基于風險管理的信息安全管理體系建設及審核

李莉 呂敏

摘 要：研究了風險管理在信息安全管理體系建設過程中的指導作用，提出了在信息安全管理體系建立和審核階段結合風險管理思想的實現側重點，指出了在具體ISMS審核環節的關注要點，這些建議對于信息安全管理體系的建設方和審核方都具有指導意義。

關鍵詞：風險管理；信息安全管理體系；ISMS審核

隨著經濟全球化的發展，組織在業務開展過程中面臨的風險日益增多。各類組織面對繁雜的經濟社會環境和不斷變化的法律法規、政策、技術變化，對提高組織的風險管理水平、建設信息安全管理體系、增強防范風險的能力有著迫切的需求。本文介紹了基于風險管理思想的信息安全管理體系策劃和實施過程，并從第三方審核的角度對信息安全管理體系的建立要點進行了分析。這對組織信息安全管理體系建設具有積極的指導作用。

1 ISO 31000簡介

ISO于2009年發布了《ISO 31000：2009風險管理——原則與指南》，最新版本為2018版。ISO 31000風險管理實踐性指南是通用的安全風險管理標準，促使組織結合運用先進的風險管理理論和業界普遍的良好實踐來實現組織的風險管理活動。該標準不局限于財務、人力資源、法務、信息安全等行業或業務，對組織運營過程全周期的所有業務都有指導作用。

相比于傳統的風險管理方法，ISO 31000風險管理指南強調要充分考慮組織環境的變化，適應這種變化，在事前、事中積極應對風險，而不僅限于追責和修正式的事后反應。同時，ISO 31000建議將風險管理提升到組織業務方針的高度，不局限為某一風險管理部門的職責，更不能由各個部門割裂開來分別考慮局部的風險情況。

應用ISO 31000風險管理指南，組織可以識別冗余的控制，減少管理成本；在一定程度上提高組織識別和遵守法規和國際規范的能力；提高應對風險和利用機會的能力，改善組織配置資源的效率；提高組織的管理水平，促進相關方對組織的信任。

ISO 31000的風險管理框架高度抽象，由11項風險管理原則、6個風險管理框架組成部分和5個相關聯的風險處理流程組成。指南從原則和方法論的高度，提出了風險管理原則和概念性的方法，對組織的風險體制提出了指導性意見，組織應用這個框架時要充分考慮組織自身的實際情況，結合業務具體流程，而不是簡單套用ISO 31000的框架[1]。

2 ISMS簡介

ISMS（information security management systems，信息安全管理體系）源于國際標準ISO/IEC 17799。2005年，國際標準化組織對該標準重新編號，規劃為ISO/IEC 27002。目前該標準簇包括20多個標準，其中ISO/IEC 27001和ISO/IEC 27002被我國同等采用為GB/T 22080和GB/T 22081。這兩個標準是協議簇中最重要的兩個標準。建立ISMS管理體系，就是依據ISO/ IEC27000標準簇建立組織的信息安全管理體系[2-4]。

ISMS與其他風險評估評測制度的重要區別在于其實踐性，關注信息系統在特定應用場景中的安全風險，是一種實踐指南。

3 ISO 31000對ISMS的指導作用

ISO 31000指南應用廣泛，ISMS的風險管理流程就是按照ISO 31000的風險框架實施的。ISO 31000的風險管理框架由5個相關聯的風險處理流程組成，分別是風險管理框架的授權與承諾、設計、實施、監測評審和改進。這個框架與ISMS管理體系中的PDCA循環（計劃、執行、檢查、改進）本質上是一致的。

ISMS的風險管理流程可分為幾個步驟，如圖1。

信息安全風險管控流程主要分為風險評估和風險處置兩個階段。組織實施信息安全評估和風險處置的過程要滿足組織的環境及其相關方的要求，將這些要求融入到風險管控過程，并針對意外的影響，制定有效的應急措施。ISMS要求實施信息安全風險評估，執行風險分析和風險評價。ISO 27001：2013標準在信息安全風險識別方面不再局限于以資產識別為導向，而是引入ISO 31000的指導思想，可以采用任何適用的方式進行風險識別，情景分析法、頭腦風暴法都是有效的風險識別方法。

