基于全面風(fēng)險(xiǎn)管理視角的金融網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)框架

賈海云 謝宗曉

摘要：論文分析了國際主流的標(biāo)準(zhǔn)框架設(shè)計(jì)體系，其中包括信息安全管理國際標(biāo)準(zhǔn)的框架設(shè)計(jì)、美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）關(guān)于網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)框架以及新加坡金融管理局（MAS）的相關(guān)標(biāo)準(zhǔn)，同時(shí)也討論了信息安全國家標(biāo)準(zhǔn)的框架設(shè)計(jì)，最后在此基礎(chǔ)上提出了一個(gè)可行且優(yōu)化的金融網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的框架。

關(guān)鍵詞： 信息安全 風(fēng)險(xiǎn)管理 金融網(wǎng)絡(luò)安全

Abstract： We have analyzed the international mainstream standard framework design system， including the framework design of information security management international standards， the National Institute of Standards and Technology （NIST） standard framework for network security and the Singapore Monetary Authority （MAS） standards， but also discussed the information security National Standards Framework Design. Finally， a feasible and optimized framework of financial cybersecurity management standards is proposed.

Key words： information security， risk management， financial cybersecurity

在討論細(xì)分領(lǐng)域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)時(shí)，我們應(yīng)該將管理類標(biāo)準(zhǔn)與技術(shù)類標(biāo)準(zhǔn)分開，因?yàn)榧夹g(shù)大多是通用的，尤其是密碼技術(shù)等，雖然細(xì)分領(lǐng)域應(yīng)用也略有不同。對(duì)于管理而言，存在的不同在于，管理雖然也存在通用性，但是與業(yè)務(wù)流程的結(jié)合更為重要。

1 國際標(biāo)準(zhǔn)架構(gòu)、形成過程及其分析

ISO/IEC JCT1 SC27是目前影響最大的組織之一，關(guān)于信息安全管理的標(biāo)準(zhǔn)在2005年重新整合后，統(tǒng)一納入ISO/IEC 27000標(biāo)準(zhǔn)族，該標(biāo)準(zhǔn)族目前也發(fā)布了關(guān)于網(wǎng)絡(luò)安全（Cybersecurity）的標(biāo)準(zhǔn)，例如，2012年發(fā)布ISO/IEC 27032 Guidelines for Cybersecurity（網(wǎng)絡(luò)安全指南）。當(dāng)然，這區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)安全（Network Security）相關(guān)標(biāo)準(zhǔn)，例如，陸續(xù)發(fā)布的6個(gè)部分的ISO/IEC 27033 Network Security（網(wǎng)絡(luò)安全）。

ISO/IEC 27000標(biāo)準(zhǔn)族的起源是倫敦政經(jīng)大學(xué)Backhouse等人開發(fā)的一個(gè)“最佳實(shí)踐”，并將其定義為“信息安全管理體系（ISMS）”。也就是說，ISO/IEC 27000標(biāo)準(zhǔn)族是圍繞一個(gè)“最佳實(shí)踐”發(fā)展起來的標(biāo)準(zhǔn)體系。

ISO/IEC 27000標(biāo)準(zhǔn)族的發(fā)展與框架大致如下：

· 荷蘭皇家殼牌石油公司多年信息安全實(shí)踐；

· 1993年，Backhouse等人在英國政府資助下根據(jù)上述實(shí)踐開發(fā)出“最佳實(shí)踐”；

· 1995年，成為英國標(biāo)準(zhǔn)；1996年，加了一個(gè)方法論，即PDCA（Plan-Do-Check-Act）框架；

· 2000年，成為國際標(biāo)準(zhǔn)，“最佳實(shí)踐”成了ISO/IEC 27002，“方法論”成了ISO/IEC 27001；

· 2005年，ISO/IEC 27000標(biāo)準(zhǔn)族的計(jì)劃公布，并開始大規(guī)模統(tǒng)一標(biāo)準(zhǔn)號(hào)。

