信息安全風險管理實踐

閆翠英 張玲玲

摘要：隨著信息化進程的不斷推進，公司業務對信息技術的依賴程度不斷加強，信息安全保障問題顯得日益突出，提升穩定、安全的IT服務能力逐漸成為一個關系公司穩健運營、保持競爭優勢的關鍵問題之一。正是在這樣的背景下，公司希望通過IT風險管理體系建設與實施，能有效評估IT風險，制定相應控制措施，滿足包括《企業內部控制基本規范》、《信息系統安全等級保護基本要求》等上級監管部門的合規要求，提高公司信息系統的可靠性和安全性，防范信息系統事故發生，提升公司的形象。

關鍵詞：信息安全;風險管理;實踐分析

1IT風險管理趨勢的理解

在信息化工作的不斷深入過程中，公司在全面IT風險管理領域，還需要對一系列問題進行深入理解、實踐與改進，包括：

·如何建立有效的IT風險治理體系，與業務風險管理體系緊密契合？

·如何識別潛在的IT風險，并進行合理的評估？

·面對多層面、多維度、有互相交互的IT風險，應如何對其進行有效管理？

·如何將IT風險管理體制與企業日常IT管理和運營相融合？

·IT風險管理的角色、責任和義務是否合理或明確？

2信息安全風險的定義及描述

根據通用的風險定義，信息安全風險為對企業信息安全管理的基本目標產生負面影響的不確定性。企業信息安全管理的基本目標即信息資產的保密性、準確性、可用性。

·保密性：信息不可用或不被泄漏給未授權的個人、實體和過程的特性;

·準確性：即數據文件、信息處理設施和系統資源內容的準確性和完整性;

·可用性：需要時，授權實體（例如公司業務運作相關人員）可以訪問和使用的特性。

3信息安全風險評估

風險評估

識別風險

任務一： 確定風險管理對象、目標和范圍

該任務中，將對信息安全風險管理對象和風險目標進行識別、確定風險管理對象的評估范圍和邊界。信息安全管理有著其明確的保護對象，即企業的信息資產。信息安全風險管理的目標包括信息資產的保密性、準確性和可用性。

任務二： 識別資產，建立資產清單

根據公司現有的信息資產清單，結合訪談結果，識別完成關鍵業務或保證系統正常運轉所需要的資產，識別內容包括基礎信息資產，如流程/服務資產類、數據資產類;以及支持性信息資產，如實物資產類、軟件資產類和硬件資產類等。

風險分析和評價

任務一：評估信息資產價值

該任務中將對風險識別步驟中創建的資產檔案中的具體資產（組），根據保密性、準確性（完整性）、可用性三個風險管理目標進行估值，并將評估結果在資產檔案中進行更新。

任務二：固有風險分析和評價

當信息資產識別與評估完成后，根據“識別風險”階段所形成的資產-威脅-弱點關聯進行分析。通過威脅利用弱點對資產價值的潛在損害確定風險影響，根據威脅可能性和弱點被威脅利用的難易度確定風險可能。

任務三： 識別現有控制

將主要基于公司現有的信息安全有關的IT制度、流程、內部控制體系建設的成果，對信息安全風險對應的現有控制進行識別。控制識別的基本思路可基于ISO27001的安全控制領域和控制措施展開，在所評估的組織范圍內建立企業的信息安全制度體系（管理辦法、標準、流程、指南等）與ISO27001的映射關系，從而識別現有控制與ISO27001控制措施要求的差距。

風險應對

確定風險處置方案

風險處置將依賴于風險評估的結果，根據公司風險策略中對于風險偏好和容忍度的規定，考慮預計實施成本及預期收益來選擇行而有效的風險處置選項。在選擇具體風險處置方案（控制措施）的時候，還將參考如下國內標準、法規政策和國際標準，如：ISO27000系列標準、信息系統安全等級保護基本要求。

風險控制的方法選擇主要需要參考以下兩個方面：

·風險可能造成的危害性;