組織應制定信息資產識別分類辦法，形成風險評估的信息資產清單。根據信息資產機密性、完整性和可用性的賦值，加權計算出重要信息資產。根據資產本身的脆弱性和威脅發生的可能性及導致后果的嚴重程度，計算出威脅和脆弱性。結合資產重要性、脆弱性大小和威脅大小，依據組織的風險評價方法，得出組織的風險評價表。根據風險評價準則，判斷各個風險能否接受。對于不能接受的風險，需要進一步進行風險處置。風險處置要依據組織的風險處置計劃，形成不可接受風險的控制措施列表。風險處置后再次評價風險接受情況。風險處置的結果有可能是風險降低，但也有可能是隨著新風險處置措施的引入，風險會升高或帶來新的威脅。風險處置后應形成殘余風險報告，風險處置報告需要風險責任人批準。如果風險責任人接受風險處置報告，風險處置結束；若不接受，需要繼續進行風險處置，直到殘余風險在可接受范圍內。信息安全是一個相對的概念，組織通常需要權衡信息安全水平和付出的時間、人力、財務成本等，平衡這些因素是否在組織能接受的范圍內。

ISMS體系建立不是一蹴而就的過程，組織應按照ISMS管理體系要求，進行績效評價和體系改進。按照計劃實施信息安全內部審核和管理評審，糾正發現的不合格，制定糾正措施，實現持續改進，實現ISO 31000要求的監測和改進循環。

4 ISMS審核實踐

4.1 管理溝通

理解并確定組織的內外部環境是建立ISMS的前提條件。組織建立該體系的動機可能是為了提升自身管理水平，也可能是出于市場壓力，為了滿足市場要求。在審核時首先應當與管理層溝通，了解組織建立ISMS的目的。對組織的信息安全外部環境，主要從政策法規、物理環境、網絡環境、市場和供方的信息安全要求等方面考慮。了解組織的內部環境，主要考慮組織的技術資源、網絡設備資源和人力資源等。了解組織的相關方在信息安全方面的要求，包括國家政策、主管機構、客戶和供方、審計認證機構，甚至訪客等各種相關方對組織信息安全的要求。全面了解組織所處的內外部環境和相關方要求，有利于提高審核的有效性和針對性。

4.2 信息安全管理體系核心

信息安全管理體系的核心包括策劃和運行兩個核心環節，即策劃應對風險和機會的措施，并運行信息安全管理體系。

信息安全風險策劃環節主要審核組織的安全風險管控流程滿足ISO 27001標準的程度。策劃的信息安全風險評估和處置程序應具有完備性和可執行性，且風險評估的結果應與預期一致。風險評估和處置可以從組織的角度進行，也可以在部門的范圍內執行。部門的信息安全風險評估和處置記錄可以是獨立的，也可以是整個組織評估記錄的一部分，記錄的形式，不影響風險評估和處置的執行。

風險評估方法要滿足27001標準的要求，具有可操作性，組織需要考慮業務的風險因素，評估結果能夠再現。組織信息資產的收集和風險分析要覆蓋信息安全管理體系的范圍。組織提供的風險評估報告及其重要資產清單要與信息安全管理體系的范圍相適應，符合組織的信息安全現狀。風險評估應當作為常規性的工作，在風險策劃階段就考慮和確定風險評估的時間間隔，規定重新啟動風險評估程序的特殊情況。根據組織規模的大小，風險評估和處置可能由組織統一規劃發起，對于較大的組織，也可以由各個部門自行規劃實施。

