信息设备风险管理的思考

信息设备每个阶段所面临的安全威胁各有不同，所需实施的管理方案也有差异。此阶段，风险管理工作需融合考虑未来系统应用对象、应用环境、业务情况、操作要求等众多因素。部署阶段则需结合规划设计阶段的威胁与相关安全管理措施着手相关工作，进行质量化管控。测试阶段则需结合部署完成的信息设备，对其前期规划设计方案要求，对采购的信息设备进行全方位测试。运行阶段则需对信息设备稳定运行奠定基础，确保各项功能顺利实现。此阶段的风险管理多体现在设备管控、发现脆弱性、设备异常报警信息、设备日志搜集与分析等工作。废弃阶段的风险管理则包括处理残留信息、科学合理丢弃系统组件等，检查设备是否存在新的信息安全风险。从整体来看，信息设备风险管理需贯穿设备生命周期全过程，方能挖掘信息设备的最大应用效能。

一、信息设备管理概述

（一）信息设备全生命周期管理

信息设备管理多会融入其全生命周期。围绕信息设备，风险管理人员从规划设计方案开始，直至信息设备报废，对整个过程的所有数据进行全生命周期监管。从规划设计来看，需有效确定系统使命系统需求以及完善整个系统方案设计；在设备部署环节，则需强化对设备安装的风险性管理；在调试设备时，则需合理确定测试方案，有序开展设备集成测试，确保设备性能良好；设备运行环节，则需做好设备运维管理，及时发现设备运行中存在的风险因素，制定整改方案；在设备废弃环节，在判定设备使命终结后，需做好审批工作。

（二）信息设备风险

从信息安全风险评估规范来看，可将信息设备风险细化为漏洞、威胁与资产三大要素。而信息设备所遭受地安全风险源不一，具有多样性。通过合理分析三要素间的影响与互联性，方可有效平衡三要素，确保信息设备处于安全状态。

（三）信息设备风险管理必然性

对信息设备实施风险管理是企业发展的必然需求。当下对信息设备风险管理展开了大量研究。决策支持系统是以管理信息系统、管理科学与运筹学基础发展而来，成为企业风险管理的重要技术支持，可为风险评级、风险预警、动态风险准备金管理、授权授信管理等营造良好条件。部分企业在信息设备风险管理工作中，将管理重点放在设备运行阶段上，忽视了设计阶段、报废阶段等其他设备运行环节的风险管理。因此，信息设备风险管理仍有着较大的上升空间。结合全生命周期理论，融合企业信息设备风险特点，构建科学完善的全生命周期信息设备风险管理体系，就成为企业规避信息设备风险、优化信息设备性能、确保信息设备高效运行的重要手段。

二、信息设备风险管理对策

（一）构建信息设备风险管理机制

1、明晰构建机制的思路

在构建信息设备风险管理体系时，管理人员可合理借鉴 PDCA管理模型，从制定信息安全设计方案、实施各环节的信息安全风险管理、各阶段信息安全管理检查、信息安全管理改进等各环节入手，形成一套行之有效的风险管理防护机制，实现对信息设备各时间段、各运行状态的针对性管理，全面提高信息设备运行质效。

2、构建风险管理模型

在构建信息设备风险管理模型时，企业可融合考虑 PDCA 模型，主要可从以下几方面入手。一强化管理规划。二实施管理。三管理检查。四改进管理。通过归纳总结现有管理成效，与合理分析管理规划、管理实施、管理检测中的不足，提出相应的意见与建议，及时清除各环节中存在的安全风险。

3、构建规范的风险管理体系

完善的风险管理体系可保障信息设备风险管理工作有章可循、有据可依。从风险特点、信息安全要素以及信息设备各环节特点入手，制定出切实可行的安全风险防范手段，并有序构建信息设备生命周期安全风险管理体系，以此高效防范信息设备各个运行环节的风险。

四、信息设备风险管理注意事项

（一）实施全员化管理

在开展信息设备风险管理时，必须进行全员化管理，以此实现对设备风险的全过程管理与监控实现闭环管理。具体体现在以下几个方面。

一带领职工学习信息设备风险管理规范中的内容，组织科研网络应急演练，确保员工能认真、合规地执行各项设备风险管理规定。管理人员要组织员工记录、分析、总结操作经验，促使职工动态化掌握信息设备风险管理相关知识。二各科研演练人员应严格遵循演练方案，做好安排与部署，掌握演练内容，制定演练方案，做好相应的材料或者工具使用工作。在演练过程中，科研演练人员切勿慌张，要有序按照相应的演练步骤进行。演练工作结束后，需形成相应的评估报告，报由相应管理者批准后，为应急演练、规范和提高应急响应能力等提供相应的数据支撑。

（二）做好信息设备维管工作

组织各作业区技术人员或者作业长积极参与到信息化设备风险管理中，总结信息设备风险管理经验，结合设备运行中存在的风险隐患，制定针对性的防御方案，促使职工实现对信息设备的动态化管控。通过分析与总结每个月内信息设备，以此全面提高信息设备风险管理水平。设备维管人员应将检修不当引起的故障设备纳入到重点管控范围，为设备制定检修档案、标明设备检修重点与检修注意事项等。检修工作人员在班前会议上要集中学习设备检修记录，通过分析与总结，有效规避信息设备出现同类情况。将各车间技术管理人员融入信息设备风险管理环节。强化技术人员学习，促使技术人员明确设备工作原理结构，全面提高设备管理人员综合素养。通过增强车间技术人员的责任意识，促使其从实际工作入手，有序开展本职工作。将设备检修人员融入到信息设备风险管理体系。部分企业未将检修人员纳入到信息设备点检体系，不利于强化对检修人员的约束与监管。检修工作具有着较强的针对性，有利于合理规避盲检和检修后设备质量下降等问题，确保设备能够安全稳定运行，并有效缩减检修成本。有序开展设备风险管理工作，加大设备拆改迁制度执行强力度，防止设备拆改迁后出现更多的故障。

（三）关注信息设备风险管理人才培养

企业设备风险管理工作的有序开展离不开完善的人才支撑。随着企业间的市场竞争压力增加，部分企业通过重组、兼并、联合等多样化形式扩大了生产规模，但设备风险管理人员培养工作跟不上，致使信息设备风险管理人才匮乏，相应工作得不到及时有效开展。基于此，企业需关注人才培养。企业应调动一线操作人员、设备检修人员、管理人员或者经理等各岗位工作人员全面融入到设备风险管理中，促使全体职员都能认真贯彻与落实风险管理措施。

五、结语

综上所述，信息设备逐步朝着智能化、现代化方向发展。相较于传统设备，其在提高企业生产效率与优化生产质量基础上，所面临的安全风险也发生了相应变化，对设备风险管理人员综合素养提出了更高要求。为及时发现信息设备运行中潜在的安全隐患、风险点等，设备管理人员需秉承全生命周期理念，将风险管理贯穿到信息设备使用全过程，以此及时发现新设备存在的安全隐患，制定针对性的风险防范方案。此外，随着信息设备运行环境的发展与变化，企业应动态化调整信息设备风险管理机制，为信息设备风险管理工作指明方向，提供制度支持。

[1] 李巍 . 信息设备风险管理的思考 [J]. 信息安全与技术 ,2015,6(08):14- 16.

[2] 李巍 , 廖谦 . 信息设备全生命周期风险管理研究与应用 [J]. 贵州电力技术 ,2015,18(01):75- 76.