基于风险管理的信息安全管理体系建设及审核

作者简介：李莉，主要从事信息系统和网络设备安全研究和测试工作。吕敏，主要从事通信安全生产、风险评估以及相关科研管理工作。

随着经济全球化的发展，组织在业务开展过程中面临的风险日益增多。各类组织面对繁杂的经济社会环境和不断变化的法律法规、政策、技术变化，对提高组织的风险管理水平、建设信息安全管理体系、增强防范风险的能力有着迫切的需求。本文介绍了基于风险管理思想的信息安全管理体系策划和实施过程，并从第三方审核的角度对信息安全管理体系的建立要点进行了分析。这对组织信息安全管理体系建设具有积极的指导作用。

1 ISO 31000简介

ISO 于2009 年发布了《ISO 31000:2009风险管理——原则与指南》，最新版本为2018 版。ISO 31000风险管理实践性指南是通用的安全风险管理标准，促使组织结合运用先进的风险管理理论和业界普遍的良好实践来实现组织的风险管理活动。该标准不局限于财务、人力资源、法务、信息安全等行业或业务，对组织运营过程全周期的所有业务都有指导作用。

相比于传统的风险管理方法，ISO 31000 风险管理指南强调要充分考虑组织环境的变化，适应这种变化，在事前、事中积极应对风险，而不仅限于追责和修正式的事后反应。同时，ISO 31000 建议将风险管理提升到组织业务方针的高度，不局限为某一风险管理部门的职责，更不能由各个部门割裂开来分别考虑局部的风险情况。

应用ISO 31000 风险管理指南，组织可以识别冗余的控制，减少管理成本；在一定程度上提高组织识别和遵守法规和国际规范的能力；提高应对风险和利用机会的能力，改善组织配置资源的效率；提高组织的管理水平，促进相关方对组织的信任。

ISO 31000 的风险管理框架高度抽象，由11 项风险管理原则、6 个风险管理框架组成部分和5 个相关联的风险处理流程组成。指南从原则和方法论的高度，提出了风险管理原则和概念性的方法，对组织的风险体制提出了指导性意见，组织应用这个框架时要充分考虑组织自身的实际情况，结合业务具体流程，而不是简单套用ISO 31000 的框架^[1]。

2 ISMS简介

ISMS（information security management systems，信息安全管理体系）源于国际标准ISO/IEC 17799。2005 年，国际标准化组织对该标准重新编号，规划为ISO/IEC 27002。目前该标准簇包括20 多个标准，其中ISO/IEC 27001 和ISO/IEC 27002 被我国同等采用为GB/T 22080 和GB/T 22081。这两个标准是协议簇中最重要的两个标准。建立ISMS 管理体系，就是依据ISO/IEC27000 标准簇建立组织的信息安全管理体系^[2-4]。ISMS 与其他风险评估评测制度的重要区别在于其实践性，关注信息系统在特定应用场景中的安全风险，是一种实践指南。

3 ISO 31000对ISMS的指导作用

ISO 31000 指南应用广泛，ISMS 的风险管理流程就是按照ISO 31000 的风险框架实施的。ISO 31000 的风险管理框架由5 个相关联的风险处理流程组成，分别是风险管理框架的授权与承诺、设计、实施、监测评审和改进。这个框架与ISMS 管理体系中的PDCA 循环（计划、执行、检查、改进）本质上是一致的。ISMS 的风险管理流程可分为几个步骤，如图1。

信息安全风险管控流程主要分为风险评估和风险处置两个阶段。组织实施信息安全评估和风险处置的过程要满足组织的环境及其相关方的要求，将这些要求融入到风险管控过程，并针对意外的影响，制定有效的应急措施。ISMS 要求实施信息安全风险评估，执行风险分析和风险评价。ISO 27001：2013 标准在信息安全风险识别方面不再局限于以资产识别为导向，而是引入ISO 31000的指导思想，可以采用任何适用的方式进行风险识别，情景分析法、头脑风暴法都是有效的风险识别方法。

组织应制定信息资产识别分类办法，形成风险评估的信息资产清单。根据信息资产机密性、完整性和可用性的赋值，加权计算出重要信息资产。根据资产本身的脆弱性和威胁发生的可能性及导致后果的严重程度，计算出威胁和脆弱性。结合资产重要性、脆弱性大小和威胁大小，依据组织的风险评价方法，得出组织的风险评价表。根据风险评价准则，判断各个风险能否接受。对于不能接受的风险，需要进一步进行风险处置。风险处置要依据组织的风险处置计划，形成不可接受风险的控制措施列表。风险处置后再次评价风险接受情况。风险处置的结果有可能是风险降低，但也有可能是随着新风险处置措施的引入，风险会升高或带来新的威胁。风险处置后应形成残余风险报告，风险处置报告需要风险责任人批准。如果风险责任人接受风险处置报告，风险处置结束；若不接受，需要继续进行风险处置，直到残余风险在可接受范围内。信息安全是一个相对的概念，组织通常需要权衡信息安全水平和付出的时间、人力、财务成本等，平衡这些因素是否在组织能接受的范围内。

