閆翠英 張玲玲

摘要：隨著信息化進(jìn)程的不斷推進(jìn)，公司業(yè)務(wù)對信息技術(shù)的依賴程度不斷加強(qiáng)，信息安全保障問題顯得日益突出，提升穩(wěn)定、安全的IT服務(wù)能力逐漸成為一個(gè)關(guān)系公司穩(wěn)健運(yùn)營、保持競爭優(yōu)勢的關(guān)鍵問題之一。正是在這樣的背景下，公司希望通過IT風(fēng)險(xiǎn)管理體系建設(shè)與實(shí)施，能有效評估IT風(fēng)險(xiǎn)，制定相應(yīng)控制措施，滿足包括《企業(yè)內(nèi)部控制基本規(guī)范》、《信息系統(tǒng)安全等級保護(hù)基本要求》等上級監(jiān)管部門的合規(guī)要求，提高公司信息系統(tǒng)的可靠性和安全性，防范信息系統(tǒng)事故發(fā)生，提升公司的形象。

關(guān)鍵詞：信息安全;風(fēng)險(xiǎn)管理;實(shí)踐分析

1IT風(fēng)險(xiǎn)管理趨勢的理解

在信息化工作的不斷深入過程中，公司在全面IT風(fēng)險(xiǎn)管理領(lǐng)域，還需要對一系列問題進(jìn)行深入理解、實(shí)踐與改進(jìn)，包括：

·如何建立有效的IT風(fēng)險(xiǎn)治理體系，與業(yè)務(wù)風(fēng)險(xiǎn)管理體系緊密契合？

·如何識別潛在的IT風(fēng)險(xiǎn)，并進(jìn)行合理的評估？

·面對多層面、多維度、有互相交互的IT風(fēng)險(xiǎn)，應(yīng)如何對其進(jìn)行有效管理？

·如何將IT風(fēng)險(xiǎn)管理體制與企業(yè)日常IT管理和運(yùn)營相融合？

·IT風(fēng)險(xiǎn)管理的角色、責(zé)任和義務(wù)是否合理或明確？

2信息安全風(fēng)險(xiǎn)的定義及描述

根據(jù)通用的風(fēng)險(xiǎn)定義，信息安全風(fēng)險(xiǎn)為對企業(yè)信息安全管理的基本目標(biāo)產(chǎn)生負(fù)面影響的不確定性。企業(yè)信息安全管理的基本目標(biāo)即信息資產(chǎn)的保密性、準(zhǔn)確性、可用性。

·保密性：信息不可用或不被泄漏給未授權(quán)的個(gè)人、實(shí)體和過程的特性;

·準(zhǔn)確性：即數(shù)據(jù)文件、信息處理設(shè)施和系統(tǒng)資源內(nèi)容的準(zhǔn)確性和完整性;

·可用性：需要時(shí)，授權(quán)實(shí)體（例如公司業(yè)務(wù)運(yùn)作相關(guān)人員）可以訪問和使用的特性。

3信息安全風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估

識別風(fēng)險(xiǎn)

任務(wù)一： 確定風(fēng)險(xiǎn)管理對象、目標(biāo)和范圍

該任務(wù)中，將對信息安全風(fēng)險(xiǎn)管理對象和風(fēng)險(xiǎn)目標(biāo)進(jìn)行識別、確定風(fēng)險(xiǎn)管理對象的評估范圍和邊界。信息安全管理有著其明確的保護(hù)對象，即企業(yè)的信息資產(chǎn)。信息安全風(fēng)險(xiǎn)管理的目標(biāo)包括信息資產(chǎn)的保密性、準(zhǔn)確性和可用性。

任務(wù)二： 識別資產(chǎn)，建立資產(chǎn)清單

根據(jù)公司現(xiàn)有的信息資產(chǎn)清單，結(jié)合訪談結(jié)果，識別完成關(guān)鍵業(yè)務(wù)或保證系統(tǒng)正常運(yùn)轉(zhuǎn)所需要的資產(chǎn)，識別內(nèi)容包括基礎(chǔ)信息資產(chǎn)，如流程/服務(wù)資產(chǎn)類、數(shù)據(jù)資產(chǎn)類;以及支持性信息資產(chǎn)，如實(shí)物資產(chǎn)類、軟件資產(chǎn)類和硬件資產(chǎn)類等。

風(fēng)險(xiǎn)分析和評價(jià)

