徐亮彧
摘 要
随着全球互联网应用的发展,网络信息技术已经成为生活的重要部分。2017年我国亦施行了《中华人民共和国网络安全法》,大幅度提高了国民的网络安全意识,而在网络安全法中也强调了风险管理的重要性,风险管理也是整个企业管理中的重中之重,但面对风险和机会的把握,成本效益的控制,中小型企业往往对于信息安全风险管理的执行方法,效益最大化等方面缺乏良好实践及研究。本文在此就这一论题进行分析和讨论,望对于中小企业的信息安全风险管理提供支持和借鉴。
关键词
信息安全;风险管理;中小型企业;实践
中图分类号: G203;F270 文献标识码: A
DOI:10.19694/j.cnki.issn2095-2457.2020.09.082
1 信息安全风险管理相关概述及定义
1.1 风险
风险指的是“不确定性对目标的影响”,在定义中影响可以是正面的,也可以是负面的;目标可以是不同方面的,可以是财务、健康、环境、组织,层面、项目、产品、过程等等的目标。
1.2 信息安全风险
结合上文的风险管理和相关国际标准对信息安全风险的描述可以得知,信息安全风险指因不确定性对信息安全目标的影响。信息安全风险与威胁、信息资产和脆弱性相关。
1)信息安全:对信息的保密性、完整性、可用性的保护。
2)威胁:可能对信息系统或组织造成危害事件的潜在原因。
3)组织:具有自身的功能、责任、权威和关系来实现目标的人或一组人,一般在中小企业环境主要指的是企业、部门或特定的团队。
4)脆弱性:指弱点,国内更多的称之其为漏洞,这种弱点来源于可能被一个或多个威胁利用的资产或控制措施。
2 信息安全风险管理模型
信息安全风险管理模型随着标准的不断改进已经进入成熟期,在模型中遵循并强调了PDCA闭环的重要性(如图1所示)。
在整个信息安全风险管理闭环中,循环的过程主要由4大部分组成:
①环境的建立:一个风险管理当中,环境建立是关键中的关键,通常组织需要在环境建立的过程中确定信息安全风险管理的具体目标、目标所涉及的范围,以及目标所包含的利益相关方。根据这些元素对风险管理的对象进行梳理,根据组织的信息安全目标设置风险管理的目标,配备相关的资源。
②风险评估:风险管理的基础且核心活动是风险评估,在整个循环过程中有3个部分整合了风险评估内容,包括风险识别、风险分析、风险评价。值得注意的是确定风险评估的方法,计算公式。并细化评估的对象所包含的信息资产。
③风险处置:其针对风险作出风险控制、风险规避、风险接受、风险转移等处置措施。
風险修正:对风险采取控制措施,有效降低或控制风险。
风险规避:即消除风险,通常情况下一般是禁止可能导致该风险的活动。
风险保留:已了解风险可能造成的影响及风险的大小,但经过讨论不对风险采取任何措施,亦愿意接受风险可能带来的影响。通常是在计算成本效益后作出的决定。
风险共享:将现有的风险与其他组织进行共享,共同承担可能造成的影响,但风险共享或产生新的风险亦可能改变现有的风险。
值得注意的是,风险处置的过程本身包含了PDCA的循环,需要经过细致的计划,执行,检查其执行的有效性,和持续改进。
④监控及检查:这个活动应贯穿整个风险管理的生命周期中,并每一个活动中持续进行。以此进行每一个环节的有效性及质量控制,保证目标的实现。
随着组织发展及时间线的推移,整个信息安全风险管理闭环在循环进行,组织在不断的进行风险管理的过程中优化自身的风险管理策略,从而确保风险管理与目标的一致性。
贯穿整个生命周期还需要重要的部分是持续的讨论和咨询,确保结论输出的专业性和策略及步骤中的风险控制。
3 中小型企业的风险管理的策略定制
中小型企业的风险管理策略定制过程中,最大的问题来自于对于风险管理专业知识的缺失,同时自身投入的资源也极其有限,通常面临不知如何设定策略,策略需要包含哪些元素的问题。或者当组织细化到策略细节时把控不足策略的层面和颗粒度,往往导致策略无法制定或制定以后无法落实的问题,这也是导致目前大型企业往往风险管理能力较强,而中小型企业信息安全风险管理能力较弱的主要原因,当然,这也和中小型企业的信息化成熟度有关,互联网企业通常信息安全风险管理的能力强于普通传统企业。
