电力 CSO 必须熟悉风险管理目前,各级电力企业虽然专门成立了相应的信息安全小组,形成了电力企业信息安全的决策层、管理层、执行层等机构,确保了人员的配置和安全责任制的落实,但还没有明确设立 CSO 职位
信息安全小组通常由企业的一把手负责,同时,指定了安全专职专岗人员负责整个企业的信息安全,实际上行使着 CSO 的职责,这些安全专职专岗人员可以称为“准 CSO”
通常这些“准 CSO”是纯技术的人才,熟悉某一方面的安全技术如防病毒、防火墙、入侵检测技术等
然而,一个真正的 CSO 知识要全面,不仅要懂信息安全技术,而且还要懂安全管理
熟悉风险管理风险管理是指识别电力企业的资产,评估威胁这些资产的风险,评价假定这些风险成为事实时企业所承受的灾难和损失,并实行一些解决方案预防风险的发生及损失补救措施
风险管理是电力企业安全管理的核心
要执行风险管理,首先必须熟悉本单位的核心业务(如业务的流程、边界等)和关键信息资产
哪些业务是关键的,需要实行高强度的防护措施进行防护;哪些业务是次要的,防护措施的强度可以低一些
同时,要了解业务系统安全与运转质量性能的关系,以避开为了进一步提高信息安全而大幅度降低网络系统运转的质量和性能
因为信息安全是为信息化服务的,信息化最终是为企业业务稳定持续进展服务的
其次,CSO 要制定一个风险管理策略,该策略是企业整体安全策略的组成部分
风险管理策略需明确风险处置的几种方式,如降低风险(实行各种安全防护措施,如加防火墙、入侵检测系统等)、转嫁风险(如买保险等)、接受风险(基于企业的投入/产出比考虑,寻求企业投资与风险承受能力的平衡点)等
因为安全是相对的,对风险的处置应该有个度,假如风险处置的费用超过了系统本身的价值,则再消除风险就毫无意义了,因此,应该制定一个合理的风险管理策略
第三,CSO 要熟悉业务持续性运转与灾难恢复的知识,如保证业务持续性
