我的《信息保卫战》读书笔记：信息安全风险管理

企业信息安全风险管理是信息安全管理体系中检查信息安全策略执行、明 确合规要求的必要手段。企业信息安全风险管理是一个动态的、循环的过程， 是建立在风险识别、风险分析、风险评估的基础上，还要对风险控制措施加以

落实，并进行有效的监督和控制。企业信息安全不是绝对的，在企业实施信息 安全风险管理的同时，还需要参照成本、效益的原则，有效地整合企业各种 资源。

一、信息安全风险管理的挑战和需求分析

现代企业能否有效地对风险进行全面的管理，是企业竞争力高低、决定其 经营能力高低的关键和核心。也就是企业能否积极主动地承担风险、管理风险、 建立良好的风险管理架构和体系，以良好的风险定价策略获得利润。因此，对 于企业而言，全面风险管理是内部管理的核心，在整个管理体系中的地位已上 升到企业发展战略的高度。企业信息安全风险管理是企业全面风险管理的重要 内容。企业规范风险评估工作，是提高企业信息安全风险管理水平，促进业务 安全、持续、稳健发展，促进合规管理、组织机构建设、制度建设、策略建设、 运维建设、技术架构建设的关键。

企业可以参照ISO 13335等国际、国内标准来组织、制定各个企业的信息 安全风险管理的相关流程，但是由于各个企业业务类型的不同，风险管理的策 略与方法也不尽相同。特别是风险评估的方法与流程，这是企业信息安全风险 管理中最大的挑战。

二、信息安全风险概述

企业信息安全风险，是指企业信息化在合规管理、支持业务创新和业务运 营过程中，由于管理流程及资源缺失或不足、自然因素、人为因素和技术漏洞 产生的操作、法律、声誉等风险。企业信息安全风险管理是对企业信息安全风 险进行识别、评价、处置、整改等的全过程。风险管理应遵循“全面覆盖、突 出重点、持续跟进”的原则。其中风险评估是识别、计量、评价信息安全风险 的活动，是风险管理中的关键环节，风险评估对象包括信息科技组织、管理过 程和信息资产。

三、信息安全风险管理工作内容

1. 风险管理工作的内容

企业信息安全风险管理工作主要有风险评估、处置与整改，包括以下工作 内容：

1) 确定范围和方针

信息安全风险管理可以覆盖企业的全部或者部分。无论是全部还是部分， 组织都必须明确界定风险管理的范围，并且文件化信息安全风险管理范围。

2) 定义风险评估的系统性方法

确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和企业 既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效 果和效率。建立风险评估文件，解释所选择的风险评估方法、说明为什么该方 法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些 技术和工具的原因。评估文件还应该规范下列评估细节：

(1) 信息安全管理体系内资产的估价，包括所用的价值量化信息；

(2) 威胁及薄弱点的识别；

(3) 可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；

(4) 以风险评估结果为基础的风险计算，以及剩余风险的识别。

3) 识别风险

识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁； 识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产 的潜在影响。

4) 评估风险

根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败可 能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及目前 实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确 定风险等级。

5) 识别并评价风险处理的方法

对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满 足组织的风险接受方针和准则，那么就有意地、客观地接受风险；对于不可接 受的风险组织可以考虑避免风险或者转移风险；对于不可避免也不可转移的风 险应该采取适当的安全控制，将其降低到可接受的水平。

6) 为风险的处理选择控制目标与控制方式

选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。ISO 27002附录A提供了可供选择的控制目标与控制方式。不可能总是以可接受的 费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受 高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费 用相比较。这个阶段还应该策划安全破坏或违背的探测机制，进而安排预防、 制止、限制和恢复控制。在形式上，组织可以通过设计风险处理计划来完成步 骤5和6。风险处理计划是组织针对所识别的每一项不可接受风险建立的详细 处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理 计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级 领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应 该为每一个信息安全风险阐明以下内容：组织所选择的处理方法；已经到位的 控制；建议采取的额外措施；建议的控制的实施时间框架。 

7) 获得最高管理者的授权批准

剩余风险的建议应该获得批准，开始实施和运作信息安全管理体系需要获 得最高管理者的授权。

风险评估流程如图7-1所示。

2. 风险评估工作的主要内容

1) 成立组织结构或职责分工

发起并指定承担机构，承担机构负责组建风险评估实施团队。风险评估实 施团队由管理层、相关业务和技术骨干等人员组成，评估工作角色分为：评估 管理人员、评估人员、评估分析人员。

