信息安全評估評測體系研究及ISMS審核實(shí)踐
作者簡介:
李莉,中國信息通信研究院,主要從事信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全研究和測試工作
魏巨升,北京天陽睿博科技有限公司, 主要從事通信系統(tǒng)研發(fā)工作
1 引言
信息系統(tǒng)安全是現(xiàn)代社會正常運(yùn)行的基礎(chǔ)。國際組織及各國都開展了廣泛的研究,制定了系列標(biāo)準(zhǔn),推薦了若干最佳實(shí)踐。保障信息系統(tǒng)安全的制度及方法有等級保護(hù)、風(fēng)險(xiǎn)評估、信息安全管理體系(ISMS)審核等。不同方法制度的側(cè)重點(diǎn)不同,組織在其產(chǎn)品或業(yè)務(wù)生命周期的不同階段運(yùn)用不同的方法,來確保其信息系統(tǒng)的安全。
2 風(fēng)險(xiǎn)評估、等級保護(hù)與ISMS
2.1 風(fēng)險(xiǎn)評估
信息系統(tǒng)風(fēng)險(xiǎn)評估,是指具有風(fēng)險(xiǎn)評估資質(zhì)的機(jī)構(gòu),依照風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)的要求,制定特定的風(fēng)險(xiǎn)評估方案,對組織的信息系統(tǒng)及信息安全產(chǎn)品進(jìn)行評估,給出風(fēng)險(xiǎn)評估結(jié)論及改進(jìn)建議的過程,目的是全面了解信息系統(tǒng)和產(chǎn)品的安全狀況水平,控制風(fēng)險(xiǎn),盡可能保障信息系統(tǒng)和產(chǎn)品安全。
信息系統(tǒng)安全風(fēng)險(xiǎn)評估的研究起源于上世紀(jì)70年代,ISO和歐美、亞太等國家和國際組織在該領(lǐng)域進(jìn)行了積極探索和深入的研究,制定了一系列標(biāo)準(zhǔn),形成了較成熟的模型和工具。我國也積極開展風(fēng)險(xiǎn)評估方面的研究,制定和同等采用了一系列的標(biāo)準(zhǔn)。
國際組織和各國陸續(xù)制定了系列安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。1985年美國國防部發(fā)布了《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》(TCSEC, Trusted Computer System Evaluation Criteria);90年代,西歐、美、加等國在此基礎(chǔ)上提出改進(jìn)標(biāo)準(zhǔn)《信息技術(shù)安全評估準(zhǔn)則》(ITSEC, Information Technology Security Evaluation Criteria)、《加拿大可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則》(CTCPEC, Canadian Trusted Computer Products Evaluation Criteria)、《通用信息技術(shù)安全評估標(biāo)準(zhǔn)》(CC, Common Criteria for IT Security Evaluation)。其中CC標(biāo)準(zhǔn)被批準(zhǔn)為信息技術(shù)安全評估標(biāo)準(zhǔn)ISO/IEC 15408。此外,國際上風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)還有《信息安全管理實(shí)施規(guī)范》(ISO/IEC 17799)、《信息技術(shù)安全管理指南》(ISO/IEC 13335)、《信息安全風(fēng)險(xiǎn)管理》(ISO/IEC 27005)、卡內(nèi)基梅隆大學(xué)提出的OCTAVE評估方法(Operationally Critical Threat, Asset, Vulnerability Evaluation)和《信息安全工程能力成熟度模型》(SSE-CMM,System Security Engineering Capability Maturity Model)等。