基于風(fēng)險管理的信息安全管理體系建設(shè)及審核

作者簡介：李莉，主要從事信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全研究和測試工作。呂敏，主要從事通信安全生產(chǎn)、風(fēng)險評估以及相關(guān)科研管理工作。

隨著經(jīng)濟全球化的發(fā)展，組織在業(yè)務(wù)開展過程中面臨的風(fēng)險日益增多。各類組織面對繁雜的經(jīng)濟社會環(huán)境和不斷變化的法律法規(guī)、政策、技術(shù)變化，對提高組織的風(fēng)險管理水平、建設(shè)信息安全管理體系、增強防范風(fēng)險的能力有著迫切的需求。本文介紹了基于風(fēng)險管理思想的信息安全管理體系策劃和實施過程，并從第三方審核的角度對信息安全管理體系的建立要點進行了分析。這對組織信息安全管理體系建設(shè)具有積極的指導(dǎo)作用。

1   ISO 31000簡介

ISO 于2009 年發(fā)布了《ISO 31000:2009 風(fēng)險管理——原則與指南》，最新版本為2018 版。ISO 31000風(fēng)險管理實踐性指南是通用的安全風(fēng)險管理標準，促使組織結(jié)合運用先進的風(fēng)險管理理論和業(yè)界普遍的良好實踐來實現(xiàn)組織的風(fēng)險管理活動。該標準不局限于財務(wù)、人力資源、法務(wù)、信息安全等行業(yè)或業(yè)務(wù)，對組織運營過程全周期的所有業(yè)務(wù)都有指導(dǎo)作用。

相比于傳統(tǒng)的風(fēng)險管理方法，ISO 31000 風(fēng)險管理指南強調(diào)要充分考慮組織環(huán)境的變化，適應(yīng)這種變化，在事前、事中積極應(yīng)對風(fēng)險，而不僅限于追責(zé)和修正式的事后反應(yīng)。同時，ISO 31000 建議將風(fēng)險管理提升到組織業(yè)務(wù)方針的高度，不局限為某一風(fēng)險管理部門的職責(zé)，更不能由各個部門割裂開來分別考慮局部的風(fēng)險情況。

應(yīng)用ISO 31000 風(fēng)險管理指南，組織可以識別冗余的控制，減少管理成本；在一定程度上提高組織識別和遵守法規(guī)和國際規(guī)范的能力；提高應(yīng)對風(fēng)險和利用機會的能力，改善組織配置資源的效率；提高組織的管理水平，促進相關(guān)方對組織的信任。

ISO 31000 的風(fēng)險管理框架高度抽象，由11 項風(fēng)險管理原則、6 個風(fēng)險管理框架組成部分和5 個相關(guān)聯(lián)的風(fēng)險處理流程組成。指南從原則和方法論的高度，提出了風(fēng)險管理原則和概念性的方法，對組織的風(fēng)險體制提出了指導(dǎo)性意見，組織應(yīng)用這個框架時要充分考慮組織自身的實際情況，結(jié)合業(yè)務(wù)具體流程，而不是簡單套用ISO 31000 的框架^[1]。

2   ISMS簡介

ISMS（information security management systems，信息安全管理體系）源于國際標準ISO/IEC 17799。2005 年，國際標準化組織對該標準重新編號，規(guī)劃為ISO/IEC 27002。目前該標準簇包括20 多個標準，其中ISO/IEC 27001 和ISO/IEC 27002 被我國同等采用為GB/T 22080 和GB/T 22081。這兩個標準是協(xié)議簇中最重要的兩個標準。建立ISMS 管理體系，就是依據(jù)ISO/IEC27000 標準簇建立組織的信息安全管理體系^[2-4]。ISMS 與其他風(fēng)險評估評測制度的重要區(qū)別在于其實踐性，關(guān)注信息系統(tǒng)在特定應(yīng)用場景中的安全風(fēng)險，是一種實踐指南。

3   ISO 31000對ISMS的指導(dǎo)作用

ISO 31000 指南應(yīng)用廣泛，ISMS 的風(fēng)險管理流程就是按照ISO 31000 的風(fēng)險框架實施的。ISO 31000 的風(fēng)險管理框架由5 個相關(guān)聯(lián)的風(fēng)險處理流程組成，分別是風(fēng)險管理框架的授權(quán)與承諾、設(shè)計、實施、監(jiān)測評審和改進。這個框架與ISMS 管理體系中的PDCA 循環(huán)（計劃、執(zhí)行、檢查、改進）本質(zhì)上是一致的。ISMS 的風(fēng)險管理流程可分為幾個步驟，如圖1。