ISMS 体系建立不是一蹴而就的过程，组织应按照ISMS 管理体系要求，进行绩效评价和体系改进。按照计划实施信息安全内部审核和管理评审，纠正发现的不合格，制定纠正措施，实现持续改进，实现ISO 31000要求的监测和改进循环。

4ISMS审核实践

4.1 管理沟通

理解并确定组织的内外部环境是建立ISMS 的前提条件。组织建立该体系的动机可能是为了提升自身管理水平，也可能是出于市场压力，为了满足市场要求。在审核时首先应当与管理层沟通，了解组织建立ISMS 的目的。对组织的信息安全外部环境，主要从政策法规、物理环境、网络环境、市场和供方的信息安全要求等方面考虑。了解组织的内部环境，主要考虑组织的技术资源、网络设备资源和人力资源等。了解组织的相关方在信息安全方面的要求，包括国家政策、主管机构、客户和供方、审计认证机构，甚至访客等各种相关方对组织信息安全的要求。全面了解组织所处的内外部环境和相关方要求，有利于提高审核的有效性和针对性。

4.2 信息安全管理体系核心

信息安全管理体系的核心包括策划和运行两个核心环节，即策划应对风险和机会的措施，并运行信息安全管理体系。信息安全风险策划环节主要审核组织的安全风险管控流程满足ISO 27001 标准的程度。策划的信息安全风险评估和处置程序应具有完备性和可执行性，且风险评估的结果应与预期一致。风险评估和处置可以从组织的角度进行，也可以在部门的范围内执行。部门的信息安全风险评估和处置记录可以是独立的，也可以是整个组织评估记录的一部分，记录的形式，不影响风险评估和处置的执行。

风险评估方法要满足27001 标准的要求，具有可操作性，组织需要考虑业务的风险因素，评估结果能够再现。组织信息资产的收集和风险分析要覆盖信息安全管理体系的范围。组织提供的风险评估报告及其重要资产清单要与信息安全管理体系的范围相适应，符合组织的信息安全现状。风险评估应当作为常规性的工作，在风险策划阶段就考虑和确定风险评估的时间间隔，规定重新启动风险评估程序的特殊情况。根据组织规模的大小，风险评估和处置可能由组织统一规划发起，对于较大的组织，也可以由各个部门自行规划实施。

风险处置是整个风险管控流程中的重要环节。信息安全风险评估和处置主要关注信息安全管控流程和信息安全风险管控的实施结果。依据风险值大小，风险处置计划对风险的处置方式有降低、保留、规避或转移风险等多种方式。其中购买商业保险是转移风险的一个例子。风险处置的原则是适度接受风险，即根据组织可接受的处置成本，将残余风险控制在可以接受的范围内。风险接受的前提是确定信息系统的风险等级，评估风险发生的可能性和潜在的破坏性，分析使用处理措施的可能性，并进行成本效益分析，确定特定信息资产是否需要进一步保护。同时信息安全风险处置计划应得到监视和评审，残余风险要控制在组织可接受的范围之内并得到领导层的批准。组织的各个部门可以单独制定信息安全风险处置计划，较小的组织也可以只在IT 部门进行风险处置。

4.3 信息安全管理体系全周期审核

上述策划和运行是信息安全管理体系的主要环节，信息安全的评测和改进环节组成了完整的信息安全管理体系周期。

信息安全风险的绩效评价是PDCA 循环中的测量部分，通过对管理体系执行效果评价促进管理体系完善。测量分为定期测量和不定期测量。内部审核和管理评审属于定期测量；不定期测量包括对控制措施的检查和对风险变化的监视和测量。风险本身是随着环境变化的，受到物理环境、政策等各种因素的影响，风险管理本身是一种动态管理。

不符合的纠正和持续改进是PDCA 循环中的改进环节，是解决问题实现改进的关键阶段。组织要针对不符合进行纠正，分析原因，制定和执行纠正措施，评审纠正措施的有效性；持续改进体现了组织管理者对信息管理体系的期望，重点关注体系运行效果、现存问题、采取的纠正措施和持续改进计划。

4.4 信息安全控制目标

ISO 27001 附录中涉及众多安全类别和控制项目，这些内容是业界安全风险控制的良好实践总结，也是运行信息安全管理体系的具体要求。安全控制分为通用控制和专用控制。通用控制措施适用于所有部门和业务过程，如资产管理、访问控制和信息安全事件管理等；专用控制措施只适用于特殊的职能部门和业务过程，如系统开发安全、人力资源安全、供应商关系、业务连续性管理的信息安全等。组织应当给出SoA（statement of applicability，适用性声明）文件，声称满足全部或部分的控制措施，或者声称有增强的安全要求，能够满足超出附录的更多的安全控制目标。对于删减的安全控制措施，应给出合理的理由。