以上標(biāo)準(zhǔn)對風(fēng)險(xiǎn)評估進(jìn)行了明確的定義,對規(guī)范和指導(dǎo)風(fēng)險(xiǎn)評估工作起到了積極作用。這些標(biāo)準(zhǔn)也有一定的局限性,如TCSEC、ITSEC、CTCPEC更注重技術(shù)層面,對于管理層面重視不夠;BS ISO/IEC 17799被廣泛接受,標(biāo)準(zhǔn)覆蓋內(nèi)容廣,但缺少技術(shù)測量精度,實(shí)施困難。相比之下CC從安全功能和安全保證兩個(gè)方面予以規(guī)范,是比較全面的評估準(zhǔn)則。ISO/IEC 27005則從生命周期的角度,將風(fēng)險(xiǎn)評估作為計(jì)劃的一部分,經(jīng)過PDCA(Plan-Do-Check-Ack)循環(huán)不斷完善風(fēng)險(xiǎn)管理過程。
為風(fēng)險(xiǎn)評估能規(guī)范實(shí)施,各個(gè)標(biāo)準(zhǔn)制定機(jī)構(gòu)和研究機(jī)構(gòu)提出了多種信息安全模型。ISO/IEC 13335提出了信息安全風(fēng)險(xiǎn)關(guān)系模型,給出了八個(gè)安全要素及其之間的關(guān)系。八個(gè)要素即資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險(xiǎn)、防護(hù)措施、殘余風(fēng)險(xiǎn)和限制條件八個(gè)要素。一些IT管理方法可能注重一些方面而忽略另一些方面,ISO/IEC 13335的信息安全風(fēng)險(xiǎn)管理模型提供了一個(gè)更通用的方法,促使能夠全面考慮安全問題。ISO/IEC 15408同樣提出了信息安全風(fēng)險(xiǎn)評估的要素和風(fēng)險(xiǎn)評估模型。ISO/IEC 15408的風(fēng)險(xiǎn)評估要素包括攻擊者、屬主、資產(chǎn)、威脅、漏洞、風(fēng)險(xiǎn)、措施。ISO/IEC 27005采用了PDCA循環(huán),體現(xiàn)了持續(xù)改進(jìn)不斷完善的風(fēng)險(xiǎn)評估方式。這些模型對風(fēng)險(xiǎn)評估的實(shí)施起到了積極作用。
風(fēng)險(xiǎn)評估的不同階段,使用不同的風(fēng)險(xiǎn)評估方法。在資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施識別階段通,常使用現(xiàn)場調(diào)查、人員訪談、調(diào)查問卷的方式,或者使用技術(shù)手段進(jìn)行手動(dòng)檢查或工具協(xié)助分析。風(fēng)險(xiǎn)分析階段,可以采用定性評估方法、定量評估方法或者二者結(jié)合的方法。定性評估方法基于評估者的經(jīng)驗(yàn),對評估中的多個(gè)要素值進(jìn)行定性分析,如威脅的大小和脆弱性大小。這種方法對評估者素質(zhì)和經(jīng)驗(yàn)的要求較高,通常會在類似頭腦風(fēng)暴的會議上協(xié)商決定,而不會完全依賴一個(gè)專家的意見。定量分析在數(shù)據(jù)統(tǒng)計(jì)的基礎(chǔ)上,將風(fēng)險(xiǎn)分析過程量化并得出定量的結(jié)果。定量分析的難點(diǎn)是建模,各種復(fù)雜的相互影響的因素對風(fēng)險(xiǎn)分析的建模帶來挑戰(zhàn),同時(shí)數(shù)學(xué)模型對客觀事物抽象的準(zhǔn)確程度和側(cè)重點(diǎn)也因模型而異。目前使用較多的是信息安全風(fēng)險(xiǎn)分析的定性分析法。
