新聞中心

EEPW首頁 > 手機與無線通信 > 設(shè)計應(yīng)用 > 基于風(fēng)險管理的信息安全管理體系建設(shè)及審核

基于風(fēng)險管理的信息安全管理體系建設(shè)及審核

作者:李莉,呂敏(中國信息通信研究院,北京 100088) 時間:2021-08-06 來源:電子產(chǎn)品世界 收藏
編者按:研究了風(fēng)險管理在信息安全管理體系建設(shè)過程中的指導(dǎo)作用,提出了在信息安全管理體系建立和審核階段結(jié)合風(fēng)險管理思想的實現(xiàn)側(cè)重點,指出了在具體ISMS審核環(huán)節(jié)的關(guān)注要點,這些建議對于信息安全管理體系的建設(shè)方和審核方都具有指導(dǎo)意義。

作者簡介:李莉,主要從事信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全研究和測試工作。呂敏,主要從事通信安全生產(chǎn)、風(fēng)險評估以及相關(guān)科研管理工作。

本文引用地址:http://2s4d.com/article/202108/427419.htm

隨著經(jīng)濟全球化的發(fā)展,組織在業(yè)務(wù)開展過程中面臨的風(fēng)險日益增多。各類組織面對繁雜的經(jīng)濟社會環(huán)境和不斷變化的法律法規(guī)、政策、技術(shù)變化,對提高組織的水平、建設(shè)、增強防范風(fēng)險的能力有著迫切的需求。本文介紹了基于思想的策劃和實施過程,并從第三方審核的角度對的建立要點進行了分析。這對組織信息安全管理體系建設(shè)具有積極的指導(dǎo)作用。

1   ISO 31000簡介

ISO 于2009 年發(fā)布了《ISO 31000:2009 ——原則與指南》,最新版本為2018 版。ISO 31000風(fēng)險管理實踐性指南是通用的安全風(fēng)險管理標(biāo)準(zhǔn),促使組織結(jié)合運用先進的風(fēng)險管理理論和業(yè)界普遍的良好實踐來實現(xiàn)組織的風(fēng)險管理活動。該標(biāo)準(zhǔn)不局限于財務(wù)、人力資源、法務(wù)、信息安全等行業(yè)或業(yè)務(wù),對組織運營過程全周期的所有業(yè)務(wù)都有指導(dǎo)作用。

相比于傳統(tǒng)的風(fēng)險管理方法,ISO 31000 風(fēng)險管理指南強調(diào)要充分考慮組織環(huán)境的變化,適應(yīng)這種變化,在事前、事中積極應(yīng)對風(fēng)險,而不僅限于追責(zé)和修正式的事后反應(yīng)。同時,ISO 31000 建議將風(fēng)險管理提升到組織業(yè)務(wù)方針的高度,不局限為某一風(fēng)險管理部門的職責(zé),更不能由各個部門割裂開來分別考慮局部的風(fēng)險情況。

應(yīng)用ISO 31000 風(fēng)險管理指南,組織可以識別冗余的控制,減少管理成本;在一定程度上提高組織識別和遵守法規(guī)和國際規(guī)范的能力;提高應(yīng)對風(fēng)險和利用機會的能力,改善組織配置資源的效率;提高組織的管理水平,促進相關(guān)方對組織的信任。

ISO 31000 的風(fēng)險管理框架高度抽象,由11 項風(fēng)險管理原則、6 個風(fēng)險管理框架組成部分和5 個相關(guān)聯(lián)的風(fēng)險處理流程組成。指南從原則和方法論的高度,提出了風(fēng)險管理原則和概念性的方法,對組織的風(fēng)險體制提出了指導(dǎo)性意見,組織應(yīng)用這個框架時要充分考慮組織自身的實際情況,結(jié)合業(yè)務(wù)具體流程,而不是簡單套用ISO 31000 的框架[1]。

2   ISMS簡介

ISMS(information security management systems,信息安全管理體系)源于國際標(biāo)準(zhǔn)ISO/IEC 17799。2005 年,國際標(biāo)準(zhǔn)化組織對該標(biāo)準(zhǔn)重新編號,規(guī)劃為ISO/IEC 27002。目前該標(biāo)準(zhǔn)簇包括20 多個標(biāo)準(zhǔn),其中ISO/IEC 27001 和ISO/IEC 27002 被我國同等采用為GB/T 22080 和GB/T 22081。這兩個標(biāo)準(zhǔn)是協(xié)議簇中最重要的兩個標(biāo)準(zhǔn)。建立ISMS 管理體系,就是依據(jù)ISO/IEC27000 標(biāo)準(zhǔn)簇建立組織的信息安全管理體系[2-4]。ISMS 與其他風(fēng)險評估評測制度的重要區(qū)別在于其實踐性,關(guān)注信息系統(tǒng)在特定應(yīng)用場景中的安全風(fēng)險,是一種實踐指南。