信息安全風(fēng)險管控流程主要分為風(fēng)險評估和風(fēng)險處置兩個階段。組織實施信息安全評估和風(fēng)險處置的過程要滿足組織的環(huán)境及其相關(guān)方的要求，將這些要求融入到風(fēng)險管控過程，并針對意外的影響，制定有效的應(yīng)急措施。ISMS 要求實施信息安全風(fēng)險評估，執(zhí)行風(fēng)險分析和風(fēng)險評價。ISO 27001：2013 標準在信息安全風(fēng)險識別方面不再局限于以資產(chǎn)識別為導(dǎo)向，而是引入ISO 31000的指導(dǎo)思想，可以采用任何適用的方式進行風(fēng)險識別，情景分析法、頭腦風(fēng)暴法都是有效的風(fēng)險識別方法。

組織應(yīng)制定信息資產(chǎn)識別分類辦法，形成風(fēng)險評估的信息資產(chǎn)清單。根據(jù)信息資產(chǎn)機密性、完整性和可用性的賦值，加權(quán)計算出重要信息資產(chǎn)。根據(jù)資產(chǎn)本身的脆弱性和威脅發(fā)生的可能性及導(dǎo)致后果的嚴重程度，計算出威脅和脆弱性。結(jié)合資產(chǎn)重要性、脆弱性大小和威脅大小，依據(jù)組織的風(fēng)險評價方法，得出組織的風(fēng)險評價表。根據(jù)風(fēng)險評價準則，判斷各個風(fēng)險能否接受。對于不能接受的風(fēng)險，需要進一步進行風(fēng)險處置。風(fēng)險處置要依據(jù)組織的風(fēng)險處置計劃，形成不可接受風(fēng)險的控制措施列表。風(fēng)險處置后再次評價風(fēng)險接受情況。風(fēng)險處置的結(jié)果有可能是風(fēng)險降低，但也有可能是隨著新風(fēng)險處置措施的引入，風(fēng)險會升高或帶來新的威脅。風(fēng)險處置后應(yīng)形成殘余風(fēng)險報告，風(fēng)險處置報告需要風(fēng)險責(zé)任人批準。如果風(fēng)險責(zé)任人接受風(fēng)險處置報告，風(fēng)險處置結(jié)束；若不接受，需要繼續(xù)進行風(fēng)險處置，直到殘余風(fēng)險在可接受范圍內(nèi)。信息安全是一個相對的概念，組織通常需要權(quán)衡信息安全水平和付出的時間、人力、財務(wù)成本等，平衡這些因素是否在組織能接受的范圍內(nèi)。

ISMS 體系建立不是一蹴而就的過程，組織應(yīng)按照ISMS 管理體系要求，進行績效評價和體系改進。按照計劃實施信息安全內(nèi)部審核和管理評審，糾正發(fā)現(xiàn)的不合格，制定糾正措施，實現(xiàn)持續(xù)改進，實現(xiàn)ISO 31000要求的監(jiān)測和改進循環(huán)。

4   ISMS審核實踐

4.1 管理溝通

理解并確定組織的內(nèi)外部環(huán)境是建立ISMS 的前提條件。組織建立該體系的動機可能是為了提升自身管理水平，也可能是出于市場壓力，為了滿足市場要求。在審核時首先應(yīng)當(dāng)與管理層溝通，了解組織建立ISMS 的目的。對組織的信息安全外部環(huán)境，主要從政策法規(guī)、物理環(huán)境、網(wǎng)絡(luò)環(huán)境、市場和供方的信息安全要求等方面考慮。了解組織的內(nèi)部環(huán)境，主要考慮組織的技術(shù)資源、網(wǎng)絡(luò)設(shè)備資源和人力資源等。了解組織的相關(guān)方在信息安全方面的要求，包括國家政策、主管機構(gòu)、客戶和供方、審計認證機構(gòu)，甚至訪客等各種相關(guān)方對組織信息安全的要求。全面了解組織所處的內(nèi)外部環(huán)境和相關(guān)方要求，有利于提高審核的有效性和針對性。