風(fēng)險(xiǎn)評估通常用到多種不同的工具。包括漏洞掃描工具、漏洞挖掘、主機(jī)配置檢查工具、主機(jī)安全審計(jì)工具、滲透測試工具、入侵檢測工具等。有些工具是安全公司依據(jù)特定標(biāo)準(zhǔn)和特定目的開發(fā)的,也有開源免費(fèi)軟件。COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英國的C&A公司基于ISO 17799發(fā)布的風(fēng)險(xiǎn)評估工具。COBRA在知識庫和專家系統(tǒng)的基礎(chǔ)上,通過問卷調(diào)查的方式,評估風(fēng)險(xiǎn)并生成風(fēng)險(xiǎn)評估報(bào)告。 CRAMM(CCTA Risk Analysis and Management Method)是1985年英國政府中央計(jì)算機(jī)與電信局開發(fā)的風(fēng)險(xiǎn)分析工具。CRAMM依據(jù)BS 7799開發(fā),同時(shí)支持定量分析和定性分析。美國NIST針對NIST SP800-26標(biāo)準(zhǔn),開發(fā)了免費(fèi)的安全風(fēng)險(xiǎn)自我評估軟件ASSET(Automated Security Self-Evaluation Tool)。ASSET也采用問卷調(diào)查的方式收集數(shù)據(jù),具有定性和定量調(diào)查的分析特點(diǎn)。還有很多偏重技術(shù)的風(fēng)險(xiǎn)評估工具,如Synopsis公司的Defencics漏洞挖掘工具和Beyond Security公司開發(fā)的 beSTORM自動(dòng)化模糊測試工具。這些軟件工具各具體點(diǎn),多是針對特定標(biāo)準(zhǔn)或特定協(xié)議開發(fā)的,能一定程度上提高評估效率和評估客觀性。
我國于1999年頒布了與TCSEC對應(yīng)的《GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,于2001年頒布了與CC標(biāo)準(zhǔn)對應(yīng)的系列標(biāo)準(zhǔn)《GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》,2001年同等采用ISO/IEC1333-1,發(fā)布了《GB/T 19715-2005 信息技術(shù) 信息技術(shù)安全管理指南》系列標(biāo)準(zhǔn)。隨后,我國制定和頒布了一系列信息安全技術(shù)標(biāo)準(zhǔn)。2005年頒布《GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則 》, 2007年頒布了《GB/Z 20986-2007信息安全技術(shù) 信息安全事件分類分級指南》、《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》和《GB/Z 20985-2007 信息技術(shù) 安全技術(shù) 信息安全事件管理指南》,2009年頒布《GB/Z 24364-2009 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》,2015年頒布《GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》。國內(nèi)信息安全標(biāo)準(zhǔn)的發(fā)布,充分體現(xiàn)出我國對信息安全的重視,各個(gè)標(biāo)準(zhǔn)在信息技術(shù)行業(yè)的實(shí)施,提高了社會對信息安全的重視程度,積極促進(jìn)信息安全水平不斷提高。如啟明星辰提供專業(yè)的風(fēng)險(xiǎn)評估服務(wù),綠盟推出基于大數(shù)據(jù)的風(fēng)險(xiǎn)評估產(chǎn)品NSFOCUS IDR(NSFOCUS Insight for Discovery and Risk)等。
2.2 等級保護(hù)
在美國國防部制定的TCSEC中及后續(xù)的系列安全指南中,計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則從操作系統(tǒng)、數(shù)據(jù)庫和計(jì)算機(jī)網(wǎng)絡(luò)的不同角度,對信息系統(tǒng)安全進(jìn)行了規(guī)范要求,結(jié)合已有安全措施、安全策略、系統(tǒng)應(yīng)用等方面的信息,將系統(tǒng)分為四類(A~D)八個(gè)等級(D、C1、C2、B1、B2、B3、A1、超A1)。最低級D級是無保護(hù)級,即不能處理敏感信息的系統(tǒng)。C類是自主保護(hù)等級,B類為強(qiáng)制保護(hù)即,A類為驗(yàn)證保護(hù)級。
