3.2 环境建立过程
环境建立过程包括风险管理准备、调查与分析、信息安全分析、基本原则确立、实施规划五个阶段[4]。在信息安全风险管理过程中,环境建立过程是一次信息安全风险管理主循环的起始,为风险评估提供输入;监视与评审、沟通与咨询两个过程贯穿于环境建立过程的五个阶段之中,如图3-1所示。
图3-1 环境建立过程及其在信息安全风险管理中的位置
3.2.1 风险管理准备
风险管理准备阶段的工作过程包括确定风险管理的范围和边界、明确信息安全风险管理的目标、制定风险管理总体规划和获得组织最高管理者的批准,如图3-2所示。
图3-2 风险管理准备阶段的工作过程
3.2.1.1 确定风险管理范围和边界
风险管理的对象可能是组织战略、业务等全部的信息,以及与信息处理相关的各类资产、管理机构、管理制度,也可能是某个独立的信息系统、关键业务流程、与客户相关的系统或部门等。在确定风险管理范围时,应结合已确定的管理目标、组织的实际业务和信息系统建设情况,合理定义管理对象和管理范围边界。首先要了解组织的结构、发展战略和业务;其次需识别影响信息安全风险管理范围和边界的各种约束或限制条件;最后确定风险管理的对象。
1.了解组织的结构、发展战略和业务
只有深入了解了组织的结构、发展战略和业务,才能更加准确地把握一个组织的信息安全风险管理的范围和边界。这是确定范围和边界的基础。了解的途径一般是对组织进行评估,通过评估,了解和识别组织特性的要素。这些要素包括组织的宗旨、业务、使命、价值和战略。所有这些要素应与促进其发展的经营活动一起加以确认。评估的难点在于准确理解组织的结构,这有助于了解每个部门在实现组织目标方面的作用和重要性。例如,信息安全管理者向最高管理者报告信息安全事项就可以表明最高管理者参与了信息安全。了解的内容一般包括方面[7]。
1)组织的战略
组织的战略决定了组织的发展方向,并不断从其经营领域的革新过程中获益。组织的战略通常决定了信息安全的方针和策略,需要纳入风险识别的范围中来。组织的发展目标是组织存在的理由,例如其侧重的经营领域、市场细分战略等。
2)组织的业务
由组织成员拥有的技术和技艺所支撑的组织业务,能让其顺利达成目标。组织的业务决定了组织的经营活动领域,同时也形成了组织特有的文化。
3)组织的功能
组织的功能为实现组织的战略目标服务。为确定组织的功能,需要了解组织为最终用户提供的服务或产品是什么。
4)组织的价值
组织的价值是应用于业务活动的主要原则或明确的行为准则。这可能关系到人员、与外部机构(如客户等)的关系、所提供产品或服务的质量。例如,以提供公共服务为目的、以运输为业务、以接送儿童上学和放学为使命的组织,其价值可能是服务中的准时和运输中的安全。
5)组织结构
组织结构通常分为部门结构和职能结构。部门结构是一种纵向管理结构,每个部门都设有部门管理者负责其所在部门的战略、行政和业务决策等职权,下级向上级负责。职能结构是一种横向管理结构或扁平化管理结构,是按工作程序、工作性质、决策或计划等职能来划分组织结构的。具有部门结构的组织也可按职能结构进行划分,反之亦然。如果一个组织具有两种结构,就可以说它具有矩阵结构。
在任何组织结构中,可分成如下层级:
a)决策层(负责战略的制定);
b)管理层(负责协调和管理);
c)执行层(负责生产和支持活动等)。
6)组织结构图
组织结构图即组织结构的示意性图示。它应该突出各层级的分布和领导关系,也可体现出业务信息流向。
2.考虑影响信息安全风险管理范围的多种约束
由于不断发生的动态变化而需要及时调整的原因,风险管理范围受到多种约束的影响。约束也使得风险的不确定性有所增加,甚至改变信息安全的属性,因而需要全面掌握约束的情况。
所谓约束在这里是指与组织实现其目标有关的各种限制。例如:法律法规、政策制度、文化习惯、突发状况、成本效益、内外环境等。确定范围和边界应识别影响组织和决定其信息安全策略的所有约束。来源于组织内部的约束一般可控,而组织之外的约束通常具有不可协商性。资源类(例如预算、人员等方面的约束)和紧急性的约束是最重要的[7]。
1)现有过程的约束
项目不一定是同时开发的,一些项目依赖已有的过程。即使一个过程能够被分解成多个子过程,这个过程并不一定受另一个已有过程所有子过程的影响。
2)技术约束
