魯立

(賽寶認(rèn)證中心IT認(rèn)證部,廣東廣州 510610)

優(yōu)化風(fēng)險(xiǎn)管理提升信息安全管理績(jī)效

魯立

(賽寶認(rèn)證中心IT認(rèn)證部,廣東廣州 510610)

風(fēng)險(xiǎn)管理由風(fēng)險(xiǎn)評(píng)估開(kāi)始,當(dāng)前企業(yè)做風(fēng)險(xiǎn)評(píng)估時(shí),多采取以窮舉資產(chǎn)為起點(diǎn)的方法進(jìn)行風(fēng)險(xiǎn)評(píng)估。這種方法存在兩個(gè)弊端:一是窮舉資產(chǎn)的工作量極大,二是無(wú)法體現(xiàn)過(guò)程風(fēng)險(xiǎn)對(duì)企業(yè)的影響,要提高信息安全管理的績(jī)效,首先應(yīng)優(yōu)化風(fēng)險(xiǎn)評(píng)估過(guò)程。

信息安全 風(fēng)險(xiǎn)評(píng)估 管理績(jī)效

截至2013年3季度,我國(guó)有效的ISO/IEC 27001:2005證書(shū)數(shù)量是1459家,相比2008年的140家增長(zhǎng)了10倍,認(rèn)證企業(yè)數(shù)量的增長(zhǎng)從一個(gè)側(cè)面反映了企業(yè)對(duì)信息安全管理的關(guān)注程度。隨著對(duì)信息安全管理關(guān)注度的提高,信息安全管理的績(jī)效也逐步為廣大企業(yè)所關(guān)注,畢竟企業(yè)的盈利來(lái)源于追求以更少的投入獲得更大的產(chǎn)出。2013年10月,國(guó)際標(biāo)準(zhǔn)化組織發(fā)布了信息安全管理體系ISO/IEC 27001:2013。新版標(biāo)準(zhǔn)明確提出了對(duì)信息安全管理績(jī)效的關(guān)注,形成獨(dú)立的條款9績(jī)效評(píng)價(jià)。

信息安全管理新標(biāo)準(zhǔn)從風(fēng)險(xiǎn)與成本的平衡過(guò)渡到要定期報(bào)告信息安全管理績(jī)效,反應(yīng)了信息安全管理標(biāo)準(zhǔn)的發(fā)展進(jìn)入成熟期,也反應(yīng)了管理層面更加重視對(duì)信息安全投入的預(yù)期的監(jiān)控,同時(shí)對(duì)風(fēng)險(xiǎn)管理的度量也是相關(guān)方,管理層共同關(guān)心的話(huà)題。(見(jiàn)ISO/IEC 27001:2013條款5．1e,5．3b,6．1．1a,6．1．1．e2,9．1等)。

如何能夠提高信息安全管理體系的績(jī)效,首先需要的信息安全管理的基礎(chǔ)--風(fēng)險(xiǎn)評(píng)估。

1 風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀

當(dāng)前許多企業(yè)以資產(chǎn)窮舉為基礎(chǔ)進(jìn)行風(fēng)險(xiǎn)評(píng)估,這其實(shí)是一種學(xué)術(shù)方法,學(xué)術(shù)方法的特點(diǎn)是考慮問(wèn)題的時(shí)候?qū)⑤斎氡M可能簡(jiǎn)單化,便于形成模型。這種方法的問(wèn)題在于。

(1)在企業(yè)的實(shí)際管理中,資產(chǎn)并不是企業(yè)關(guān)注的首要重點(diǎn),業(yè)務(wù)才是企業(yè)關(guān)注的首要重點(diǎn),所以直接做無(wú)差別的資產(chǎn)統(tǒng)計(jì)是無(wú)法體現(xiàn)企業(yè)業(yè)務(wù)實(shí)際的一項(xiàng)工作。

