淺談中小型企業(yè)信息安全風(fēng)險管理實踐方法

徐亮彧

摘 要

隨著全球互聯(lián)網(wǎng)應(yīng)用的發(fā)展，網(wǎng)絡(luò)信息技術(shù)已經(jīng)成為生活的重要部分。2017年我國亦施行了《中華人民共和國網(wǎng)絡(luò)安全法》，大幅度提高了國民的網(wǎng)絡(luò)安全意識，而在網(wǎng)絡(luò)安全法中也強(qiáng)調(diào)了風(fēng)險管理的重要性，風(fēng)險管理也是整個企業(yè)管理中的重中之重，但面對風(fēng)險和機(jī)會的把握，成本效益的控制，中小型企業(yè)往往對于信息安全風(fēng)險管理的執(zhí)行方法，效益最大化等方面缺乏良好實踐及研究。本文在此就這一論題進(jìn)行分析和討論，望對于中小企業(yè)的信息安全風(fēng)險管理提供支持和借鑒。

關(guān)鍵詞

信息安全;風(fēng)險管理;中小型企業(yè);實踐

中圖分類號： G203;F270 ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.09.082

1 信息安全風(fēng)險管理相關(guān)概述及定義

1.1 風(fēng)險

風(fēng)險指的是“不確定性對目標(biāo)的影響”，在定義中影響可以是正面的，也可以是負(fù)面的;目標(biāo)可以是不同方面的，可以是財務(wù)、健康、環(huán)境、組織，層面、項目、產(chǎn)品、過程等等的目標(biāo)。

1.2 信息安全風(fēng)險

結(jié)合上文的風(fēng)險管理和相關(guān)國際標(biāo)準(zhǔn)對信息安全風(fēng)險的描述可以得知，信息安全風(fēng)險指因不確定性對信息安全目標(biāo)的影響。信息安全風(fēng)險與威脅、信息資產(chǎn)和脆弱性相關(guān)。

1）信息安全：對信息的保密性、完整性、可用性的保護(hù)。

2）威脅：可能對信息系統(tǒng)或組織造成危害事件的潛在原因。

3）組織：具有自身的功能、責(zé)任、權(quán)威和關(guān)系來實現(xiàn)目標(biāo)的人或一組人，一般在中小企業(yè)環(huán)境主要指的是企業(yè)、部門或特定的團(tuán)隊。

4）脆弱性：指弱點，國內(nèi)更多的稱之其為漏洞，這種弱點來源于可能被一個或多個威脅利用的資產(chǎn)或控制措施。

2 信息安全風(fēng)險管理模型

信息安全風(fēng)險管理模型隨著標(biāo)準(zhǔn)的不斷改進(jìn)已經(jīng)進(jìn)入成熟期，在模型中遵循并強(qiáng)調(diào)了PDCA閉環(huán)的重要性（如圖1所示）。

在整個信息安全風(fēng)險管理閉環(huán)中，循環(huán)的過程主要由4大部分組成：

①環(huán)境的建立：一個風(fēng)險管理當(dāng)中，環(huán)境建立是關(guān)鍵中的關(guān)鍵，通常組織需要在環(huán)境建立的過程中確定信息安全風(fēng)險管理的具體目標(biāo)、目標(biāo)所涉及的范圍，以及目標(biāo)所包含的利益相關(guān)方。根據(jù)這些元素對風(fēng)險管理的對象進(jìn)行梳理，根據(jù)組織的信息安全目標(biāo)設(shè)置風(fēng)險管理的目標(biāo)，配備相關(guān)的資源。

②風(fēng)險評估：風(fēng)險管理的基礎(chǔ)且核心活動是風(fēng)險評估，在整個循環(huán)過程中有3個部分整合了風(fēng)險評估內(nèi)容，包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價。值得注意的是確定風(fēng)險評估的方法，計算公式。并細(xì)化評估的對象所包含的信息資產(chǎn)。

