新聞中心

EEPW首頁 > 手機與無線通信 > 設計應用 > 基于風險管理的信息安全管理體系建設及審核

基于風險管理的信息安全管理體系建設及審核

作者:李莉,呂敏(中國信息通信研究院,北京 100088) 時間:2021-08-06 來源:電子產品世界 收藏
編者按:研究了風險管理在信息安全管理體系建設過程中的指導作用,提出了在信息安全管理體系建立和審核階段結合風險管理思想的實現側重點,指出了在具體ISMS審核環(huán)節(jié)的關注要點,這些建議對于信息安全管理體系的建設方和審核方都具有指導意義。

作者簡介:李莉,主要從事信息系統(tǒng)和網絡設備安全研究和測試工作。呂敏,主要從事通信安全生產、風險評估以及相關科研管理工作。

本文引用地址:http://m.butianyuan.cn/article/202108/427419.htm

隨著經濟全球化的發(fā)展,組織在業(yè)務開展過程中面臨的風險日益增多。各類組織面對繁雜的經濟社會環(huán)境和不斷變化的法律法規(guī)、政策、技術變化,對提高組織的水平、建設、增強防范風險的能力有著迫切的需求。本文介紹了基于思想的策劃和實施過程,并從第三方審核的角度對的建立要點進行了分析。這對組織信息安全管理體系建設具有積極的指導作用。

1   ISO 31000簡介

ISO 于2009 年發(fā)布了《ISO 31000:2009 ——原則與指南》,最新版本為2018 版。ISO 31000風險管理實踐性指南是通用的安全風險管理標準,促使組織結合運用先進的風險管理理論和業(yè)界普遍的良好實踐來實現組織的風險管理活動。該標準不局限于財務、人力資源、法務、信息安全等行業(yè)或業(yè)務,對組織運營過程全周期的所有業(yè)務都有指導作用。

相比于傳統(tǒng)的風險管理方法,ISO 31000 風險管理指南強調要充分考慮組織環(huán)境的變化,適應這種變化,在事前、事中積極應對風險,而不僅限于追責和修正式的事后反應。同時,ISO 31000 建議將風險管理提升到組織業(yè)務方針的高度,不局限為某一風險管理部門的職責,更不能由各個部門割裂開來分別考慮局部的風險情況。

應用ISO 31000 風險管理指南,組織可以識別冗余的控制,減少管理成本;在一定程度上提高組織識別和遵守法規(guī)和國際規(guī)范的能力;提高應對風險和利用機會的能力,改善組織配置資源的效率;提高組織的管理水平,促進相關方對組織的信任。

ISO 31000 的風險管理框架高度抽象,由11 項風險管理原則、6 個風險管理框架組成部分和5 個相關聯的風險處理流程組成。指南從原則和方法論的高度,提出了風險管理原則和概念性的方法,對組織的風險體制提出了指導性意見,組織應用這個框架時要充分考慮組織自身的實際情況,結合業(yè)務具體流程,而不是簡單套用ISO 31000 的框架[1]

2   ISMS簡介

ISMS(information security management systems,信息安全管理體系)源于國際標準ISO/IEC 17799。2005 年,國際標準化組織對該標準重新編號,規(guī)劃為ISO/IEC 27002。目前該標準簇包括20 多個標準,其中ISO/IEC 27001 和ISO/IEC 27002 被我國同等采用為GB/T 22080 和GB/T 22081。這兩個標準是協(xié)議簇中最重要的兩個標準。建立ISMS 管理體系,就是依據ISO/IEC27000 標準簇建立組織的信息安全管理體系[2-4]。ISMS 與其他風險評估評測制度的重要區(qū)別在于其實踐性,關注信息系統(tǒng)在特定應用場景中的安全風險,是一種實踐指南。

3   ISO 31000對ISMS的指導作用

ISO 31000 指南應用廣泛,ISMS 的風險管理流程就是按照ISO 31000 的風險框架實施的。ISO 31000 的風險管理框架由5 個相關聯的風險處理流程組成,分別是風險管理框架的授權與承諾、設計、實施、監(jiān)測評審和改進。這個框架與ISMS 管理體系中的PDCA 循環(huán)(計劃、執(zhí)行、檢查、改進)本質上是一致的。ISMS 的風險管理流程可分為幾個步驟,如圖1。

image.png

信息安全風險管控流程主要分為風險評估和風險處置兩個階段。組織實施信息安全評估和風險處置的過程要滿足組織的環(huán)境及其相關方的要求,將這些要求融入到風險管控過程,并針對意外的影響,制定有效的應急措施。ISMS 要求實施信息安全風險評估,執(zhí)行風險分析和風險評價。ISO 27001:2013 標準在信息安全風險識別方面不再局限于以資產識別為導向,而是引入ISO 31000的指導思想,可以采用任何適用的方式進行風險識別,情景分析法、頭腦風暴法都是有效的風險識別方法。

