IT类中小型企业信息安全风险评估效果调查研究.pdfVIP

IT类中小型企业信息安全风险评估效果调查研究 TheInvestigationofInformation SecurityRiskAssessmentofSmallandMedium—SizedIT Enterprises 林 宁 LINNing Abstract Byinvestigatinginformationsecurityriskassessmentprocessof16smallandmedium．sizedIT enterprise，from theangleofdataandenteprriserisk，htearticleanalyzestheproblemsexistinginhteenterpriserisk assessmentprocess． Keywords Informationsecurityriskassessment Smallandmedium-sizedITenteprrises Investigation doi：10．39698．issn．1672-9528．2013．03．05 风险评估是企业信息安全管理体系建立的重要 (2)评估的过程发生在2011年6月之后； 环节之一，其效果在很大程度上影响着企业的信息 (3)企业的主要经营活动范围应围绕 “计算机 安全风险管理水平。2007年6月 14日国家质量监督 信息系统集成、应用软件开发及 IT服务”等行业展开。 检验检疫总局和 国家标准化管理委员会联合发布了 为了能够更全面的了解和分析企业风险评估的 《GB — T20984—2007信息安全技术 信息安全风险评 执行情况，确定调查的内容包括：企业的经营范围、 估规范》 (以下称：风险评估国家标准)， 旨在 人数规模、资产识别和风险评估的过程数据，同时收 规范和指导企业的信息安全风险评估过程。作为信息 集企业风险评估过程的管理程序文件信息。希望能通 安全管理体系的审核员，本人参与了多家企业的信 过以上数据和文件，从风险评估的成本、企业的理解、 息安全管理体系认证工作，而在审核过程中却发现， 过程的能力等角度，分析企业在信息安全风险评估过 虽然企业都能按照风险评估国家标准开展评估工作， 程中可能存在的问题。 但不同的企业在执行过程中，成本、收益的差距都比 2 调查实施 较显著。为了进一步验证风险评估国家标准在企业中 的执行情况，进行了此次调研。 白2012年6月起，本人对 33家亲 自参与信息安 全管理体系审核的企业进行了调查，调查的企业覆盖 1 调查策划 了广东、山东、湖南、江苏等省市。根据调查结果， 为了确保调查结果的有效性，尽可能减少行业特 选取了l6家满足前置条件要求的企业作为研究样本。 点和风险评估国家标准的发展等因素对企业评估过 表 1是本次调查过程中所收集到的数据： 程能力的影响，根据以下三个前置条件来选取样本： 本文按2011年颁布的 《中小企业划型标准规定》瞳 (1)企业已经按照风险评估国家标准的要求实 对企业规模进行了划分。在 l6家企业 中，小型企业 施，并完成了信息安全风险评估的相关工作； 有 l0家，中型企业有6家。在业务方面，以软件开 发和系统集成为主营业务的有 12家，以IT服务业务