③風(fēng)險處置：其針對風(fēng)險作出風(fēng)險控制、風(fēng)險規(guī)避、風(fēng)險接受、風(fēng)險轉(zhuǎn)移等處置措施。

風(fēng)險修正：對風(fēng)險采取控制措施，有效降低或控制風(fēng)險。

風(fēng)險規(guī)避：即消除風(fēng)險，通常情況下一般是禁止可能導(dǎo)致該風(fēng)險的活動。

風(fēng)險保留：已了解風(fēng)險可能造成的影響及風(fēng)險的大小，但經(jīng)過討論不對風(fēng)險采取任何措施，亦愿意接受風(fēng)險可能帶來的影響。通常是在計算成本效益后作出的決定。

風(fēng)險共享：將現(xiàn)有的風(fēng)險與其他組織進(jìn)行共享，共同承擔(dān)可能造成的影響，但風(fēng)險共享或產(chǎn)生新的風(fēng)險亦可能改變現(xiàn)有的風(fēng)險。

值得注意的是，風(fēng)險處置的過程本身包含了PDCA的循環(huán)，需要經(jīng)過細(xì)致的計劃，執(zhí)行，檢查其執(zhí)行的有效性，和持續(xù)改進(jìn)。

④監(jiān)控及檢查：這個活動應(yīng)貫穿整個風(fēng)險管理的生命周期中，并每一個活動中持續(xù)進(jìn)行。以此進(jìn)行每一個環(huán)節(jié)的有效性及質(zhì)量控制，保證目標(biāo)的實現(xiàn)。

隨著組織發(fā)展及時間線的推移，整個信息安全風(fēng)險管理閉環(huán)在循環(huán)進(jìn)行，組織在不斷的進(jìn)行風(fēng)險管理的過程中優(yōu)化自身的風(fēng)險管理策略，從而確保風(fēng)險管理與目標(biāo)的一致性。

貫穿整個生命周期還需要重要的部分是持續(xù)的討論和咨詢，確保結(jié)論輸出的專業(yè)性和策略及步驟中的風(fēng)險控制。

3 中小型企業(yè)的風(fēng)險管理的策略定制

中小型企業(yè)的風(fēng)險管理策略定制過程中，最大的問題來自于對于風(fēng)險管理專業(yè)知識的缺失，同時自身投入的資源也極其有限，通常面臨不知如何設(shè)定策略，策略需要包含哪些元素的問題?；蛘弋?dāng)組織細(xì)化到策略細(xì)節(jié)時把控不足策略的層面和顆粒度，往往導(dǎo)致策略無法制定或制定以后無法落實的問題，這也是導(dǎo)致目前大型企業(yè)往往風(fēng)險管理能力較強(qiáng)，而中小型企業(yè)信息安全風(fēng)險管理能力較弱的主要原因，當(dāng)然，這也和中小型企業(yè)的信息化成熟度有關(guān)，互聯(lián)網(wǎng)企業(yè)通常信息安全風(fēng)險管理的能力強(qiáng)于普通傳統(tǒng)企業(yè)。

根據(jù)上文信息安全風(fēng)險管理模型，中小型企業(yè)應(yīng)先梳理出與自身業(yè)務(wù)生態(tài)相關(guān)的信息系統(tǒng)，并確定這些信息系統(tǒng)中是否存在可以大幅影響核心業(yè)務(wù)運(yùn)營的系統(tǒng)，是否存在當(dāng)這些系統(tǒng)中包含著組織核心的信息。通常這些系統(tǒng)都在核心業(yè)務(wù)運(yùn)營中承擔(dān)著某個環(huán)節(jié)的執(zhí)行工具的作用，例如，負(fù)責(zé)通訊的郵件或內(nèi)部溝通系統(tǒng)、財務(wù)系統(tǒng)、業(yè)務(wù)過程計算系統(tǒng)，也有可能是一些辦公工具，比如office、pdf工具等。

