整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
淺議信息化建設中如何做好信息安全風險評估的策劃矯慶軍(沈陽理工大學沈陽110168)摘要本文提出了組織在進行信息安全風險評估時,在策劃階段應關注的一些問題,以保證整個風險評估過程的有效性。關鍵詞信息安全風險評估策劃中圖分類號(0168).隨著各類組織的信息化程度的提高,使得信息系統越來越復雜,在業務運作的過程中生成大量的數據,組織的發展對信息的依賴程度也越來越大,這樣信息安全管理成了組織風險管理的重要組成部分。
如何保障信息安全是每個現代組織所面臨的共同問題,信息安全風險評估逐漸被引入組織的管理體系當中。目前,我國也正在制訂相應的風險評估及風險管理指南。國際上的風險評估(管理)指南,基本上比較注重可操作性和通用性,對于風險評估的過程描述得比較清晰,也強調了風險評估的準備階段的要求和任務,筆者認為風險評估作為一個過程,應該特別注意其策劃階段的活動,本文主要結合實施風險評估的一點經驗,簡單提出在策劃階段應關注的一些問題。一、確定風險評估范圍風險評估作為一個過程,或者說一個項目,在最初應確定其范圍。組織進行風險評估可能是由于自身商業要求及戰略目標的要求,相關方的要求或其他原因,因此應根據上述原因確定風險評估范圍。范圍可能是組織全部的信息和信息系統,可能是單獨的信息系統,可能是組織的關鍵業務流程,也可能是客戶的知識產權。例如國內某半導體代工企業為了滿足其技術合作方在技術轉移方面的要求而采取BS7799-2:2002標準建立信息安全管理體系(ISMS),在建立體系的過程中,他們設定了ISMS的范圍,這個范圍其實就是包含客戶IP的信息流所涉及的業務流程和部門。這樣在體系建立過程中的風險評估就針對這樣的范圍進行,以滿足相關方的要求。
OA2005論文·249·組織在確定范圍的時候,不應該是隨便指定一個范圍,而是應該清醒地分析組織業務戰略的要求,否則整個風險評估可能耗費大量的資源,卻沒有達到預期的效果。如果風險評估的范圍過大,經常會導致對于收集到的信息進行分析分析時感到困難,設定一個對于組織來說“易于管理”的范圍對于風險評估的項目安排及活動的實施都會降低其難度。范圍的界定可以從下面的一個思路進行考慮:1、為滿足組織業務戰略要求,組織承擔著哪些重要的商務活動:2、流程當中有哪些信息和信息系統是必須依賴的;3、重要的商務活動涉及到哪些人員和部門。上面三個問題基本上涉及到了組織的業務流程、信息資產、地理范圍,風險評估的范圍也可以從這三個方面來進行描述。實際上對于組織而言,劃定范圍就是把最重要的“區域”放在最優先、最高頻率的位置上進行評估,而不是將全部“區域”的信息資產一把抓,解決好了哪些“區域”是“重要區域”的問題,范圍就可以清晰地被定義了。二、確定風險評估目標組織應明確風險評估的目標,為風險評估的過程提供導向。支持組織的信息、系統、應用軟件和網絡是組織重要的資產。資產的保密性,完整性和可用性對于維持競爭優勢,現金流動,獲利能力,法規要求和一個組織的形象是必要的。
組織要面對來自四面八方日益增長的安全威脅。一個組織的系統、應用軟件和網絡可能是嚴重威脅的目標;同時,由于組織的信息化程度不斷提高,對基于信息系統和服務技術的依賴日益增加,一個組織則可能出現更多的脆弱性。組織的風險評估的目標基本上來源于組織業務持續發展的需要、滿足相關方的要求、滿足法律法規的要求等方面。三、建立適當的組織機構組織在進行風險評估時,完全將其委托給外部的信息安全專家是不合適的,針對上面所定義的風險評估范圍及目標,組織應建立適當的組織結構,以支持整個過程的推進,如成立由管理層、相關業務骨干、IT技術人員等組成的風險評估小組。組織機構的建立應考慮其結構和復雜程度。完備的組織機構能夠確保風險評估過程中的職責能夠地得到明確的定義,能夠從管理和技術兩方面認識組織的安全狀態,能夠保證風險評估過程中的溝通與決策。四、建立系統性風險評估方法現在對于國際范圍內信息安全風險評估的標準、指南采用較多的有BS7799-2:2002《信息安全管理體系—規范及應用指南》,ISO/《信息技術—IT安全管理指導方針》,-26(IT系統安全自評估指南》、卡耐基.梅隆大學OCTAVE1方法、GAO/AIMD《信息安全風險評估—先進組織實踐》,SSE-CMM《系統安全工程能力成熟度模型》等。
