淺談中小型企業(yè)信息安全風險管理實踐方法

徐亮彧

摘 要

隨著全球互聯(lián)網(wǎng)應(yīng)用的發(fā)展，網(wǎng)絡(luò)信息技術(shù)已經(jīng)成為生活的重要部分。2017年我國亦施行了《中華人民共和國網(wǎng)絡(luò)安全法》，大幅度提高了國民的網(wǎng)絡(luò)安全意識，而在網(wǎng)絡(luò)安全法中也強調(diào)了風險管理的重要性，風險管理也是整個企業(yè)管理中的重中之重，但面對風險和機會的把握，成本效益的控制，中小型企業(yè)往往對于信息安全風險管理的執(zhí)行方法，效益最大化等方面缺乏良好實踐及研究。本文在此就這一論題進行分析和討論，望對于中小企業(yè)的信息安全風險管理提供支持和借鑒。

關(guān)鍵詞

信息安全;風險管理;中小型企業(yè);實踐

中圖分類號： G203;F270 ? ? ? ? ? ? 文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.09.082

1 信息安全風險管理相關(guān)概述及定義

1.1 風險

風險指的是“不確定性對目標的影響”，在定義中影響可以是正面的，也可以是負面的;目標可以是不同方面的，可以是財務(wù)、健康、環(huán)境、組織，層面、項目、產(chǎn)品、過程等等的目標。

1.2 信息安全風險

結(jié)合上文的風險管理和相關(guān)國際標準對信息安全風險的描述可以得知，信息安全風險指因不確定性對信息安全目標的影響。信息安全風險與威脅、信息資產(chǎn)和脆弱性相關(guān)。

1）信息安全：對信息的保密性、完整性、可用性的保護。

2）威脅：可能對信息系統(tǒng)或組織造成危害事件的潛在原因。

3）組織：具有自身的功能、責任、權(quán)威和關(guān)系來實現(xiàn)目標的人或一組人，一般在中小企業(yè)環(huán)境主要指的是企業(yè)、部門或特定的團隊。

4）脆弱性：指弱點，國內(nèi)更多的稱之其為漏洞，這種弱點來源于可能被一個或多個威脅利用的資產(chǎn)或控制措施。

2 信息安全風險管理模型

信息安全風險管理模型隨著標準的不斷改進已經(jīng)進入成熟期，在模型中遵循并強調(diào)了PDCA閉環(huán)的重要性（如圖1所示）。

在整個信息安全風險管理閉環(huán)中，循環(huán)的過程主要由4大部分組成：

①環(huán)境的建立：一個風險管理當中，環(huán)境建立是關(guān)鍵中的關(guān)鍵，通常組織需要在環(huán)境建立的過程中確定信息安全風險管理的具體目標、目標所涉及的范圍，以及目標所包含的利益相關(guān)方。根據(jù)這些元素對風險管理的對象進行梳理，根據(jù)組織的信息安全目標設(shè)置風險管理的目標，配備相關(guān)的資源。

②風險評估：風險管理的基礎(chǔ)且核心活動是風險評估，在整個循環(huán)過程中有3個部分整合了風險評估內(nèi)容，包括風險識別、風險分析、風險評價。值得注意的是確定風險評估的方法，計算公式。并細化評估的對象所包含的信息資產(chǎn)。

③風險處置：其針對風險作出風險控制、風險規(guī)避、風險接受、風險轉(zhuǎn)移等處置措施。

風險修正：對風險采取控制措施，有效降低或控制風險。

風險規(guī)避：即消除風險，通常情況下一般是禁止可能導致該風險的活動。

風險保留：已了解風險可能造成的影響及風險的大小，但經(jīng)過討論不對風險采取任何措施，亦愿意接受風險可能帶來的影響。通常是在計算成本效益后作出的決定。

風險共享：將現(xiàn)有的風險與其他組織進行共享，共同承擔可能造成的影響，但風險共享或產(chǎn)生新的風險亦可能改變現(xiàn)有的風險。

值得注意的是，風險處置的過程本身包含了PDCA的循環(huán)，需要經(jīng)過細致的計劃，執(zhí)行，檢查其執(zhí)行的有效性，和持續(xù)改進。