在明確組織的信息化對象后，組織可以根據(jù)這些對象展開目標(biāo)的梳理，這些目標(biāo)通常對于中小型企業(yè)而言來自于外部，比如我國的《網(wǎng)絡(luò)安全法》、等級保護(hù)制度、行業(yè)的要求、利益相關(guān)者的要求等等;還有部分來源于組織內(nèi)部需求，比如，基于信息數(shù)據(jù)私密性的考量、組織曾經(jīng)發(fā)生的信息安全事件、業(yè)務(wù)戰(zhàn)略的變化、可用性下降的需求等等。由于中小型企業(yè)的組織特性，導(dǎo)致大多中小型企業(yè)不具備自主挖掘這些目標(biāo)的良好能力，通?？赏ㄟ^行業(yè)內(nèi)交流，引入外部組織資源，展開自我風(fēng)險評估等方式進(jìn)行，具體的方式應(yīng)在基礎(chǔ)的判斷效益進(jìn)行展開，比如，設(shè)定一個基礎(chǔ)信息安全風(fēng)險管理的預(yù)算池，整體信息化資產(chǎn)及預(yù)算的1%-3%作為其預(yù)算，當(dāng)然，這個數(shù)值應(yīng)根據(jù)不同行業(yè)，不同特性，以及不同的信息化成熟度進(jìn)行不同的設(shè)定，本為中給出的值僅為示例值。在基礎(chǔ)預(yù)算池之上是根據(jù)上一年基礎(chǔ)預(yù)算池的成效和總結(jié)進(jìn)行每年的調(diào)整，最終調(diào)整到適合自身組織的定值區(qū)間。

政策的制定應(yīng)圍繞既定的目標(biāo)展開，并具備一定的延續(xù)性，中小型企業(yè)的政策設(shè)計可以根據(jù)信息安全的保密性、完整性、可用性進(jìn)行展開，同時結(jié)合不同行業(yè)業(yè)務(wù)領(lǐng)域的分布進(jìn)行展開，并可通過圖表法進(jìn)行整理與歸檔的討論。

在圖標(biāo)法中將政策所屬的領(lǐng)域、安全性分類、信息安全目標(biāo)、具體的政策內(nèi)容作為表格的主要指標(biāo)項，并對政策進(jìn)行編號，對政策的實施狀態(tài)進(jìn)行登記，首先記錄下每一個領(lǐng)域中的安全目標(biāo)，如“框架|完整性|整體信息安全目標(biāo)的達(dá)成”這樣可以幫助整個組織思考在這一安全目標(biāo)下所需的政策支持內(nèi)容有哪些，隨后進(jìn)行政策內(nèi)容的發(fā)散，可以針對同一目標(biāo)展開多個政策。而記錄政策編號以及政策的狀態(tài)以便于更好的為政策的修訂和審查做支撐。

中小型企業(yè)通過政策表，快速設(shè)定對應(yīng)的目標(biāo)以及目標(biāo)完成所需要的政策內(nèi)容，周期性評估政策是否有效，通過管理閉環(huán)不斷REVIEW及優(yōu)化政策。表的維護(hù)可根據(jù)每年的風(fēng)險評估抽檢的情況對部分政策進(jìn)行實行情況的檢查，并討論后快速迭代。不過這會受到短板效應(yīng)的影響，具體的評估范圍應(yīng)根據(jù)實際風(fēng)險管理的預(yù)算，實行管理的效益分析，發(fā)現(xiàn)風(fēng)險的情況進(jìn)行抽檢范圍的控制。

4 中小型企業(yè)的風(fēng)險管理的組織架構(gòu)