根据上文信息安全风险管理模型,中小型企业应先梳理出与自身业务生态相关的信息系统,并确定这些信息系统中是否存在可以大幅影响核心业务运营的系统,是否存在当这些系统中包含着组织核心的信息。通常这些系统都在核心业务运营中承担着某个环节的执行工具的作用,例如,负责通讯的邮件或内部沟通系统、财务系统、业务过程计算系统,也有可能是一些办公工具,比如office、pdf工具等。
在明确组织的信息化对象后,组织可以根据这些对象展开目标的梳理,这些目标通常对于中小型企业而言来自于外部,比如我国的《网络安全法》、等级保护制度、行业的要求、利益相关者的要求等等;还有部分来源于组织内部需求,比如,基于信息数据私密性的考量、组织曾经发生的信息安全事件、业务战略的变化、可用性下降的需求等等。由于中小型企业的组织特性,导致大多中小型企业不具备自主挖掘这些目标的良好能力,通常可通过行业内交流,引入外部组织资源,展开自我风险评估等方式进行,具体的方式应在基础的判断效益进行展开,比如,设定一个基础信息安全风险管理的预算池,整体信息化资产及预算的1%-3%作为其预算,当然,这个数值应根据不同行业,不同特性,以及不同的信息化成熟度进行不同的设定,本为中给出的值仅为示例值。在基础预算池之上是根据上一年基础预算池的成效和总结进行每年的调整,最终调整到适合自身组织的定值区间。
政策的制定应围绕既定的目标展开,并具备一定的延续性,中小型企业的政策设计可以根据信息安全的保密性、完整性、可用性进行展开,同时结合不同行业业务领域的分布进行展开,并可通过图表法进行整理与归档的讨论。
在图标法中将政策所属的领域、安全性分类、信息安全目标、具体的政策内容作为表格的主要指标项,并对政策进行编号,对政策的实施状态进行登记,首先记录下每一个领域中的安全目标,如“框架|完整性|整体信息安全目标的达成”这样可以帮助整个组织思考在这一安全目标下所需的政策支持内容有哪些,随后进行政策内容的发散,可以针对同一目标展开多个政策。而记录政策编号以及政策的状态以便于更好的为政策的修订和审查做支撑。
中小型企业通过政策表,快速设定对应的目标以及目标完成所需要的政策内容,周期性评估政策是否有效,通过管理闭环不断REVIEW及优化政策。表的维护可根据每年的风险评估抽检的情况对部分政策进行实行情况的检查,并讨论后快速迭代。不过这会受到短板效应的影响,具体的评估范围应根据实际风险管理的预算,实行管理的效益分析,发现风险的情况进行抽检范围的控制。
4 中小型企业的风险管理的组织架构
整个信息安全风险管理的组织架构通常分为三层架构,即政策层、管理层、执行层。政策层一般负责信息安全风险管理的政策制定与信息安全风险管理的目标制定;管理层主要负责将顶层的政策拆分成具体的管理要求、管理策略、具体的执行规范;执行层负责具体的风险管理执行的内容,例如风险管理四大部分中的环境建立、风险评估的具体实物,监控与记录汇总等工作。在大型企业的风险管理往往会贯穿整个企业架构,分层更细腻,风险管理人员会贯穿整个组织架构。而对于中小型企业的信息安全风险管理人员投入往往较少,甚至可能通过外包的方式进行。一般,顶层的风险管理引导者往往是组织所有者的朋友或认识的专业人员,管理层的工作可由一名组织内部人员结合外部组织专业人员进行工作分担,而执行层的人员可结合管理层的设计产物,分析现有人员的覆盖范围,从而制定新的人员结构,一般中小型企业的执行层亦主要由外部组织承担,但通常在职权分离的规则下进行,管理层的外部组织与执行层的外部组织尽可能选择不同的组织,以减少舞弊、片面性及其他风险。
5 中小型企业的风险评估計算模型的设计
中小型企业风险评估环节中最难处理的是风险的计算模型,现行我国各大测评机构用的风险计算模型是根据国标GB/T 20984 信息安全风险评估规范而制定的,使用对表法或乘积法,采用风险值=R(安全事件的可能性,安全事件造成的影响)=R(L(T,V),F(Ia,Va))的公式,并将威胁可能性、脆弱性的严重程度、资产价值的分级划分为5级进行不同的赋值和计算。介于中小型企业在上文中提到的专业能力不足的实际情况,而风险偏好又是一个需要组织所有者达成共识的参数。在中小型企业的风险评估计算时,采用ISO31000的基础模型将整个赋值活动放在“安全事件的可能性”与“安全事件造成的损失上”,并简化赋值为“高”、“中”、“低”(如表1、表2)。
