随着信息化的发展,信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。如何进行信息化的风险管理,保障网络空间的安全也成为关系信息化能否健康发展的重大问题。
风险指行动或者事件的结果的不确定性(uncertainty of outcome),无论其结果是积极的机会还是消极的威胁。人们只能通过对这些不确定性发生的可能性,以及实际发生以后所产生的影响和后果来评价风险。在本报告中,信息化的风险被界定为信息化可能或者实际带来的消极威胁。风险管理泛指确认风险、评价风险、回应风险的过程。风险管理涉及复杂的结构、机制、过程和制度安排,其目的在于尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁。
信息化风险可划分为个人用户、企业、政府部门和国家四个层次。个人用户和企业可能遭遇:设备、软件、网络、数据、服务、交易方面的六大类信息化风险。政府部门还可能遭遇基础设施方面的风险。国家存在着:国家信息、国家机器的功能、国家资产、国家安全、国际关系与社会发展五个方面的风险。实际上,信息化风险的种类要远远超出上述范围,并且将随着信息化的发展而逐步升级和恶化。我们可以把信息化风险的主要特征归纳为四个方面:全球性,传染性,复杂性,隐蔽性。
信息化风险的生成机理是复杂的,一方面是内因,由信息化自身的特点所决定:第一,信息化的无疆界特征;第二,信息化的低成本特征;第三,信息化的开放性特征;第四,信息化的匿名性特征。另一方面是外因,是信息化的风险源;我们把其中重要的归纳为十个方面:第一,自然灾害;第二,安全生产事故;第三,网络攻击;第四,借助信息化手段进行欺诈;第五,病毒和蠕虫;第六,内部泄密;第七,使用不当;第八,因内部因素而造成的信息、数据的修改和丢失;第九,因外部因素造成信息、数据的泄露、篡改和丢失;第十,安全防范措施不到位的高端技术。
从国际的经验和我国的具体情况出发,我们认为,对于信息化的风险以及风险的管理,我们应确立以下基本的战略和政策应对之。
一、明确政府的角色,强化信息化风险管理的责任
第一,管制者的角色(Regulatory role),对于那些个人或者企业、组织的风险会给其他人、企业、组织甚至于社会造成直接或者间接后果的,政府有必要采取管制或者其他的措施限制或者控制他们的活动或者行为;政府还要使那些使他人承担风险的人或者组织承担此种风险所导致后果的成本,不至于使他们转嫁成本。第二,服务者的角色。在信息化的过程中所出现的一些风险,如大规模的自然灾害所导致的信息基础设施的破坏;恐怖主义以及网络恐怖主义的攻击等等,政府需要采取直接的干预措施为社会提供直接的公共服务。政府干预的方式也主要有两个方面:采取行动降低风险发生的可能性;采取行动降低风险发生以后的损失。第三,管理者的角色。在政府自身的事务领域,包括在政府行使职能,提供服务的过程中,政府有责任确认风险和管理风险。在信息化的过程中,政府自身便是风险的管理者。政府要在其管理的各个层面,如战略层面、政策规划层面、项目层面以及具体的管理运作层面,全面实施风险的管理。作为风险的管理者,政府最主要的责任在于在各个层面的决策过程中,充分考虑到风险的因素,进行决策的风险判断。
二、建立和发展信息化风险管理的文化
高层领导支持和鼓励风险管理;政府组织支持创新和承担风险;有明确的风险管理的政策;有明确的风险管理的责任和责任机制;风险管理的政策和好处在所有的工作人员中得到充分的沟通和理解;风险管理充分地整合到组织管理的过程之中等。
三、做好国家信息化的薄弱环节识别,减少信息化系统中的问题
针对信息化风险的全球性和传染性等特征,政府主管部门尤其要做好国家信息化薄弱环节的识别、弥补和防范工作。第一,完善风险识别的机制,将检查定制为常规性工作,通过排查、采样、比较、演习、试点等方法,定期评估系统的风险应对能力,加强对薄弱环节的识别和认识。第二,及时纠正所发现的问题,减少现存问题导致灾害的可能性。第三,在条件允许的情况下,将旧系统更换为问题更少、技术更成熟的新系统。
1
2
3
下一页>>