4.2 信息安全管理體系核心

信息安全管理體系的核心包括策劃和運行兩個核心環(huán)節(jié)，即策劃應(yīng)對風(fēng)險和機會的措施，并運行信息安全管理體系。信息安全風(fēng)險策劃環(huán)節(jié)主要審核組織的安全風(fēng)險管控流程滿足ISO 27001 標準的程度。策劃的信息安全風(fēng)險評估和處置程序應(yīng)具有完備性和可執(zhí)行性，且風(fēng)險評估的結(jié)果應(yīng)與預(yù)期一致。風(fēng)險評估和處置可以從組織的角度進行，也可以在部門的范圍內(nèi)執(zhí)行。部門的信息安全風(fēng)險評估和處置記錄可以是獨立的，也可以是整個組織評估記錄的一部分，記錄的形式，不影響風(fēng)險評估和處置的執(zhí)行。

風(fēng)險評估方法要滿足27001 標準的要求，具有可操作性，組織需要考慮業(yè)務(wù)的風(fēng)險因素，評估結(jié)果能夠再現(xiàn)。組織信息資產(chǎn)的收集和風(fēng)險分析要覆蓋信息安全管理體系的范圍。組織提供的風(fēng)險評估報告及其重要資產(chǎn)清單要與信息安全管理體系的范圍相適應(yīng)，符合組織的信息安全現(xiàn)狀。風(fēng)險評估應(yīng)當(dāng)作為常規(guī)性的工作，在風(fēng)險策劃階段就考慮和確定風(fēng)險評估的時間間隔，規(guī)定重新啟動風(fēng)險評估程序的特殊情況。根據(jù)組織規(guī)模的大小，風(fēng)險評估和處置可能由組織統(tǒng)一規(guī)劃發(fā)起，對于較大的組織，也可以由各個部門自行規(guī)劃實施。

風(fēng)險處置是整個風(fēng)險管控流程中的重要環(huán)節(jié)。信息安全風(fēng)險評估和處置主要關(guān)注信息安全管控流程和信息安全風(fēng)險管控的實施結(jié)果。依據(jù)風(fēng)險值大小，風(fēng)險處置計劃對風(fēng)險的處置方式有降低、保留、規(guī)避或轉(zhuǎn)移風(fēng)險等多種方式。其中購買商業(yè)保險是轉(zhuǎn)移風(fēng)險的一個例子。風(fēng)險處置的原則是適度接受風(fēng)險，即根據(jù)組織可接受的處置成本，將殘余風(fēng)險控制在可以接受的范圍內(nèi)。風(fēng)險接受的前提是確定信息系統(tǒng)的風(fēng)險等級，評估風(fēng)險發(fā)生的可能性和潛在的破壞性，分析使用處理措施的可能性，并進行成本效益分析，確定特定信息資產(chǎn)是否需要進一步保護。同時信息安全風(fēng)險處置計劃應(yīng)得到監(jiān)視和評審，殘余風(fēng)險要控制在組織可接受的范圍之內(nèi)并得到領(lǐng)導(dǎo)層的批準。組織的各個部門可以單獨制定信息安全風(fēng)險處置計劃，較小的組織也可以只在IT 部門進行風(fēng)險處置。

4.3 信息安全管理體系全周期審核

上述策劃和運行是信息安全管理體系的主要環(huán)節(jié)，信息安全的評測和改進環(huán)節(jié)組成了完整的信息安全管理體系周期。

信息安全風(fēng)險的績效評價是PDCA 循環(huán)中的測量部分，通過對管理體系執(zhí)行效果評價促進管理體系完善。測量分為定期測量和不定期測量。內(nèi)部審核和管理評審屬于定期測量；不定期測量包括對控制措施的檢查和對風(fēng)險變化的監(jiān)視和測量。風(fēng)險本身是隨著環(huán)境變化的，受到物理環(huán)境、政策等各種因素的影響，風(fēng)險管理本身是一種動態(tài)管理。

不符合的糾正和持續(xù)改進是PDCA 循環(huán)中的改進環(huán)節(jié)，是解決問題實現(xiàn)改進的關(guān)鍵階段。組織要針對不符合進行糾正，分析原因，制定和執(zhí)行糾正措施，評審糾正措施的有效性；持續(xù)改進體現(xiàn)了組織管理者對信息管理體系的期望，重點關(guān)注體系運行效果、現(xiàn)存問題、采取的糾正措施和持續(xù)改進計劃。

