優化風險管理提升信息安全管理績效

魯立

(賽寶認證中心IT認證部,廣東廣州 510610)

優化風險管理提升信息安全管理績效

魯立

(賽寶認證中心IT認證部,廣東廣州 510610)

風險管理由風險評估開始,當前企業做風險評估時,多采取以窮舉資產為起點的方法進行風險評估。這種方法存在兩個弊端:一是窮舉資產的工作量極大,二是無法體現過程風險對企業的影響,要提高信息安全管理的績效,首先應優化風險評估過程。

信息安全 風險評估 管理績效

截至2013年3季度,我國有效的ISO/IEC 27001:2005證書數量是1459家,相比2008年的140家增長了10倍,認證企業數量的增長從一個側面反映了企業對信息安全管理的關注程度。隨著對信息安全管理關注度的提高,信息安全管理的績效也逐步為廣大企業所關注,畢竟企業的盈利來源于追求以更少的投入獲得更大的產出。2013年10月,國際標準化組織發布了信息安全管理體系ISO/IEC 27001:2013。新版標準明確提出了對信息安全管理績效的關注,形成獨立的條款9績效評價。

信息安全管理新標準從風險與成本的平衡過渡到要定期報告信息安全管理績效,反應了信息安全管理標準的發展進入成熟期,也反應了管理層面更加重視對信息安全投入的預期的監控,同時對風險管理的度量也是相關方,管理層共同關心的話題。(見ISO/IEC 27001:2013條款5．1e,5．3b,6．1．1a,6．1．1．e2,9．1等)。

如何能夠提高信息安全管理體系的績效,首先需要的信息安全管理的基礎--風險評估。

1 風險評估的現狀

當前許多企業以資產窮舉為基礎進行風險評估,這其實是一種學術方法,學術方法的特點是考慮問題的時候將輸入盡可能簡單化,便于形成模型。這種方法的問題在于。

(1)在企業的實際管理中,資產并不是企業關注的首要重點,業務才是企業關注的首要重點,所以直接做無差別的資產統計是無法體現企業業務實際的一項工作。

(2)在實際的業務流程中,資產價值與其承載的信息對企業業務的影響沒有直接關系,例如企業價值幾萬元的測試服務器,其業務價值不一定比得上價值幾千元的財務電腦。而窮舉資產時可能直接將所有電腦列為一類,從而忽略了財務這一特殊屬性,進而在后續的風險評估過程中忽略了其業務價值。

(3)企業的資產量是龐大的,沒有重點的窮舉信息資產的安全風險工作量太大,這不僅不利于企業識別到真正的信息安全風險,反而有可能將部分需要關注的風險隱藏起來,更無法實現企業最大化投入產出比的目標。

2 關注風險評估的真正根本-業務(過程)分析

ISO/IE27001:2013明確提出5．1領導和承諾B)確保信息安全管理體系要求整合到組織的業務過程中。要將風險評估與企業的業務過程相關聯,則風險評估的基礎應該是企業的業務過程分析,而資產識別應當是業務過程分析的后續工作。風險管理計劃和框架的設計和實施需要考慮到特定組織的不同需求、特定目標,狀況、結構、運營、過程、職能、項目、產品、服務、或資產以及展開的具體實踐。風險管理不是與組織的主要活動和過程分開的孤立活動。風險管理是管理職責的部分和整合在所有組織過程中的部分,包括戰略規劃、所有項目、變更管理過程。

為了提高信息安全管理的績效,可以考慮以以下流程進行風險評估。

2.1 根據企業制定的信息安全目標,分析企業的業務過程,定義風險控制的重點

在保密的三個主要屬性保密性、完整性、可用性里,如網站公司通常更關注系統的可用性及信息的完整性,對保密性關注較少,相對的,對于系統集成公司,由于現階段多數系統集成項目的時間進度的敏感性較低,所以可能對項目資料、項目信息的保密性關注較多,而可用性要求較低,這些特點應該在風險評估的特性賦值里有所體現。企業的信息安全目標是與業務目標一致的,因此新標準要求信息安全風險管理要聚焦信息,而信息是融合在整個業務流程中,新的標準肯定了管理層面以業務價值為基礎,識別信息,確定信息的價值,也很方便與其他以業務流程為基礎的ISO管理標準相融合。(見ISO/IEC 27001:2013條款6．1．2a)建立并保持信息安全風險準則,包括:b)執行信息安全風險評估的準則)。本文后續以系統集成企業為例進行探討風險評估過程。