我國目前也在積極應對各類組織日趨增長的風險評估、風險管理的需求,起草適應我國國情的風險評估、風險管理指南,立足于我國信息化建設現狀,OCTAVE:是lThreat,Asset,uation首字母的縮寫對我國當前信息安全風險評估實踐工作的總結、歸納、簡化與提升。筆者在這里不想談論各種標準指南的具體方法和過程。只希望對于組織在面對如此眾多的標準及指南的時候如何選擇的問題,提幾點建議。風險評估的基本理論涉及到的要素及相互關系(圖1)在各個標準及指南中的體現基本相同,但在各個標準及指南中圖1風險評估要素及相互關系250·OA2003論文都存在著一定的特殊性要求及過程。組織在風險評估策劃階段能夠考慮范圍、目的、時間、效果、組織文化、人員素質以及具體開展的程度等因素來確定評估的方法,使之能夠與組織的環境和安全要求相適應,對整個評估過程的成敗具有決定性作用。比如組織進行風險評估的目的之一是為了滿足BS7799標準的要求建立信息安全管理體系,那么就必須滿足BS7799劉于風險評估的要求及過程,其他標準及指南基本上僅可作為參考。
如果組織是為了了解自身信息系統風險狀況,開展風險管理的目的,那么N工STSP800-26可能是一個好的選擇。在選擇了參考的標準或指南之后,基本上確定了評估的方法論及評估流程,但是一些具體的準則的制定還是因組織的不同而不同的。例如信息資產的劃分,雖然各種標準指南都給出了一些分類的方法,但也僅僅是一種參考,組織此時就必須根據對自己的“診斷結果”,制定適當的分類原則。再如對于威脅、薄弱點的識別與評價,小型的組織或簡單的評估范圍,選擇頭腦風暴的方式或許就能夠達到目的,但是如果把評價等級制定的過于細化,可能對于小型組織就會帶來資源的浪費和評估過程的復雜。因此選擇適當的標準或指南制定明確的評估流程,策劃適應組織的評估方法及科學的評估參考準則,是組織應該多花一點時間的,必要時筆者建議可以在小范圍內試點,以檢驗策劃的評估流程。組織在選擇自評估的指南時,在某些關鍵階段引入外部專家的培訓可能也是在策劃時應該考慮的問題,畢竟風險評估還是一個專業性較強的過程。評估過程中還可能選擇一些輔助的工具,這里所說的工具是指風險評估過程軟件,不包括類似于漏洞掃描之類的工具。雖然目前的各種工具并不是太成熟,但工具的成本投入一般較高,在選擇的時候應該與策劃的評估方法相適應,可以通過試用版檢驗一下其適用性。
筆者的觀點是 Excel 表格可能是最好的工具了,基本上不用培訓,具有很強的統計計算功能。無論如何適合的就是最好的,風險評估的過程、方法、工具的選擇都應遵循此原則。五、獲得最高管理者對風險評估策劃的批準風險評估成敗的關鍵性因素之一就是領導作用的體現。領導者的關注、資金的支持、資源的提供是風險評估項目過程中,組織的領導層應該充當的角色。風險評估的策劃應充分考慮組織的商業需求及戰略目標、企業文化、業務流程、安個要求、規模和結構、員工素質等因素,因此作為組織的最高管理者應該從全局的角度,對風險評估的策劃結果進行評審。評估的范圍和 目的是否明確,是否合理;風險評估的流程及方法是否能夠與企業文化及員工素質相適應;所提出的安全要求及所覆蓋的業務流程是否符合組織的戰略目標的要求,這些都應該得到最高管理者及管理層的認同。并且應該將批準的結果向評估范圍所覆蓋的部門及人員進行溝通,充分體現全員參與的原則也是保證風險評估過程及評估結果不出現較大偏差的保證。六、結束語風險評估作為一個系統的過程,完善的策劃過程十分重要,本文僅僅對一些重要的因素做了粗淺的討論,希望能夠對組織進行風險評估時的具體實施提供一點參考。
相信在國家的指導下,通過國內各大安全廠商、先進組織、業內專家的共同努力下,我們必將建立適應我國國情、科學、系統的風險評估指南,使風險評估能夠利用更科學的方法,不斷提高水平,從而促進我國信息安全保障體系的建立,并進而推動我國信息化的建設歷程。參考文獻ISO/ IEC 17799- 1 ion -Part I :Code of Pract ice for ion .BS7799- 2:2002 ion -Part 2: on for ion Systems王毅剛,吳昌倫,BS7799 - 2:2002及風險評估,信息技術與標準化,2002 (10) .[美〕Harold F.Tipton, Micki Krause 信息安全管理手冊(卷) (第四版) 2004.OA20 5 論文,251
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