值得指出的是，之所以加PDCA框架，是因?yàn)?987年發(fā)布的ISO 9000是英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）推廣成國際標(biāo)準(zhǔn)的，其中用的框架就是PDCA。當(dāng)然，對(duì)于質(zhì)量管理而言，貢獻(xiàn)最大的是日本和美國，而不是英國，英國在國際標(biāo)準(zhǔn)推廣方面比較領(lǐng)先。

目前的邏輯框架大致如下：

· ISO/IEC 27000至ISO/IEC 27008，是純粹關(guān)于ISMS，或者說，從不同的方面定義了ISMS；

· ISO/IEC 27009至ISO/IEC 27030，包括了分行業(yè)應(yīng)用，以及更外圍的方面，或者與其他體系的整合問題；

· ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如，包括了信息安全事件管理和業(yè)務(wù)連續(xù)性管理等各個(gè)方面。

ISO/IEC 27000標(biāo)準(zhǔn)族是圍繞“最佳實(shí)踐”發(fā)展起來的框架，其后加的方法論，即PDCA戴明環(huán)，在實(shí)踐中也備受爭(zhēng)議。原因在于，對(duì)質(zhì)量管理而言，技術(shù)手段是固定的，流程對(duì)于質(zhì)量穩(wěn)定非常重要，但是對(duì)于信息安全/網(wǎng)絡(luò)安全管理而言，技術(shù)手段發(fā)展迅速，按部就班的PDCA多數(shù)時(shí)候沒有用武之地。

就如上所示的框架而言，邏輯上非常清晰，但是存在一個(gè)很嚴(yán)重的問題：普遍認(rèn)為，所有的網(wǎng)絡(luò)安全實(shí)踐的目的都是為了控制風(fēng)險(xiǎn)，但是在ISO/IEC 27000標(biāo)準(zhǔn)族中，風(fēng)險(xiǎn)管理所占的比重有限，為了解決這個(gè)問題，在ISO/IEC 27001中描述ISMS建立過程的時(shí)候，用了較大的篇幅描述風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的過程。

結(jié)論A：以“最佳實(shí)踐”為基礎(chǔ)發(fā)展而來的國際信息安全管理標(biāo)準(zhǔn)架構(gòu)（主要指ISO/IEC 27000標(biāo)準(zhǔn)族）并不是圍繞“控制安全風(fēng)險(xiǎn)”展開的，雖然其中包含了風(fēng)險(xiǎn)評(píng)估/處置的過程，也多次強(qiáng)調(diào)風(fēng)險(xiǎn)管理的重要性，但整體而言，缺乏全面的風(fēng)險(xiǎn)觀，至少其“PDCA方法論”并不能必然導(dǎo)致對(duì)風(fēng)險(xiǎn)的控制。

2 由此演化來的國家標(biāo)準(zhǔn)體系及其分析

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）在2002年成立，是與ISO/IEC JCT1 SC27相對(duì)應(yīng)的組織，因此，在信息安全管理方面的標(biāo)準(zhǔn)大致也遵循了上述邏輯架構(gòu)，當(dāng)然也有所創(chuàng)新，例如，在風(fēng)險(xiǎn)管理方面，發(fā)布了以下5個(gè)標(biāo)準(zhǔn)：

· GB/T 20984—2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范；

· GB/Z 24364—2009 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南；

· GB/T 31509—2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南；

· GB/T 31722—2015/ISO/IEC 27005： 2008 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理；

· GB/T 33132—2016 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理實(shí)施指南。

國家標(biāo)準(zhǔn)存在另一個(gè)不足，GB/T 27×××號(hào)碼段已經(jīng)被占用，如果沿用ISO 9000采用為GB/T 19000的類似形式，目前也不可行，導(dǎo)致國家標(biāo)準(zhǔn)不但存在國際標(biāo)準(zhǔn)已有的問題，而且看起來不夠體系化。

結(jié)論B：在金融網(wǎng)絡(luò)安全細(xì)分領(lǐng)域，如果將國際/國家標(biāo)準(zhǔn)體系照搬，不但會(huì)存在結(jié)論A所述的缺點(diǎn)，而且與金融主營業(yè)務(wù)所強(qiáng)調(diào)的全面風(fēng)險(xiǎn)管理視角不能一脈相承。