風險處置是整個風險管控流程中的重要環節。信息安全風險評估和處置主要關注信息安全管控流程和信息安全風險管控的實施結果。依據風險值大小，風險處置計劃對風險的處置方式有降低、保留、規避或轉移風險等多種方式。其中購買商業保險是轉移風險的一個例子。風險處置的原則是適度接受風險，即根據組織可接受的處置成本，將殘余風險控制在可以接受的范圍內。風險接受的前提是確定信息系統的風險等級，評估風險發生的可能性和潛在的破壞性，分析使用處理措施的可能性，并進行成本效益分析，確定特定信息資產是否需要進一步保護。同時信息安全風險處置計劃應得到監視和評審，殘余風險要控制在組織可接受的范圍之內并得到領導層的批準。組織的各個部門可以單獨制定信息安全風險處置計劃，較小的組織也可以只在IT部門進行風險處置。

4.3 信息安全管理體系全周期審核

上述策劃和運行是信息安全管理體系的主要環節，信息安全的評測和改進環節組成了完整的信息安全管理體系周期。

信息安全風險的績效評價是PDCA循環中的測量部分，通過對管理體系執行效果評價促進管理體系完善。測量分為定期測量和不定期測量。內部審核和管理評審屬于定期測量；不定期測量包括對控制措施的檢查和對風險變化的監視和測量。風險本身是隨著環境變化的，受到物理環境、政策等各種因素的影響，風險管理本身是一種動態管理。

不符合的糾正和持續改進是PDCA循環中的改進環節，是解決問題實現改進的關鍵階段。組織要針對不符合進行糾正，分析原因，制定和執行糾正措施，評審糾正措施的有效性；持續改進體現了組織管理者對信息管理體系的期望，重點關注體系運行效果、現存問題、采取的糾正措施和持續改進計劃。

4.4 信息安全控制目標

ISO 27001附錄中涉及眾多安全類別和控制項目，這些內容是業界安全風險控制的良好實踐總結，也是運行信息安全管理體系的具體要求。安全控制分為通用控制和專用控制。通用控制措施適用于所有部門和業務過程，如資產管理、訪問控制和信息安全事件管理等；專用控制措施只適用于特殊的職能部門和業務過程，如系統開發安全、人力資源安全、供應商關系、業務連續性管理的信息安全等。組織應當給出SoA（statement of applicability，適用性聲明）文件，聲稱滿足全部或部分的控制措施，或者聲稱有增強的安全要求，能夠滿足超出附錄的更多的安全控制目標。對于刪減的安全控制措施，應給出合理的理由。

安全目標描述了實現安全控制目標的具體方法，組織在建立信息安全管理體系的過程中，可以參考安全目標，提高體系建立的有效性。

4.5 信息安全策略與組織安全

信息安全策略集應當由管理者批準并傳達給所有員工和外部相關方，同時注意保密要求，某些控制策略，如網絡安全訪問策略不能被外界獲知。

組織內部應建立管理框架，合理劃分角色，實現職責分離，防止人員職責過于集中而增加發生差錯、舞弊和掩飾的可能性。組織應維護與網信辦、網絡監管部門、安全論壇等機構的聯系，以應對自身無法解決的信息安全事件。組織的信息安全管理應深入到項目管理中，將項目的信息安全風險納入信息安全風險評估的過程。如果有信息安全事件發生，應追蹤審核。

4.6 信息資產安全

組織應建立和維護信息資產清單，指定信息資產責任人，制定信息資產使用規定文件。組織的信息資產應當分級，按照標記規程進行標記，并依據資產的重要程度進行適當水平的保護及備份。標記規程要適應企業實際，不恰當的標記反而會增加信息資產的風險。組織應根據資產分級，制定存儲介質管理規程，對U盤、機械硬盤或紙質文件等存儲介質的使用、轉移、損壞、報廢、銷毀等作出規定。