通过这种方法使组织所有者和各个部门的主要负责人皆可以参与安全事件发生可能性和安全事件影响的条件设定中去,这也直接关系了组织的信息安全风险偏好。当然,在设定这些条件时可能存在遗漏或错误或合理性相关的问题,这也是后期监控,review的过程。对于中小型企业而言,这个过程亦可以通过外部组织进行咨询的事务,以加强设计的有效性。
简化后的计算模型在计算信息安全风险时,仍先确认被评估的资产对象、挖掘其脆弱性。在脆弱性挖掘的方法上,可参考我国2个常用的标准GB/T 22239网络安全等级保护基本要求及GB/T 22080 信息安全管理体系要求这两个文件,同时结合一定的自我知识体系进行脆弱性的判断。根据每一个资产排列出所有的脆弱性,随后针对每一个资产的脆弱性进行可能产生的威胁排列(如表3)。
对每一个威胁利用脆弱性所产生的安全事件可能和安全事件影响进行与上文中定性方法模型进行比对,并将对应的可能性评估,影响评估进行填写。在考虑这些可能性与影响时应简单分析攻击路径,以此判断是否多个脆弱性可能产生联动性影响或可能性的变化,这也是上文中强调需先排列出每个资产的所有脆弱性的原因。
中小型企业的风险评价过程可以适当的简化,但需在风险计算环节将可能性评估,影响评估取高值组合进行最终的排列(如表4)。因为对于中小型企业来说,风险管理的关键在于分析风险及平衡效益,其关键在于发现脆弱性最严重的风险情况,并帮助判断对该风险做何种处置。
最终每一个资产的每一个脆弱性对应的最大风险都能用表4中的表格进行呈现,这里可能存在的比较可能性和影响对于风险大小的判断,比如,可能性中而影响高;可能性高而影响中,这两种情况。一般在这种比较的情况下,通常来说影响大于可能性,这种判断的机制与黑天鹅的机制相同。具体可参考表5。
当然,中小型企业可根据自己的风险偏好和战略以及预算进行整个风险评估过程优化和重新设计,但总体原则不建议复杂化整个风险计算的过程。
6 中小型企业的风险处置建议
通过组织会议,使各个环节的高级管理人员皆参与到风险处置的会议之中,并通过参与风险管理的外部组织给予一定的建议。必要的是,中小型企业的风险处置决定应由负责安全的责任人在得到组织所有者的认可情况下对风险进行处置的决定。
在处置风险的过程中,应首先关注风险处置的预期结果,处置措施计划及措施可能带来的风险。处置措施计划应是落实到责任人与具体时间的,可使用RACI模型结合时间计划表的形式,进行持续跟进和反馈。在处置完后对处置的结果进行评价,已决定是否接受剩余的风险,同时,这个处置的结果在每一年持续的风险评估活动中需被关注,并根据整体风险处置的结果已推进持续改进的风险管理。
7 结束语
中小型企业作为我国经济发展的重要力量,随着信息化应用的时代潮流,信息安全风险管理对于其而言越发重要。望通过本文对中小型企业在信息安全风险管理上起到一定的帮助作用,为推动信息安全风险管理的发展,减少风险带来的影响和可能性,增加企业效益提供支持。
参考文献
[1]中华人民共和国网络安全法.
[2]GB/T 22239.2019 网络安全等级保护基本要求.
[3]GB/T 20984.2007 信息安全风险评估规范.
[4]GB/T 22080.2016 信息技术 安全技术 信息安全管理体系 要求.
[5]ISO 31000.2018 Risk management—Guidelines .
[6]ISO 27000.2018 Information technology—Security techniques—Information security management systems—Overview and vocabulary.
[7]ISO 27005.2018 Information technology-Security techniques-Information security risk management.