組織應制定信息資產識別分類辦法,形成風險評估的信息資產清單。根據信息資產機密性、完整性和可用性的賦值,加權計算出重要信息資產。根據資產本身的脆弱性和威脅發(fā)生的可能性及導致后果的嚴重程度,計算出威脅和脆弱性。結合資產重要性、脆弱性大小和威脅大小,依據組織的風險評價方法,得出組織的風險評價表。根據風險評價準則,判斷各個風險能否接受。對于不能接受的風險,需要進一步進行風險處置。風險處置要依據組織的風險處置計劃,形成不可接受風險的控制措施列表。風險處置后再次評價風險接受情況。風險處置的結果有可能是風險降低,但也有可能是隨著新風險處置措施的引入,風險會升高或帶來新的威脅。風險處置后應形成殘余風險報告,風險處置報告需要風險責任人批準。如果風險責任人接受風險處置報告,風險處置結束;若不接受,需要繼續(xù)進行風險處置,直到殘余風險在可接受范圍內。信息安全是一個相對的概念,組織通常需要權衡信息安全水平和付出的時間、人力、財務成本等,平衡這些因素是否在組織能接受的范圍內。

ISMS 體系建立不是一蹴而就的過程,組織應按照ISMS 管理體系要求,進行績效評價和體系改進。按照計劃實施信息安全內部審核和管理評審,糾正發(fā)現的不合格,制定糾正措施,實現持續(xù)改進,實現ISO 31000要求的監(jiān)測和改進循環(huán)。

4   實踐

4.1 管理溝通

理解并確定組織的內外部環(huán)境是建立ISMS 的前提條件。組織建立該體系的動機可能是為了提升自身管理水平,也可能是出于市場壓力,為了滿足市場要求。在審核時首先應當與管理層溝通,了解組織建立ISMS 的目的。對組織的信息安全外部環(huán)境,主要從政策法規(guī)、物理環(huán)境、網絡環(huán)境、市場和供方的信息安全要求等方面考慮。了解組織的內部環(huán)境,主要考慮組織的技術資源、網絡設備資源和人力資源等。了解組織的相關方在信息安全方面的要求,包括國家政策、主管機構、客戶和供方、審計認證機構,甚至訪客等各種相關方對組織信息安全的要求。全面了解組織所處的內外部環(huán)境和相關方要求,有利于提高審核的有效性和針對性。

4.2 信息安全管理體系核心

信息安全管理體系的核心包括策劃和運行兩個核心環(huán)節(jié),即策劃應對風險和機會的措施,并運行信息安全管理體系。信息安全風險策劃環(huán)節(jié)主要審核組織的安全風險管控流程滿足ISO 27001 標準的程度。策劃的信息安全風險評估和處置程序應具有完備性和可執(zhí)行性,且風險評估的結果應與預期一致。風險評估和處置可以從組織的角度進行,也可以在部門的范圍內執(zhí)行。部門的信息安全風險評估和處置記錄可以是獨立的,也可以是整個組織評估記錄的一部分,記錄的形式,不影響風險評估和處置的執(zhí)行。

風險評估方法要滿足27001 標準的要求,具有可操作性,組織需要考慮業(yè)務的風險因素,評估結果能夠再現。組織信息資產的收集和風險分析要覆蓋信息安全管理體系的范圍。組織提供的風險評估報告及其重要資產清單要與信息安全管理體系的范圍相適應,符合組織的信息安全現狀。風險評估應當作為常規(guī)性的工作,在風險策劃階段就考慮和確定風險評估的時間間隔,規(guī)定重新啟動風險評估程序的特殊情況。根據組織規(guī)模的大小,風險評估和處置可能由組織統(tǒng)一規(guī)劃發(fā)起,對于較大的組織,也可以由各個部門自行規(guī)劃實施。