安全目标描述了实现安全控制目标的具体方法，组织在建立信息安全管理体系的过程中，可以参考安全目标，提高体系建立的有效性。

4.5 信息安全策略与组织安全

信息安全策略集应当由管理者批准并传达给所有员工和外部相关方，同时注意保密要求，某些控制策略，如网络安全访问策略不能被外界获知。

组织内部应建立管理框架，合理划分角色，实现职责分离，防止人员职责过于集中而增加发生差错、舞弊和掩饰的可能性。组织应维护与网信办、网络监管部门、安全论坛等机构的联系，以应对自身无法解决的信息安全事件。组织的信息安全管理应深入到项目管理中，将项目的信息安全风险纳入信息安全风险评估的过程。如果有信息安全事件发生，应追踪审核。

4.6 信息资产安全

组织应建立和维护信息资产清单，指定信息资产责任人，制定信息资产使用规定文件。组织的信息资产应当分级，按照标记规程进行标记，并依据资产的重要程度进行适当水平的保护及备份。标记规程要适应企业实际，不恰当的标记反而会增加信息资产的风险。组织应根据资产分级，制定存储介质管理规程，对U 盘、机械硬盘或纸质文件等存储介质的使用、转移、损坏、报废、销毁等作出规定。

4.7 访问控制

访问控制是实现信息安全管理目标的重要措施之一。组织应编制针对物理设备、网络、网络服务、信息系统等的访问控制策略。其中网络和网络服务是信息安全风险管理的关键部分，网络访问策略包括允许策略、限制策略、访客策略、防火墙策略、行为管理策略等。

用户访问管理应确保授权用户的访问，并防止未授权的访问。门禁系统、OA、网络、邮件系统、财务系统等都应实现正式的用户注册、注销过程。由于数据关联性，用户注销不等同于账户删除，可能通过账户禁用或撤销权限的方式实现注销。一般信息系统设定多个角色，通过指定用户角色的方式分配用户权限。超级用户应有操作日志，以监督其特许访问权限的使用情况。用户对信息系统的视图应与其权限相一致，应有登录规程、口令管理、限制特权程序、限制对源代码的访问等。

4.8 通信安全

通信安全涉及网络安全管理和信息传输安全。组织的网络拓扑图一般涉及主机、服务器、路由器、交换机、防火墙、IDS（intrusion detection system，入侵检测系统）、IPS（intrusion prevention system，入侵防御系统）、上网行为管理服务器、无线AP（access point，无线接入点）、无线控制器等。组织的网络规划应融合网络服务访问控制要求，网络的安全机制和服务级别体现在网络服务协议中。常见的网络安全措施有网络设备入网管理、基于VPN（virtual private networks，虚拟专用网）的网络传输安全控制、防火墙设备、部署上网行为管理、在网络交换机中部署ACL（access control list，访问控制列表）等。组织可通过物理或逻辑方式实现网络隔离。

网络隔离可以通过划分子网或VLAN（virtual local area network，虚拟局域网）的方式实现。组织应制定信息传输策略和规程，确保组织内部与外部的信息传输安全。

确保工作中涉及的电子信息安全。保证电子信息传输安全的方式有邮件加密协议、SSL（secure sockets layer，安全套接字）协议、SET（secure electronic transaction，安全电子交易）协议。组织还应针对不同的工种签订不同的保密协议。

4.9 其他关注点

信息安全管理体系审核还涉及密码控制。密码控制不同于口令，应选择适合组织业务的对称或非对称加密技术，制定和实现组织业务生命周期的密钥使用和保护策略，避免使用非公开加密算法。确保物理和环境安全，防止未授权人员进入特定区域，防护自然灾害和意外的发生[5-7]。

5 结束语

组织将风险管理思想融入到信息安全管理体系建立和运行过程中，从技术和管理两个方面着手，同时借鉴第三方审核的经验，提高信息安全管理体系运行的有效性，促进组织业务持续高效发展，实现组织和相关方的利益共赢^[8]。

参考文献：

[1] CHOO B S,GOH J C.Adapting the ISO 31000:2009 enterprise r i s k m a n a g e m e n t f r a m e w o r k u s i n g t h e s i x s i g m a approach[C].2014 IEEE International Conference on Industrial Engineering and Engineering Management:39-43,Bandar Sunway,2014.

[2] 濮烨青.基于ISO27000系列标准的本体建模与评估技术研究及应用[D].上海:上海交通大学,2017.

[3] 聂自闯.基于SDN的IoT设备细粒度访问控制研究与实现[D].重庆:重庆邮电大学,2019.

[4] 魏建清.信息安全管理体系建设探析[J].上海质量,2013(08):45-47.

[5] 张雅慧.A公司信息安全管理的问题与策略研究[D].泉州:华侨大学,2019.

[6] 李存建,李素鹏.论我国等同采用国际风险管理标准的必要性[J].中国标准化,2010(04):26-29.

[7] 丁艳玲.风险管理理念在专利管理中的应用[J].中国发明与专利,2011(03):91.

[8] 黄水清,任妮.对《数字图书馆安全管理指南》及其“解读”的辨析[J].中国图书馆学报,2012,38(01):25-33.

《本文来源于《电子产品世界》杂志2021年5月期）