目前,濟南市勞動和社會保障信息系統包括勞動保障和社會保險等五項保險的征繳全過程管理,擁有勞動就業系統和數千個網點的職業介紹和再就業優惠信息,包括各種業務的經辦機構、勞動局內部業務的經辦機構、醫院、藥店、定點醫療機構和社區服務機構。勞動保障信息系統是最關鍵的核心建設,也是覆蓋面最廣、信息量最大的系統。龐大的信息流和資金流迫切要求勞動保障系統高效、安全地運行。
李寒梅告訴記者,濟南的勞動和社會保障工作基本上依靠信息系統。如果系統出現問題,日常業務就會陷入停頓。“尤其是醫保信息加入系統後,整個系統需要7×24小時連續運行,24小時有人值班。因為病人看病不分時間,晚上會有急診。看病是與百姓息息相關的大事。壹旦制度出了問題,醫院和勞動部門的壓力就大了。”
“到目前為止,雖然系統核心網沒有出現過安全問題,但是外網存在很多安全威脅。比如醫院已經被病毒感染,有的醫院因為病毒攻擊出現網絡擁堵,所以網絡非常脆弱。”李寒梅說。因為系統面臨的安全威脅,濟南勞動局將風險評估提上日程,希望相關專業機構能夠提供權威專業的評估,指出客觀存在的風險和漏洞,然後根據評估結果和評估方案有針對性地加強信息安全建設。
“我們有這個想法的時候,國家剛剛出臺了信息安全風險評估指南,濟南市指定勞動局作為風險評估的兩個試點單位之壹。在整個操作過程中,采取了招投標的方式,最後項目落到了山東省安評中心。”李寒梅說,“安評中心將系統的每壹項分為不同的資產進行鑒定;然後對資產的重要性進行分類,確定每項資產的風險系數;隱藏的監控數據是在業務期間獲取的,詳細調查了從內部系統建設到具體業務系統的環節和流程。評估中心再對數據進行模擬,最後得出結論。”
由於IT資產的脆弱性,威脅是可能的,這導致了不同的風險。在風險評估中,資產的價值、資產破壞造成的影響、威脅的嚴重程度、威脅的可能性以及資產的脆弱性都是風險評估的關鍵因素。風險評估的價值在於對風險的認識,只有認識到風險的存在,才能采取相應的解決措施。在考慮管理成本後,可以選擇適合本企業的控制方法,對相似的風險因素采取相同的基線控制,這將有助於在保證效果的前提下降低成本。