(2)在實(shí)際的業(yè)務(wù)流程中,資產(chǎn)價(jià)值與其承載的信息對(duì)企業(yè)業(yè)務(wù)的影響沒(méi)有直接關(guān)系,例如企業(yè)價(jià)值幾萬(wàn)元的測(cè)試服務(wù)器,其業(yè)務(wù)價(jià)值不一定比得上價(jià)值幾千元的財(cái)務(wù)電腦。而窮舉資產(chǎn)時(shí)可能直接將所有電腦列為一類(lèi),從而忽略了財(cái)務(wù)這一特殊屬性,進(jìn)而在后續(xù)的風(fēng)險(xiǎn)評(píng)估過(guò)程中忽略了其業(yè)務(wù)價(jià)值。

(3)企業(yè)的資產(chǎn)量是龐大的,沒(méi)有重點(diǎn)的窮舉信息資產(chǎn)的安全風(fēng)險(xiǎn)工作量太大,這不僅不利于企業(yè)識(shí)別到真正的信息安全風(fēng)險(xiǎn),反而有可能將部分需要關(guān)注的風(fēng)險(xiǎn)隱藏起來(lái),更無(wú)法實(shí)現(xiàn)企業(yè)最大化投入產(chǎn)出比的目標(biāo)。

2 關(guān)注風(fēng)險(xiǎn)評(píng)估的真正根本-業(yè)務(wù)(過(guò)程)分析

ISO/IE27001:2013明確提出5．1領(lǐng)導(dǎo)和承諾B)確保信息安全管理體系要求整合到組織的業(yè)務(wù)過(guò)程中。要將風(fēng)險(xiǎn)評(píng)估與企業(yè)的業(yè)務(wù)過(guò)程相關(guān)聯(lián),則風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)應(yīng)該是企業(yè)的業(yè)務(wù)過(guò)程分析,而資產(chǎn)識(shí)別應(yīng)當(dāng)是業(yè)務(wù)過(guò)程分析的后續(xù)工作。風(fēng)險(xiǎn)管理計(jì)劃和框架的設(shè)計(jì)和實(shí)施需要考慮到特定組織的不同需求、特定目標(biāo),狀況、結(jié)構(gòu)、運(yùn)營(yíng)、過(guò)程、職能、項(xiàng)目、產(chǎn)品、服務(wù)、或資產(chǎn)以及展開(kāi)的具體實(shí)踐。風(fēng)險(xiǎn)管理不是與組織的主要活動(dòng)和過(guò)程分開(kāi)的孤立活動(dòng)。風(fēng)險(xiǎn)管理是管理職責(zé)的部分和整合在所有組織過(guò)程中的部分,包括戰(zhàn)略規(guī)劃、所有項(xiàng)目、變更管理過(guò)程。

為了提高信息安全管理的績(jī)效,可以考慮以以下流程進(jìn)行風(fēng)險(xiǎn)評(píng)估。

2.1 根據(jù)企業(yè)制定的信息安全目標(biāo),分析企業(yè)的業(yè)務(wù)過(guò)程,定義風(fēng)險(xiǎn)控制的重點(diǎn)

在保密的三個(gè)主要屬性保密性、完整性、可用性里,如網(wǎng)站公司通常更關(guān)注系統(tǒng)的可用性及信息的完整性,對(duì)保密性關(guān)注較少,相對(duì)的,對(duì)于系統(tǒng)集成公司,由于現(xiàn)階段多數(shù)系統(tǒng)集成項(xiàng)目的時(shí)間進(jìn)度的敏感性較低,所以可能對(duì)項(xiàng)目資料、項(xiàng)目信息的保密性關(guān)注較多,而可用性要求較低,這些特點(diǎn)應(yīng)該在風(fēng)險(xiǎn)評(píng)估的特性賦值里有所體現(xiàn)。企業(yè)的信息安全目標(biāo)是與業(yè)務(wù)目標(biāo)一致的,因此新標(biāo)準(zhǔn)要求信息安全風(fēng)險(xiǎn)管理要聚焦信息,而信息是融合在整個(gè)業(yè)務(wù)流程中,新的標(biāo)準(zhǔn)肯定了管理層面以業(yè)務(wù)價(jià)值為基礎(chǔ),識(shí)別信息,確定信息的價(jià)值,也很方便與其他以業(yè)務(wù)流程為基礎(chǔ)的ISO管理標(biāo)準(zhǔn)相融合。(見(jiàn)ISO/IEC 27001:2013條款6．1．2a)建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則,包括:b)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則)。本文后續(xù)以系統(tǒng)集成企業(yè)為例進(jìn)行探討風(fēng)險(xiǎn)評(píng)估過(guò)程。

