閆翠英 張玲玲

摘要：隨著信息化進程的不斷推進，公司業(yè)務(wù)對信息技術(shù)的依賴程度不斷加強，信息安全保障問題顯得日益突出，提升穩(wěn)定、安全的IT服務(wù)能力逐漸成為一個關(guān)系公司穩(wěn)健運營、保持競爭優(yōu)勢的關(guān)鍵問題之一。正是在這樣的背景下，公司希望通過IT風險管理體系建設(shè)與實施，能有效評估IT風險，制定相應(yīng)控制措施，滿足包括《企業(yè)內(nèi)部控制基本規(guī)范》、《信息系統(tǒng)安全等級保護基本要求》等上級監(jiān)管部門的合規(guī)要求，提高公司信息系統(tǒng)的可靠性和安全性，防范信息系統(tǒng)事故發(fā)生，提升公司的形象。

關(guān)鍵詞：信息安全;風險管理;實踐分析

1IT風險管理趨勢的理解

在信息化工作的不斷深入過程中，公司在全面IT風險管理領(lǐng)域，還需要對一系列問題進行深入理解、實踐與改進，包括：

·如何建立有效的IT風險治理體系，與業(yè)務(wù)風險管理體系緊密契合？

·如何識別潛在的IT風險，并進行合理的評估？

·面對多層面、多維度、有互相交互的IT風險，應(yīng)如何對其進行有效管理？

·如何將IT風險管理體制與企業(yè)日常IT管理和運營相融合？

·IT風險管理的角色、責任和義務(wù)是否合理或明確？

2信息安全風險的定義及描述

根據(jù)通用的風險定義，信息安全風險為對企業(yè)信息安全管理的基本目標產(chǎn)生負面影響的不確定性。企業(yè)信息安全管理的基本目標即信息資產(chǎn)的保密性、準確性、可用性。

·保密性：信息不可用或不被泄漏給未授權(quán)的個人、實體和過程的特性;

·準確性：即數(shù)據(jù)文件、信息處理設(shè)施和系統(tǒng)資源內(nèi)容的準確性和完整性;

·可用性：需要時，授權(quán)實體（例如公司業(yè)務(wù)運作相關(guān)人員）可以訪問和使用的特性。

3信息安全風險評估

風險評估

識別風險

任務(wù)一： 確定風險管理對象、目標和范圍

該任務(wù)中，將對信息安全風險管理對象和風險目標進行識別、確定風險管理對象的評估范圍和邊界。信息安全管理有著其明確的保護對象，即企業(yè)的信息資產(chǎn)。信息安全風險管理的目標包括信息資產(chǎn)的保密性、準確性和可用性。

任務(wù)二： 識別資產(chǎn)，建立資產(chǎn)清單

根據(jù)公司現(xiàn)有的信息資產(chǎn)清單，結(jié)合訪談結(jié)果，識別完成關(guān)鍵業(yè)務(wù)或保證系統(tǒng)正常運轉(zhuǎn)所需要的資產(chǎn)，識別內(nèi)容包括基礎(chǔ)信息資產(chǎn)，如流程/服務(wù)資產(chǎn)類、數(shù)據(jù)資產(chǎn)類;以及支持性信息資產(chǎn)，如實物資產(chǎn)類、軟件資產(chǎn)類和硬件資產(chǎn)類等。

風險分析和評價

任務(wù)一：評估信息資產(chǎn)價值

該任務(wù)中將對風險識別步驟中創(chuàng)建的資產(chǎn)檔案中的具體資產(chǎn)（組），根據(jù)保密性、準確性（完整性）、可用性三個風險管理目標進行估值，并將評估結(jié)果在資產(chǎn)檔案中進行更新。

任務(wù)二：固有風險分析和評價

當信息資產(chǎn)識別與評估完成后，根據(jù)“識別風險”階段所形成的資產(chǎn)-威脅-弱點關(guān)聯(lián)進行分析。通過威脅利用弱點對資產(chǎn)價值的潛在損害確定風險影響，根據(jù)威脅可能性和弱點被威脅利用的難易度確定風險可能。

任務(wù)三： 識別現(xiàn)有控制

將主要基于公司現(xiàn)有的信息安全有關(guān)的IT制度、流程、內(nèi)部控制體系建設(shè)的成果，對信息安全風險對應(yīng)的現(xiàn)有控制進行識別?？刂谱R別的基本思路可基于ISO27001的安全控制領(lǐng)域和控制措施展開，在所評估的組織范圍內(nèi)建立企業(yè)的信息安全制度體系（管理辦法、標準、流程、指南等）與ISO27001的映射關(guān)系，從而識別現(xiàn)有控制與ISO27001控制措施要求的差距。