3 NIST Approach及其縱向分層分析

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的組織機(jī)構(gòu)介紹中一直沒有用“信息安全”這個(gè)詞匯，該分支機(jī)構(gòu)自成立就用計(jì)算機(jī)安全（Computer Security）這一詞匯，2016年，該分支機(jī)構(gòu)名稱修改為Cybersecurity（網(wǎng)絡(luò)安全）。

NIST關(guān)于網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的橫向架構(gòu)被Wheeler E.定義為NIST Approach。這個(gè)方法是一個(gè)圍繞“安全風(fēng)險(xiǎn)”的框架標(biāo)準(zhǔn)集。具體而言，NIST Approach包括了6個(gè)步驟：1）分類（Categorize）；2）選擇（Select）；3）應(yīng)用（Implement）；4）評(píng)估（Assess）；5）授權(quán)（Authorize）；6）監(jiān)視（Monitor）。

原則上，NIST發(fā)布的所有網(wǎng)絡(luò)安全管理類標(biāo)準(zhǔn)都分布在這6個(gè)步驟上，但是實(shí)際情況是，已經(jīng)發(fā)布的標(biāo)準(zhǔn)并沒有將NIST RMF框架作為依據(jù)，這個(gè)框架在某種程度上只是充當(dāng)了NIST Handbook的分類依據(jù)。究其原因，大概是因?yàn)檫@個(gè)“方法論”步驟過于復(fù)雜，已經(jīng)失去了模型的抽象意義。

基于風(fēng)險(xiǎn)管理的橫向劃分應(yīng)用是失敗的，但是NIST SP 800-39所描述的風(fēng)險(xiǎn)縱向分層卻有很高的實(shí)用價(jià)值，隨后在2012改版的NIST SP 800-30就基于這個(gè)分層，具體分層為：

· TIER1，治理層，關(guān)注整個(gè)組織層面的風(fēng)險(xiǎn)；

· TIER2，管理層，關(guān)注任務(wù)/業(yè)務(wù)過程中的風(fēng)險(xiǎn)；

· TIER3，控制層，關(guān)注信息系統(tǒng)風(fēng)險(xiǎn)，或者具體的技術(shù)風(fēng)險(xiǎn)。

這3個(gè)層次的劃分，最重要的意義之一在于使風(fēng)險(xiǎn)的管理責(zé)任變得有章可循，從上至下，風(fēng)險(xiǎn)的責(zé)任分別歸屬治理層（董事會(huì)和高管）、管理層（中層管理）和控制層（基層員工），關(guān)注的重點(diǎn)依次為：組織、任務(wù)/業(yè)務(wù)過程和信息系統(tǒng)。

但是NIST已經(jīng)發(fā)布的標(biāo)準(zhǔn)中關(guān)于治理層（TIER1）和管理層（TIER2）的極少，絕大部分都集中在控制層（TIER3）。因?yàn)镹IST發(fā)布的標(biāo)準(zhǔn)并不針對(duì)具體的業(yè)務(wù)系統(tǒng)或者具體類型的組織，導(dǎo)致很難抽象化，而信息系統(tǒng)更多的是技術(shù)問題，比較容易抽象。

結(jié)論C：NIST所描述的RMF方法論，雖然圍繞 “安全風(fēng)險(xiǎn)”，但是嚴(yán)重失去了體系（system）感或整體感，同時(shí)，NIST所提供的縱向3個(gè)分層，對(duì)劃分風(fēng)險(xiǎn)管理責(zé)任非常有意義。缺點(diǎn)是限于其部門職能，其絕大部分標(biāo)準(zhǔn)都集中在控制層。

