魯立

(賽寶認證中心IT認證部,廣東廣州 510610)

優(yōu)化風險管理提升信息安全管理績效

魯立

(賽寶認證中心IT認證部,廣東廣州 510610)

風險管理由風險評估開始,當前企業(yè)做風險評估時,多采取以窮舉資產(chǎn)為起點的方法進行風險評估。這種方法存在兩個弊端:一是窮舉資產(chǎn)的工作量極大,二是無法體現(xiàn)過程風險對企業(yè)的影響,要提高信息安全管理的績效,首先應優(yōu)化風險評估過程。

信息安全 風險評估 管理績效

截至2013年3季度,我國有效的ISO/IEC 27001:2005證書數(shù)量是1459家,相比2008年的140家增長了10倍,認證企業(yè)數(shù)量的增長從一個側面反映了企業(yè)對信息安全管理的關注程度。隨著對信息安全管理關注度的提高,信息安全管理的績效也逐步為廣大企業(yè)所關注,畢竟企業(yè)的盈利來源于追求以更少的投入獲得更大的產(chǎn)出。2013年10月,國際標準化組織發(fā)布了信息安全管理體系ISO/IEC 27001:2013。新版標準明確提出了對信息安全管理績效的關注,形成獨立的條款9績效評價。

信息安全管理新標準從風險與成本的平衡過渡到要定期報告信息安全管理績效,反應了信息安全管理標準的發(fā)展進入成熟期,也反應了管理層面更加重視對信息安全投入的預期的監(jiān)控,同時對風險管理的度量也是相關方,管理層共同關心的話題。(見ISO/IEC 27001:2013條款5．1e,5．3b,6．1．1a,6．1．1．e2,9．1等)。

如何能夠提高信息安全管理體系的績效,首先需要的信息安全管理的基礎--風險評估。

1 風險評估的現(xiàn)狀

當前許多企業(yè)以資產(chǎn)窮舉為基礎進行風險評估,這其實是一種學術方法,學術方法的特點是考慮問題的時候將輸入盡可能簡單化,便于形成模型。這種方法的問題在于。

(1)在企業(yè)的實際管理中,資產(chǎn)并不是企業(yè)關注的首要重點,業(yè)務才是企業(yè)關注的首要重點,所以直接做無差別的資產(chǎn)統(tǒng)計是無法體現(xiàn)企業(yè)業(yè)務實際的一項工作。

(2)在實際的業(yè)務流程中,資產(chǎn)價值與其承載的信息對企業(yè)業(yè)務的影響沒有直接關系,例如企業(yè)價值幾萬元的測試服務器,其業(yè)務價值不一定比得上價值幾千元的財務電腦。而窮舉資產(chǎn)時可能直接將所有電腦列為一類,從而忽略了財務這一特殊屬性,進而在后續(xù)的風險評估過程中忽略了其業(yè)務價值。

(3)企業(yè)的資產(chǎn)量是龐大的,沒有重點的窮舉信息資產(chǎn)的安全風險工作量太大,這不僅不利于企業(yè)識別到真正的信息安全風險,反而有可能將部分需要關注的風險隱藏起來,更無法實現(xiàn)企業(yè)最大化投入產(chǎn)出比的目標。

2 關注風險評估的真正根本-業(yè)務(過程)分析

ISO/IE27001:2013明確提出5．1領導和承諾B)確保信息安全管理體系要求整合到組織的業(yè)務過程中。要將風險評估與企業(yè)的業(yè)務過程相關聯(lián),則風險評估的基礎應該是企業(yè)的業(yè)務過程分析,而資產(chǎn)識別應當是業(yè)務過程分析的后續(xù)工作。風險管理計劃和框架的設計和實施需要考慮到特定組織的不同需求、特定目標,狀況、結構、運營、過程、職能、項目、產(chǎn)品、服務、或資產(chǎn)以及展開的具體實踐。風險管理不是與組織的主要活動和過程分開的孤立活動。風險管理是管理職責的部分和整合在所有組織過程中的部分,包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。

為了提高信息安全管理的績效,可以考慮以以下流程進行風險評估。

2.1 根據(jù)企業(yè)制定的信息安全目標,分析企業(yè)的業(yè)務過程,定義風險控制的重點

在保密的三個主要屬性保密性、完整性、可用性里,如網(wǎng)站公司通常更關注系統(tǒng)的可用性及信息的完整性,對保密性關注較少,相對的,對于系統(tǒng)集成公司,由于現(xiàn)階段多數(shù)系統(tǒng)集成項目的時間進度的敏感性較低,所以可能對項目資料、項目信息的保密性關注較多,而可用性要求較低,這些特點應該在風險評估的特性賦值里有所體現(xiàn)。企業(yè)的信息安全目標是與業(yè)務目標一致的,因此新標準要求信息安全風險管理要聚焦信息,而信息是融合在整個業(yè)務流程中,新的標準肯定了管理層面以業(yè)務價值為基礎,識別信息,確定信息的價值,也很方便與其他以業(yè)務流程為基礎的ISO管理標準相融合。(見ISO/IEC 27001:2013條款6．1．2a)建立并保持信息安全風險準則,包括:b)執(zhí)行信息安全風險評估的準則)。本文后續(xù)以系統(tǒng)集成企業(yè)為例進行探討風險評估過程。