4.4 信息安全控制目標

ISO 27001 附錄中涉及眾多安全類別和控制項目，這些內(nèi)容是業(yè)界安全風(fēng)險控制的良好實踐總結(jié)，也是運行信息安全管理體系的具體要求。安全控制分為通用控制和專用控制。通用控制措施適用于所有部門和業(yè)務(wù)過程，如資產(chǎn)管理、訪問控制和信息安全事件管理等；專用控制措施只適用于特殊的職能部門和業(yè)務(wù)過程，如系統(tǒng)開發(fā)安全、人力資源安全、供應(yīng)商關(guān)系、業(yè)務(wù)連續(xù)性管理的信息安全等。組織應(yīng)當(dāng)給出SoA（statement of applicability，適用性聲明）文件，聲稱滿足全部或部分的控制措施，或者聲稱有增強的安全要求，能夠滿足超出附錄的更多的安全控制目標。對于刪減的安全控制措施，應(yīng)給出合理的理由。

安全目標描述了實現(xiàn)安全控制目標的具體方法，組織在建立信息安全管理體系的過程中，可以參考安全目標，提高體系建立的有效性。

4.5 信息安全策略與組織安全

信息安全策略集應(yīng)當(dāng)由管理者批準并傳達給所有員工和外部相關(guān)方，同時注意保密要求，某些控制策略，如網(wǎng)絡(luò)安全訪問策略不能被外界獲知。

組織內(nèi)部應(yīng)建立管理框架，合理劃分角色，實現(xiàn)職責(zé)分離，防止人員職責(zé)過于集中而增加發(fā)生差錯、舞弊和掩飾的可能性。組織應(yīng)維護與網(wǎng)信辦、網(wǎng)絡(luò)監(jiān)管部門、安全論壇等機構(gòu)的聯(lián)系，以應(yīng)對自身無法解決的信息安全事件。組織的信息安全管理應(yīng)深入到項目管理中，將項目的信息安全風(fēng)險納入信息安全風(fēng)險評估的過程。如果有信息安全事件發(fā)生，應(yīng)追蹤審核。

4.6 信息資產(chǎn)安全

組織應(yīng)建立和維護信息資產(chǎn)清單，指定信息資產(chǎn)責(zé)任人，制定信息資產(chǎn)使用規(guī)定文件。組織的信息資產(chǎn)應(yīng)當(dāng)分級，按照標記規(guī)程進行標記，并依據(jù)資產(chǎn)的重要程度進行適當(dāng)水平的保護及備份。標記規(guī)程要適應(yīng)企業(yè)實際，不恰當(dāng)?shù)臉擞浄炊鴷黾有畔①Y產(chǎn)的風(fēng)險。組織應(yīng)根據(jù)資產(chǎn)分級，制定存儲介質(zhì)管理規(guī)程，對U 盤、機械硬盤或紙質(zhì)文件等存儲介質(zhì)的使用、轉(zhuǎn)移、損壞、報廢、銷毀等作出規(guī)定。

4.7 訪問控制

訪問控制是實現(xiàn)信息安全管理目標的重要措施之一。組織應(yīng)編制針對物理設(shè)備、網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)、信息系統(tǒng)等的訪問控制策略。其中網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)是信息安全風(fēng)險管理的關(guān)鍵部分，網(wǎng)絡(luò)訪問策略包括允許策略、限制策略、訪客策略、防火墻策略、行為管理策略等。

用戶訪問管理應(yīng)確保授權(quán)用戶的訪問，并防止未授權(quán)的訪問。門禁系統(tǒng)、OA、網(wǎng)絡(luò)、郵件系統(tǒng)、財務(wù)系統(tǒng)等都應(yīng)實現(xiàn)正式的用戶注冊、注銷過程。由于數(shù)據(jù)關(guān)聯(lián)性，用戶注銷不等同于賬戶刪除，可能通過賬戶禁用或撤銷權(quán)限的方式實現(xiàn)注銷。一般信息系統(tǒng)設(shè)定多個角色，通過指定用戶角色的方式分配用戶權(quán)限。超級用戶應(yīng)有操作日志，以監(jiān)督其特許訪問權(quán)限的使用情況。用戶對信息系統(tǒng)的視圖應(yīng)與其權(quán)限相一致，應(yīng)有登錄規(guī)程、口令管理、限制特權(quán)程序、限制對源代碼的訪問等。