④監(jiān)控及檢查：這個活動應(yīng)貫穿整個風險管理的生命周期中，并每一個活動中持續(xù)進行。以此進行每一個環(huán)節(jié)的有效性及質(zhì)量控制，保證目標的實現(xiàn)。

隨著組織發(fā)展及時間線的推移，整個信息安全風險管理閉環(huán)在循環(huán)進行，組織在不斷的進行風險管理的過程中優(yōu)化自身的風險管理策略，從而確保風險管理與目標的一致性。

貫穿整個生命周期還需要重要的部分是持續(xù)的討論和咨詢，確保結(jié)論輸出的專業(yè)性和策略及步驟中的風險控制。

3 中小型企業(yè)的風險管理的策略定制

中小型企業(yè)的風險管理策略定制過程中，最大的問題來自于對于風險管理專業(yè)知識的缺失，同時自身投入的資源也極其有限，通常面臨不知如何設(shè)定策略，策略需要包含哪些元素的問題?；蛘弋斀M織細化到策略細節(jié)時把控不足策略的層面和顆粒度，往往導致策略無法制定或制定以后無法落實的問題，這也是導致目前大型企業(yè)往往風險管理能力較強，而中小型企業(yè)信息安全風險管理能力較弱的主要原因，當然，這也和中小型企業(yè)的信息化成熟度有關(guān)，互聯(lián)網(wǎng)企業(yè)通常信息安全風險管理的能力強于普通傳統(tǒng)企業(yè)。

根據(jù)上文信息安全風險管理模型，中小型企業(yè)應(yīng)先梳理出與自身業(yè)務(wù)生態(tài)相關(guān)的信息系統(tǒng)，并確定這些信息系統(tǒng)中是否存在可以大幅影響核心業(yè)務(wù)運營的系統(tǒng)，是否存在當這些系統(tǒng)中包含著組織核心的信息。通常這些系統(tǒng)都在核心業(yè)務(wù)運營中承擔著某個環(huán)節(jié)的執(zhí)行工具的作用，例如，負責通訊的郵件或內(nèi)部溝通系統(tǒng)、財務(wù)系統(tǒng)、業(yè)務(wù)過程計算系統(tǒng)，也有可能是一些辦公工具，比如office、pdf工具等。

在明確組織的信息化對象后，組織可以根據(jù)這些對象展開目標的梳理，這些目標通常對于中小型企業(yè)而言來自于外部，比如我國的《網(wǎng)絡(luò)安全法》、等級保護制度、行業(yè)的要求、利益相關(guān)者的要求等等;還有部分來源于組織內(nèi)部需求，比如，基于信息數(shù)據(jù)私密性的考量、組織曾經(jīng)發(fā)生的信息安全事件、業(yè)務(wù)戰(zhàn)略的變化、可用性下降的需求等等。由于中小型企業(yè)的組織特性，導致大多中小型企業(yè)不具備自主挖掘這些目標的良好能力，通常可通過行業(yè)內(nèi)交流，引入外部組織資源，展開自我風險評估等方式進行，具體的方式應(yīng)在基礎(chǔ)的判斷效益進行展開，比如，設(shè)定一個基礎(chǔ)信息安全風險管理的預(yù)算池，整體信息化資產(chǎn)及預(yù)算的1%-3%作為其預(yù)算，當然，這個數(shù)值應(yīng)根據(jù)不同行業(yè)，不同特性，以及不同的信息化成熟度進行不同的設(shè)定，本為中給出的值僅為示例值。在基礎(chǔ)預(yù)算池之上是根據(jù)上一年基礎(chǔ)預(yù)算池的成效和總結(jié)進行每年的調(diào)整，最終調(diào)整到適合自身組織的定值區(qū)間。

政策的制定應(yīng)圍繞既定的目標展開，并具備一定的延續(xù)性，中小型企業(yè)的政策設(shè)計可以根據(jù)信息安全的保密性、完整性、可用性進行展開，同時結(jié)合不同行業(yè)業(yè)務(wù)領(lǐng)域的分布進行展開，并可通過圖表法進行整理與歸檔的討論。