2.2 分析具體一個業(yè)務流程的過程劃分

如系統(tǒng)集成業(yè)務可分為:售前、實施、售后三個階段。以售前階段為例:銷售與客戶初步溝通形成需求文檔,項目經(jīng)理配合銷售形成方案,與客戶溝通方案,方案定稿形成投標文件(包括技術標和商務標)?？梢园l(fā)現(xiàn)在售前過程中重要的信息有3個:客戶需求;技術方案,報價文件。如何能夠保護好這三個信息？這就涉及到如何管理好信息相關的人、機、料、法、環(huán)。本文后續(xù)以技術方案為例探討風險評估過程。

2.3 列舉與技術方案相關的風險點

人:項目組人員(技術方案一般涉及技術支持部、銷售部、采購部的人員)。人員風險可分解為有意泄密和無意泄密。對有意泄密可通過設置訪問權限、管理移動存儲設備使用權限等方式減少信息接觸面,實現(xiàn)只有必須了解信息的人才接觸到信息,同時以保密協(xié)議做為法律警示,對無意泄密則應加強宣傳與培訓,實際工作中,許多企業(yè)的安全培訓局限于技術層面,例如只是不斷地重復告訴員工敏感信息要加密后才能發(fā)送郵件,但是具體什么文件屬于敏感信息卻沒有說明,或只告訴員工要關注信息安全,卻沒有深入解釋信息安全包括可用性,完整性,保密性三種屬性,及每種屬性為什么需關注,需關注到什么程度,導致員工的理解不足,執(zhí)行似是而非。

機:項目人員的計算機、項目資料存放的服務器、打印機、移動存儲介質等。這類風險在于損壞和非授權訪問。對機器損壞可通過備份、容災等方式防范,對于非授權訪問,則涉及到木馬及病毒控制、以及訪問權限復查、數(shù)據(jù)加密存儲等技術維護手段。

料:信息主體技術方案。

法:信息產(chǎn)生過程、如OA流程、項目會議,過程風險是目前在企業(yè)信息安全管理中關注較少的一環(huán),舉例:如果將項目會議安排在會客室旁邊的會議室,則項目的細節(jié)就有可能傳遞到隔壁;另OA的權限如劃分不夠細致則可能擴大信息的擴散面。

環(huán):信息傳遞的外部環(huán)境,如介質傳遞的供應商,網(wǎng)絡環(huán)境,如VPN、專線、互聯(lián)網(wǎng)等等。

2.4 整理控制措施

例如OA會涉及到口令強度、訪問控制、供電、備份等等風險。信息安全風險在新標準里變得更加生動,中性,風險也可能意味著機會。對信息安全風險的偏好與態(tài)度完全與組織的全面風險管理框架相融合。(見ISO/IEC 27001:2013條款 6．1．1．d/e,6．1．2．C2;)。同時需要注意風險管理是一個動態(tài)的、循環(huán)的過程。在風險應對辦法實施之后,還應該對風險管理的效果進行評價,對整個過程進行改進,借助風險管理信息系統(tǒng)等信息化手段,將風險管理貫徹在企業(yè)的經(jīng)營活動中,循環(huán)執(zhí)行。“唯一不變的就是變化本身”,企業(yè)所面臨的外部和內部環(huán)境時刻都在變化。因此,風險管理不是一個一勞永逸的制度設計,而是一種與企業(yè)經(jīng)營活動一樣的管理過程,是手段而非目的。

通過對10余家企業(yè)同時采用兩種風險評估方式的風險評估結論進行對比,以本文描述的方法進行風險評估簡稱方法A,傳統(tǒng)的以資產(chǎn)窮舉為起點的風險評估簡稱方法B。對比工作量,方法A只有方法B的工作量的70%,而最終得出的高風險數(shù)量方法A比方法B多。因為,方法A關注到了過程風險,可以使企業(yè)的風險管理更全面,更貼近企業(yè)的業(yè)務實際。

3 結語

風險評估的模型很多,如:PFMEA -- Process Failure Mode Effect Analyse過程失效模式風險評估;RPN -- Risk Priority Number風險優(yōu)先指數(shù)等等,但不論以那種方法進行風險評估,一定不能忽略業(yè)務過程。以業(yè)務過程為起點進行風險評估、可減少資產(chǎn)風險評估階段的工作量,避免忽略過程風險,為企業(yè)的風險管理提供真正有效的輸入,從而提高信息安全管理的績效。

[1]ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls.

[2]ISO 31000:2009Risk management -- Principles and guidelines.