鲁立

(赛宝认证中心IT认证部,广东广州 510610)

优化风险管理提升信息安全管理绩效

鲁立

(赛宝认证中心IT认证部,广东广州 510610)

风险管理由风险评估开始,当前企业做风险评估时,多采取以穷举资产为起点的方法进行风险评估。这种方法存在两个弊端:一是穷举资产的工作量极大,二是无法体现过程风险对企业的影响,要提高信息安全管理的绩效,首先应优化风险评估过程。

信息安全 风险评估 管理绩效

截至2013年3季度,我国有效的ISO/IEC 27001:2005证书数量是1459家,相比2008年的140家增长了10倍,认证企业数量的增长从一个侧面反映了企业对信息安全管理的关注程度。随着对信息安全管理关注度的提高,信息安全管理的绩效也逐步为广大企业所关注,毕竟企业的盈利来源于追求以更少的投入获得更大的产出。2013年10月,国际标准化组织发布了信息安全管理体系ISO/IEC 27001:2013。新版标准明确提出了对信息安全管理绩效的关注,形成独立的条款9绩效评价。

信息安全管理新标准从风险与成本的平衡过渡到要定期报告信息安全管理绩效,反应了信息安全管理标准的发展进入成熟期,也反应了管理层面更加重视对信息安全投入的预期的监控,同时对风险管理的度量也是相关方,管理层共同关心的话题。(见ISO/IEC 27001:2013条款5．1e,5．3b,6．1．1a,6．1．1．e2,9．1等)。

如何能够提高信息安全管理体系的绩效,首先需要的信息安全管理的基础--风险评估。

1 风险评估的现状

当前许多企业以资产穷举为基础进行风险评估,这其实是一种学术方法,学术方法的特点是考虑问题的时候将输入尽可能简单化,便于形成模型。这种方法的问题在于。

(1)在企业的实际管理中,资产并不是企业关注的首要重点,业务才是企业关注的首要重点,所以直接做无差别的资产统计是无法体现企业业务实际的一项工作。

(2)在实际的业务流程中,资产价值与其承载的信息对企业业务的影响没有直接关系,例如企业价值几万元的测试服务器,其业务价值不一定比得上价值几千元的财务电脑。而穷举资产时可能直接将所有电脑列为一类,从而忽略了财务这一特殊属性,进而在后续的风险评估过程中忽略了其业务价值。

(3)企业的资产量是庞大的,没有重点的穷举信息资产的安全风险工作量太大,这不仅不利于企业识别到真正的信息安全风险,反而有可能将部分需要关注的风险隐藏起来,更无法实现企业最大化投入产出比的目标。

2 关注风险评估的真正根本-业务(过程)分析

ISO/IE27001:2013明确提出5．1领导和承诺B)确保信息安全管理体系要求整合到组织的业务过程中。要将风险评估与企业的业务过程相关联,则风险评估的基础应该是企业的业务过程分析,而资产识别应当是业务过程分析的后续工作。风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标,状况、结构、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践。风险管理不是与组织的主要活动和过程分开的孤立活动。风险管理是管理职责的部分和整合在所有组织过程中的部分,包括战略规划、所有项目、变更管理过程。

为了提高信息安全管理的绩效,可以考虑以以下流程进行风险评估。

2.1 根据企业制定的信息安全目标,分析企业的业务过程,定义风险控制的重点

在保密的三个主要属性保密性、完整性、可用性里,如网站公司通常更关注系统的可用性及信息的完整性,对保密性关注较少,相对的,对于系统集成公司,由于现阶段多数系统集成项目的时间进度的敏感性较低,所以可能对项目资料、项目信息的保密性关注较多,而可用性要求较低,这些特点应该在风险评估的特性赋值里有所体现。企业的信息安全目标是与业务目标一致的,因此新标准要求信息安全风险管理要聚焦信息,而信息是融合在整个业务流程中,新的标准肯定了管理层面以业务价值为基础,识别信息,确定信息的价值,也很方便与其他以业务流程为基础的ISO管理标准相融合。(见ISO/IEC 27001:2013条款6．1．2a)建立并保持信息安全风险准则,包括:b)执行信息安全风险评估的准则)。本文后续以系统集成企业为例进行探讨风险评估过程。