任務(wù)一：評估信息資產(chǎn)價(jià)值

該任務(wù)中將對風(fēng)險(xiǎn)識別步驟中創(chuàng)建的資產(chǎn)檔案中的具體資產(chǎn)（組），根據(jù)保密性、準(zhǔn)確性（完整性）、可用性三個(gè)風(fēng)險(xiǎn)管理目標(biāo)進(jìn)行估值，并將評估結(jié)果在資產(chǎn)檔案中進(jìn)行更新。

任務(wù)二：固有風(fēng)險(xiǎn)分析和評價(jià)

當(dāng)信息資產(chǎn)識別與評估完成后，根據(jù)“識別風(fēng)險(xiǎn)”階段所形成的資產(chǎn)-威脅-弱點(diǎn)關(guān)聯(lián)進(jìn)行分析。通過威脅利用弱點(diǎn)對資產(chǎn)價(jià)值的潛在損害確定風(fēng)險(xiǎn)影響，根據(jù)威脅可能性和弱點(diǎn)被威脅利用的難易度確定風(fēng)險(xiǎn)可能。

任務(wù)三： 識別現(xiàn)有控制

將主要基于公司現(xiàn)有的信息安全有關(guān)的IT制度、流程、內(nèi)部控制體系建設(shè)的成果，對信息安全風(fēng)險(xiǎn)對應(yīng)的現(xiàn)有控制進(jìn)行識別。控制識別的基本思路可基于ISO27001的安全控制領(lǐng)域和控制措施展開，在所評估的組織范圍內(nèi)建立企業(yè)的信息安全制度體系（管理辦法、標(biāo)準(zhǔn)、流程、指南等）與ISO27001的映射關(guān)系，從而識別現(xiàn)有控制與ISO27001控制措施要求的差距。

風(fēng)險(xiǎn)應(yīng)對

確定風(fēng)險(xiǎn)處置方案

風(fēng)險(xiǎn)處置將依賴于風(fēng)險(xiǎn)評估的結(jié)果，根據(jù)公司風(fēng)險(xiǎn)策略中對于風(fēng)險(xiǎn)偏好和容忍度的規(guī)定，考慮預(yù)計(jì)實(shí)施成本及預(yù)期收益來選擇行而有效的風(fēng)險(xiǎn)處置選項(xiàng)。在選擇具體風(fēng)險(xiǎn)處置方案（控制措施）的時(shí)候，還將參考如下國內(nèi)標(biāo)準(zhǔn)、法規(guī)政策和國際標(biāo)準(zhǔn)，如：ISO27000系列標(biāo)準(zhǔn)、信息系統(tǒng)安全等級保護(hù)基本要求。

風(fēng)險(xiǎn)控制的方法選擇主要需要參考以下兩個(gè)方面：

·風(fēng)險(xiǎn)可能造成的危害性;

·風(fēng)險(xiǎn)處置方案的可行性，它需對成本因素、技術(shù)實(shí)現(xiàn)的難度、技術(shù)的成熟度以及對企業(yè)現(xiàn)有業(yè)務(wù)系統(tǒng)的影響等各方面進(jìn)行綜合考慮。

在大多數(shù)情況下，必須選擇控制項(xiàng)來降低風(fēng)險(xiǎn)。需要在每個(gè)目標(biāo)信息環(huán)境中，對選擇的控制項(xiàng)進(jìn)行實(shí)施，以便遵從ISO/IEC27001標(biāo)準(zhǔn)。企業(yè)選擇能夠承受（經(jīng)濟(jì)上）的防護(hù)措施來防護(hù)面臨的威脅，制訂風(fēng)險(xiǎn)控制計(jì)劃。風(fēng)險(xiǎn)控制計(jì)劃的主要內(nèi)容包括：

·風(fēng)險(xiǎn)控制任務(wù)和職責(zé);

·風(fēng)險(xiǎn)控制責(zé)任人;

·風(fēng)險(xiǎn)控制執(zhí)行的優(yōu)先級。

通過風(fēng)險(xiǎn)控制計(jì)劃的實(shí)施，企業(yè)應(yīng)該盡其所能針對ISO/IEC27001中的標(biāo)準(zhǔn)內(nèi)容在管理、技術(shù)、邏輯、物理和環(huán)境控制方面進(jìn)行勸止、防護(hù)、檢測、糾正、恢復(fù)和補(bǔ)償工作。如下所示：