2.2 分析具體一個(gè)業(yè)務(wù)流程的過(guò)程劃分

如系統(tǒng)集成業(yè)務(wù)可分為:售前、實(shí)施、售后三個(gè)階段。以售前階段為例:銷(xiāo)售與客戶(hù)初步溝通形成需求文檔,項(xiàng)目經(jīng)理配合銷(xiāo)售形成方案,與客戶(hù)溝通方案,方案定稿形成投標(biāo)文件(包括技術(shù)標(biāo)和商務(wù)標(biāo))?？梢园l(fā)現(xiàn)在售前過(guò)程中重要的信息有3個(gè):客戶(hù)需求;技術(shù)方案,報(bào)價(jià)文件。如何能夠保護(hù)好這三個(gè)信息？這就涉及到如何管理好信息相關(guān)的人、機(jī)、料、法、環(huán)。本文后續(xù)以技術(shù)方案為例探討風(fēng)險(xiǎn)評(píng)估過(guò)程。

2.3 列舉與技術(shù)方案相關(guān)的風(fēng)險(xiǎn)點(diǎn)

人:項(xiàng)目組人員(技術(shù)方案一般涉及技術(shù)支持部、銷(xiāo)售部、采購(gòu)部的人員)。人員風(fēng)險(xiǎn)可分解為有意泄密和無(wú)意泄密。對(duì)有意泄密可通過(guò)設(shè)置訪(fǎng)問(wèn)權(quán)限、管理移動(dòng)存儲(chǔ)設(shè)備使用權(quán)限等方式減少信息接觸面,實(shí)現(xiàn)只有必須了解信息的人才接觸到信息,同時(shí)以保密協(xié)議做為法律警示,對(duì)無(wú)意泄密則應(yīng)加強(qiáng)宣傳與培訓(xùn),實(shí)際工作中,許多企業(yè)的安全培訓(xùn)局限于技術(shù)層面,例如只是不斷地重復(fù)告訴員工敏感信息要加密后才能發(fā)送郵件,但是具體什么文件屬于敏感信息卻沒(méi)有說(shuō)明,或只告訴員工要關(guān)注信息安全,卻沒(méi)有深入解釋信息安全包括可用性,完整性,保密性三種屬性,及每種屬性為什么需關(guān)注,需關(guān)注到什么程度,導(dǎo)致員工的理解不足,執(zhí)行似是而非。

機(jī):項(xiàng)目人員的計(jì)算機(jī)、項(xiàng)目資料存放的服務(wù)器、打印機(jī)、移動(dòng)存儲(chǔ)介質(zhì)等。這類(lèi)風(fēng)險(xiǎn)在于損壞和非授權(quán)訪(fǎng)問(wèn)。對(duì)機(jī)器損壞可通過(guò)備份、容災(zāi)等方式防范,對(duì)于非授權(quán)訪(fǎng)問(wèn),則涉及到木馬及病毒控制、以及訪(fǎng)問(wèn)權(quán)限復(fù)查、數(shù)據(jù)加密存儲(chǔ)等技術(shù)維護(hù)手段。

料:信息主體技術(shù)方案。

法:信息產(chǎn)生過(guò)程、如OA流程、項(xiàng)目會(huì)議,過(guò)程風(fēng)險(xiǎn)是目前在企業(yè)信息安全管理中關(guān)注較少的一環(huán),舉例:如果將項(xiàng)目會(huì)議安排在會(huì)客室旁邊的會(huì)議室,則項(xiàng)目的細(xì)節(jié)就有可能傳遞到隔壁;另OA的權(quán)限如劃分不夠細(xì)致則可能擴(kuò)大信息的擴(kuò)散面。