我國的等級保護(hù)制度是在國家行政制度引導(dǎo)和推動(dòng)下建立發(fā)展的。1994國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,標(biāo)志我國開始施行計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度。為推進(jìn)保護(hù)條例的落實(shí),公安部制定了國家標(biāo)準(zhǔn)《GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》和一系列公共安全行業(yè)標(biāo)準(zhǔn)。公共安全行業(yè)標(biāo)準(zhǔn)包括《GA/T 387-2002 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》、《GA 388-2002 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》、《GA/T 390-2002 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》、《GA 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求》。我國的信息系統(tǒng)劃分為五個(gè)等級,由低到高為自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級和??乇Wo(hù)級。等級保護(hù)是從信息系統(tǒng)本身業(yè)務(wù)的重要程度和遭到破壞后對組織自身、社會及國家造成影響的嚴(yán)重程度來劃分的,自主保護(hù)級為最低級,專控保護(hù)級為最高級。
隨著社會的發(fā)展和技術(shù)的進(jìn)步,我國在發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》2.0版本,于2019年12月1日開始實(shí)施。等保2.0的重大變化在于從之前的被動(dòng)防御發(fā)展為主動(dòng)防御,注重全流程的全面審計(jì)和安全感知,在傳統(tǒng)信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的基礎(chǔ)上拓展覆蓋了工業(yè)控制信息系統(tǒng)、云計(jì)算平臺、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)和大數(shù)據(jù)。
2.3 ISMS
ISMS是眾多風(fēng)險(xiǎn)評估模型中的一種。ISMS的主要特點(diǎn)在于特定情境中的實(shí)踐性。
1993年,英國的學(xué)者和一些自愿參與的公司發(fā)起了一個(gè)“安全實(shí)踐指南”項(xiàng)目,項(xiàng)目的發(fā)包方英國商務(wù)部商業(yè)計(jì)算機(jī)安全中心,希望這個(gè)指南能夠與ITSEC一同規(guī)劃設(shè)計(jì)。但是項(xiàng)目組考慮到項(xiàng)目實(shí)踐化的目的與ITSEC的方向并不完全一致,最終單獨(dú)發(fā)布,并最終被采納為英國國家標(biāo)準(zhǔn)BS 7799。2000 年,成為國際標(biāo)準(zhǔn)ISO/IEC 17799。2005 年,重新編號成為ISO/IEC 27002。ISO/IEC 27000標(biāo)準(zhǔn)簇目前已經(jīng)有二十多個(gè),其中ISO/IEC 27001和ISO/IEC 27002是最重要的兩個(gè)標(biāo)準(zhǔn),已被我國同等采用為GB/T 22080和GB/T 22081。通常術(shù)語“ISMS”指在ISO/IEC27000標(biāo)準(zhǔn)簇指導(dǎo)下建立的組織信息安全管理體系。