·勸止：降低威脅的可能性;

·防止：保護(hù)或降低資產(chǎn)的脆弱性;

·糾正：降低風(fēng)險(xiǎn)和影響的損失;

·檢測：檢測攻擊和安全的脆弱性，針對攻擊建立防護(hù)和糾正措施;

·恢復(fù)：恢復(fù)資源和能力;

·補(bǔ)償：對控制措施的替代方案。

實(shí)施風(fēng)險(xiǎn)處置

任務(wù)一： 設(shè)計(jì)信息安全管理體系文件架構(gòu)

風(fēng)險(xiǎn)處置計(jì)劃為信息安全風(fēng)險(xiǎn)管理指出了適當(dāng)?shù)墓芾泶胧?、職?zé)和優(yōu)先級。通常情況下，需通過建立并運(yùn)行信息安全管理體系來實(shí)施風(fēng)險(xiǎn)處置計(jì)劃。將依據(jù)ISO/IEC 27001標(biāo)準(zhǔn)，對公司已有的信息安全制度和流程體系進(jìn)行分類、梳理，建立符合ISO/IEC 27001要求的信息安全管理體系（ISMS）架構(gòu)。

任務(wù)二：準(zhǔn)備適用性聲明

ISO27001的附錄A中提供了控制目標(biāo)及控制措施，這些控制目標(biāo)與控制措施都是全球業(yè)界的最佳實(shí)踐。ISO27001認(rèn)證要求實(shí)施ISMS的組織要有對所有這些控制目標(biāo)和控制措施進(jìn)行適用性的聲明。在本階段準(zhǔn)備適用性聲明（SoA），將以下幾方面準(zhǔn)備適用性聲明：

·所選擇的控制目標(biāo)和控制措施，以及選擇的理由;

·當(dāng)前實(shí)施的控制目標(biāo)和控制措施;

·對ISO27001附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。

任務(wù)三：現(xiàn)有制度梳理、優(yōu)化和補(bǔ)充

根據(jù)信息安全管理體系的文件架構(gòu)要求，通常需要對公司現(xiàn)有的制度進(jìn)行整合、修訂與補(bǔ)充。對于制度的修訂需符合下列原則：

·明確安全制度發(fā)布、審核、執(zhí)行、監(jiān)督的職能分工;

·最小化業(yè)務(wù)影響;

·兼顧制度的約束力與執(zhí)行力。

此外在對現(xiàn)有制度的整合、修訂與補(bǔ)充過程中，須確保這些范圍之間對較高層次的ISMS體系文件（制度、標(biāo)準(zhǔn)）執(zhí)行的一致性，同時(shí)也要考慮到不同實(shí)體的業(yè)務(wù)特殊性而對低層次的ISMS體系文件（指引、操作程序等）進(jìn)行有針對性的定制。

管理層評審

依據(jù)ISO27001要求，管理者應(yīng)定期（至少每年1次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評估ISMS改進(jìn)的機(jī)會和變更的需要，包括信息安全方針和信息安全目標(biāo)。評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。

公司建立管理層評審機(jī)制，評審內(nèi)容應(yīng)包括以下幾個(gè)方面：

·組織用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序;

·預(yù)防和糾正措施的狀況;

·以往風(fēng)險(xiǎn)評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅;

·有效性測量的結(jié)果;

·可能影響ISMS的任何變更;

·以往管理評審的跟蹤措施。

通過上述方法和實(shí)踐，參照國際先進(jìn)的信息風(fēng)險(xiǎn)管理體系和各類國際最佳IT實(shí)踐，幫助公司建立先進(jìn)的信息安全風(fēng)險(xiǎn)管理體系和設(shè)計(jì)相應(yīng)的風(fēng)險(xiǎn)管理措施，公司形成了完整的信息安全風(fēng)險(xiǎn)管理的方法論及能有效開展信息安全風(fēng)險(xiǎn)的管理工作模式。能有效的實(shí)現(xiàn)對信息安全風(fēng)險(xiǎn)的識別、計(jì)量、監(jiān)測和控制，以及對控制有效性衡量和監(jiān)控，確保IT對業(yè)務(wù)的可靠支撐，促進(jìn)我公司信息系統(tǒng)安全、持續(xù)、穩(wěn)健地運(yùn)行，增強(qiáng)公司核心競爭力和可持續(xù)發(fā)展能力。