廣州市番禺區(qū)人民檢察院 郭漢文

當(dāng)今我們是如何看待網(wǎng)絡(luò)與信息化？對(duì)個(gè)人，人需要信息化還是信息化“綁架”人？對(duì)企事業(yè)單位和社會(huì)團(tuán)體，組織依賴信息化還是信息化成就組織？對(duì)經(jīng)濟(jì)發(fā)展，經(jīng)濟(jì)發(fā)展帶動(dòng)了信息技術(shù)還是信息技術(shù)促進(jìn)了經(jīng)濟(jì)發(fā)展？對(duì)社會(huì)穩(wěn)定，信息化的發(fā)展對(duì)社會(huì)穩(wěn)定的影響是正面的還是負(fù)面的？對(duì)國(guó)家安全，信息化是國(guó)家安全的利器還是禍害？沒(méi)有標(biāo)準(zhǔn)答案，但值得思考。檢察業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)管理的內(nèi)容有哪些呢？我們作了以下的探討：

1.風(fēng)險(xiǎn)管理的基本架構(gòu)與概念

1.1 風(fēng)險(xiǎn)管理的基本架構(gòu)(如圖1-1所示)

1.2 風(fēng)險(xiǎn)管理工作內(nèi)容

1.2.1 風(fēng)險(xiǎn)管理工作主要內(nèi)容有：建立背景、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、批準(zhǔn)監(jiān)督、監(jiān)控審查、溝通咨詢(如圖1-2所示)。

1.2.2 系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理：掌握系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作；掌握系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作(如圖1-3所示)。

信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作，是需要貫穿信息系統(tǒng)生命周期，持續(xù)進(jìn)行的工作。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實(shí)際情況，經(jīng)過(guò)檢察系統(tǒng)多部門合作開發(fā)的符合全國(guó)檢察業(yè)務(wù)需求的背景下建立的。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事。那就是要學(xué)會(huì)風(fēng)險(xiǎn)管理運(yùn)用好風(fēng)險(xiǎn)管理的實(shí)質(zhì)內(nèi)容。

1.3 相關(guān)概念

1.3.1 通用風(fēng)險(xiǎn)管理定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過(guò)程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情則押后處理。

1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險(xiǎn)管理方式？

常見問(wèn)題：安全投資逐年增加，但看不到收益；按照國(guó)家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現(xiàn)；IT安全需求很多，有限的資金應(yīng)優(yōu)先撥向哪個(gè)領(lǐng)域；當(dāng)了CIO，時(shí)刻擔(dān)心系統(tǒng)出事，無(wú)法預(yù)見可能會(huì)出什么事。

問(wèn)題根源淺析：沒(méi)有根據(jù)風(fēng)險(xiǎn)優(yōu)先級(jí)做安全投資規(guī)劃，沒(méi)有抓住主要矛盾，導(dǎo)致有限資金的有效利用率低；沒(méi)有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒(méi)有突出控制高風(fēng)險(xiǎn)。決策者沒(méi)有看到安全投資收益報(bào)告，資金劃撥無(wú)參考依據(jù)。沒(méi)有殘余風(fēng)險(xiǎn)清單，在什么條件可被觸發(fā)，如何做好控制?？偟膩?lái)說(shuō)可以概括為以下三點(diǎn)：(1)信息安全風(fēng)險(xiǎn)和事件不可能完全避免，沒(méi)有絕對(duì)的安全。(2)信息安全是高技術(shù)的對(duì)抗，有別于傳統(tǒng)安全，呈現(xiàn)擴(kuò)散速度快、難控制等特點(diǎn)。(3)因此管理信息安全必須以風(fēng)險(xiǎn)管理的方式，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn)，而不是完全消除風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理是信息安全保障工作有效工作方式。好的風(fēng)險(xiǎn)管理過(guò)程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行，并且使已知的風(fēng)險(xiǎn)維持在可接受的水平。好的風(fēng)險(xiǎn)管理過(guò)程使組織可以用一種一致的、條理清晰的方式來(lái)組織有限的資源并確定優(yōu)先級(jí)，更好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過(guò)程，即計(jì)劃-做-檢查-執(zhí)行循環(huán)的管理過(guò)程。也可以這樣理解，在全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，做需求分析計(jì)劃組織開發(fā)業(yè)務(wù)系統(tǒng)--全國(guó)各省市部分基層院試運(yùn)行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報(bào)告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善。一個(gè)持續(xù)的不斷完善的管理過(guò)程。

在全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，也就會(huì)出現(xiàn)數(shù)據(jù)大集中，數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失，這就是它與生俱來(lái)的風(fēng)險(xiǎn)，那么我們認(rèn)識(shí)了這一點(diǎn)，就應(yīng)該采用相應(yīng)的技術(shù)措施來(lái)控制風(fēng)險(xiǎn)。什么是信息安全風(fēng)險(xiǎn)管理？了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)。定義一：GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》指：信息安全風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過(guò)程。定義二：在組織機(jī)構(gòu)內(nèi)部識(shí)別、優(yōu)化、管理風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)降低到可接受水平的過(guò)程。