4 MAS TRMG的框架分析

既然NIST是面向通用安全的標(biāo)準(zhǔn)機(jī)構(gòu)，這同時(shí)也導(dǎo)致了治理層和業(yè)務(wù)層難以抽象化的問題，那么細(xì)分領(lǐng)域，例如金融網(wǎng)絡(luò)安全恰好提供了這樣的可能。新加坡金融管理局（MAS）在2013年發(fā)布的《技術(shù)風(fēng)險(xiǎn)管理指引》（TRMG）和ISO/TC 68發(fā)布的ISO/TR 13569： 2005都驗(yàn)證了這一觀點(diǎn)。例如，在ISO/TR 13569： 2005中，5.2法律法規(guī)符合性中，有專門的“公司治理（corporate governance）”章節(jié)。又如，在MAS TRMG中，3.1 角色與職責(zé)，要求比較多是“董事會(huì)與高管宜……”。與之對(duì)應(yīng)，ISO/IEC 27000標(biāo)準(zhǔn)族和NIST網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)中，雖然也有關(guān)于治理的，例如ISO/IEC 27014： 2013，但比較游離，也比較簡(jiǎn)略。

還有一種可能，是否重視公司治理是由這些標(biāo)準(zhǔn)的制定者所導(dǎo)致的。因?yàn)镮SO/IEC或者NIST發(fā)布的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，一般都是出自信息系統(tǒng)管理領(lǐng)域或者計(jì)算機(jī)相關(guān)學(xué)科的學(xué)者，這些學(xué)者對(duì)于“公司治理”普遍知之甚少。但是ISO/TC 68的人員則不同，他們一般來自金融企業(yè)，對(duì)財(cái)務(wù)等領(lǐng)域很熟悉，而公司治理在研究方法和研究問題與該領(lǐng)域基本一致。

整體而言，MAS TRMG在整體架構(gòu)上沿用了ISO/TR 13569： 2005，雖然在風(fēng)險(xiǎn)評(píng)估/管理的描述方面與ISO/IEC 27001相比較進(jìn)展不大，但是在通篇描述上非常注重公司治理與巴塞爾協(xié)議兼容等問題。

5 基于全面風(fēng)險(xiǎn)管理視角的標(biāo)準(zhǔn)框架

綜上所述，當(dāng)前流行的標(biāo)準(zhǔn)體系優(yōu)劣分析如下：

· 國際標(biāo)準(zhǔn)/ISO/IEC 27000標(biāo)準(zhǔn)族，優(yōu)點(diǎn)為起源于“最佳實(shí)踐”的整體設(shè)計(jì)非常體系化，但是缺乏全面的風(fēng)險(xiǎn)觀，整體并不是圍繞“控制安全風(fēng)險(xiǎn)”展開；

· NIST發(fā)布的標(biāo)準(zhǔn)，更注重落地，整個(gè)框架設(shè)計(jì)基于風(fēng)險(xiǎn)管理，雖然圍繞“安全風(fēng)險(xiǎn)”，但是嚴(yán)重失去了體系感或整體感。

基于上述分析，我們提出了一個(gè)基于圖1所示的網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的框架，這個(gè)框架基于全面風(fēng)險(xiǎn)管理視角，并采納了NIST SP 800-39所描述的風(fēng)險(xiǎn)縱向分層，將所有的標(biāo)準(zhǔn)按照治理層、管理層和控制層分開，這個(gè)邏輯與ISO/TR 13569： 2005等標(biāo)準(zhǔn)也保持了兼容。

基于全面風(fēng)險(xiǎn)管理視角的金融網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)框架沿用了NIST SP 800-39的縱向分層，以更好地區(qū)分不同的管理者應(yīng)該關(guān)注的重點(diǎn)，以及更好地進(jìn)行責(zé)任分割。具體描述如下：

· 治理層主要關(guān)注信息安全管理的架構(gòu)問題，其中包括了詞匯和框架等基礎(chǔ)標(biāo)準(zhǔn)，也包括了形如ISO/IEC 27014信息安全治理一類的治理層問題；在職責(zé)分配方面，治理層的標(biāo)準(zhǔn)閱讀者主要是組織高層管理者，據(jù)此確定組織的信息安全管理架構(gòu)或信息安全風(fēng)險(xiǎn)管理架構(gòu)；