2.2 分析具体一个业务流程的过程划分

如系统集成业务可分为:售前、实施、售后三个阶段。以售前阶段为例:销售与客户初步沟通形成需求文档,项目经理配合销售形成方案,与客户沟通方案,方案定稿形成投标文件(包括技术标和商务标)。可以发现在售前过程中重要的信息有3个:客户需求;技术方案,报价文件。如何能够保护好这三个信息？这就涉及到如何管理好信息相关的人、机、料、法、环。本文后续以技术方案为例探讨风险评估过程。

2.3 列举与技术方案相关的风险点

人:项目组人员(技术方案一般涉及技术支持部、销售部、采购部的人员)。人员风险可分解为有意泄密和无意泄密。对有意泄密可通过设置访问权限、管理移动存储设备使用权限等方式减少信息接触面,实现只有必须了解信息的人才接触到信息,同时以保密协议做为法律警示,对无意泄密则应加强宣传与培训,实际工作中,许多企业的安全培训局限于技术层面,例如只是不断地重复告诉员工敏感信息要加密后才能发送邮件,但是具体什么文件属于敏感信息却没有说明,或只告诉员工要关注信息安全,却没有深入解释信息安全包括可用性,完整性,保密性三种属性,及每种属性为什么需关注,需关注到什么程度,导致员工的理解不足,执行似是而非。

机:项目人员的计算机、项目资料存放的服务器、打印机、移动存储介质等。这类风险在于损坏和非授权访问。对机器损坏可通过备份、容灾等方式防范,对于非授权访问,则涉及到木马及病毒控制、以及访问权限复查、数据加密存储等技术维护手段。

料:信息主体技术方案。

法:信息产生过程、如OA流程、项目会议,过程风险是目前在企业信息安全管理中关注较少的一环,举例:如果将项目会议安排在会客室旁边的会议室,则项目的细节就有可能传递到隔壁;另OA的权限如划分不够细致则可能扩大信息的扩散面。

环:信息传递的外部环境,如介质传递的供应商,网络环境,如VPN、专线、互联网等等。

2.4 整理控制措施

例如OA会涉及到口令强度、访问控制、供电、备份等等风险。信息安全风险在新标准里变得更加生动,中性,风险也可能意味着机会。对信息安全风险的偏好与态度完全与组织的全面风险管理框架相融合。(见ISO/IEC 27001:2013条款 6．1．1．d/e,6．1．2．C2;)。同时需要注意风险管理是一个动态的、循环的过程。在风险应对办法实施之后,还应该对风险管理的效果进行评价,对整个过程进行改进,借助风险管理信息系统等信息化手段,将风险管理贯彻在企业的经营活动中,循环执行。“唯一不变的就是变化本身”,企业所面临的外部和内部环境时刻都在变化。因此,风险管理不是一个一劳永逸的制度设计,而是一种与企业经营活动一样的管理过程,是手段而非目的。

通过对10余家企业同时采用两种风险评估方式的风险评估结论进行对比,以本文描述的方法进行风险评估简称方法A,传统的以资产穷举为起点的风险评估简称方法B。对比工作量,方法A只有方法B的工作量的70%,而最终得出的高风险数量方法A比方法B多。因为,方法A关注到了过程风险,可以使企业的风险管理更全面,更贴近企业的业务实际。

3 结语

风险评估的模型很多,如:PFMEA -- Process Failure Mode Effect Analyse过程失效模式风险评估;RPN -- Risk Priority Number风险优先指数等等,但不论以那种方法进行风险评估,一定不能忽略业务过程。以业务过程为起点进行风险评估、可减少资产风险评估阶段的工作量,避免忽略过程风险,为企业的风险管理提供真正有效的输入,从而提高信息安全管理的绩效。

[1]ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls.

[2]ISO 31000:2009Risk management -- Principles and guidelines.