環(huán):信息傳遞的外部環(huán)境,如介質(zhì)傳遞的供應(yīng)商,網(wǎng)絡(luò)環(huán)境,如VPN、專(zhuān)線(xiàn)、互聯(lián)網(wǎng)等等。

2.4 整理控制措施

例如OA會(huì)涉及到口令強(qiáng)度、訪(fǎng)問(wèn)控制、供電、備份等等風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)在新標(biāo)準(zhǔn)里變得更加生動(dòng),中性,風(fēng)險(xiǎn)也可能意味著機(jī)會(huì)。對(duì)信息安全風(fēng)險(xiǎn)的偏好與態(tài)度完全與組織的全面風(fēng)險(xiǎn)管理框架相融合。(見(jiàn)ISO/IEC 27001:2013條款 6．1．1．d/e,6．1．2．C2;)。同時(shí)需要注意風(fēng)險(xiǎn)管理是一個(gè)動(dòng)態(tài)的、循環(huán)的過(guò)程。在風(fēng)險(xiǎn)應(yīng)對(duì)辦法實(shí)施之后,還應(yīng)該對(duì)風(fēng)險(xiǎn)管理的效果進(jìn)行評(píng)價(jià),對(duì)整個(gè)過(guò)程進(jìn)行改進(jìn),借助風(fēng)險(xiǎn)管理信息系統(tǒng)等信息化手段,將風(fēng)險(xiǎn)管理貫徹在企業(yè)的經(jīng)營(yíng)活動(dòng)中,循環(huán)執(zhí)行?！拔ㄒ徊蛔兊木褪亲兓旧怼?企業(yè)所面臨的外部和內(nèi)部環(huán)境時(shí)刻都在變化。因此,風(fēng)險(xiǎn)管理不是一個(gè)一勞永逸的制度設(shè)計(jì),而是一種與企業(yè)經(jīng)營(yíng)活動(dòng)一樣的管理過(guò)程,是手段而非目的。

通過(guò)對(duì)10余家企業(yè)同時(shí)采用兩種風(fēng)險(xiǎn)評(píng)估方式的風(fēng)險(xiǎn)評(píng)估結(jié)論進(jìn)行對(duì)比,以本文描述的方法進(jìn)行風(fēng)險(xiǎn)評(píng)估簡(jiǎn)稱(chēng)方法A,傳統(tǒng)的以資產(chǎn)窮舉為起點(diǎn)的風(fēng)險(xiǎn)評(píng)估簡(jiǎn)稱(chēng)方法B。對(duì)比工作量,方法A只有方法B的工作量的70%,而最終得出的高風(fēng)險(xiǎn)數(shù)量方法A比方法B多。因?yàn)?方法A關(guān)注到了過(guò)程風(fēng)險(xiǎn),可以使企業(yè)的風(fēng)險(xiǎn)管理更全面,更貼近企業(yè)的業(yè)務(wù)實(shí)際。

3 結(jié)語(yǔ)

風(fēng)險(xiǎn)評(píng)估的模型很多,如:PFMEA -- Process Failure Mode Effect Analyse過(guò)程失效模式風(fēng)險(xiǎn)評(píng)估;RPN -- Risk Priority Number風(fēng)險(xiǎn)優(yōu)先指數(shù)等等,但不論以那種方法進(jìn)行風(fēng)險(xiǎn)評(píng)估,一定不能忽略業(yè)務(wù)過(guò)程。以業(yè)務(wù)過(guò)程為起點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估、可減少資產(chǎn)風(fēng)險(xiǎn)評(píng)估階段的工作量,避免忽略過(guò)程風(fēng)險(xiǎn),為企業(yè)的風(fēng)險(xiǎn)管理提供真正有效的輸入,從而提高信息安全管理的績(jī)效。

[1]ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls.

[2]ISO 31000:2009Risk management -- Principles and guidelines.