在圖標法中將政策所屬的領(lǐng)域、安全性分類、信息安全目標、具體的政策內(nèi)容作為表格的主要指標項，并對政策進行編號，對政策的實施狀態(tài)進行登記，首先記錄下每一個領(lǐng)域中的安全目標，如“框架|完整性|整體信息安全目標的達成”這樣可以幫助整個組織思考在這一安全目標下所需的政策支持內(nèi)容有哪些，隨后進行政策內(nèi)容的發(fā)散，可以針對同一目標展開多個政策。而記錄政策編號以及政策的狀態(tài)以便于更好的為政策的修訂和審查做支撐。

中小型企業(yè)通過政策表，快速設(shè)定對應(yīng)的目標以及目標完成所需要的政策內(nèi)容，周期性評估政策是否有效，通過管理閉環(huán)不斷REVIEW及優(yōu)化政策。表的維護可根據(jù)每年的風險評估抽檢的情況對部分政策進行實行情況的檢查，并討論后快速迭代。不過這會受到短板效應(yīng)的影響，具體的評估范圍應(yīng)根據(jù)實際風險管理的預(yù)算，實行管理的效益分析，發(fā)現(xiàn)風險的情況進行抽檢范圍的控制。

4 中小型企業(yè)的風險管理的組織架構(gòu)

整個信息安全風險管理的組織架構(gòu)通常分為三層架構(gòu)，即政策層、管理層、執(zhí)行層。政策層一般負責信息安全風險管理的政策制定與信息安全風險管理的目標制定;管理層主要負責將頂層的政策拆分成具體的管理要求、管理策略、具體的執(zhí)行規(guī)范;執(zhí)行層負責具體的風險管理執(zhí)行的內(nèi)容，例如風險管理四大部分中的環(huán)境建立、風險評估的具體實物，監(jiān)控與記錄匯總等工作。在大型企業(yè)的風險管理往往會貫穿整個企業(yè)架構(gòu)，分層更細膩，風險管理人員會貫穿整個組織架構(gòu)。而對于中小型企業(yè)的信息安全風險管理人員投入往往較少，甚至可能通過外包的方式進行。一般，頂層的風險管理引導者往往是組織所有者的朋友或認識的專業(yè)人員，管理層的工作可由一名組織內(nèi)部人員結(jié)合外部組織專業(yè)人員進行工作分擔，而執(zhí)行層的人員可結(jié)合管理層的設(shè)計產(chǎn)物，分析現(xiàn)有人員的覆蓋范圍，從而制定新的人員結(jié)構(gòu)，一般中小型企業(yè)的執(zhí)行層亦主要由外部組織承擔，但通常在職權(quán)分離的規(guī)則下進行，管理層的外部組織與執(zhí)行層的外部組織盡可能選擇不同的組織，以減少舞弊、片面性及其他風險。

5 中小型企業(yè)的風險評估計算模型的設(shè)計

中小型企業(yè)風險評估環(huán)節(jié)中最難處理的是風險的計算模型，現(xiàn)行我國各大測評機構(gòu)用的風險計算模型是根據(jù)國標GB/T 20984 信息安全風險評估規(guī)范而制定的，使用對表法或乘積法，采用風險值=R（安全事件的可能性，安全事件造成的影響）=R（L（T，V），F(xiàn)（Ia，Va））的公式，并將威脅可能性、脆弱性的嚴重程度、資產(chǎn)價值的分級劃分為5級進行不同的賦值和計算。介于中小型企業(yè)在上文中提到的專業(yè)能力不足的實際情況，而風險偏好又是一個需要組織所有者達成共識的參數(shù)。在中小型企業(yè)的風險評估計算時，采用ISO31000的基礎(chǔ)模型將整個賦值活動放在“安全事件的可能性”與“安全事件造成的損失上”，并簡化賦值為“高”、“中”、“低”（如表1、表2）。

通過這種方法使組織所有者和各個部門的主要負責人皆可以參與安全事件發(fā)生可能性和安全事件影響的條件設(shè)定中去，這也直接關(guān)系了組織的信息安全風險偏好。當然，在設(shè)定這些條件時可能存在遺漏或錯誤或合理性相關(guān)的問題，這也是后期監(jiān)控，review的過程。對于中小型企業(yè)而言，這個過程亦可以通過外部組織進行咨詢的事務(wù)，以加強設(shè)計的有效性。

