近期,为解决信息安全风险评估工作开展困难,缺少统一的标准化流程问题,扎兰屯机场通过“五小”创新举措,探索实现了用于信息安全风险评估的标准化流程。
信息系统安全性问题日益突出,信息安全事件频繁发生,正确的风险评估方法能够有效识别并确定其风险点,给管理者提供整改方向,降低信息安全事件发生的频率,提高其相关业务安全运行能力。风险评估工作之所以难以进行,是因为其具有较高的专业性和抽象性的特点,对于评估人员则需要专业知识储备和丰富的工作经验。
风险评估软件界面
本创新成果目的就是在于将复杂的评估流程“简单化”、将样式不一的评估方法规范化、将缺少标准支撑的风险评估科学化,以《GB/T20984信息安全风险评估方法》为科学支撑,采用定性和定性与基于知识相结合的评估方法,建立了基于资产的定性分析风险评估方法、应用粗糙集理论,增加资产相关性风险值分析的粗糙集法风险评估模型,和运用图论和矩阵工具的决策实验室风险评估三种评估方法流程。以上三种评估流程可以应用到从管理层面查找风险因素,到信息系统风险要素识别各个环节,真正意义做到了信息安全风险评估全流程覆盖。
评估流程的建立,只是解决了规范化和科学化的问题,并未实现“简单化”这一目标。为此,项目团队基于以上三种评估流程,自主开发了信息安全风险评估软件,将评估过程中的复杂算法交由软件解决,用户只需要选择相应的评估流程,按照操作方法说明,填入各个环节数值便可自动生成评估报告,评估报告生成为word版本,用户可根据需求再次进行编辑,直至完成后进行签字确认,使评估报告正式生效。此外,评估软件还建立了数据库,用户可以根据系统变化等情况,将数据库进行导入导出操作,进行对比分析以更准确的判别评估因素变化对信息系统产生的影响。考虑到评估工作开展的广泛性,为能将创新成果更好的服务到各领域,此评估软件可持续更新,在有标准化评估流程和计算公式前提下,可将其他业务评估流程加入到软件中,并对评估流程设立使用权限,使各岗位人员独立使用,互不干扰。
此次创新一改以往信息安全风险评估模式,使评估工作得以应用到信息系统全生命周期,无论对信息安全管理还是信息系统风险分析都具有重要意义,也是扎兰屯机场积极响应内蒙古机场集团“五小”创新号召,优化工作流程,创新管理方法的一次有效尝试。本项目团队也将继续以破解工作难题为己任,提升安全运行能力为目标,持续开展创新工作,为“四型机场”建设贡献力量。
来源:中国民航网,通讯员:孙兵、潘立阳 报道