3   ISO 31000對ISMS的指導(dǎo)作用

ISO 31000 指南應(yīng)用廣泛,ISMS 的風(fēng)險管理流程就是按照ISO 31000 的風(fēng)險框架實施的。ISO 31000 的風(fēng)險管理框架由5 個相關(guān)聯(lián)的風(fēng)險處理流程組成,分別是風(fēng)險管理框架的授權(quán)與承諾、設(shè)計、實施、監(jiān)測評審和改進。這個框架與ISMS 管理體系中的PDCA 循環(huán)(計劃、執(zhí)行、檢查、改進)本質(zhì)上是一致的。ISMS 的風(fēng)險管理流程可分為幾個步驟,如圖1。

image.png

信息安全風(fēng)險管控流程主要分為風(fēng)險評估和風(fēng)險處置兩個階段。組織實施信息安全評估和風(fēng)險處置的過程要滿足組織的環(huán)境及其相關(guān)方的要求,將這些要求融入到風(fēng)險管控過程,并針對意外的影響,制定有效的應(yīng)急措施。ISMS 要求實施信息安全風(fēng)險評估,執(zhí)行風(fēng)險分析和風(fēng)險評價。ISO 27001:2013 標(biāo)準(zhǔn)在信息安全風(fēng)險識別方面不再局限于以資產(chǎn)識別為導(dǎo)向,而是引入ISO 31000的指導(dǎo)思想,可以采用任何適用的方式進行風(fēng)險識別,情景分析法、頭腦風(fēng)暴法都是有效的風(fēng)險識別方法。

組織應(yīng)制定信息資產(chǎn)識別分類辦法,形成風(fēng)險評估的信息資產(chǎn)清單。根據(jù)信息資產(chǎn)機密性、完整性和可用性的賦值,加權(quán)計算出重要信息資產(chǎn)。根據(jù)資產(chǎn)本身的脆弱性和威脅發(fā)生的可能性及導(dǎo)致后果的嚴(yán)重程度,計算出威脅和脆弱性。結(jié)合資產(chǎn)重要性、脆弱性大小和威脅大小,依據(jù)組織的風(fēng)險評價方法,得出組織的風(fēng)險評價表。根據(jù)風(fēng)險評價準(zhǔn)則,判斷各個風(fēng)險能否接受。對于不能接受的風(fēng)險,需要進一步進行風(fēng)險處置。風(fēng)險處置要依據(jù)組織的風(fēng)險處置計劃,形成不可接受風(fēng)險的控制措施列表。風(fēng)險處置后再次評價風(fēng)險接受情況。風(fēng)險處置的結(jié)果有可能是風(fēng)險降低,但也有可能是隨著新風(fēng)險處置措施的引入,風(fēng)險會升高或帶來新的威脅。風(fēng)險處置后應(yīng)形成殘余風(fēng)險報告,風(fēng)險處置報告需要風(fēng)險責(zé)任人批準(zhǔn)。如果風(fēng)險責(zé)任人接受風(fēng)險處置報告,風(fēng)險處置結(jié)束;若不接受,需要繼續(xù)進行風(fēng)險處置,直到殘余風(fēng)險在可接受范圍內(nèi)。信息安全是一個相對的概念,組織通常需要權(quán)衡信息安全水平和付出的時間、人力、財務(wù)成本等,平衡這些因素是否在組織能接受的范圍內(nèi)。

ISMS 體系建立不是一蹴而就的過程,組織應(yīng)按照ISMS 管理體系要求,進行績效評價和體系改進。按照計劃實施信息安全內(nèi)部審核和管理評審,糾正發(fā)現(xiàn)的不合格,制定糾正措施,實現(xiàn)持續(xù)改進,實現(xiàn)ISO 31000要求的監(jiān)測和改進循環(huán)。

4   實踐

4.1 管理溝通

理解并確定組織的內(nèi)外部環(huán)境是建立ISMS 的前提條件。組織建立該體系的動機可能是為了提升自身管理水平,也可能是出于市場壓力,為了滿足市場要求。在審核時首先應(yīng)當(dāng)與管理層溝通,了解組織建立ISMS 的目的。對組織的信息安全外部環(huán)境,主要從政策法規(guī)、物理環(huán)境、網(wǎng)絡(luò)環(huán)境、市場和供方的信息安全要求等方面考慮。了解組織的內(nèi)部環(huán)境,主要考慮組織的技術(shù)資源、網(wǎng)絡(luò)設(shè)備資源和人力資源等。了解組織的相關(guān)方在信息安全方面的要求,包括國家政策、主管機構(gòu)、客戶和供方、審計認(rèn)證機構(gòu),甚至訪客等各種相關(guān)方對組織信息安全的要求。全面了解組織所處的內(nèi)外部環(huán)境和相關(guān)方要求,有利于提高審核的有效性和針對性。