技术约束通常来自与信息基础设施有关的硬件和软件,例如:办公文档方面要求、网络拓扑结构(集中式、分布式或客户端-服务器)方面的要求、定制应用软件方面要求、成品套装软件方面要求、硬件方面要求、通信网络方面要求、建筑基础设施方面要求等。
3)财务约束
信息安全风险处置建议的安全控制措施可能伴随较高的成本。虽然将安全投资建立在成本效益的基础上并不总是恰当的,但组织的财务部门通常需要成本核算。例如,无论是公共组织还是企业,安全控制的总成本不应超过风险造成的潜在损失。因此,如果最高管理层想要避免过高的安全成本,就应该评估风险带来的损失并采取恰当的风险处置方式。
4)时间约束
实施安全控制所需的时间应考虑信息系统升级的难度和工作量大小,如果实施时间较长,那么预估风险可能已经改变。因此时间是选择风险处置方案和处置措施优先级的决定因素之一。
5)环境约束
环境约束来自过程实施所处的地理或经济环境:国家、气候、自然风险、地理环境、经济形势等。
6)方法相关的约束
需要实施与组织知识相符合的办法,如项目计划、规范、开发等。
7)组织管理的约束
管理的约束体现在信息系统运营方面、信息系统维护方面、人力资源管理方面、行政管理方面、软件开发管理方面和外部关系管理方面。
确定范围和边界的方法一般是通过调研、收集有关组织的信息,以确定其所处的环境及其与信息安全风险管理过程的相关性。
3.2.1.2 确定风险管理目标
信息安全风险管理的一般目标是按照风险评价准则、影响准则和风险接受准则的要求,通过风险评估确定风险等级,将风险控制到可接受的水平,保护组织信息资产,确保组织业务正常开展,实现组织发展战略。
环境建立的最主要目的是,考虑到组织的风险管理战略,为实现有效的风险评估和适当的风险处置做准备,具体体现在诸如支持信息安全管理体系ISMS、符合法律和尽职的证据、准备业务连续性计划和事件响应计划、描述某个产品、服务或机制对信息安全的要求[7]。环境建立是信息安全风险管理活动必不可少的,这会影响风险管理的整个过程。
3.2.1.3 制定风险管理总体规划
制定风险管理总体规划,包括明确风险管理的目的、意义、范围、目标、组织结构、经费预估和初步进度安排等,目的是为风险管理团队实施活动提供一个总体计划,用于指导风险管理团队开展各项工作,使评估风险管理各阶段工作可控,并作为项目验收的主要依据之一。
3.2.1.4 获得支持
为了确保风险管理工作的顺利开展,在确定了风险管理的范围和边界,以及风险管理目标后,风险管理总体规划应得到组织最高管理者的支持和批准。同时,需要对管理层和技术人员进行传达,在组织范围内就风险管理相关内容进行培训,以明确有关人员在风险管理中的职责[8]。
3.2.2 调查与分析
前期的风险管理调研活动是为了确定风险管理对象和范围,了解组织业务和风险管理对象现状。风险管理工作组应进行充分的业务调研、系统调研和人员访谈,认真分析,为风险管理依据和方法的选择、方案的制定、评估和处置工作的实施奠定基础。
调研内容至少应包括以下内容。
● 组织发展战略及组织职能;
● 业务及相关流程,具体管理和支撑部门及其相关人员;
● 业务相关IT支撑措施;
● 主要的业务功能和要求;
● 信息系统安全保护等级;
● 网络结构与网络环境,包括内部连接和外部连接;
● 系统边界,包括业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等;
● 主要的硬件、软件;
● 数据和信息;
● 系统和数据的敏感性;
● 支持和使用系统的人员;
● 信息安全管理组织建设和人员配备情况;
● 信息安全管理制度;
● 系统脆弱性;
● 系统面临的威胁;
● 法律法规及服务合同;
● 其他。
调研活动可以采取问卷调查、人员访谈、现场考察、辅助工具等多种形式,根据实际情况灵活采用或结合使用。调查问卷是提供一套关于管理或操作控制的《风险管理对象调查表》,提供组织各级管理、业务和技术人员填写;人员访谈是系统调查和威胁识别的途径之一,通常需要编制评估对象的人员访谈记录表、威胁识别的人员访谈记录表等文档;现场考察则是由评估人员到现场核查设备的具体位置、实际配置等情况,收集系统在物理、环境和操作等方面的信息。
如图3-3所示,风险管理对象调查阶段的工作过程和内容如下[4]。
图3-3 风险管理对象调查阶段的过程和内容
(1)调查机构的使命及目标。了解机构的使命,包括战略背景和战略目标等,从中明确支持机构完成其使命的风险管理对象的业务目标。
