第二章  大数据时代计算机信息处理存在的问题及优化




                  （四）企业缺乏信息安全风险控制管理
                  信息安全风险管理是以风险评估为基础，基于风险的信息安全管理，是动态
              的、反复的、响应变化的，要随着时间和业务的变化不断进行风险评估和管理，
              促进组织持续完善信息安全风险控制。D 企业很早就提出了“风控”的概念，也

              做了一些“风控”的工作，甚至请了咨询公司为企业制定“风控”方案，但这些“风
              控”方案侧重于企业运营，没有专门对企业的信息安全风险进行评估。企业长期
              把管理的重点放在了业务发展方面，而忽略了信息安全风险的管理，只是在近年
              来行业监管部门对新技术、新应用的上线有了明确的要求，必须进行信息安全风

              险评估后才能上线运营，企业才按照监管的要求对新上线的业务系统进行了风险
              评估，但对原有的网络侧与业务侧的系统存在哪些漏洞，具有哪些风险，D 企业
              并不了解，也没有进行风险评估的计划安排。D 企业只是被动地按照监管部门的
              要求对每年新上线的新技术、新业务系统进行风险评估，而对当前网络与信息系

              统中的风险情况都不了解，如何进行信息安全风险控制呢？如果企业遭遇了网络
              攻击或信息泄露，再去调查信息安全事件的原因，查找信息系统中的漏洞，岂不
              是太晚了吗？
                  （五）企业信息安全策略管理不科学、不规范、不全面

                  长期以来，Ｄ企业的信息安全策略的制定和实施就存在不科学、不规范、不
              全面的情况，有的直接沿用了集团制定的策略，有的是按照监管部门的要求临时
              制定的，有的是工作人员在长期的工作中摸索形成的，有的是从网上直接拷贝过
              来的，都没有按照严禁的、规范的、科学的、可操作原则制定，没有结合企业全

              局和实际的情况进行统筹和规划。这些策略要么是方向性、指导性比较强，要么
              是随意性，临时性比较强，都没有描述清楚采用什么样的方法、按照什么样的规
              范流程来具体实现信息安全，使得相关信息安全要求与实际情况存在偏离的情况。
                  （六）企业不重视业务连续性，环境安全管理存在漏洞

                  企业将业务连续性管理与信息安全事件应急响应混为一谈，习惯于“头痛医
              头、脚痛医脚”，认为完成了信息安全事件响应就是完成了业务连续性管理，其
              实二者有本质的区别。业务连续性管理是谋划在前，在事件发生之前就做好事件
              发生的谋划和准备。谋划好如何避免出现业务中断或者万一发生了业务中断后，

              最多能接受多长时间的中断。Ｄ企业在日常生活中虽然做了重要数据的备份、核
              心设备和链路的冗余配置，核心机房配备了 UPS 备用发电机，但这些还不能满


                                                                                   ·47·