信息安全风险管理是信息安全保障工作中的一项重要基础性工作,其核心思想是对管理对象面临的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维护和废弃)的全过程,主要工作过程包括风险评估和风险处理两个基本步骤,风险评估是对风险管理对象所面临的风险进行识别、分析和评价的过程,风险处理是依据风险评估的结果,选择和实施安全措施的过程。
风险处理的方式主要有风险降低、风险规避、风险转移和风险接受四种,这四种方式并不互相排斥,组织可以通过多种风险处理方式的合理组合充分获益
通过对面临风险的资产采取保护措施来降低风险,保护措施可以从构成风险的5个方面(即威助源、威胁行为、脆弱性、资产和影响)来降低风险,比如:采用法律的手段制裁计算机犯罪(包括窃取涉密信息、攻击关键的信息系统基础设施、传播有害信息、垃圾邮件等)发挥法律的威慑作用,从而有效遏制威胁源的动机:采取身份认证措施,从而抵制身份假冒威胁行为的能力;及时给系统打补丁(特别是针对安全漏洞的补丁),关闭无用的网络服务端口从而减少系统的脆弱性,降低其被利用的可能性,采用各种防护措施建立资产的安全域,从而保证资产不受侵犯,其价值得到保持,采取容灾备份、应急响应和业务连续性计划等措施,从而降低安全事件造成的影响程度
通过不使用面临风险的资产来避免风险。比如在没有足够安全保障的信息系统中不处理敏感的信息,从而防止敏感信息的泄漏,再如对于只处理内部业务的信息系统不使用互联网,从而避免外部的人侵和攻击
通过将面临风险的资产或其价值进行安全转移来避免或降低风险,比如在本机构不具备足够的安全保障技术能力时将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险,再如通过给昂贵的设备上保险将设备损失的风险转移给保险公司,从而降低资产价值的损失
对风险不采取进一步的处理措施,接受风险可能带来的结果,风险接受的前提是确定了信息系统的风险等级,评估了风险发生的可能性以及带来的潜在破坏,分析了使用处理措施的可能性并进行了较全面的成本效益分析,认定某些功能、服务、信息或资产不需要进一步保护
信息安全风险处理应该组建团队,分清角色、明确职责。风险处理团队可以分为管理层和执行层,其中管理层负责审查风险处理目标、批准风险处理方案并认可风险处理结果,执行层负责确定风险处理目标、编制风险处理方案并在风险处理方案获得批准后负责实施,必要时可聘请相关专业的技术专家组成专家小组指导风险处理工作
风险处理的基本流程包括了三个阶段的工作,分别为风险处理准备阶段、风险处理实施阶段、风险处理效果评价阶段,如下图所示:
根据风险评估报告、组织的安全管理策略及安全需求划定风险处理工作的范围,在确定风险处理的边界时应考虑以下因素:
风险处理的依据包括(但不限于):
信息安全风险处理是基于风险的信息系统的一种安全管理过程,因此风险处理团队既包括信息安全风险管理的直接参与人员也包括信息系统的相关人员,信息安全风险处理主要划分为管理层和执行层:
根据信息系统风险评估结果,依据国家相关信息安全要求组织和相关方的信息安全诉求明确风险处理对象应达到的最低保护要求,结合组织的风险可承受程度确定风险可接受准则,风险可接受准则的划分可参考如下标准:
根据风险处理可接受准则明确需要处理的风险和可接受的风险,对于需要处理的风险应初步确定每种风险拟采取的处理方式并形成风险处理列表,风险处理方式可以是规避风险、转移风险、降低风险三种处理方式的一种,也可以是多种处理方式的组合,风险处理列表的内容包括风险名称、涉及的资产范围、初步确定的风险处理方式等,风险处理列表需要得到组织管理层的认可和批准
根据既定的风险处理目标明确风险处理涉及的部门、人员和资产以及需要增加的设备、软件、工具等所需资源
上述所有内容确定后应形成风险处理计划,处理计划应包含(但不限于),风险处理范围、依据、目标、方式、所需资源等
制定完成并确认后的风险处理计划应得到组织最高管理者的批准
依据组织的使命并遵循国家、地区或行业的相关政策、法律、法规和标准的规定,参考信息系统的风险评估报告并结合风险处理准备阶段的处理依据、处理目标、范用和方式,依据每种风险的处理方式选择对应的风险处理措施编制风险处理备选措施列表
针对风险处理备选措施列表的各项处理目标,结合组织实际情况提出实现这些目标的多种可能方案,衡量各种方案的成本和收益,如果风险造成的损失大于成本则依据最佳收益原则选择适当的处理方案
对于成本效益分析可以采用定量分析和定性分析两种方法,对于定量分析首先需要确定各资产价值,为各个风险输人资产价值,确定资产面临的损坏程度,之后估计发生的可能性进而以损失价值与发生概率相乘计算出预期损失,由于评估无形资产的主观性本质没有量化风险的精确算法,建议根据组织情况明确成本和效益的一到两个关键值,并设立期望值进而选择可行方案(案例可参见附录 A)