·風險處置方案的可行性，它需對成本因素、技術實現的難度、技術的成熟度以及對企業現有業務系統的影響等各方面進行綜合考慮。

在大多數情況下，必須選擇控制項來降低風險。需要在每個目標信息環境中，對選擇的控制項進行實施，以便遵從ISO/IEC27001標準。企業選擇能夠承受（經濟上）的防護措施來防護面臨的威脅，制訂風險控制計劃。風險控制計劃的主要內容包括：

·風險控制任務和職責;

·風險控制責任人;

·風險控制執行的優先級。

通過風險控制計劃的實施，企業應該盡其所能針對ISO/IEC27001中的標準內容在管理、技術、邏輯、物理和環境控制方面進行勸止、防護、檢測、糾正、恢復和補償工作。如下所示：

·勸止：降低威脅的可能性;

·防止：保護或降低資產的脆弱性;

·糾正：降低風險和影響的損失;

·檢測：檢測攻擊和安全的脆弱性，針對攻擊建立防護和糾正措施;

·恢復：恢復資源和能力;

·補償：對控制措施的替代方案。

實施風險處置

任務一： 設計信息安全管理體系文件架構

風險處置計劃為信息安全風險管理指出了適當的管理措施、職責和優先級。通常情況下，需通過建立并運行信息安全管理體系來實施風險處置計劃。將依據ISO/IEC 27001標準，對公司已有的信息安全制度和流程體系進行分類、梳理，建立符合ISO/IEC 27001要求的信息安全管理體系（ISMS）架構。

任務二：準備適用性聲明

ISO27001的附錄A中提供了控制目標及控制措施，這些控制目標與控制措施都是全球業界的最佳實踐。ISO27001認證要求實施ISMS的組織要有對所有這些控制目標和控制措施進行適用性的聲明。在本階段準備適用性聲明（SoA），將以下幾方面準備適用性聲明：

·所選擇的控制目標和控制措施，以及選擇的理由;

·當前實施的控制目標和控制措施;

·對ISO27001附錄A中任何控制目標和控制措施的刪減，以及刪減的合理性說明。

任務三：現有制度梳理、優化和補充

根據信息安全管理體系的文件架構要求，通常需要對公司現有的制度進行整合、修訂與補充。對于制度的修訂需符合下列原則：

·明確安全制度發布、審核、執行、監督的職能分工;

·最小化業務影響;

·兼顧制度的約束力與執行力。

此外在對現有制度的整合、修訂與補充過程中，須確保這些范圍之間對較高層次的ISMS體系文件（制度、標準）執行的一致性，同時也要考慮到不同實體的業務特殊性而對低層次的ISMS體系文件（指引、操作程序等）進行有針對性的定制。

管理層評審

依據ISO27001要求，管理者應定期（至少每年1次）評審組織的ISMS，以確保其持續的適宜性、充分性和有效性。評審應包括評估ISMS改進的機會和變更的需要，包括信息安全方針和信息安全目標。評審的結果應清晰地形成文件，記錄應加以保持。

公司建立管理層評審機制，評審內容應包括以下幾個方面：

·組織用于改進ISMS執行情況和有效性的技術、產品或程序;

·預防和糾正措施的狀況;

·以往風險評估沒有充分強調的脆弱點或威脅;

·有效性測量的結果;

·可能影響ISMS的任何變更;

·以往管理評審的跟蹤措施。

通過上述方法和實踐，參照國際先進的信息風險管理體系和各類國際最佳IT實踐，幫助公司建立先進的信息安全風險管理體系和設計相應的風險管理措施，公司形成了完整的信息安全風險管理的方法論及能有效開展信息安全風險的管理工作模式。能有效的實現對信息安全風險的識別、計量、監測和控制，以及對控制有效性衡量和監控，確保IT對業務的可靠支撐，促進我公司信息系統安全、持續、穩健地運行，增強公司核心競爭力和可持續發展能力。