企业信息安全风险管理框架探究摘要：随着信息时代的到来，信息化技术在企业中发挥的作用愈发重要，在目前的网络环境中，大量的病毒频繁地攻击企业的信息系统，甚至造成系统无法及时处理攻击的情况。因此，企业信息安全应变被动处理为主动防御，在信息系统中建立风险管理框架，合理利用企业内部资源，提高企业信息系统安全性。本文将对企业信息安全风险管理的框架进行研究，探讨企业信息安全风险管理的需求、过程以及实施等细节。Abstract：Withtheadventoftheinformationage,informationtechnologyplaysanincreasinglyimportantroleintheenterprise,andinthecurrentnetworkenvironment，alargenumberofvirusfrequentlyattackstheenterprise"sinformationsystem，andevencausesystemcannotdealwiththeattacks・Therefore,theenterpriseinformationsecurityshouldchangepassivetreatmentintoactivedefense,establishriskmanagementframeworkintheinformationsystem,rationallyuseinternalresources,andimproveenterpriseinformationsystemsecurity・Inthispaper,theframeworkofenterpriseinformationsecurityriskmanagementisstudied,andtherequirements,processandimplementationofenterpriseinformationsecurityriskmanagementarediscussed.关键词：信息安全；风险管理；框架探究Keywords：informationsecurity；riskmanagement；frameworkresearch中图分类号:F270文献标识码：A文章编号:1006-4311(2017)18-0053-030引言在社会不断发展的同时，信息化技术也获得了长足的进步，并且已经广泛地应用到人们的生活与工作中。对于企业单位而言，信息资源是保证正常运营的关键因素，企业运营的重要数据、客户资料以及知识产权等信息都是重要的信息资源，这些资源一旦泄露或丢失，会对企业造成极大的影响。因此，企业必须重视自身信息系统安全风险管理的框架的建设，有效防止来自网络的恶意攻击，防止内部重要信息泄露或丢失，保证企业信息安全。1企业信息安全实践的需求分析在信息时代的大背景下，企业的信息化程度是衡量其发展水平的重要因素。但是，我国的信息安全形势不容乐观，大部分企业没有树立信息安全风险管理概念，企业的信息安全无法得到良好的保障。信息安全是一项综合性的工程，不一般来说,在企业运营过程中,信息安全系统通常面临能仅凭企业短期内需要就采取某些措施，无法从根本上提高信息安全水平。想要做好企业信息安全实践工作，必须事先做好企业对信息安全的需求分析，形成全面的分析报告，并根据报告中的内容采取相应的措施，改善企业信息安全现状。但是，需求分析的具体过程也不是始终不变的，而是会根据企业的发展与信息技术的进步发生改变的。信息安全风险的独特性必须在框架中体现出来。信息安全风险源于信息，信息本身具有不断发生变化的特性，从其以数据的形势出现开始，直至在各项功能中发挥相关的作用，这个周期内的每个阶段都有相❷的价值。信息安全管理就是要对企业的信息资源进行全面的❷保护，避免因这些资源受到损失而对企业的运营造成影响。企业信息安全风险管理框架中，必须能够发现信息资源即将受到的威胁，评估这些威胁会对信息资源造成的后果，以确定应对这些威胁的顺序。在制定风险计划时，需要明确对于风险的应对方式以及合理的控制措施。在风险的监督与改进过程中，需要根据这些风险采取适当的监控手段。总之，在此过程框架每个过程要素的分析中,都必须体现信息安全风险的独特性。2企业信息安全风险的类型及内容以下风险因素：%因线路故障、停电、网络通信设备损坏等导致网络突然中断。%网站遭到非法攻击，主页被恶意篡改或者被非法植入煽动国家分裂或抗拒法律法规、歪曲事实、散布谣言的言论,以及破坏社会稳定、损害公司名誉的不当言论等。%公司内部网络服务器或他服务器被非法入侵，相关网络设置被非法拷贝、修改、删除，发生泄密事件。%公司内外网终端混用，被国网公司信息管理部门查处，造成公司信息泄露、丢失事件。信息系统是企业正常开展生产运营工作的基本前提，信息管理系统一旦出现问题，轻则影响企业内部业务项目的正常进行，重则导致...