整個信息安全風(fēng)險管理的組織架構(gòu)通常分為三層架構(gòu)，即政策層、管理層、執(zhí)行層。政策層一般負(fù)責(zé)信息安全風(fēng)險管理的政策制定與信息安全風(fēng)險管理的目標(biāo)制定;管理層主要負(fù)責(zé)將頂層的政策拆分成具體的管理要求、管理策略、具體的執(zhí)行規(guī)范;執(zhí)行層負(fù)責(zé)具體的風(fēng)險管理執(zhí)行的內(nèi)容，例如風(fēng)險管理四大部分中的環(huán)境建立、風(fēng)險評估的具體實物，監(jiān)控與記錄匯總等工作。在大型企業(yè)的風(fēng)險管理往往會貫穿整個企業(yè)架構(gòu)，分層更細(xì)膩，風(fēng)險管理人員會貫穿整個組織架構(gòu)。而對于中小型企業(yè)的信息安全風(fēng)險管理人員投入往往較少，甚至可能通過外包的方式進(jìn)行。一般，頂層的風(fēng)險管理引導(dǎo)者往往是組織所有者的朋友或認(rèn)識的專業(yè)人員，管理層的工作可由一名組織內(nèi)部人員結(jié)合外部組織專業(yè)人員進(jìn)行工作分擔(dān)，而執(zhí)行層的人員可結(jié)合管理層的設(shè)計產(chǎn)物，分析現(xiàn)有人員的覆蓋范圍，從而制定新的人員結(jié)構(gòu)，一般中小型企業(yè)的執(zhí)行層亦主要由外部組織承擔(dān)，但通常在職權(quán)分離的規(guī)則下進(jìn)行，管理層的外部組織與執(zhí)行層的外部組織盡可能選擇不同的組織，以減少舞弊、片面性及其他風(fēng)險。

5 中小型企業(yè)的風(fēng)險評估計算模型的設(shè)計

中小型企業(yè)風(fēng)險評估環(huán)節(jié)中最難處理的是風(fēng)險的計算模型，現(xiàn)行我國各大測評機(jī)構(gòu)用的風(fēng)險計算模型是根據(jù)國標(biāo)GB/T 20984 信息安全風(fēng)險評估規(guī)范而制定的，使用對表法或乘積法，采用風(fēng)險值=R（安全事件的可能性，安全事件造成的影響）=R（L（T，V），F(xiàn)（Ia，Va））的公式，并將威脅可能性、脆弱性的嚴(yán)重程度、資產(chǎn)價值的分級劃分為5級進(jìn)行不同的賦值和計算。介于中小型企業(yè)在上文中提到的專業(yè)能力不足的實際情況，而風(fēng)險偏好又是一個需要組織所有者達(dá)成共識的參數(shù)。在中小型企業(yè)的風(fēng)險評估計算時，采用ISO31000的基礎(chǔ)模型將整個賦值活動放在“安全事件的可能性”與“安全事件造成的損失上”，并簡化賦值為“高”、“中”、“低”（如表1、表2）。

通過這種方法使組織所有者和各個部門的主要負(fù)責(zé)人皆可以參與安全事件發(fā)生可能性和安全事件影響的條件設(shè)定中去，這也直接關(guān)系了組織的信息安全風(fēng)險偏好。當(dāng)然，在設(shè)定這些條件時可能存在遺漏或錯誤或合理性相關(guān)的問題，這也是后期監(jiān)控，review的過程。對于中小型企業(yè)而言，這個過程亦可以通過外部組織進(jìn)行咨詢的事務(wù)，以加強(qiáng)設(shè)計的有效性。

簡化后的計算模型在計算信息安全風(fēng)險時，仍先確認(rèn)被評估的資產(chǎn)對象、挖掘其脆弱性。在脆弱性挖掘的方法上，可參考我國2個常用的標(biāo)準(zhǔn)GB/T 22239網(wǎng)絡(luò)安全等級保護(hù)基本要求及GB/T 22080 信息安全管理體系要求這兩個文件，同時結(jié)合一定的自我知識體系進(jìn)行脆弱性的判斷。根據(jù)每一個資產(chǎn)排列出所有的脆弱性，隨后針對每一個資產(chǎn)的脆弱性進(jìn)行可能產(chǎn)生的威脅排列（如表3）。