產(chǎn)品的或系統(tǒng)的脆弱性是其固有特性,同樣的產(chǎn)品應(yīng)用于不同的環(huán)境,對客戶業(yè)務(wù)的重要程度不盡相同,體現(xiàn)為不同的資產(chǎn)價(jià)值。比較而言,CC標(biāo)準(zhǔn)更注重產(chǎn)品的脆弱性,更關(guān)注在預(yù)期應(yīng)用場下產(chǎn)品自身的安全風(fēng)險(xiǎn),而非實(shí)際應(yīng)用中客戶的業(yè)務(wù)和實(shí)際資產(chǎn)價(jià)值。ISMS是一套保障組織信息安全的方法,是組織管理體系的組成部分。 具有ISMS認(rèn)證資質(zhì)的機(jī)構(gòu)對組織進(jìn)行信息安全管理體系認(rèn)證,通過認(rèn)證的組織可以獲得證書。
ISMS具有同QMS樣的標(biāo)準(zhǔn)結(jié)構(gòu)。ISMS系列標(biāo)準(zhǔn)除基本要求外,還涉及信息安全控制實(shí)踐指南、管理體系實(shí)施指南、測量、風(fēng)險(xiǎn)管理、行業(yè)通信安全管理、信息安全治理、及認(rèn)證機(jī)構(gòu)要求和審核員指南等內(nèi)容。該標(biāo)準(zhǔn)簇旨在通過行業(yè)最佳實(shí)踐和審核的方式,促進(jìn)組織的信息安全。
2.4 各種信息安全評測制度的對比
等級保護(hù)是基本的安全管理原則,等級保護(hù)通過按照信息系統(tǒng)的重要性劃分安全等級,并針對不同的安全等級提出相應(yīng)的安全要求。各種風(fēng)險(xiǎn)評估和安全評測都是在等級保護(hù)制度指導(dǎo)下的具體的研究分析方法,等級保護(hù)制度要高于風(fēng)險(xiǎn)評估和安全評測。各種風(fēng)險(xiǎn)評估和安全評測要充分考慮等級保護(hù)提出的要求,在資產(chǎn)識別、脆弱性識別、威脅識別、風(fēng)險(xiǎn)分析評價(jià)等各個(gè)階段都要考慮到等級保護(hù)要求,判斷安全現(xiàn)狀與等級保護(hù)要求的符合程度和差距,合理處置殘余風(fēng)險(xiǎn),使不可接受風(fēng)險(xiǎn)的處置計(jì)劃與等級保護(hù)工作的要求相一致。
風(fēng)險(xiǎn)評估是開展等級保護(hù)和安全建設(shè)、運(yùn)維的重要手段。風(fēng)險(xiǎn)評估與傳統(tǒng)的以技術(shù)為導(dǎo)向的安全設(shè)計(jì)和安全方案不同,它從安全建設(shè)的實(shí)際出發(fā),結(jié)合成本效益因素,對用戶的重要軟硬件資產(chǎn)進(jìn)行分級,全面分析安全威脅,考慮安全威脅利用脆弱性的可能,通過分析已有安全措施,用定性或定量分析的方法,推斷出客戶資產(chǎn)的安全風(fēng)險(xiǎn),提出風(fēng)險(xiǎn)處置計(jì)劃,并跟蹤風(fēng)險(xiǎn)處置計(jì)劃的實(shí)施效果來確保業(yè)務(wù)系統(tǒng)的安全。
多數(shù)風(fēng)險(xiǎn)評估方法主要關(guān)注產(chǎn)品或信息系統(tǒng)在預(yù)期應(yīng)用中的固有安全風(fēng)險(xiǎn),而不是實(shí)際應(yīng)用中的安全。然而,任何產(chǎn)品或信息系統(tǒng),都必須在實(shí)際應(yīng)用的場景中發(fā)揮其功能。ISMS的關(guān)注點(diǎn)是應(yīng)用場景,是一種實(shí)踐指南。ISMS通過在客戶業(yè)務(wù)現(xiàn)場審計(jì),對信息安全策略、人力資源、資產(chǎn)、物理和環(huán)境安全、通信安全、供應(yīng)商安全等各種現(xiàn)實(shí)情況進(jìn)行審計(jì)。ISMS中對風(fēng)險(xiǎn)評估有強(qiáng)制性的要求,這個(gè)風(fēng)險(xiǎn)評估可以由第三方,也可組織自身或第二方實(shí)施。具有ISMS審核資質(zhì)的機(jī)構(gòu)對組織進(jìn)行信息安全管理體系整體符合性審核,審核通過后頒發(fā)證書。
3 ISMS的第三方審核實(shí)踐
