信息安全风险管理实践

闫翠英 张玲玲

摘要：随着信息化进程的不断推进，公司业务对信息技术的依赖程度不断加强，信息安全保障问题显得日益突出，提升稳定、安全的IT服务能力逐渐成为一个关系公司稳健运营、保持竞争优势的关键问题之一。正是在这样的背景下，公司希望通过IT风险管理体系建设与实施，能有效评估IT风险，制定相应控制措施，满足包括《企业内部控制基本规范》、《信息系统安全等级保护基本要求》等上级监管部门的合规要求，提高公司信息系统的可靠性和安全性，防范信息系统事故发生，提升公司的形象。

关键词：信息安全;风险管理;实践分析

1IT风险管理趋势的理解

在信息化工作的不断深入过程中，公司在全面IT风险管理领域，还需要对一系列问题进行深入理解、实践与改进，包括：

·如何建立有效的IT风险治理体系，与业务风险管理体系紧密契合？

·如何识别潜在的IT风险，并进行合理的评估？

·面对多层面、多维度、有互相交互的IT风险，应如何对其进行有效管理？

·如何将IT风险管理体制与企业日常IT管理和运营相融合？

·IT风险管理的角色、责任和义务是否合理或明确？

2信息安全风险的定义及描述

根据通用的风险定义，信息安全风险为对企业信息安全管理的基本目标产生负面影响的不确定性。企业信息安全管理的基本目标即信息资产的保密性、准确性、可用性。

·保密性：信息不可用或不被泄漏给未授权的个人、实体和过程的特性;

·准确性：即数据文件、信息处理设施和系统资源内容的准确性和完整性;

·可用性：需要时，授权实体（例如公司业务运作相关人员）可以访问和使用的特性。

3信息安全风险评估

风险评估

识别风险

任务一： 确定风险管理对象、目标和范围

该任务中，将对信息安全风险管理对象和风险目标进行识别、确定风险管理对象的评估范围和边界。信息安全管理有着其明确的保护对象，即企业的信息资产。信息安全风险管理的目标包括信息资产的保密性、准确性和可用性。

任务二： 识别资产，建立资产清单

根据公司现有的信息资产清单，结合访谈结果，识别完成关键业务或保证系统正常运转所需要的资产，识别内容包括基础信息资产，如流程/服务资产类、数据资产类;以及支持性信息资产，如实物资产类、软件资产类和硬件资产类等。

风险分析和评价

任务一：评估信息资产价值

该任务中将对风险识别步骤中创建的资产档案中的具体资产（组），根据保密性、准确性（完整性）、可用性三个风险管理目标进行估值，并将评估结果在资产档案中进行更新。

任务二：固有风险分析和评价

当信息资产识别与评估完成后，根据“识别风险”阶段所形成的资产-威胁-弱点关联进行分析。通过威胁利用弱点对资产价值的潜在损害确定风险影响，根据威胁可能性和弱点被威胁利用的难易度确定风险可能。

任务三： 识别现有控制

将主要基于公司现有的信息安全有关的IT制度、流程、内部控制体系建设的成果，对信息安全风险对应的现有控制进行识别。控制识别的基本思路可基于ISO27001的安全控制领域和控制措施展开，在所评估的组织范围内建立企业的信息安全制度体系（管理办法、标准、流程、指南等）与ISO27001的映射关系，从而识别现有控制与ISO27001控制措施要求的差距。

风险应对

确定风险处置方案

风险处置将依赖于风险评估的结果，根据公司风险策略中对于风险偏好和容忍度的规定，考虑预计实施成本及预期收益来选择行而有效的风险处置选项。在选择具体风险处置方案（控制措施）的时候，还将参考如下国内标准、法规政策和国际标准，如：ISO27000系列标准、信息系统安全等级保护基本要求。

风险控制的方法选择主要需要参考以下两个方面：

·风险可能造成的危害性;

·风险处置方案的可行性，它需对成本因素、技术实现的难度、技术的成熟度以及对企业现有业务系统的影响等各方面进行综合考虑。

在大多数情况下，必须选择控制项来降低风险。需要在每个目标信息环境中，对选择的控制项进行实施，以便遵从ISO/IEC27001标准。企业选择能够承受（经济上）的防护措施来防护面临的威胁，制订风险控制计划。风险控制计划的主要内容包括：

·风险控制任务和职责;

·风险控制责任人;

·风险控制执行的优先级。

通过风险控制计划的实施，企业应该尽其所能针对ISO/IEC27001中的标准内容在管理、技术、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作。如下所示：

·劝止：降低威胁的可能性;

·防止：保护或降低资产的脆弱性;

·纠正：降低风险和影响的损失;

·检测：检测攻击和安全的脆弱性，针对攻击建立防护和纠正措施;

·恢复：恢复资源和能力;

·补偿：对控制措施的替代方案。

实施风险处置

任务一： 设计信息安全管理体系文件架构

风险处置计划为信息安全风险管理指出了适当的管理措施、职责和优先级。通常情况下，需通过建立并运行信息安全管理体系来实施风险处置计划。将依据ISO/IEC 27001标准，对公司已有的信息安全制度和流程体系进行分类、梳理，建立符合ISO/IEC 27001要求的信息安全管理體系（ISMS）架构。

任务二：准备适用性声明

ISO27001的附录A中提供了控制目标及控制措施，这些控制目标与控制措施都是全球业界的最佳实践。ISO27001认证要求实施ISMS的组织要有对所有这些控制目标和控制措施进行适用性的声明。在本阶段准备适用性声明（SoA），将以下几方面准备适用性声明：

·所选择的控制目标和控制措施，以及选择的理由;

·当前实施的控制目标和控制措施;

·对ISO27001附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。

任务三：现有制度梳理、优化和补充

根据信息安全管理体系的文件架构要求，通常需要对公司现有的制度进行整合、修订与补充。对于制度的修订需符合下列原则：

·明确安全制度发布、审核、执行、监督的职能分工;

·最小化业务影响;

·兼顾制度的约束力与执行力。

此外在对现有制度的整合、修订与补充过程中，须确保这些范围之间对较高层次的ISMS体系文件（制度、标准）执行的一致性，同时也要考虑到不同实体的业务特殊性而对低层次的ISMS体系文件（指引、操作程序等）进行有针对性的定制。

管理层评审

依据ISO27001要求，管理者应定期（至少每年1次）评审组织的ISMS，以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件，记录应加以保持。

公司建立管理层评审机制，评审内容应包括以下几个方面：

·组织用于改进ISMS执行情况和有效性的技术、产品或程序;

·预防和纠正措施的状况;

·以往风险评估没有充分强调的脆弱点或威胁;

·有效性测量的结果;

·可能影响ISMS的任何变更;

·以往管理评审的跟踪措施。

通过上述方法和实践，参照国际先进的信息风险管理体系和各类国际最佳IT实践，帮助公司建立先进的信息安全风险管理体系和设计相应的风险管理措施，公司形成了完整的信息安全风险管理的方法论及能有效开展信息安全风险的管理工作模式。能有效的实现对信息安全风险的识别、计量、监测和控制，以及对控制有效性衡量和监控，确保IT对业务的可靠支撑，促进我公司信息系统安全、持续、稳健地运行，增强公司核心竞争力和可持续发展能力。