4.2 信息安全管理體系核心

信息安全管理體系的核心包括策劃和運行兩個核心環(huán)節(jié),即策劃應(yīng)對風(fēng)險和機會的措施,并運行信息安全管理體系。信息安全風(fēng)險策劃環(huán)節(jié)主要審核組織的安全風(fēng)險管控流程滿足ISO 27001 標(biāo)準(zhǔn)的程度。策劃的信息安全風(fēng)險評估和處置程序應(yīng)具有完備性和可執(zhí)行性,且風(fēng)險評估的結(jié)果應(yīng)與預(yù)期一致。風(fēng)險評估和處置可以從組織的角度進行,也可以在部門的范圍內(nèi)執(zhí)行。部門的信息安全風(fēng)險評估和處置記錄可以是獨立的,也可以是整個組織評估記錄的一部分,記錄的形式,不影響風(fēng)險評估和處置的執(zhí)行。

風(fēng)險評估方法要滿足27001 標(biāo)準(zhǔn)的要求,具有可操作性,組織需要考慮業(yè)務(wù)的風(fēng)險因素,評估結(jié)果能夠再現(xiàn)。組織信息資產(chǎn)的收集和風(fēng)險分析要覆蓋信息安全管理體系的范圍。組織提供的風(fēng)險評估報告及其重要資產(chǎn)清單要與信息安全管理體系的范圍相適應(yīng),符合組織的信息安全現(xiàn)狀。風(fēng)險評估應(yīng)當(dāng)作為常規(guī)性的工作,在風(fēng)險策劃階段就考慮和確定風(fēng)險評估的時間間隔,規(guī)定重新啟動風(fēng)險評估程序的特殊情況。根據(jù)組織規(guī)模的大小,風(fēng)險評估和處置可能由組織統(tǒng)一規(guī)劃發(fā)起,對于較大的組織,也可以由各個部門自行規(guī)劃實施。

風(fēng)險處置是整個風(fēng)險管控流程中的重要環(huán)節(jié)。信息安全風(fēng)險評估和處置主要關(guān)注信息安全管控流程和信息安全風(fēng)險管控的實施結(jié)果。依據(jù)風(fēng)險值大小,風(fēng)險處置計劃對風(fēng)險的處置方式有降低、保留、規(guī)避或轉(zhuǎn)移風(fēng)險等多種方式。其中購買商業(yè)保險是轉(zhuǎn)移風(fēng)險的一個例子。風(fēng)險處置的原則是適度接受風(fēng)險,即根據(jù)組織可接受的處置成本,將殘余風(fēng)險控制在可以接受的范圍內(nèi)。風(fēng)險接受的前提是確定信息系統(tǒng)的風(fēng)險等級,評估風(fēng)險發(fā)生的可能性和潛在的破壞性,分析使用處理措施的可能性,并進行成本效益分析,確定特定信息資產(chǎn)是否需要進一步保護。同時信息安全風(fēng)險處置計劃應(yīng)得到監(jiān)視和評審,殘余風(fēng)險要控制在組織可接受的范圍之內(nèi)并得到領(lǐng)導(dǎo)層的批準(zhǔn)。組織的各個部門可以單獨制定信息安全風(fēng)險處置計劃,較小的組織也可以只在IT 部門進行風(fēng)險處置。

4.3 信息安全管理體系全周期審核

上述策劃和運行是信息安全管理體系的主要環(huán)節(jié),信息安全的評測和改進環(huán)節(jié)組成了完整的信息安全管理體系周期。

信息安全風(fēng)險的績效評價是PDCA 循環(huán)中的測量部分,通過對管理體系執(zhí)行效果評價促進管理體系完善。測量分為定期測量和不定期測量。內(nèi)部審核和管理評審屬于定期測量;不定期測量包括對控制措施的檢查和對風(fēng)險變化的監(jiān)視和測量。風(fēng)險本身是隨著環(huán)境變化的,受到物理環(huán)境、政策等各種因素的影響,風(fēng)險管理本身是一種動態(tài)管理。