2.2 分析具體一個業務流程的過程劃分

如系統集成業務可分為:售前、實施、售后三個階段。以售前階段為例:銷售與客戶初步溝通形成需求文檔,項目經理配合銷售形成方案,與客戶溝通方案,方案定稿形成投標文件(包括技術標和商務標)。可以發現在售前過程中重要的信息有3個:客戶需求;技術方案,報價文件。如何能夠保護好這三個信息？這就涉及到如何管理好信息相關的人、機、料、法、環。本文后續以技術方案為例探討風險評估過程。

2.3 列舉與技術方案相關的風險點

人:項目組人員(技術方案一般涉及技術支持部、銷售部、采購部的人員)。人員風險可分解為有意泄密和無意泄密。對有意泄密可通過設置訪問權限、管理移動存儲設備使用權限等方式減少信息接觸面,實現只有必須了解信息的人才接觸到信息,同時以保密協議做為法律警示,對無意泄密則應加強宣傳與培訓,實際工作中,許多企業的安全培訓局限于技術層面,例如只是不斷地重復告訴員工敏感信息要加密后才能發送郵件,但是具體什么文件屬于敏感信息卻沒有說明,或只告訴員工要關注信息安全,卻沒有深入解釋信息安全包括可用性,完整性,保密性三種屬性,及每種屬性為什么需關注,需關注到什么程度,導致員工的理解不足,執行似是而非。

機:項目人員的計算機、項目資料存放的服務器、打印機、移動存儲介質等。這類風險在于損壞和非授權訪問。對機器損壞可通過備份、容災等方式防范,對于非授權訪問,則涉及到木馬及病毒控制、以及訪問權限復查、數據加密存儲等技術維護手段。

料:信息主體技術方案。

法:信息產生過程、如OA流程、項目會議,過程風險是目前在企業信息安全管理中關注較少的一環,舉例:如果將項目會議安排在會客室旁邊的會議室,則項目的細節就有可能傳遞到隔壁;另OA的權限如劃分不夠細致則可能擴大信息的擴散面。

環:信息傳遞的外部環境,如介質傳遞的供應商,網絡環境,如VPN、專線、互聯網等等。

2.4 整理控制措施

例如OA會涉及到口令強度、訪問控制、供電、備份等等風險。信息安全風險在新標準里變得更加生動,中性,風險也可能意味著機會。對信息安全風險的偏好與態度完全與組織的全面風險管理框架相融合。(見ISO/IEC 27001:2013條款 6．1．1．d/e,6．1．2．C2;)。同時需要注意風險管理是一個動態的、循環的過程。在風險應對辦法實施之后,還應該對風險管理的效果進行評價,對整個過程進行改進,借助風險管理信息系統等信息化手段,將風險管理貫徹在企業的經營活動中,循環執行。“唯一不變的就是變化本身”,企業所面臨的外部和內部環境時刻都在變化。因此,風險管理不是一個一勞永逸的制度設計,而是一種與企業經營活動一樣的管理過程,是手段而非目的。

通過對10余家企業同時采用兩種風險評估方式的風險評估結論進行對比,以本文描述的方法進行風險評估簡稱方法A,傳統的以資產窮舉為起點的風險評估簡稱方法B。對比工作量,方法A只有方法B的工作量的70%,而最終得出的高風險數量方法A比方法B多。因為,方法A關注到了過程風險,可以使企業的風險管理更全面,更貼近企業的業務實際。

3 結語

風險評估的模型很多,如:PFMEA -- Process Failure Mode Effect Analyse過程失效模式風險評估;RPN -- Risk Priority Number風險優先指數等等,但不論以那種方法進行風險評估,一定不能忽略業務過程。以業務過程為起點進行風險評估、可減少資產風險評估階段的工作量,避免忽略過程風險,為企業的風險管理提供真正有效的輸入,從而提高信息安全管理的績效。

[1]ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls.

[2]ISO 31000:2009Risk management -- Principles and guidelines.