風險處置是整個風險管控流程中的重要環(huán)節(jié)。信息安全風險評估和處置主要關注信息安全管控流程和信息安全風險管控的實施結果。依據風險值大小,風險處置計劃對風險的處置方式有降低、保留、規(guī)避或轉移風險等多種方式。其中購買商業(yè)保險是轉移風險的一個例子。風險處置的原則是適度接受風險,即根據組織可接受的處置成本,將殘余風險控制在可以接受的范圍內。風險接受的前提是確定信息系統(tǒng)的風險等級,評估風險發(fā)生的可能性和潛在的破壞性,分析使用處理措施的可能性,并進行成本效益分析,確定特定信息資產是否需要進一步保護。同時信息安全風險處置計劃應得到監(jiān)視和評審,殘余風險要控制在組織可接受的范圍之內并得到領導層的批準。組織的各個部門可以單獨制定信息安全風險處置計劃,較小的組織也可以只在IT 部門進行風險處置。

4.3 信息安全管理體系全周期審核

上述策劃和運行是信息安全管理體系的主要環(huán)節(jié),信息安全的評測和改進環(huán)節(jié)組成了完整的信息安全管理體系周期。

信息安全風險的績效評價是PDCA 循環(huán)中的測量部分,通過對管理體系執(zhí)行效果評價促進管理體系完善。測量分為定期測量和不定期測量。內部審核和管理評審屬于定期測量;不定期測量包括對控制措施的檢查和對風險變化的監(jiān)視和測量。風險本身是隨著環(huán)境變化的,受到物理環(huán)境、政策等各種因素的影響,風險管理本身是一種動態(tài)管理。

不符合的糾正和持續(xù)改進是PDCA 循環(huán)中的改進環(huán)節(jié),是解決問題實現改進的關鍵階段。組織要針對不符合進行糾正,分析原因,制定和執(zhí)行糾正措施,評審糾正措施的有效性;持續(xù)改進體現了組織管理者對信息管理體系的期望,重點關注體系運行效果、現存問題、采取的糾正措施和持續(xù)改進計劃。

4.4 信息安全控制目標

ISO 27001 附錄中涉及眾多安全類別和控制項目,這些內容是業(yè)界安全風險控制的良好實踐總結,也是運行信息安全管理體系的具體要求。安全控制分為通用控制和專用控制。通用控制措施適用于所有部門和業(yè)務過程,如資產管理、訪問控制和信息安全事件管理等;專用控制措施只適用于特殊的職能部門和業(yè)務過程,如系統(tǒng)開發(fā)安全、人力資源安全、供應商關系、業(yè)務連續(xù)性管理的信息安全等。組織應當給出SoA(statement of applicability,適用性聲明)文件,聲稱滿足全部或部分的控制措施,或者聲稱有增強的安全要求,能夠滿足超出附錄的更多的安全控制目標。對于刪減的安全控制措施,應給出合理的理由。

安全目標描述了實現安全控制目標的具體方法,組織在建立信息安全管理體系的過程中,可以參考安全目標,提高體系建立的有效性。

4.5 信息安全策略與組織安全

信息安全策略集應當由管理者批準并傳達給所有員工和外部相關方,同時注意保密要求,某些控制策略,如網絡安全訪問策略不能被外界獲知。

組織內部應建立管理框架,合理劃分角色,實現職責分離,防止人員職責過于集中而增加發(fā)生差錯、舞弊和掩飾的可能性。組織應維護與網信辦、網絡監(jiān)管部門、安全論壇等機構的聯系,以應對自身無法解決的信息安全事件。組織的信息安全管理應深入到項目管理中,將項目的信息安全風險納入信息安全風險評估的過程。如果有信息安全事件發(fā)生,應追蹤審核。

4.6 信息資產安全

組織應建立和維護信息資產清單,指定信息資產責任人,制定信息資產使用規(guī)定文件。組織的信息資產應當分級,按照標記規(guī)程進行標記,并依據資產的重要程度進行適當水平的保護及備份。標記規(guī)程要適應企業(yè)實際,不恰當的標記反而會增加信息資產的風險。組織應根據資產分級,制定存儲介質管理規(guī)程,對U 盤、機械硬盤或紙質文件等存儲介質的使用、轉移、損壞、報廢、銷毀等作出規(guī)定。