不符合的糾正和持續(xù)改進是PDCA 循環(huán)中的改進環(huán)節(jié),是解決問題實現(xiàn)改進的關(guān)鍵階段。組織要針對不符合進行糾正,分析原因,制定和執(zhí)行糾正措施,評審糾正措施的有效性;持續(xù)改進體現(xiàn)了組織管理者對信息管理體系的期望,重點關(guān)注體系運行效果、現(xiàn)存問題、采取的糾正措施和持續(xù)改進計劃。

4.4 信息安全控制目標(biāo)

ISO 27001 附錄中涉及眾多安全類別和控制項目,這些內(nèi)容是業(yè)界安全風(fēng)險控制的良好實踐總結(jié),也是運行信息安全管理體系的具體要求。安全控制分為通用控制和專用控制。通用控制措施適用于所有部門和業(yè)務(wù)過程,如資產(chǎn)管理、訪問控制和信息安全事件管理等;專用控制措施只適用于特殊的職能部門和業(yè)務(wù)過程,如系統(tǒng)開發(fā)安全、人力資源安全、供應(yīng)商關(guān)系、業(yè)務(wù)連續(xù)性管理的信息安全等。組織應(yīng)當(dāng)給出SoA(statement of applicability,適用性聲明)文件,聲稱滿足全部或部分的控制措施,或者聲稱有增強的安全要求,能夠滿足超出附錄的更多的安全控制目標(biāo)。對于刪減的安全控制措施,應(yīng)給出合理的理由。

安全目標(biāo)描述了實現(xiàn)安全控制目標(biāo)的具體方法,組織在建立信息安全管理體系的過程中,可以參考安全目標(biāo),提高體系建立的有效性。

4.5 信息安全策略與組織安全

信息安全策略集應(yīng)當(dāng)由管理者批準(zhǔn)并傳達給所有員工和外部相關(guān)方,同時注意保密要求,某些控制策略,如網(wǎng)絡(luò)安全訪問策略不能被外界獲知。

組織內(nèi)部應(yīng)建立管理框架,合理劃分角色,實現(xiàn)職責(zé)分離,防止人員職責(zé)過于集中而增加發(fā)生差錯、舞弊和掩飾的可能性。組織應(yīng)維護與網(wǎng)信辦、網(wǎng)絡(luò)監(jiān)管部門、安全論壇等機構(gòu)的聯(lián)系,以應(yīng)對自身無法解決的信息安全事件。組織的信息安全管理應(yīng)深入到項目管理中,將項目的信息安全風(fēng)險納入信息安全風(fēng)險評估的過程。如果有信息安全事件發(fā)生,應(yīng)追蹤審核。

4.6 信息資產(chǎn)安全

組織應(yīng)建立和維護信息資產(chǎn)清單,指定信息資產(chǎn)責(zé)任人,制定信息資產(chǎn)使用規(guī)定文件。組織的信息資產(chǎn)應(yīng)當(dāng)分級,按照標(biāo)記規(guī)程進行標(biāo)記,并依據(jù)資產(chǎn)的重要程度進行適當(dāng)水平的保護及備份。標(biāo)記規(guī)程要適應(yīng)企業(yè)實際,不恰當(dāng)?shù)臉?biāo)記反而會增加信息資產(chǎn)的風(fēng)險。組織應(yīng)根據(jù)資產(chǎn)分級,制定存儲介質(zhì)管理規(guī)程,對U 盤、機械硬盤或紙質(zhì)文件等存儲介質(zhì)的使用、轉(zhuǎn)移、損壞、報廢、銷毀等作出規(guī)定。

4.7 訪問控制

訪問控制是實現(xiàn)信息安全管理目標(biāo)的重要措施之一。組織應(yīng)編制針對物理設(shè)備、網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)、信息系統(tǒng)等的訪問控制策略。其中網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)是信息安全風(fēng)險管理的關(guān)鍵部分,網(wǎng)絡(luò)訪問策略包括允許策略、限制策略、訪客策略、防火墻策略、行為管理策略等。

用戶訪問管理應(yīng)確保授權(quán)用戶的訪問,并防止未授權(quán)的訪問。門禁系統(tǒng)、OA、網(wǎng)絡(luò)、郵件系統(tǒng)、財務(wù)系統(tǒng)等都應(yīng)實現(xiàn)正式的用戶注冊、注銷過程。由于數(shù)據(jù)關(guān)聯(lián)性,用戶注銷不等同于賬戶刪除,可能通過賬戶禁用或撤銷權(quán)限的方式實現(xiàn)注銷。一般信息系統(tǒng)設(shè)定多個角色,通過指定用戶角色的方式分配用戶權(quán)限。超級用戶應(yīng)有操作日志,以監(jiān)督其特許訪問權(quán)限的使用情況。用戶對信息系統(tǒng)的視圖應(yīng)與其權(quán)限相一致,應(yīng)有登錄規(guī)程、口令管理、限制特權(quán)程序、限制對源代碼的訪問等。

