信息安全风险管理与实践
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

2.3 信息安全风险管理标准ISO/IEC 27005

2.3.1 ISO/IEC 27000系列标准

ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》(简称ISO/IEC 27005)是ISO/IEC 27000系列标准中的一个,该系列标准,如图2-8所示,它们构成了信息安全风险管理工具包。

图2-8 ISO/IEC 27000系列标准

2.3.2 ISO/IEC 27005版本的演化

由于信息安全最重要的任务是控制风险,因此风险管理在其中有举足轻重的作用,而ISO/IEC 27005作为ISO/IEC 27000系列标准中唯一讨论信息安全风险管理方法论的标准,其重要性是不言而喻的。ISO/IEC 27005共经历了三个版本的演化。ISO/IEC 27005的最新版本,即第三个版本于2018年发布,其他两个版本分别是2008版和2011版。2008版是信息安全风险评估标准的第一个版本,来自ISO/IEC TR 13335-3:1998和ISO/IEC TR 13335-4:2000,以及BS 7799-3:2005。

整体而言,ISO/IEC 27005的三个版本细节有改变,但是无根本性改变,尤其是在框架、流程方面,变化不大。具体表现为:

(1)与PDCA过程的映射关系:ISO/IEC 27005的2008版和2011版都有风险评估过程与信息安全管理体系(ISMS)中PDCA过程的映射关系,在2018版中不再强调,不过依然遵循了PDCA原则。这可能是因为ISO/IEC 27001:2013虽然本质上依然是PDCA,但是描述上有所变化相关。

(2)ISO/IEC 27005:2018版删除了与ISO/IEC 27001联系过度紧密的描述,ISO/IEC 27001从2011版中的规范性引用文件被移到参考文献中;ISMS要求被加入引言中。但是这并不意味着两者的联系度降低,在引言中,两者依然可以配合应用。

2.3.3 ISO/IEC 27005:2018标准主要内容

ISO/IEC 27005:2018标准提供了组织中信息安全风险管理的指导方针。该标准中并未提供任何特定的信息安全风险管理方法,而是提供了通用的风险管理过程和风险处置活动,为组织提供“原因、内容和方式”,以便能够有效地管理组织的信息安全风险,有助于证明组织已经具备强大的风险处理能力,更有利于事业的发展。

2.3.3.1 信息安全风险管理框架

ISO/IEC 27005:2018包含12章、6个资料性附录。第1章为范围,第2章为规范性引用文件,第3章为术语和定义,第4章为文档结构,第5章介绍了背景信息,第6章给出了信息安全风险管理过程的框架,如图2-9所示。

图2-9 ISO/IEC 27005:2018信息安全风险管理过程框架

2.3.3.2 信息安全风险管理过程

信息安全风险管理过程可以应用于组织的一部分(如部门、物理场所、服务),或应用于整个组织及任何信息系统。信息安全风险管理的方法是系统的、有效的,其目标与组织的总体目标相一致。

ISO/IEC 27005:2018标准提出信息安全的风险管理过程可以采用在ISO 31000中描述的风险管理过程,包括环境建立、风险评估、风险处置、风险接受、沟通与咨询、监视与评审共六个过程。标准的第7章至第12章对风险管理过程展开论述,如图2-10所示。

图2-10 ISO/IEC 27005:2018第7章至第12章主要内容

第7章对信息安全风险管理环境建立提供指导,它明确了需要在开始就要确定的“基本准则”。包括:风险管理方法、风险评价准则、影响准则和风险接受准则。这都是风险管理领域通用的。

组织需要选择适合基本准则的风险管理方法,同时必须评估必要资源的可用性,如:

● 执行风险评估并建立风险处理计划;

● 制定并执行方针和程序,包括所选控制的实施;

● 监视控制;

● 监视信息安全风险管理过程。

随后,在开发风险评价准则时需要考虑:

● 组织信息过程的战略价值;

● 涉及信息资产的关键程度;

● 法律和法规要求和合同义务;

● 可用性、保密性和完整性对运营和商业的重要性;

● 相关方的期望和看法,以及对商誉和声誉的负面影响。

确定影响准则,要表明信息安全事件将如何影响信息资产、运营、业务、财务价值、计划、声誉,以及是否符合法律、法规、合同的要求。

风险接受准则取决于组织,并且可以包括在最高管理层批准的例外情况下,风险在期望目标水平的多个阈值。这些准则可以表示为估算利益与估算风险的比率。

信息安全风险管理的范围和边界需要由组织确定。这使组织能够确保在风险评估中考虑到相关资产。

第8章主要介绍了信息安全风险评估。风险评估确定信息资产的价值,识别适用的威胁和存在(或可能存在)的脆弱性,现有的控制及其对识别风险的影响,确定潜在的后果,并对得到的风险优先排序,根据在环境建立时设定的风险评价准则对其设定等级。风险评估包括风险识别、风险分析和风险评价。

