電信企業(yè)信息安全項目風險問題及應對對策論文

　　近年來,我國電信網(wǎng)絡系統(tǒng)越來越成熟,電信用戶數(shù)量大幅上漲,而電信運營企業(yè)的信息安全系統(tǒng)建設相對比較緩慢,實際運行經(jīng)驗和信息安全系統(tǒng)平臺管理都存在很多不足,這也使得各種信息安全事故頻發(fā),給國家、社會和人們造成巨大損失.為了解決這個困境,電信運營企業(yè)必須積極構建完善的信息安全系統(tǒng),投入更多精力和成本,加強信息安全項目風險管理,配備先進的網(wǎng)絡安全監(jiān)控技術,實時掌握電信網(wǎng)絡安全狀態(tài),全面提高電信網(wǎng)絡系統(tǒng)的安全性和穩(wěn)定性.

　　一、電信運營企業(yè)信息安全項目存在的風險問題

　　(一)需求不確定電信運營企業(yè)的信息安全項目涉及相關硬件平臺、軟件系統(tǒng)以及信息安全保障內容,多種內容和因素的影響使得信息安全項目需求具有不確定性.一方面,用戶需求的不確定性,不同用戶對于同一個信息安全項目可以有著不同的要求和理解,而同一個用戶在不同地點、不同時間也會有不同要求;另一方面,工作量的不確定性,信息安全系統(tǒng)建設的工作量無法通過有效方法進行估算,很多信息安全項目都具有創(chuàng)造性,沒有先例可以參考借鑒,實際建設和估算計劃往往較大差異,項目計劃的不準確很容易造成預算超標、時間拖延,甚至整個項目的失敗.

　　(二)技術風險信息安全項目在某些方面都具有抽象性,這樣使得各個階段的項目設計沒有可以遵循和參照的規(guī)范,信息安全項目設計和傳統(tǒng)項目相比存在較大差異,設計和施工無法分離,前期的需求說明和要求不能確定對于后期設計是否充分和完整,存在很多技術方面的風險.由于組織設計存在問題或者缺陷,信息安全項目功能無法達到用戶要求,例如,信息安全項目運轉效率較低,無法保障信息安全質量;相關信息安全資料不方面,使用和理解不方便;信息安全項目響應速度過慢,無法滿足用戶要求.同時,數(shù)據(jù)庫設計不合理也是信息安全項目面臨的常見技術問題,代碼設計不全面、數(shù)據(jù)完整性控制不足、數(shù)據(jù)冗余等,都導致信息安全項目存在潛在風險.

　　(三)進度風險對于信息安全項目,嚴格控制項目進度、優(yōu)化項目進度管理,確保整個信息安全項目在規(guī)定時間內完成是電信運營企業(yè)信息安全項目風險管理的重要內容,但是在實際應用中,一方面前期的規(guī)劃設計方案不合理,后期開發(fā)建設過程中出現(xiàn)各種問題;另一方面,信息安全項目實施過程中出現(xiàn)問題或者遇到意外,又沒有有效的補救辦法,造成工期延誤.一旦信息安全項目被延誤,僅通過增加工作人員無法有效地進行彌補,開發(fā)設計人員之間需要溝通交流和默契配合,而隨著工作人員的增多,會加劇信息安全項目設計開發(fā)的復雜性,甚至導致更多的返工和混亂.

　　(四)成本風險信息安全項目的實施成本主要包括維護費用、軟件培訓費用、使用許可費用、硬件費用等,在具體的應用過程中,結合時間安排和項目進度,怎樣合理分配應用費用,有效控制應用成本是電信運營企業(yè)需要面臨的重要問題.若信息安全項目無法按照相關進度計劃有效開展,會導致實施成本增加和時間延誤,即使信息安全項目被使用,也達不到預算和時間要求.

　　(五)其他風險信息安全項目風險管理和安全管理人員、工作目標、組織結構、信息網(wǎng)絡、信息系統(tǒng)、網(wǎng)絡架構等有著密切的關系,并且信息安全項目開發(fā)設計是一個勞動密集型任務,每個階段都需要有人的參與,但是人的行為是很難預測和控制的,因此人的因素使信息安全項目存在很大不確定性.

　　二、電信運營企業(yè)信息安全項目風險管理策略

　　電信運營企業(yè)的信息安全項目具有復雜性、創(chuàng)造性、一次性等特點,建設過程中需要耗費大量的財力、物力和人力,而信息安全項目往往是風險和收益共存,項目規(guī)模越大,利潤越高,但是風險也越高,信息安全項目必須進行有效地控制和管理,但是這些項目往往受到多種因素的影響,管理控制不到位,就會造成項目無法達到預期目標、工期超出計劃、投資超出預算等.在實際應用中,電信運營企業(yè)的信息安全項目風險管理必須做好以下幾點:

　　(一)制定風險應對計劃為了避免發(fā)生各種風險事件,應制定科學合理的風險應對計劃,結合電信運營企業(yè)的實際情況和自身特點,基于風險定量分析和定性識別,采取預防式策略,減輕或者避免風險事件,做好充分的準備工作,最大程度地降低或者消除信息安全項目風險事件發(fā)生概率.電信運營企業(yè)在制定信息安全項目的風險應對計劃時,應包括應急方案、資源需求、風險應對行動計劃、風險量化評估、風險定性識別等內容.結合項目應用條件、環(huán)境和項目自身的變化,根據(jù)專家經(jīng)驗、歷史經(jīng)驗、風險影響等判斷信息安全項目的風險征兆,有針對性地制定相應風險應對計劃.同時,信息安全項目的應急方案應堅持按需定制,對項目中的緊急或者特殊事件采取有效的應急控制措施,確保信息安全項目順利實施.