4.7 訪問控制

訪問控制是實現信息安全管理目標的重要措施之一。組織應編制針對物理設備、網絡、網絡服務、信息系統(tǒng)等的訪問控制策略。其中網絡和網絡服務是信息安全風險管理的關鍵部分,網絡訪問策略包括允許策略、限制策略、訪客策略、防火墻策略、行為管理策略等。

用戶訪問管理應確保授權用戶的訪問,并防止未授權的訪問。門禁系統(tǒng)、OA、網絡、郵件系統(tǒng)、財務系統(tǒng)等都應實現正式的用戶注冊、注銷過程。由于數據關聯性,用戶注銷不等同于賬戶刪除,可能通過賬戶禁用或撤銷權限的方式實現注銷。一般信息系統(tǒng)設定多個角色,通過指定用戶角色的方式分配用戶權限。超級用戶應有操作日志,以監(jiān)督其特許訪問權限的使用情況。用戶對信息系統(tǒng)的視圖應與其權限相一致,應有登錄規(guī)程、口令管理、限制特權程序、限制對源代碼的訪問等。

4.8 通信安全

通信安全涉及網絡安全管理和信息傳輸安全。組織的網絡拓撲圖一般涉及主機、服務器、路由器、交換機、防火墻、IDS(intrusion detection system,入侵檢測系統(tǒng))、IPS(intrusion prevention system,入侵防御系統(tǒng))、上網行為管理服務器、無線AP(access point,無線接入點)、無線控制器等。組織的網絡規(guī)劃應融合網絡服務訪問控制要求,網絡的安全機制和服務級別體現在網絡服務協(xié)議中。常見的網絡安全措施有網絡設備入網管理、基于VPN(virtual private networks,虛擬專用網)的網絡傳輸安全控制、防火墻設備、部署上網行為管理、在網絡交換機中部署ACL(access control list,訪問控制列表)等。組織可通過物理或邏輯方式實現網絡隔離。

網絡隔離可以通過劃分子網或VLAN(virtual local area network,虛擬局域網)的方式實現。組織應制定信息傳輸策略和規(guī)程,確保組織內部與外部的信息傳輸安全。

確保工作中涉及的電子信息安全。保證電子信息傳輸安全的方式有郵件加密協(xié)議、SSL(secure sockets layer,安全套接字)協(xié)議、SET(secure electronic transaction,安全電子交易)協(xié)議。組織還應針對不同的工種簽訂不同的保密協(xié)議。

4.9 其他關注點

信息安全管理體系審核還涉及密碼控制。密碼控制不同于口令,應選擇適合組織業(yè)務的對稱或非對稱加密技術,制定和實現組織業(yè)務生命周期的密鑰使用和保護策略,避免使用非公開加密算法。確保物理和環(huán)境安全,防止未授權人員進入特定區(qū)域,防護自然災害和意外的發(fā)生[5-7]。

5   結束語

組織將風險管理思想融入到信息安全管理體系建立和運行過程中,從技術和管理兩個方面著手,同時借鑒第三方審核的經驗,提高信息安全管理體系運行的有效性,促進組織業(yè)務持續(xù)高效發(fā)展,實現組織和相關方的利益共贏[8]。

參考文獻:

[1] CHOO B S,GOH J C.Adapting the ISO 31000:2009 enterprise r i s k m a n a g e m e n t f r a m e w o r k u s i n g t h e s i x s i g m a approach[C].2014 IEEE International Conference on Industrial Engineering and Engineering Management:39-43,Bandar Sunway,2014.

[2] 濮燁青.基于ISO27000系列標準的本體建模與評估技術研究及應用[D].上海:上海交通大學,2017.

[3] 聶自闖.基于SDN的IoT設備細粒度訪問控制研究與實現[D].重慶:重慶郵電大學,2019.

[4] 魏建清.信息安全管理體系建設探析[J].上海質量,2013(08):45-47.

[5] 張雅慧.A公司信息安全管理的問題與策略研究[D].泉州:華僑大學,2019.

[6] 李存建,李素鵬.論我國等同采用國際風險管理標準的必要性[J].中國標準化,2010(04):26-29.

[7] 丁艷玲.風險管理理念在專利管理中的應用[J].中國發(fā)明與專利,2011(03):91.

[8] 黃水清,任妮.對《數字圖書館安全管理指南》及其“解讀”的辨析[J].中國圖書館學報,2012,38(01):25-33.

《本文來源于《電子產品世界》雜志2021年5月期)



評論


相關推薦

技術專區(qū)

關閉