淺議信息化建設(shè)中如何做好信息安全風(fēng)險評估的策劃矯慶軍(沈陽理工大學(xué)沈陽110168)摘要本文提出了組織在進(jìn)行信息安全風(fēng)險評估時，在策劃階段應(yīng)關(guān)注的一些問題，以保證整個風(fēng)險評估過程的有效性。關(guān)鍵詞信息安全風(fēng)險評估策劃中圖分類號(0168).隨著各類組織的信息化程度的提高，使得信息系統(tǒng)越來越復(fù)雜，在業(yè)務(wù)運(yùn)作的過程中生成大量的數(shù)據(jù)，組織的發(fā)展對信息的依賴程度也越來越大，這樣信息安全管理成了組織風(fēng)險管理的重要組成部分。

如何保障信息安全是每個現(xiàn)代組織所面臨的共同問題，信息安全風(fēng)險評估逐漸被引入組織的管理體系當(dāng)中。目前，我國也正在制訂相應(yīng)的風(fēng)險評估及風(fēng)險管理指南。國際上的風(fēng)險評估(管理)指南，基本上比較注重可操作性和通用性，對于風(fēng)險評估的過程描述得比較清晰，也強(qiáng)調(diào)了風(fēng)險評估的準(zhǔn)備階段的要求和任務(wù)，筆者認(rèn)為風(fēng)險評估作為一個過程，應(yīng)該特別注意其策劃階段的活動，本文主要結(jié)合實施風(fēng)險評估的一點經(jīng)驗，簡單提出在策劃階段應(yīng)關(guān)注的一些問題。一、確定風(fēng)險評估范圍風(fēng)險評估作為一個過程，或者說一個項目，在最初應(yīng)確定其范圍。組織進(jìn)行風(fēng)險評估可能是由于自身商業(yè)要求及戰(zhàn)略目標(biāo)的要求，相關(guān)方的要求或其他原因，因此應(yīng)根據(jù)上述原因確定風(fēng)險評估范圍。范圍可能是組織全部的信息和信息系統(tǒng)，可能是單獨的信息系統(tǒng)，可能是組織的關(guān)鍵業(yè)務(wù)流程，也可能是客戶的知識產(chǎn)權(quán)。例如國內(nèi)某半導(dǎo)體代工企業(yè)為了滿足其技術(shù)合作方在技術(shù)轉(zhuǎn)移方面的要求而采取BS7799-2:2002標(biāo)準(zhǔn)建立信息安全管理體系(ISMS)，在建立體系的過程中，他們設(shè)定了ISMS的范圍，這個范圍其實就是包含客戶IP的信息流所涉及的業(yè)務(wù)流程和部門。這樣在體系建立過程中的風(fēng)險評估就針對這樣的范圍進(jìn)行，以滿足相關(guān)方的要求。

OA2005論文·249·組織在確定范圍的時候，不應(yīng)該是隨便指定一個范圍，而是應(yīng)該清醒地分析組織業(yè)務(wù)戰(zhàn)略的要求，否則整個風(fēng)險評估可能耗費(fèi)大量的資源，卻沒有達(dá)到預(yù)期的效果。如果風(fēng)險評估的范圍過大，經(jīng)常會導(dǎo)致對于收集到的信息進(jìn)行分析分析時感到困難，設(shè)定一個對于組織來說“易于管理”的范圍對于風(fēng)險評估的項目安排及活動的實施都會降低其難度。范圍的界定可以從下面的一個思路進(jìn)行考慮:1、為滿足組織業(yè)務(wù)戰(zhàn)略要求，組織承擔(dān)著哪些重要的商務(wù)活動:2、流程當(dāng)中有哪些信息和信息系統(tǒng)是必須依賴的;3、重要的商務(wù)活動涉及到哪些人員和部門。上面三個問題基本上涉及到了組織的業(yè)務(wù)流程、信息資產(chǎn)、地理范圍，風(fēng)險評估的范圍也可以從這三個方面來進(jìn)行描述。實際上對于組織而言，劃定范圍就是把最重要的“區(qū)域”放在最優(yōu)先、最高頻率的位置上進(jìn)行評估，而不是將全部“區(qū)域”的信息資產(chǎn)一把抓，解決好了哪些“區(qū)域”是“重要區(qū)域”的問題，范圍就可以清晰地被定義了。二、確定風(fēng)險評估目標(biāo)組織應(yīng)明確風(fēng)險評估的目標(biāo)，為風(fēng)險評估的過程提供導(dǎo)向。支持組織的信息、系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)是組織重要的資產(chǎn)。資產(chǎn)的保密性，完整性和可用性對于維持競爭優(yōu)勢，現(xiàn)金流動，獲利能力，法規(guī)要求和一個組織的形象是必要的。