4.8 通信安全

通信安全涉及網(wǎng)絡(luò)安全管理和信息傳輸安全。組織的網(wǎng)絡(luò)拓撲圖一般涉及主機、服務(wù)器、路由器、交換機、防火墻、IDS（intrusion detection system，入侵檢測系統(tǒng)）、IPS（intrusion prevention system，入侵防御系統(tǒng)）、上網(wǎng)行為管理服務(wù)器、無線AP（access point，無線接入點）、無線控制器等。組織的網(wǎng)絡(luò)規(guī)劃應(yīng)融合網(wǎng)絡(luò)服務(wù)訪問控制要求，網(wǎng)絡(luò)的安全機制和服務(wù)級別體現(xiàn)在網(wǎng)絡(luò)服務(wù)協(xié)議中。常見的網(wǎng)絡(luò)安全措施有網(wǎng)絡(luò)設(shè)備入網(wǎng)管理、基于VPN（virtual private networks，虛擬專用網(wǎng)）的網(wǎng)絡(luò)傳輸安全控制、防火墻設(shè)備、部署上網(wǎng)行為管理、在網(wǎng)絡(luò)交換機中部署ACL（access control list，訪問控制列表）等。組織可通過物理或邏輯方式實現(xiàn)網(wǎng)絡(luò)隔離。

網(wǎng)絡(luò)隔離可以通過劃分子網(wǎng)或VLAN（virtual local area network，虛擬局域網(wǎng)）的方式實現(xiàn)。組織應(yīng)制定信息傳輸策略和規(guī)程，確保組織內(nèi)部與外部的信息傳輸安全。

確保工作中涉及的電子信息安全。保證電子信息傳輸安全的方式有郵件加密協(xié)議、SSL（secure sockets layer，安全套接字）協(xié)議、SET（secure electronic transaction，安全電子交易）協(xié)議。組織還應(yīng)針對不同的工種簽訂不同的保密協(xié)議。

4.9 其他關(guān)注點

信息安全管理體系審核還涉及密碼控制。密碼控制不同于口令，應(yīng)選擇適合組織業(yè)務(wù)的對稱或非對稱加密技術(shù)，制定和實現(xiàn)組織業(yè)務(wù)生命周期的密鑰使用和保護策略，避免使用非公開加密算法。確保物理和環(huán)境安全，防止未授權(quán)人員進入特定區(qū)域，防護自然災(zāi)害和意外的發(fā)生[5-7]。

5   結(jié)束語

組織將風(fēng)險管理思想融入到信息安全管理體系建立和運行過程中，從技術(shù)和管理兩個方面著手，同時借鑒第三方審核的經(jīng)驗，提高信息安全管理體系運行的有效性，促進組織業(yè)務(wù)持續(xù)高效發(fā)展，實現(xiàn)組織和相關(guān)方的利益共贏^[8]。

參考文獻：

[1] CHOO B S,GOH J C.Adapting the ISO 31000:2009 enterprise r i s k m a n a g e m e n t f r a m e w o r k u s i n g t h e s i x s i g m a approach[C].2014 IEEE International Conference on Industrial Engineering and Engineering Management:39-43,Bandar Sunway,2014.

[2] 濮燁青.基于ISO27000系列標準的本體建模與評估技術(shù)研究及應(yīng)用[D].上海:上海交通大學(xué),2017.

[3] 聶自闖.基于SDN的IoT設(shè)備細粒度訪問控制研究與實現(xiàn)[D].重慶:重慶郵電大學(xué),2019.

[4] 魏建清.信息安全管理體系建設(shè)探析[J].上海質(zhì)量,2013(08):45-47.

[5] 張雅慧.A公司信息安全管理的問題與策略研究[D].泉州:華僑大學(xué),2019.

[6] 李存建,李素鵬.論我國等同采用國際風(fēng)險管理標準的必要性[J].中國標準化,2010(04):26-29.

[7] 丁艷玲.風(fēng)險管理理念在專利管理中的應(yīng)用[J].中國發(fā)明與專利,2011(03):91.

[8] 黃水清,任妮.對《數(shù)字圖書館安全管理指南》及其“解讀”的辨析[J].中國圖書館學(xué)報,2012,38(01):25-33.

《本文來源于《電子產(chǎn)品世界》雜志2021年5月期）