　　(二)風險主動控制基于信息安全項目的風險分析,電信運營企業(yè)應做好風險主動控制,全面控制和監(jiān)督信息安全項目全過程.首先,結合已經(jīng)識別的信息安全項目風險,整理和獲取當前風險狀態(tài),結合已經(jīng)發(fā)生的條件,判斷信息安全項目風險是否已經(jīng)發(fā)展為問題.其次,結合風險分析和跟蹤結果,有效、及時地控制信息安全項目實施,結合風險應對計劃,確定采用怎樣的行動.電信運營企業(yè)對信息安全項目進行風險主動控制時,主要包括以下三個步驟:

　　第一步,執(zhí)行風險預防性措施,結合信息安全項目制定的風險應對計劃,做好風險的事前防范和控制,避免發(fā)生安全事故影響信息安全項目的進度、質量和成本,實施第一步時,結合信息安全項目應對計劃中的各種防范活動,做好事前管理和控制,對相應執(zhí)行情況進行存檔,便于風險發(fā)展評估和執(zhí)行效果跟蹤.

　　第二步,確定風險,結合信息安全項目的風險定量分析結果進行風險評估排序,對不同階段內已經(jīng)識別的項目風險,重點關注高影響風險,廣泛收集風險事件相關信息,跟蹤信息風險.

　　第三步,判斷新情況,結合信息安全項目具體情況,根據(jù)風險控制和跟蹤結果,判斷是否存在一些沒有被識別的風險或者風險是否發(fā)生一些新情況,結合具體情況,重新調整信息安全項目管理計劃.

　　(三)健全信息安全項目風險管理制度電信運營企業(yè)應高度重視信息安全項目的風險管理,嚴格落實保密制度,加強保密監(jiān)督,平衡保密和電信網(wǎng)絡系統(tǒng)信息資源開放共享的關系,強化電信保密管理,確保電信運營企業(yè)的信息安全項目順利實施.首先,對于電信運營企業(yè)的信息安全項目進行風險劃分,嚴格控制秘密信息;其次,落實保密審批和信息公開制度,構建信息安全項目風險管理責任制;再次,強化保密監(jiān)督,信息安全項目風險控制和信息保護應由專門的工作人員或者機構負責,檢查和監(jiān)督信息安全項目風險管理情況.

　　(四)加強風險管理控制首先,電信運營企業(yè)應認真分析信息安全項目的用戶要求和應用特點,安排專業(yè)技術功底好、實踐經(jīng)驗豐富的工作人員進行開發(fā)設計,規(guī)劃設計階段應全面考慮到信息安全項目的各種影響因素,制定科學合理、切實可行的風險管理計劃.其次,加強信息安全項目進度風險控制,一個項目的順利實施需要很多工作人員的共同努力,通過加強風險跟蹤、風險分析、風險識別、風險管理等措施,加快信息安全項目開發(fā)速度,保障電信運營企業(yè)的經(jīng)濟效益.最后,信息安全項目實施過程中一旦遇到問題或者發(fā)生安全事件,會給電信運營企業(yè)造成很大的經(jīng)濟損失,在前期規(guī)劃設計階段,應做好成本投資計劃,充分考慮到信息安全項目的經(jīng)濟利益和風險,在整個項目實施過程中加強成本風險控制,強化工作人員的責任意識,最大程度地確保信息安全項目的順利進行.

　　三、結束語

　　近年來,我國電信行業(yè)快速發(fā)展,信息化已經(jīng)成為人們生活的常態(tài),信息安全項目的風險問題是電信運營企業(yè)面臨的重要課題,結合當前電信運營企業(yè)信息安全項目風險現(xiàn)狀,采取有效的風險管理措施,提高信息安全項目的經(jīng)濟效益和社會效益.

【電信企業(yè)信息安全項目風險問題及應對對策論文】相關文章：

學前教育發(fā)展問題及其應對策略論文10-11

幼兒安全教育現(xiàn)狀及應對策略論文10-01

大數(shù)據(jù)信息安全風險框架與應對策略論文10-11

旅游管理問題及有效對策的論文10-09

計算機信息安全問題及對策論文10-11

信息安全在高校信息化中的應對策略論文10-10

旅游管理中的問題及對策論文12-20

企業(yè)預算管理問題及對策論文10-09

通信計算機信息安全問題及對策論文10-11

計算機網(wǎng)絡信息安全及應對策略思考的論文10-09