规模式下一些敏感话题的出现，导致一系列管理习惯的改变，对相关个体利益产生影响，这都将会阻碍系统的实施，增加系统实施的风险性。所以应当在项目小组的指导下，运用科学管理方式，构建项目控制和考核体系，加强项目实施流程的规范，增强项目的流程控制。各个项目组应当严格根据领导小组的相关决策进行工作，根据进度要求将任务

15、分派给相应的工作人员，对项目实施的每个环节的工作进度要求、计划和内容进行明确细化，同时加强考核和检查力度，确保相关工作人员能够高质量、高效率地达成目标，确保系统实施工作顺利、有序地进行。X厂主要从计划管理加强、流程管理和内部协调沟通等方面来保证ERP系统的顺利实施，另外将相关的成本费用控制在成本预算范围之内，减少实施系统过程中的威胁或者风险。d人员素质风险应对策略X水电厂紧紧抓住ERP实施所带来的发展机会，注重企业资源管理人才的培训I,按照企业资源管理的特性，培训主体不同和受训程度的高低适用不同的训练方案，分模块的人才培养工作，最终能保证训练的成果，帮助工作人员培养公司发展为最终目标的思想观念

16、，了解最基本技术，保证软件引进后正常运行。e软件判断威胁的解决措施企业在选择软件时必须先了解自身的实际需求和自己的实施能力，明确自己的业务需求以及主要问题是什么，在此基础上再考虑选择什么样的软件、其次，企业在选择时要放眼未来企业在选择软件时要考虑到发展的需求，考虑社会环境影响和企业自身员工的技术水平和信用程度的影响，要用发展的、长远的眼光来考察并选择合适的ERP软件系统。企业还应该对整个ERP软件的供应行业的发展有所了解,考察重点厂商，因为需要企业关心的不仅仅是产品本身，企业在选择ERP软件是可以按照如下四个步骤:首先要理解ERP的工作原理、然后分析自己企业对该软件的需求，最后再去选择购买什么样的软件、硬件平台和数据库。分析自身特点和商业模型，认识企业当前所迫切有待解决的问题，分析什么样的软件能够适应当前企业的发展并能够帮助企业从实际方面解决问题是企业必须要仔细考虑的事。企