對每一個威脅利用脆弱性所產(chǎn)生的安全事件可能和安全事件影響進(jìn)行與上文中定性方法模型進(jìn)行比對，并將對應(yīng)的可能性評估，影響評估進(jìn)行填寫。在考慮這些可能性與影響時應(yīng)簡單分析攻擊路徑，以此判斷是否多個脆弱性可能產(chǎn)生聯(lián)動性影響或可能性的變化，這也是上文中強(qiáng)調(diào)需先排列出每個資產(chǎn)的所有脆弱性的原因。

中小型企業(yè)的風(fēng)險評價過程可以適當(dāng)?shù)暮喕柙陲L(fēng)險計算環(huán)節(jié)將可能性評估，影響評估取高值組合進(jìn)行最終的排列（如表4）。因為對于中小型企業(yè)來說，風(fēng)險管理的關(guān)鍵在于分析風(fēng)險及平衡效益，其關(guān)鍵在于發(fā)現(xiàn)脆弱性最嚴(yán)重的風(fēng)險情況，并幫助判斷對該風(fēng)險做何種處置。

最終每一個資產(chǎn)的每一個脆弱性對應(yīng)的最大風(fēng)險都能用表4中的表格進(jìn)行呈現(xiàn)，這里可能存在的比較可能性和影響對于風(fēng)險大小的判斷，比如，可能性中而影響高;可能性高而影響中，這兩種情況。一般在這種比較的情況下，通常來說影響大于可能性，這種判斷的機(jī)制與黑天鵝的機(jī)制相同。具體可參考表5。

當(dāng)然，中小型企業(yè)可根據(jù)自己的風(fēng)險偏好和戰(zhàn)略以及預(yù)算進(jìn)行整個風(fēng)險評估過程優(yōu)化和重新設(shè)計，但總體原則不建議復(fù)雜化整個風(fēng)險計算的過程。

6 中小型企業(yè)的風(fēng)險處置建議

通過組織會議，使各個環(huán)節(jié)的高級管理人員皆參與到風(fēng)險處置的會議之中，并通過參與風(fēng)險管理的外部組織給予一定的建議。必要的是，中小型企業(yè)的風(fēng)險處置決定應(yīng)由負(fù)責(zé)安全的責(zé)任人在得到組織所有者的認(rèn)可情況下對風(fēng)險進(jìn)行處置的決定。

在處置風(fēng)險的過程中，應(yīng)首先關(guān)注風(fēng)險處置的預(yù)期結(jié)果，處置措施計劃及措施可能帶來的風(fēng)險。處置措施計劃應(yīng)是落實到責(zé)任人與具體時間的，可使用RACI模型結(jié)合時間計劃表的形式，進(jìn)行持續(xù)跟進(jìn)和反饋。在處置完后對處置的結(jié)果進(jìn)行評價，已決定是否接受剩余的風(fēng)險，同時，這個處置的結(jié)果在每一年持續(xù)的風(fēng)險評估活動中需被關(guān)注，并根據(jù)整體風(fēng)險處置的結(jié)果已推進(jìn)持續(xù)改進(jìn)的風(fēng)險管理。

7 結(jié)束語

中小型企業(yè)作為我國經(jīng)濟(jì)發(fā)展的重要力量，隨著信息化應(yīng)用的時代潮流，信息安全風(fēng)險管理對于其而言越發(fā)重要。望通過本文對中小型企業(yè)在信息安全風(fēng)險管理上起到一定的幫助作用，為推動信息安全風(fēng)險管理的發(fā)展，減少風(fēng)險帶來的影響和可能性，增加企業(yè)效益提供支持。

參考文獻(xiàn)

[1]中華人民共和國網(wǎng)絡(luò)安全法.

[2]GB/T 22239.2019 網(wǎng)絡(luò)安全等級保護(hù)基本要求.

[3]GB/T 20984.2007 信息安全風(fēng)險評估規(guī)范.

[4]GB/T 22080.2016 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求.

[5]ISO 31000.2018 Risk management—Guidelines .

[6]ISO 27000.2018 Information technology—Security techniques—Information security management systems—Overview and vocabulary.

[7]ISO 27005.2018 Information technology-Security techniques-Information security risk management.