评估管理人员负责组织、管理、监督风险评估任务，包括以下内容：

(1) 制定风险评估任务计划；

(2) 设计风险评估方案；

(3) 审核风险评估报告；

(4) 确认风险处置建议；

(5) 跟踪风险评估任务进度； 

(6) 控制风险评估任务质量。

评估管理人员由承担机构管理人员担任，也可委派信息安全管理人员 担任。

评估人员负责按照风险评估任务要求，收集并提供信息和证据，如实反映 信息化工作现状。评估人员由评估对象所涉及的相关技术或业务骨干人员 担任。

评估分析人员负责汇总、整理和分析采集到的信息与证据材料，编写风险 评估报告。评估分析人员由行内专业人员担任，必要时可聘请业内专业人员。

在同一风险评估任务中，评估实施团队成员不少于三人，评估管理人员和 评估分析人员不得兼任评估人员。

2) 风险评估计划

风险管理部门开展整体信息科技风险评估，业务管理部门进行专项信息科 技风险评估。

出现以下情况时，应结合本单位以往风险评估情况，确定是否启动专项信 息科技风险评估。

(1) 新系统上线或已有系统进行重大变更；

(2) 信息科技运行中发现重大纰漏或隐患；

(3) 内部或同业出现重大信息科技事件；

(4) 信息科技审计中发现重大问题；

(5) 监管机构发布风险提示；

(6) 其他情况。

3) 风险评估方法

风险评估通过人工评估或自动化工具测评等手段识别、分析支撑IT目标 的流程和资源中存在的缺失或不足，判断风险优先级，提出风险处置建议。

评估管理人员组织评估团队识别所评估对象的IT服务目标，进而分析支 撑IT目标的流程和资源；识别影响流程和资源中的关键因素，主要考虑各流 程要素的活动内容、关联关系、流程目的、实现方式、所需资源等；根据关键 因素设计风险检查项、检查指标和评价权重，形成风险检查表。

评估人员依据风险检查表，采用人工或自动化工具对评估对象的信息科技 状况进行信息收集。信息收集可采用调查、检查、安全测试等方式。

(1) 调查包括问卷调查、远程访谈、现场访谈等；

(2) 检查包括文档检查、代码检查、流程检查等；

(3) 安全测试包括人工测试、自动化测试以及综合性渗透测试等。

评估分析人员采用定性或定量的计算方法，依据各类风险对实现IT目标

的影响，计算出评估对象的风险优先值或级别，并进行以下分析：

(1) 风险成因分析：分析诱发风险的主观因素和客观因素。主观因素包括 流程缺失、控制不足或无效等；客观因素包括资源缺乏、内外环境影响等。

(2) 风险占比分析：依据对IT目标的影响程度，分析评估对象当前状态下

各类、各级风险占比情况。

(3) 风险对比分析：对同次任务中不同机构的风险状态进行对比，分析各 类风险在不同机构的分布状况及影响。

(4) 风险趋势分析：对不同时期的相同任务结果进行对比，分析同一风险 的增强或减弱情况，了解风险的发展趋势。

风险分析可采用专家经验、风险分析模型以及风险分析工具等手段。

评估分析人员针对风险评估任务中揭示的风险类型和状态，结合组织机 构、业务需求和安全要求，提出风险处置建议，包括预防、降低、转移或消除 风险的措施、预期效果等。

评估分析人员编写风险评估报告，内容包括风险评估任务描述、风险分 析、风险处置建议等。

4) 风险评估准备

根据风险评估计划，风险管理部门提出风险评估任务，编制风险评估任务 书，明确任务目标、评估对象、评估范围、任务起止时间、任务承担机构等。 风险评估任务书经发起机构负责人批准后发布。

任务承担机构组建风险评估团队，指定风险评估管理人员、风险评估人员 和风险评估分析人员，并授权风险评估团队开展风险评估工作。

评估管理人员组织制定风险评估任务计划书，明确风险评估实施活动的计 划安排，主要包括：

(1) 团队组织：包括成员名单、角色、职责等内容；

(2) 工作计划：描述各阶段的工作安排，包括工作内容、时间进度和各阶 段成果清单等内容。

评估管理人员组织设计评估方案，评估方案包括风险检查表、信息收集方 式、风险分析方法等，通过风险评估启动会等形式启动具体风险评估工作。

5) 信息收集

评估管理人员将风险检查表分发给评估人员，并告知信息收集方法及填写 要求。通过调阅文档、收集日志、现场访谈、工具测评等方式获取风险评估所 需信息。信息内容包括但不限于：IT制度及执行情况、技术文档、以往审计 报告、风险管理报告、日志记录、访谈记录、测试报告等。

评估人员根据釆集的信息，填写风险检查表，并保留证据。

评估管理人员督查信息收集进展情况，按计划收回风险检查表，并审核填 报信息质量。必要时，可要求评估人员补充信息和附加证据，然后将风险检查 表提交评估分析人员。

6) 风险分析

评估分析人员按评估方案确定的风险分析方法对风险检查表进行汇总、梳 理，评定风险等级，分析风险成因，提出风险处置建议，形成风险评估报告。 报告包括但不限于以下内容：

(1)风险评估任务概述；

(2) 风险评估活动描述；

(3) 风险分析，包括总体风险分析、风险占比分析、风险对比分析、风险 趋势分析；

(4) 风险成因分析；

(5) 风险处置建议；

(6) 详细风险列表。

评估分析人员将风险评估报告提交评估管理人员。评估管理人员督查风险 分析进展情况，指导风险分析工作，组织审核风险评估报告，形成正式报告并提交任务承担机构。

任务承担机构将风险评估报告上报任务发起机构，并通过风险评估任务总 结会等形式，通报风险评估情况。任务承担机构将风险评估资料归档管理。