在进行成本效益分析时应考虑的成本因素主要包括硬件、软件、人力、时间、维护、外包服务,效益应考虑的因素主要包括政治影响、社会效益、合规性和经济效益
任何信息系统都存在风险,同时风险不可能完全被消除,因此需对实施风险处理措施后的残余风险进行分析,对残余风险的评价可以依据组织的风险评估准则进行,若某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,则应通过管理层依据风险接受原则考虑是否接受此类风险或增加更多的风险处理措施,为确保所选择的风险处理措施是有效的,必要时可进行再评估以判断实施风险处理措施后的残余风险是否降到了可接受的水平
根据分析处理措施备选列表对每项实施该处理措施可能带来的风险进行分析,确认是否会因为处理措施不当或其他原因引人新的风险,针对存在的风险制定应对的方案以提高实现风险处理目标的机会并保证在出现问题时可以及时回退到原始状态。应急计划应包括处理措施面临的主要风险,针对该风险的主要应对措施,每个措施应有明确的人员来负责,要求完成的时间以及进行的状态,进行处理措施风险分析和应急计划的主要步骤包括:
在完成成本效益分析和残余风险分析后需对每项风险选定一种或者几种处理措施,完成最终的风险处理措施列表,然后对所有措施的成本、效益和参与的风险进行汇总,分析所选措施实施的整体成本、效益和残余风险并确定满足风险处理目标
在完成风险处理措施选择后应将最终的处理措施提交组织管理层进行确认和批准
依据机构的使命和相关规定结合处理依据、处理目标、范围和方式、风险处理措施、成本效益分析残余风险分析以及风险处理团队的组成,编制风险处理方案,风险处理方案应包括风险处理的范围、对象、目标、组织结构、成本预算和进度安排,并对每项处理措施的实施方法、使用工具、潜在风险、回退方法、应急计划以及各项处理措施的监督和审核方法及人员进行明确说明
风险处理方案编制完成后可由管理层批准或组织专家对风险处理方案进行评审
风险处理措施测试是在风险处理措施正式实施前选择风险处理关键措施,尤其是对在线生产系统应进行测试以验证风险处理措施是否符合风险处理目标,判断措施的实施是否会引人新的风险,同时检验应急恢复方案是否有效。如果发现某项处理措施无法实施,则应重新选择处理方法,必要时需重新进行成本效益分析、风险分析和审批
在完成风险处理措施的测试工作后应按照风险处理方案实施具体的风险处理措施,在实施过程中实施风险处理的操作人员应对具体的操作内容进行记录、验证实施效果并签字确认,形成风险处理实施的记录以便后期回溯和责任认定
在风险处理措施实施过程中还应对每个风险点的处理细节进行跟踪,确认具体操作是否按照方案步骤实施、严格遵守实施后效果的验证、详细填写文件记录等,进而做到对每个风险点处理质量的控制
在风险处理过程中应根据风险处理方案明确风险处理质量、进度和费用等,进行督察、监控和评价以确保实现风险处理的目标,风险处理的审核应该包括以下内容:
在风险处理完成后应评价风险处理的效果,风险处理效果评价报告是批准监督阶段工作的重要依据,风险处理效果评价一般包括:编制评价方案、评价实施效果和确定持续改进等内容
风险处理效果评价应满足下列原则:
在满足以上准则的基础上还可制定其他效果评价准则。例如,在同样安全投人和同样残余风险程度时,倾向于选择持续有效时间长的控制措施。
风险处理效果评价方法根据风险处理结果不同可以分为残余风险评价方法和效益评价方法:
风险处理效果评价的方法根据评价对象不同可以分为控制措施有效性评价方法和整体风险控制有效性评价方法
为有效实施风险处理效果评价宜根据风险处理前期的风险评估和风险处理成果确定评价对象、评价目标、评价方法与评价准则、评价项目负责人及团队组成,做好评价工作总体计划并编制评价方案。评价方案应通过专家评审,评价方案应获得组织管理层、风险处理实施团队相关利益方的认可
输人:风险评估报告、经批准的风险处理计划、风险处理方案、风险处理实施报告及其他材料
输出:风险处理效果评价方案
风险处理效果评价方案:应至少包括评价对象、评价目标、评价依据、评价方法与评价准则、评价项目负责人及团队组成、评价工作的进度安排等内容
风险处理效果评价方案编制完成后应进行审核并获得相关利益方的认可和组织领导层的批准,在评价过程中应设置监督员对评价过程进行监控,保证评价过程客观公正,效果评价可以分为现场评价和分析评估两个阶段,现场评价阶段是指现场验证控制措施的有效性并进行记录,分析评估阶段是指使用基于资产的风险评价方法和整体风险评估方法对风险处理效果进行评价,评价完成后应编制风险处理效果评价报告,评价风险处理的效果,给出改进建议并将评价报告与相关利益者进行沟通
风险处理效果评价报告为风险管理的批准监督提供依据也是风险管理中监督检查的重要依据,在监督检查中可根据风险处理效果评价报告确定是否进行持续改进