风险识别的目的是,确定可能发生什么事件(风险),会导致潜在的损失,并了解如何防止、在何处发生,以及为什么可能发生损失。

风险分析方法可分为定性分析和定量分析,最后确定风险水平。

风险评价指依据风险分析结果提出风险处置建议。

第9章是信息安全风险处置,可以基于风险评估结果和成本效益分析选择4种风险处置方式:风险修正、风险保留、风险规避和风险分担。

风险修正通过技术控制等手段实现风险等级的变化,要考虑的成本和效益的经济平衡。

风险保留是指对风险评估结果表明风险可接受,就可以简单地保留风险,不需要变更任何控制。

风险规避是指通过其他方式规避风险发生的可能化。

风险分担将风险分摊给第三方,如保险公司或分包商。但需要注意的是,风险分担并不意味着责任的分担,因为事件后果仍然在该组织。

在风险处置后,组织需做出是否接受残余风险的决定,由负责的管理者审查和批准。

第10章是风险接受。

第11章是信息安全风险沟通与咨询。信息安全风险需要在风险责任人和利益相关方之间进行沟通。这种信息安全风险沟通应为风险管理成果提供保障、分享风险评估结果、支持决策和提升意识。组织应为正常和紧急情况编制风险沟通计划。

第12章是为信息安全风险因素提供监视与评审。由于风险会因为脆弱性、可能性或后果的变化而改变,所以组织需要持续监测。组织需要监测的内容包括:风险管理范围内的新资产、修正的资产价值、新威胁、新漏洞、可导致不可接受风险水平升高的影响或后果,以及信息安全事件。

此外,在对信息安全风险管理不间断地进行监督和评审,以保持其适应性的同时,还需要对相应管理人员的知识水平进行必要的提升。组织应该定期验证风险及其要素的测量准则依然有效,并与业务目标、战略和策略保持一致。在信息安全风险管理过程中还要充分考虑业务背景的变化。该阶段需要关注的问题是:法律和环境背景、竞争环境、风险评估方法、资产价值和类别、总拥有成本和必要的资源,用以保障有持续可用的风险评估和风险处置资源来评审风险,解决新的或改变的威胁或脆弱性,并提出相应的管理建议。监督和改进的结果可能是修改或添加风险管理过程中采用的途径、方法或工具。

2.3.4 ISO 31000与ISO/IEC 27005的比较

1.相同点

1) 解决的问题相同

ISO 31000与ISO/IEC 27005都是为帮助组织解决“风险”而设立的国际标准,这两个标准为组织开展相关活动提供了关键信息。

ISO/IEC 27005与ISO/IEC 27001中处理风险管理的部分紧密关联。ISO/IEC 27005关于信息安全风险管理的一般框架实际上是对ISO/IEC 27001的4.2.1c至4.2.1h,以及4.2.3d条款的详细阐述,也与ISO 31000的风险管理一般框架密切相关。ISO/IEC 27005符合ISO 31000中提出的风险管理的通用要求。

2) 一致的风险管理过程

ISO/IEC 27005从2008版到2011版,直至2018版都直接沿用了 ISO 31000的信息安全风险管理框架。

2.不同点

1)范围不同——主从关系

ISO 31000是针对任何领域、所有风险管理的主标准,包括财务、工程、安全等;尽管很多组织已经有了一套方法来管理风险,但是ISO 31000定义的原则是必须遵守的,以确保风险管理的有效性。

ISO/IEC 27005是从标准,是专门针对信息安全风险管理最佳实践的从标准,遵循信息安全管理体系(ISMS)的要求ISO/IEC 27001。

2)角度不同——通用和具体

ISO 31000从战略上全面进行风险管理,可以将此标准视为组织风险管理的框架,但是对信息安全风险评估和风险处置并不提供建议。

ISO/IEC 27005则是用来完成这些建议的,它介绍如何识别资产、威胁、脆弱性,从而进行评估并计算风险的后果和可能性,但是遵循ISO 31000的通用原则。

ISO 31000和ISO/IEC 27005之间的关系如图2-11所示。

图2-11 ISO 31000和ISO/IEC 27005之间的关系

注:ISO/IEC 27031#代表特定风险指南类控制标准