4.7 訪問控制

訪問控制是實現信息安全管理目標的重要措施之一。組織應編制針對物理設備、網絡、網絡服務、信息系統等的訪問控制策略。其中網絡和網絡服務是信息安全風險管理的關鍵部分，網絡訪問策略包括允許策略、限制策略、訪客策略、防火墻策略、行為管理策略等。用戶訪問管理應確保授權用戶的訪問，并防止未授權的訪問。門禁系統、OA、網絡、郵件系統、財務系統等都應實現正式的用戶注冊、注銷過程。由于數據關聯性，用戶注銷不等同于賬戶刪除，可能通過賬戶禁用或撤銷權限的方式實現注銷。一般信息系統設定多個角色，通過指定用戶角色的方式分配用戶權限。超級用戶應有操作日志，以監督其特許訪問權限的使用情況。用戶對信息系統的視圖應與其權限相一致，應有登錄規程、口令管理、限制特權程序、限制對源代碼的訪問等。

4.8 通信安全

通信安全涉及網絡安全管理和信息傳輸安全。組織的網絡拓撲圖一般涉及主機、服務器、路由器、交換機、防火墻、IDS（intrusion detection system，入侵檢測系統）、IPS（intrusion prevention system，入侵防御系統）、上網行為管理服務器、無線AP（access point，無線接入點）、無線控制器等。組織的網絡規劃應融合網絡服務訪問控制要求，網絡的安全機制和服務級別體現在網絡服務協議中。常見的網絡安全措施有網絡設備入網管理、基于VPN（virtual private networks，虛擬專用網）的網絡傳輸安全控制、防火墻設備、部署上網行為管理、在網絡交換機中部署ACL（access control list，訪問控制列表）等。組織可通過物理或邏輯方式實現網絡隔離。網絡隔離可以通過劃分子網或VLAN（virtual local area network，虛擬局域網）的方式實現。組織應制定信息傳輸策略和規程，確保組織內部與外部的信息傳輸安全。確保工作中涉及的電子信息安全。保證電子信息傳輸安全的方式有郵件加密協議、SSL（secure sockets layer，安全套接字）協議、SET（secure electronic transaction，安全電子交易）協議。組織還應針對不同的工種簽訂不同的保密協議。

4.9 其他關注點

信息安全管理體系審核還涉及密碼控制。密碼控制不同于口令，應選擇適合組織業務的對稱或非對稱加密技術，制定和實現組織業務生命周期的密鑰使用和保護策略，避免使用非公開加密算法。確保物理和環境安全，防止未授權人員進入特定區域，防護自然災害和意外的發生[5-7]。

5 結束語

組織將風險管理思想融入到信息安全管理體系建立和運行過程中，從技術和管理兩個方面著手，同時借鑒第三方審核的經驗，提高信息安全管理體系運行的有效性，促進組織業務持續高效發展，實現組織和相關方的利益共贏[8]。

參考文獻：

[1] CHOO B S，GOH J C.Adapting the ISO 31000：2009 enterprise risk management framework using the six sigma approach[C].2014 IEEE International Conference on Industrial Engineering and Engineering Management：39-43，Bandar Sunway，2014.

[2] 濮燁青.基于ISO27000系列標準的本體建模與評估技術研究及應用[D].上海：上海交通大學，2017.

[3] 聶自闖.基于SDN的IoT設備細粒度訪問控制研究與實現[D].重慶：重慶郵電大學，2019.

[4] 魏建清.信息安全管理體系建設探析[J].上海質量，2013（08）： 45-47.

[5] 張雅慧.A公司信息安全管理的問題與策略研究[D].泉州：華僑大學，2019.

[6] 李存建，李素鵬.論我國等同采用國際風險管理標準的必要性[J].中國標準化，2010（04）：26-29.

[7] 丁艷玲.風險管理理念在專利管理中的應用[J].中國發明與專利， 2011（03）：91.

[8] 黃水清，任妮.對《數字圖書館安全管理指南》及其“解讀”的辨析[J].中國圖書館學報，2012，38（01）：25-33.