4.8 通信安全

通信安全涉及網(wǎng)絡(luò)安全管理和信息傳輸安全。組織的網(wǎng)絡(luò)拓?fù)鋱D一般涉及主機、服務(wù)器、路由器、交換機、防火墻、IDS(intrusion detection system,入侵檢測系統(tǒng))、IPS(intrusion prevention system,入侵防御系統(tǒng))、上網(wǎng)行為管理服務(wù)器、無線AP(access point,無線接入點)、無線控制器等。組織的網(wǎng)絡(luò)規(guī)劃應(yīng)融合網(wǎng)絡(luò)服務(wù)訪問控制要求,網(wǎng)絡(luò)的安全機制和服務(wù)級別體現(xiàn)在網(wǎng)絡(luò)服務(wù)協(xié)議中。常見的網(wǎng)絡(luò)安全措施有網(wǎng)絡(luò)設(shè)備入網(wǎng)管理、基于VPN(virtual private networks,虛擬專用網(wǎng))的網(wǎng)絡(luò)傳輸安全控制、防火墻設(shè)備、部署上網(wǎng)行為管理、在網(wǎng)絡(luò)交換機中部署ACL(access control list,訪問控制列表)等。組織可通過物理或邏輯方式實現(xiàn)網(wǎng)絡(luò)隔離。

網(wǎng)絡(luò)隔離可以通過劃分子網(wǎng)或VLAN(virtual local area network,虛擬局域網(wǎng))的方式實現(xiàn)。組織應(yīng)制定信息傳輸策略和規(guī)程,確保組織內(nèi)部與外部的信息傳輸安全。

確保工作中涉及的電子信息安全。保證電子信息傳輸安全的方式有郵件加密協(xié)議、SSL(secure sockets layer,安全套接字)協(xié)議、SET(secure electronic transaction,安全電子交易)協(xié)議。組織還應(yīng)針對不同的工種簽訂不同的保密協(xié)議。

4.9 其他關(guān)注點

信息安全管理體系審核還涉及密碼控制。密碼控制不同于口令,應(yīng)選擇適合組織業(yè)務(wù)的對稱或非對稱加密技術(shù),制定和實現(xiàn)組織業(yè)務(wù)生命周期的密鑰使用和保護策略,避免使用非公開加密算法。確保物理和環(huán)境安全,防止未授權(quán)人員進入特定區(qū)域,防護自然災(zāi)害和意外的發(fā)生[5-7]。

5   結(jié)束語

組織將風(fēng)險管理思想融入到信息安全管理體系建立和運行過程中,從技術(shù)和管理兩個方面著手,同時借鑒第三方審核的經(jīng)驗,提高信息安全管理體系運行的有效性,促進組織業(yè)務(wù)持續(xù)高效發(fā)展,實現(xiàn)組織和相關(guān)方的利益共贏[8]。

參考文獻:

[1] CHOO B S,GOH J C.Adapting the ISO 31000:2009 enterprise r i s k m a n a g e m e n t f r a m e w o r k u s i n g t h e s i x s i g m a approach[C].2014 IEEE International Conference on Industrial Engineering and Engineering Management:39-43,Bandar Sunway,2014.

[2] 濮燁青.基于ISO27000系列標(biāo)準(zhǔn)的本體建模與評估技術(shù)研究及應(yīng)用[D].上海:上海交通大學(xué),2017.

[3] 聶自闖.基于SDN的IoT設(shè)備細(xì)粒度訪問控制研究與實現(xiàn)[D].重慶:重慶郵電大學(xué),2019.

[4] 魏建清.信息安全管理體系建設(shè)探析[J].上海質(zhì)量,2013(08):45-47.

[5] 張雅慧.A公司信息安全管理的問題與策略研究[D].泉州:華僑大學(xué),2019.

[6] 李存建,李素鵬.論我國等同采用國際風(fēng)險管理標(biāo)準(zhǔn)的必要性[J].中國標(biāo)準(zhǔn)化,2010(04):26-29.

[7] 丁艷玲.風(fēng)險管理理念在專利管理中的應(yīng)用[J].中國發(fā)明與專利,2011(03):91.

[8] 黃水清,任妮.對《數(shù)字圖書館安全管理指南》及其“解讀”的辨析[J].中國圖書館學(xué)報,2012,38(01):25-33.

《本文來源于《電子產(chǎn)品世界》雜志2021年5月期)



評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