檢察院全國使用統一的檢察業務係統的風險管理研究

學術交流

作者：郭漢文

【摘要】檢察院內網是檢察專線搭建的獨立的四級檢察院互聯的內部網絡，必須與其它網絡物理隔離。檢察內網相對互聯網相對安全，但網絡本身存在脆弱性與外來的不穩定因素存在風險，所以需要對全國使用統一的檢察業務係統作一個風險管理研究，這裏介紹了對應風險管理的基本架構與概念，重點探討風險管理的工作內容，淺談信息安全風險評估實踐的內容與相關的國家政策。

【關鍵詞】風險管理；建立背景；風險評估；風險處置；批準監督；監控審查；溝通谘詢；係統生命周期

當今我們是如何看待網絡與信息化？對個人，人需要信息化還是信息化“綁架”人？對企事業單位和社會團體，組織依賴信息化還是信息化成就組織？對經濟發展，經濟發展帶動了信息技術還是信息技術促進了經濟發展？對社會穩定，信息化的發展對社會穩定的影響是正麵的還是負麵的？對國家安全，信息化是國家安全的利器還是禍害？沒有標準答案，但值得思考。檢察業務係統風險管理的內容有哪些呢？我們作了以下的探討：

1.風險管理的基本架構與概念

1.1 風險管理的基本架構

1.2 風險管理工作內容

1.2.1 風險管理工作主要內容有：建立背景、風險評估、風險處置、批準監督、監控審查、溝通谘詢。

1.2.2 係統生命周期中的風險管理：掌握係統規劃階段的風險管理工作；掌握係統設計階段的風險管理工作；掌握係統實施階段的風險管理工作；掌握係統運行維護階段的風險管理工作；掌握係統廢棄階段的風險管理工作。

信息安全風險管理是信息安全保障工作中的一項基礎性工作，是需要貫穿信息係統生命周期，持續進行的工作。我們的檢察業務係統是順應信息化發展及業務需求的實際情況，經過檢察係統多部門合作開發的符合全國檢察業務需求的背景下建立的。那麼我們應該要掌握一套完善的管理方式去做好這件事。那就是要學會風險管理運用好風險管理的實質內容。

1.3 相關概念

1.3.1 通用風險管理定義是指如何在一個肯定有風險的環境裏把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。理想的風險管理，是一連串排好優先次序的過程，使引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押後處理。

1.3.2 檢察業務係統信息安全工作為什麼需要風險管理方式？

常見問題：安全投資逐年增加，但看不到收益；按照國家要求或行業要求開展信息安全工作，但安全事件仍出現；IT安全需求很多，有限的資金應優先撥向哪個領域；當了CIO，時刻擔心係統出事，無法預見可能會出什麼事。

問題根源淺析：沒有根據風險優先級做安全投資規劃，沒有抓住主要矛盾，導致有限資金的有效利用率低；沒有根據企業自身安全需求部署安全控製措施，沒有突出控製高風險。決策者沒有看到安全投資收益報告，資金劃撥無參考依據。沒有殘餘風險清單，在什麼條件可被觸發，如何做好控製。總的來說可以概括為以下三點：（1）信息安全風險和事件不可能完全避免，沒有絕對的安全。（2）信息安全是高技術的對抗，有別於傳統安全，呈現擴散速度快、難控製等特點。（3）因此管理信息安全必須以風險管理的方式，關鍵在於如何控製、化解和規避風險，而不是完全消除風險。

風險管理是信息安全保障工作有效工作方式。好的風險管理過程可以讓機構以最具有成本效益的方式運行，並且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源並確定優先級，更好地管理風險。而不是將保貴的資源用於解決所有可能的風險。風險管理是一個持續的PDCA管理過程，即計劃-做-檢查-執行循環的管理過程。也可以這樣理解，在全國使用統一的檢察業務係統，做需求分析計劃組織開發業務係統--全國各省市部分基層院試運行使用--檢查業務係統的可行性及需要完善的報告--執行需要完善的地方繼續開發完善。一個持續的不斷完善的管理過程。

在全國使用統一的檢察業務係統，也就會出現數據大集中，數據大集中天生的脆弱性就是數據集中的銷毀或丟失，這就是它與生俱來的風險，那麼我們認識了這一點，就應該采用相應的技術措施來控製風險。什麼是信息安全風險管理？了解風險+控製風險=管理風險。定義一：GB/Z 24364《信息安全風險管理指南》指：信息安全風險管理是識別、控製、消除或最小化可能影響係統資源的不確定因素的過程。定義二：在組織機構內部識別、優化、管理風險，使風險降低到可接受水平的過程。