簡化后的計算模型在計算信息安全風險時，仍先確認被評估的資產(chǎn)對象、挖掘其脆弱性。在脆弱性挖掘的方法上，可參考我國2個常用的標準GB/T 22239網(wǎng)絡(luò)安全等級保護基本要求及GB/T 22080 信息安全管理體系要求這兩個文件，同時結(jié)合一定的自我知識體系進行脆弱性的判斷。根據(jù)每一個資產(chǎn)排列出所有的脆弱性，隨后針對每一個資產(chǎn)的脆弱性進行可能產(chǎn)生的威脅排列（如表3）。

對每一個威脅利用脆弱性所產(chǎn)生的安全事件可能和安全事件影響進行與上文中定性方法模型進行比對，并將對應(yīng)的可能性評估，影響評估進行填寫。在考慮這些可能性與影響時應(yīng)簡單分析攻擊路徑，以此判斷是否多個脆弱性可能產(chǎn)生聯(lián)動性影響或可能性的變化，這也是上文中強調(diào)需先排列出每個資產(chǎn)的所有脆弱性的原因。

中小型企業(yè)的風險評價過程可以適當?shù)暮喕?，但需在風險計算環(huán)節(jié)將可能性評估，影響評估取高值組合進行最終的排列（如表4）。因為對于中小型企業(yè)來說，風險管理的關(guān)鍵在于分析風險及平衡效益，其關(guān)鍵在于發(fā)現(xiàn)脆弱性最嚴重的風險情況，并幫助判斷對該風險做何種處置。

最終每一個資產(chǎn)的每一個脆弱性對應(yīng)的最大風險都能用表4中的表格進行呈現(xiàn)，這里可能存在的比較可能性和影響對于風險大小的判斷，比如，可能性中而影響高;可能性高而影響中，這兩種情況。一般在這種比較的情況下，通常來說影響大于可能性，這種判斷的機制與黑天鵝的機制相同。具體可參考表5。

當然，中小型企業(yè)可根據(jù)自己的風險偏好和戰(zhàn)略以及預(yù)算進行整個風險評估過程優(yōu)化和重新設(shè)計，但總體原則不建議復(fù)雜化整個風險計算的過程。

6 中小型企業(yè)的風險處置建議

通過組織會議，使各個環(huán)節(jié)的高級管理人員皆參與到風險處置的會議之中，并通過參與風險管理的外部組織給予一定的建議。必要的是，中小型企業(yè)的風險處置決定應(yīng)由負責安全的責任人在得到組織所有者的認可情況下對風險進行處置的決定。

在處置風險的過程中，應(yīng)首先關(guān)注風險處置的預(yù)期結(jié)果，處置措施計劃及措施可能帶來的風險。處置措施計劃應(yīng)是落實到責任人與具體時間的，可使用RACI模型結(jié)合時間計劃表的形式，進行持續(xù)跟進和反饋。在處置完后對處置的結(jié)果進行評價，已決定是否接受剩余的風險，同時，這個處置的結(jié)果在每一年持續(xù)的風險評估活動中需被關(guān)注，并根據(jù)整體風險處置的結(jié)果已推進持續(xù)改進的風險管理。

7 結(jié)束語

中小型企業(yè)作為我國經(jīng)濟發(fā)展的重要力量，隨著信息化應(yīng)用的時代潮流，信息安全風險管理對于其而言越發(fā)重要。望通過本文對中小型企業(yè)在信息安全風險管理上起到一定的幫助作用，為推動信息安全風險管理的發(fā)展，減少風險帶來的影響和可能性，增加企業(yè)效益提供支持。

參考文獻

[1]中華人民共和國網(wǎng)絡(luò)安全法.

[2]GB/T 22239.2019 網(wǎng)絡(luò)安全等級保護基本要求.

[3]GB/T 20984.2007 信息安全風險評估規(guī)范.

[4]GB/T 22080.2016 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求.

[5]ISO 31000.2018 Risk management—Guidelines .

[6]ISO 27000.2018 Information technology—Security techniques—Information security management systems—Overview and vocabulary.

[7]ISO 27005.2018 Information technology-Security techniques-Information security risk management.