ISMS依據(jù)ISO/IEC 27000標(biāo)準(zhǔn)簇,由ISO/IEC JTC 1/SC 27/WG 1 發(fā)布。ISMS具有和QMS、EMS和OHSMS相同的標(biāo)準(zhǔn)結(jié)構(gòu),ISO系列標(biāo)準(zhǔn)采用相同體系章節(jié)架構(gòu)的目的是為了加強(qiáng)各管理系統(tǒng)的兼容性,使組織在選擇多個(gè)標(biāo)準(zhǔn)增強(qiáng)組織的管理時(shí),能有效地將組織的業(yè)務(wù)和各管理體系相融合。信息安全管理體系審計(jì)主要依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013,該標(biāo)準(zhǔn)采用正文加附錄的形式,正文提出了安全通用要求,附錄制定了具體的安全控制目標(biāo)。組織聲稱符合ISO/IEC 27001時(shí),對于正文中的章節(jié)都不能刪減,必須滿足全部要求;而附錄A中的參考控制目標(biāo)和控制可以增加也可以刪除,即組織可以聲稱滿足部分控制目標(biāo)也可以增加內(nèi)容聲稱滿足更多的安全目標(biāo)。在審核實(shí)踐中,ISO/IEC 27001的正文和附錄都是審核準(zhǔn)則。
組織進(jìn)行ISMS認(rèn)證的目的可能是主動(dòng)的,源于自身提高管理水平要求的目的,也可能是被動(dòng)的,為了滿足市場招投標(biāo)等要求的目的。在理解組織及其環(huán)境的條款審核中,首先要與領(lǐng)導(dǎo)層溝通,了解組織所處的內(nèi)外部環(huán)境、組織進(jìn)行ISMS認(rèn)證的目的、組織關(guān)注的信息安全風(fēng)險(xiǎn)點(diǎn),這有利于提高ISMS審核的有效性和針對性。組織所處的外部環(huán)境,主要從物理環(huán)境、網(wǎng)絡(luò)環(huán)境、政策法規(guī)對信息安全方面的要求、客戶和供方對信息安全的要求等方面去考慮;組織所處的內(nèi)部環(huán)境,主要考慮技術(shù)資源、設(shè)備資源、網(wǎng)絡(luò)資源和人力資源等。在確定信息安全管理體系范圍的審核中,要確認(rèn)組織的物理邊界、邏輯邊界和業(yè)務(wù)邊界是否清晰,是否考慮了相關(guān)方及其信息安全要求,并形成文件化信息。注意識別是否有不包含在ISMS體系范圍內(nèi)的業(yè)務(wù)過程,這些業(yè)務(wù)過程對體系運(yùn)行的有效性是否有影響。對于這點(diǎn),一般的原則是獨(dú)立的業(yè)務(wù)過程可以不包含在ISMS體系內(nèi),但是行政、人力、財(cái)務(wù)這樣的支持部門的業(yè)務(wù)不支持分割在體系外,應(yīng)當(dāng)作為ISMS體系審核的對象。信息安全管理體系的審核中,關(guān)注體系建立運(yùn)行的時(shí)間,體系運(yùn)行的效果是否達(dá)到了預(yù)期。
在審核組織的信息安全管理角色、責(zé)任和權(quán)限時(shí),ISMS沒有要求建立管理者代表,有關(guān)于設(shè)立風(fēng)險(xiǎn)責(zé)任人的要求。風(fēng)險(xiǎn)責(zé)任人指對風(fēng)險(xiǎn)責(zé)任有權(quán)利和責(zé)任的人或?qū)嶓w,有對組織的風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)接受進(jìn)行批準(zhǔn)的權(quán)限,一般都是公司的總經(jīng)理兼任風(fēng)險(xiǎn)責(zé)任人。審核中可查看信息安全風(fēng)險(xiǎn)責(zé)任權(quán)限分配表,或者是部門崗位責(zé)任說明書一類的文件,檢查文件中是否包含信息安全職責(zé)的內(nèi)容。