風險應(yīng)對

確定風險處置方案

風險處置將依賴于風險評估的結(jié)果，根據(jù)公司風險策略中對于風險偏好和容忍度的規(guī)定，考慮預(yù)計實施成本及預(yù)期收益來選擇行而有效的風險處置選項。在選擇具體風險處置方案（控制措施）的時候，還將參考如下國內(nèi)標準、法規(guī)政策和國際標準，如：ISO27000系列標準、信息系統(tǒng)安全等級保護基本要求。

風險控制的方法選擇主要需要參考以下兩個方面：

·風險可能造成的危害性;

·風險處置方案的可行性，它需對成本因素、技術(shù)實現(xiàn)的難度、技術(shù)的成熟度以及對企業(yè)現(xiàn)有業(yè)務(wù)系統(tǒng)的影響等各方面進行綜合考慮。

在大多數(shù)情況下，必須選擇控制項來降低風險。需要在每個目標信息環(huán)境中，對選擇的控制項進行實施，以便遵從ISO/IEC27001標準。企業(yè)選擇能夠承受（經(jīng)濟上）的防護措施來防護面臨的威脅，制訂風險控制計劃。風險控制計劃的主要內(nèi)容包括：

·風險控制任務(wù)和職責;

·風險控制責任人;

·風險控制執(zhí)行的優(yōu)先級。

通過風險控制計劃的實施，企業(yè)應(yīng)該盡其所能針對ISO/IEC27001中的標準內(nèi)容在管理、技術(shù)、邏輯、物理和環(huán)境控制方面進行勸止、防護、檢測、糾正、恢復(fù)和補償工作。如下所示：

·勸止：降低威脅的可能性;

·防止：保護或降低資產(chǎn)的脆弱性;

·糾正：降低風險和影響的損失;

·檢測：檢測攻擊和安全的脆弱性，針對攻擊建立防護和糾正措施;

·恢復(fù)：恢復(fù)資源和能力;

·補償：對控制措施的替代方案。

實施風險處置

任務(wù)一： 設(shè)計信息安全管理體系文件架構(gòu)

風險處置計劃為信息安全風險管理指出了適當?shù)墓芾泶胧?、職責和?yōu)先級。通常情況下，需通過建立并運行信息安全管理體系來實施風險處置計劃。將依據(jù)ISO/IEC 27001標準，對公司已有的信息安全制度和流程體系進行分類、梳理，建立符合ISO/IEC 27001要求的信息安全管理體系（ISMS）架構(gòu)。

任務(wù)二：準備適用性聲明

ISO27001的附錄A中提供了控制目標及控制措施，這些控制目標與控制措施都是全球業(yè)界的最佳實踐。ISO27001認證要求實施ISMS的組織要有對所有這些控制目標和控制措施進行適用性的聲明。在本階段準備適用性聲明（SoA），將以下幾方面準備適用性聲明：

·所選擇的控制目標和控制措施，以及選擇的理由;

·當前實施的控制目標和控制措施;

·對ISO27001附錄A中任何控制目標和控制措施的刪減，以及刪減的合理性說明。

任務(wù)三：現(xiàn)有制度梳理、優(yōu)化和補充

根據(jù)信息安全管理體系的文件架構(gòu)要求，通常需要對公司現(xiàn)有的制度進行整合、修訂與補充。對于制度的修訂需符合下列原則：

·明確安全制度發(fā)布、審核、執(zhí)行、監(jiān)督的職能分工;

·最小化業(yè)務(wù)影響;

·兼顧制度的約束力與執(zhí)行力。

此外在對現(xiàn)有制度的整合、修訂與補充過程中，須確保這些范圍之間對較高層次的ISMS體系文件（制度、標準）執(zhí)行的一致性，同時也要考慮到不同實體的業(yè)務(wù)特殊性而對低層次的ISMS體系文件（指引、操作程序等）進行有針對性的定制。

管理層評審

依據(jù)ISO27001要求，管理者應(yīng)定期（至少每年1次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評估ISMS改進的機會和變更的需要，包括信息安全方針和信息安全目標。評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。

公司建立管理層評審機制，評審內(nèi)容應(yīng)包括以下幾個方面：

·組織用于改進ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序;

·預(yù)防和糾正措施的狀況;

·以往風險評估沒有充分強調(diào)的脆弱點或威脅;

·有效性測量的結(jié)果;

·可能影響ISMS的任何變更;

·以往管理評審的跟蹤措施。

通過上述方法和實踐，參照國際先進的信息風險管理體系和各類國際最佳IT實踐，幫助公司建立先進的信息安全風險管理體系和設(shè)計相應(yīng)的風險管理措施，公司形成了完整的信息安全風險管理的方法論及能有效開展信息安全風險的管理工作模式。能有效的實現(xiàn)對信息安全風險的識別、計量、監(jiān)測和控制，以及對控制有效性衡量和監(jiān)控，確保IT對業(yè)務(wù)的可靠支撐，促進我公司信息系統(tǒng)安全、持續(xù)、穩(wěn)健地運行，增強公司核心競爭力和可持續(xù)發(fā)展能力。