· 管理層主要關(guān)注業(yè)務(wù)流程的相關(guān)問題，是實(shí)現(xiàn)信息安全轉(zhuǎn)變?yōu)椤皬臉I(yè)務(wù)到安全”的關(guān)鍵，其中包括了不涉及具體信息系統(tǒng)情況下的各類安全控制，例如，信息安全風(fēng)險(xiǎn)評(píng)估流程、業(yè)務(wù)連續(xù)性管理、信息安全事件管理等標(biāo)準(zhǔn)；在職責(zé)分配方面，管理層的標(biāo)準(zhǔn)閱讀者主要是組織的中層管理者，安全控制的選擇要考慮治理層所確立的信息安全戰(zhàn)略定位以及組織具體業(yè)務(wù)特點(diǎn)；

· 控制層主要關(guān)注具體信息系統(tǒng)的問題，更多的是基線配置指南，控制層的標(biāo)準(zhǔn)是管理層的相關(guān)標(biāo)準(zhǔn)要求在具體信息系統(tǒng)的落地，某種程度而言，這類標(biāo)準(zhǔn)更適合作為團(tuán)體標(biāo)準(zhǔn)來處理，即，某類業(yè)務(wù)系統(tǒng)都有其基線配置要求；在職責(zé)分配方面，控制層的標(biāo)準(zhǔn)閱讀者主要是技術(shù)人員。

6 小結(jié)

本文主要分析了基于“最佳實(shí)踐”發(fā)展而來的ISO/IEC 27000標(biāo)準(zhǔn)族的架構(gòu)和基于“風(fēng)險(xiǎn)管理”的NIST關(guān)于網(wǎng)絡(luò)安全的相關(guān)標(biāo)準(zhǔn)架構(gòu)，在此基礎(chǔ)上，指出了這些標(biāo)準(zhǔn)難于在金融領(lǐng)域推行的幾個(gè)原因：（1）缺乏全面風(fēng)險(xiǎn)管理的視角，使得安全控制與業(yè)務(wù)流程相結(jié)合較為困難，導(dǎo)致部署流于形式，例如，由于此原因，導(dǎo)致ISO/IEC TR 27015在2017年被廢止；（2）未能考慮金融領(lǐng)域的強(qiáng)監(jiān)管特征，應(yīng)用范圍較廣的標(biāo)準(zhǔn)，例如ISO/IEC 27002：2013將此列入“符合性”，但是從ISO TR 13569：2005來看，金融領(lǐng)域的標(biāo)準(zhǔn)必須考慮行業(yè)監(jiān)管以及巴塞爾協(xié)議；（3）沒有充分考慮金融行業(yè)管理的特點(diǎn)，例如，MAS TRMG或ISO/TC 68發(fā)布的標(biāo)準(zhǔn)都無一例外地首先強(qiáng)調(diào)了“公司治理”，而現(xiàn)有的大部分的標(biāo)準(zhǔn)并沒有考慮這些特點(diǎn)。

基于此，本文提出了金融網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的框架，這個(gè)框架避免了已有標(biāo)準(zhǔn)體系中所存在的以上問題，該框架主要有以下特點(diǎn)：（1）基于全面風(fēng)險(xiǎn)管理視角，將風(fēng)險(xiǎn)自上而下依次梳理為治理層的架構(gòu)風(fēng)險(xiǎn)、管理層的過程風(fēng)險(xiǎn)和控制層的系統(tǒng)風(fēng)險(xiǎn)；（2）考慮金融網(wǎng)絡(luò)空間的特點(diǎn)，強(qiáng)調(diào)金融網(wǎng)絡(luò)安全的“最佳實(shí)踐”，而不是照搬信息安全時(shí)代的最佳實(shí)踐，例如，一個(gè)重要特點(diǎn)是對(duì)“可用性”的關(guān)注；（3）緊密結(jié)合金融行業(yè)的特點(diǎn)，充分考慮與巴塞爾協(xié)議等主流監(jiān)管標(biāo)準(zhǔn)的兼容，并且將“公司治理”等作為重點(diǎn)關(guān)注的內(nèi)容。

參考文獻(xiàn)

謝宗曉. 信息安全管理體系實(shí)施指南（第二版）[M]. 北 京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

謝宗曉. 信息安全管理體系實(shí)施案例（第二版）[M]. 北 京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險(xiǎn)評(píng)估（第二版）[M]. 北 京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.