1.3.3 正確的風(fēng)險(xiǎn)管理方法是前瞻性風(fēng)險(xiǎn)管理加反應(yīng)性風(fēng)險(xiǎn)管理。

(1)前瞻性風(fēng)險(xiǎn)管理：評(píng)估風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)決策、風(fēng)險(xiǎn)控制、評(píng)定風(fēng)險(xiǎn)管理的有效性。(2)反應(yīng)性風(fēng)險(xiǎn)管理：保護(hù)人身安全、遏制損害、評(píng)估損害、確定損害部位、修復(fù)損害部位、審查響應(yīng)過(guò)程并更新安全策略。風(fēng)險(xiǎn)管理最佳實(shí)踐。簡(jiǎn)單的例子：流行性感冒是一種致命的呼吸道疾病，美國(guó)每年都會(huì)有數(shù)以百萬(wàn)計(jì)的感染者。這些感染者中，至少有100,000人必須入院治療，并且約有36,000人死亡。您可能會(huì)選擇通過(guò)等待以確定您是否受到感染，如果確實(shí)受到感染，則采用服藥治療這種方式來(lái)治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險(xiǎn)管理方法。

1.3.4 全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險(xiǎn)管理的目標(biāo)是它能做好：保密性、完善性、可用性、真實(shí)性、抗抵賴性。GB/T 20984的定義，信息安全風(fēng)險(xiǎn)：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。

2.風(fēng)險(xiǎn)管理的工作內(nèi)容

2.1 背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析。風(fēng)險(xiǎn)管理準(zhǔn)備：確定對(duì)象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持。信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)。信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素。信息安全分析：分析安全要求、分析安全環(huán)境。如圖2-1所示。

圖1-1 風(fēng)險(xiǎn)管理的基本架構(gòu)圖

圖1-2 風(fēng)險(xiǎn)管理工作主要內(nèi)容關(guān)系圖

圖1-3系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理關(guān)系圖

圖2-1 背景建立過(guò)程圖

2.2 信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以信息安全評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)評(píng)估的目的是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)環(huán)節(jié)。風(fēng)險(xiǎn)管理是在倡導(dǎo)適度安全。

2.3 風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)?，F(xiàn)存風(fēng)險(xiǎn)判斷：判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受，哪些不可以。處理目標(biāo)確認(rèn)：不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度。處理措施選擇：選擇風(fēng)險(xiǎn)處理方式，確定風(fēng)險(xiǎn)控制措施。處理措施實(shí)施：制定具體安全方案，部署控制措施。常用的四類風(fēng)險(xiǎn)處置方法如下：

2.3.1 減低風(fēng)險(xiǎn)：通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn)。首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施，通常在安全投入小于負(fù)面影響價(jià)值的情況下采用。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來(lái)降低風(fēng)險(xiǎn)。減低風(fēng)險(xiǎn)辦法：減少威脅源：采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)；減低威脅能力：采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力；減少脆弱性：及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；防護(hù)資產(chǎn)：采用各種防護(hù)措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價(jià)值得到保持；降低負(fù)面影響：采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施，從而減少安全事件造成的影響程度。

2.3.2 轉(zhuǎn)移風(fēng)險(xiǎn)：通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來(lái)避免或降低風(fēng)險(xiǎn)。通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方(被轉(zhuǎn)嫁方)接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時(shí)，將信息系統(tǒng)的技術(shù)體系(即信息載體部分)外包給滿足安全保障要求的第三方機(jī)構(gòu)，從而避免技術(shù)風(fēng)險(xiǎn)。通過(guò)給昂貴的設(shè)備上保險(xiǎn)，將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司，從而降低資產(chǎn)價(jià)值的損失。

2.4 批準(zhǔn)監(jiān)督。批準(zhǔn)：是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定。監(jiān)督：是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無(wú)變化，監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn)。

2.5 監(jiān)控審查的意義，監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問(wèn)題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性。

3.安全風(fēng)險(xiǎn)評(píng)估實(shí)踐與國(guó)家相關(guān)政策

3.1 國(guó)家對(duì)開展風(fēng)險(xiǎn)評(píng)估工作的政策要求

3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))中明確提出：“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”

3.1.2 《國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見〉》（國(guó)信辦【2006】5號(hào)文）中明確規(guī)定了風(fēng)險(xiǎn)評(píng)估工作的相關(guān)要求：風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容和原則；風(fēng)險(xiǎn)評(píng)估工作的基本要求；開展風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排。

3.2 《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的實(shí)施要求

3.2.1 信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估工作，可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)，有針對(duì)性地制定和部署安全措施，從而避免產(chǎn)生欠保護(hù)或過(guò)保護(hù)的情況。

3.2.2 在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí)，通過(guò)風(fēng)險(xiǎn)評(píng)估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能，是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。

3.3 《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的管理要求

3.3.1 信息安全風(fēng)險(xiǎn)評(píng)估工作敏感性強(qiáng)，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險(xiǎn)，《意見》強(qiáng)調(diào)，必須高度重視信息安全風(fēng)險(xiǎn)評(píng)估的組織管理工作。

3.3.2 為規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn)，《意見》提出以下要求：(1)參與信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。(2)風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。(3)對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行。

3.3.3 加快制定和完善信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并頒布《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》等國(guó)家標(biāo)準(zhǔn)，各行業(yè)主管部門也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。

3.4 2071號(hào)文件對(duì)電子政務(wù)提出要求

為落實(shí)《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》(發(fā)改委[2007]55號(hào)令)對(duì)風(fēng)險(xiǎn)評(píng)估的要求，發(fā)改高技【2008】2071號(hào)文件《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》提出了具體要求：(相當(dāng)于“信息安全審計(jì)”)電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作；評(píng)估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等；項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù)；項(xiàng)目驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告；系統(tǒng)投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估。

[1]信息安全測(cè)評(píng)中心.信息安全保障[Z].

[2]新浪官方網(wǎng)站[OL].www.sina.com.cn.

[3]百度網(wǎng)站[OL].www.baidu.com.