(2)调查法律法规及监管要求等。了解与组织业务相关的国家、地区或行业的相关政策、法律、法规和标准的规定。
(3)调查业务特性。了解机构的业务,包括业务内容和业务流程等,从中明确支持机构业务运营的风险管理对象的业务特性、可能涉及的信息资产及载体类别。
(4)调查外部环境,包括组织的地点及其地理特征、外部利益相关者的期望,影响组织的制约因素等。
(5)调查内部环境,包括组织愿景、使命、战略目标、组织结构、文化、采用标准、组织涉及资产、内部利益相关者的观点及合同内部关系相关条款。
(6)汇总上述调查结果,形成描述报告,其中包含机构使命及目标、法律法规监管要求、业务特性、外部环境和内部环境等方面的内容。
3.2.3 信息安全分析
如图3-4所示,信息安全分析阶段的工作过程和内容如下[8]:
图3-4 风险管理对象调查阶段的过程和内容
(1)分析风险管理对象的安全环境。依据国家、地区或行业的相关政策、法律、法规和标准,考虑合作伙伴的合同要求,对风险管理对象的安全保障环境进行分析,明确环境因素对风险管理对象安全方面的影响和要求。
(2)分析风险管理对象的安全要求。依据风险管理对象的描述报告和风险管理对象的分析报告,结合上述安全环境的分析结果,分析和提出对风险管理对象的安全要求,包括保护范围和保护等级等。
(3)汇总上述分析结果,形成风险管理对象的安全要求报告,其中包含风险管理对象的安全环境和安全要求等方面的内容。
3.2.4 基本原则确立
3.2.4.1 风险管理方法
在信息安全领域,风险管理就是最大范围地保护信息资产,确保信息的保密性、完整性和可用性,在可接受的成本范围内,识别、控制、降低或排除安全风险的流程。因此,掌握信息安全风险识别、风险分析和风险控制的方法,组织才能充分利用信息技术提供更便捷、更优质的产品或服务,同时保障信息的合理使用和安全。
风险管理的生命周期包括风险评估、风险处置、风险沟通与咨询、监视与评审等相关的过程;根据风险管理的范围和目标,在风险评估阶段和风险处置阶段采用不同的风险管理方法,为组织的信息安全风险管理提供有力的保障。
3.2.4.2 风险管理准则
基本准则包括风险评价准则、影响准则和风险接受准则。选择或设置适合当前风险管理对象的风险管理准则,应与风险管理框架相一致,并根据具体活动的目的和范围进行针对性设计。风险准则应结合业务和利益相关方的需要,还应反映组织的价值观、目标和资源,并与风险管理的政策和声明保持一致。
可供定义基本准则的参考因素包括:风险的性质和类型、风险评估方法及一致性、时间因素、风险等级如何确定、风险的组合情况和重要性如何排序、组织的能力和风险处置成本、风险处置计划如何制定、风险处置措施的选择与实施方针,以及能否提供风险管理全过程监视所需资源等。
尽管基本准则是在环境建立阶段制定,但是它并非一成不变,必要时应根据风险管理过程的实际情况和监视审查结果进行动态调整。
3.2.5 实施规划
3.2.5.1 组建风险管理团队
组建风险管理团队,包括确定子团队类别、团队成员、组织结构、角色和责任等内容,团队一般分为总体规划组、风险评估组、风险处置组、监视评审组等。总体规划组负责制定组织的发展战略、总体结构和资源计划,通常由高层管理人员担任。风险评估和风险处置作为风险管理两个相对独立的项目,其团队的组成基本一致,一般都是由领导组、执行组和专家组三层机构组成,有关风险评估团队和风险处置团队成员分工的内容参见本书3.4.3节和11.2.2节。监视评审一般由相关的管理和技术人员构成,负责对风险管理各过程的监控、审查。
风险管理团队应召开风险管理工作启动会议,做好管理前的表格、文档、检测工具等各项准备工作,进行风险管理技术培训和保密教育,明确各子团队在风险管理中的任务,制定风险管理过程管理相关规定,编制应急预案等。
3.2.5.2 制定实施规划
制定风险管理实施规划的目的是为风险管理活动的实施提供一个总体计划,用于指导风险管理团队开展工作,使管理各阶段工作可控,并作为风险管理项目验收的依据之一。详细的实施规划包括以下内容:
(1)实施团队架构,各团队负责人,可能涉及的部门;
(2)每个阶段的时间、涉及地点、具体包含和除外的内容;
(3)各阶段负责人、入口及出口标准,预期在每一步流程中取得的成果;
(4)需要的资源、责任和记录;
(5)预算;
(6)对过程实施监控,监控内容及规则;
(7)实施过程需要遵守的原则、最终完成标准等。