ISMS要求實(shí)施具體的風(fēng)險(xiǎn)評估,風(fēng)險(xiǎn)評估報(bào)告是ISMS審核內(nèi)容之一。ISMS體系建立的時(shí)間和風(fēng)險(xiǎn)評估的時(shí)間間隔不宜過長,否則風(fēng)險(xiǎn)評估的結(jié)果不能真實(shí)反映ISMS體系運(yùn)行的真實(shí)有效性。ISO/IEC27001的風(fēng)險(xiǎn)管理流程是按照ISO31000的風(fēng)險(xiǎn)框架實(shí)施的,是ISMS審核的重要組成部分。最新的《ISO31000:2018 風(fēng)險(xiǎn)管理指南》著重在管理層面上提升企業(yè)對風(fēng)險(xiǎn)管理的重視程度。信息資產(chǎn)識別是按照組織的信息資產(chǎn)分類辦法規(guī)定識別的,典型的信息資產(chǎn)包括硬件、軟件、信息、數(shù)據(jù)、服務(wù)、人員、無形資產(chǎn)等。組織的重要資產(chǎn)價(jià)值通過完整性、機(jī)密性、可用性賦值加權(quán)計(jì)算和對比得到。風(fēng)險(xiǎn)處置結(jié)束后要進(jìn)行風(fēng)險(xiǎn)再評價(jià),通過風(fēng)險(xiǎn)處置方式的引入,風(fēng)險(xiǎn)可能會升高。如果風(fēng)險(xiǎn)責(zé)任人接受風(fēng)險(xiǎn)處置報(bào)告,風(fēng)險(xiǎn)評估就告一段落;如果不能接受,則要繼續(xù)進(jìn)行風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)處置的原則是適度接受風(fēng)險(xiǎn),根據(jù)組織可接受的處置成本,將殘余風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。一般選擇較低的支出就可以減少大量風(fēng)險(xiǎn)的處置辦法。
信息安全風(fēng)險(xiǎn)評估和處置過程的審核,重點(diǎn)審核信息安全風(fēng)險(xiǎn)責(zé)任人或信息安全風(fēng)險(xiǎn)主責(zé)部門,了解信息安全風(fēng)險(xiǎn)管控流程是否符合信息安全標(biāo)準(zhǔn)的要求,檢查受審核方實(shí)施信息安全風(fēng)險(xiǎn)管理程序的情況,包括信息安全風(fēng)險(xiǎn)評估計(jì)劃、風(fēng)險(xiǎn)管理程序、風(fēng)險(xiǎn)識別與評價(jià)表、風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處置計(jì)劃等。ISO/IEC 27001:2013在信息安全風(fēng)險(xiǎn)識別方面不再強(qiáng)調(diào)以信息資產(chǎn)為導(dǎo)向,而是與 ISO31000更加保持一致,支持更多的方法識別進(jìn)行風(fēng)險(xiǎn)識別,頭腦風(fēng)暴法、情境分析法、檢查表法等都是有效的風(fēng)險(xiǎn)識別方法。
4 總結(jié)
為實(shí)現(xiàn)信息安全保障,組織應(yīng)關(guān)注等級保護(hù)制度的要求,同時(shí)實(shí)施風(fēng)險(xiǎn)評估,必要時(shí)進(jìn)行ISMS評估,從制度、管理和技術(shù)的不同角度入手,合理利用信息安全評估評測制度和相關(guān)技術(shù),提升組織的信息安全水平。
參考文獻(xiàn):
[1]譚良,羅訊,佘堃,周明天.CC與SSE-CMM的研究與比較[J].計(jì)算機(jī)應(yīng)用研究,2006(05):38-40+43.
[2]王伏華,姚杰.風(fēng)險(xiǎn)評估與管理工具研究[J].電腦知識與技術(shù),2011,7(30):7388-7389+7392.
[3]謝宗曉,李寬.通用準(zhǔn)則(CC)與信息安全管理體系(ISMS)的比較分析[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào),2018(07):28-32.
[4]郭琳. 基于ITBPM的校園網(wǎng)信息安全防護(hù)研究[D].陜西師范大學(xué),2011.
[5]李成,曲振華.物聯(lián)網(wǎng)風(fēng)險(xiǎn)評估和等級保護(hù)淺析[J].現(xiàn)代電信科技,2014,44(10):32-35.
[6]鐘瑞瓊,姜靈敏,蔣吉頻,鄺麗敏.信息服務(wù)外包安全監(jiān)管對策研究[J].廣東農(nóng)工商職業(yè)技術(shù)學(xué)院學(xué)報(bào),2012,28(02):73-77.
(注:本文來自于《電子產(chǎn)品世界》2020年11月刊)
評論