組織要面對來自四面八方日益增長的安全威脅。一個組織的系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo);同時，由于組織的信息化程度不斷提高，對基于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加，一個組織則可能出現(xiàn)更多的脆弱性。組織的風(fēng)險評估的目標(biāo)基本上來源于組織業(yè)務(wù)持續(xù)發(fā)展的需要、滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面。三、建立適當(dāng)?shù)慕M織機(jī)構(gòu)組織在進(jìn)行風(fēng)險評估時，完全將其委托給外部的信息安全專家是不合適的，針對上面所定義的風(fēng)險評估范圍及目標(biāo)，組織應(yīng)建立適當(dāng)?shù)慕M織結(jié)構(gòu)，以支持整個過程的推進(jìn)，如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險評估小組。組織機(jī)構(gòu)的建立應(yīng)考慮其結(jié)構(gòu)和復(fù)雜程度。完備的組織機(jī)構(gòu)能夠確保風(fēng)險評估過程中的職責(zé)能夠地得到明確的定義，能夠從管理和技術(shù)兩方面認(rèn)識組織的安全狀態(tài)，能夠保證風(fēng)險評估過程中的溝通與決策。四、建立系統(tǒng)性風(fēng)險評估方法現(xiàn)在對于國際范圍內(nèi)信息安全風(fēng)險評估的標(biāo)準(zhǔn)、指南采用較多的有BS7799-2:2002《信息安全管理體系—規(guī)范及應(yīng)用指南》,ISO/《信息技術(shù)—IT安全管理指導(dǎo)方針》,-26(IT系統(tǒng)安全自評估指南》、卡耐基.梅隆大學(xué)OCTAVE1方法、GAO/AIMD《信息安全風(fēng)險評估—先進(jìn)組織實踐》,SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等。

我國目前也在積極應(yīng)對各類組織日趨增長的風(fēng)險評估、風(fēng)險管理的需求，起草適應(yīng)我國國情的風(fēng)險評估、風(fēng)險管理指南，立足于我國信息化建設(shè)現(xiàn)狀，OCTAVE:是lThreat,Asset,uation首字母的縮寫對我國當(dāng)前信息安全風(fēng)險評估實踐工作的總結(jié)、歸納、簡化與提升。筆者在這里不想談?wù)摳鞣N標(biāo)準(zhǔn)指南的具體方法和過程。只希望對于組織在面對如此眾多的標(biāo)準(zhǔn)及指南的時候如何選擇的問題，提幾點建議。風(fēng)險評估的基本理論涉及到的要素及相互關(guān)系(圖1)在各個標(biāo)準(zhǔn)及指南中的體現(xiàn)基本相同，但在各個標(biāo)準(zhǔn)及指南中圖1風(fēng)險評估要素及相互關(guān)系250·OA2003論文都存在著一定的特殊性要求及過程。組織在風(fēng)險評估策劃階段能夠考慮范圍、目的、時間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定評估的方法，使之能夠與組織的環(huán)境和安全要求相適應(yīng)，對整個評估過程的成敗具有決定性作用。比如組織進(jìn)行風(fēng)險評估的目的之一是為了滿足BS7799標(biāo)準(zhǔn)的要求建立信息安全管理體系，那么就必須滿足BS7799劉于風(fēng)險評估的要求及過程，其他標(biāo)準(zhǔn)及指南基本上僅可作為參考。

如果組織是為了了解自身信息系統(tǒng)風(fēng)險狀況，開展風(fēng)險管理的目的，那么N工STSP800-26可能是一個好的選擇。在選擇了參考的標(biāo)準(zhǔn)或指南之后，基本上確定了評估的方法論及評估流程，但是一些具體的準(zhǔn)則的制定還是因組織的不同而不同的。例如信息資產(chǎn)的劃分，雖然各種標(biāo)準(zhǔn)指南都給出了一些分類的方法，但也僅僅是一種參考，組織此時就必須根據(jù)對自己的“診斷結(jié)果”，制定適當(dāng)?shù)姆诸愒瓌t。再如對于威脅、薄弱點的識別與評價，小型的組織或簡單的評估范圍，選擇頭腦風(fēng)暴的方式或許就能夠達(dá)到目的，但是如果把評價等級制定的過于細(xì)化，可能對于小型組織就會帶來資源的浪費(fèi)和評估過程的復(fù)雜。因此選擇適當(dāng)?shù)臉?biāo)準(zhǔn)或指南制定明確的評估流程，策劃適應(yīng)組織的評估方法及科學(xué)的評估參考準(zhǔn)則，是組織應(yīng)該多花一點時間的，必要時筆者建議可以在小范圍內(nèi)試點，以檢驗策劃的評估流程。組織在選擇自評估的指南時，在某些關(guān)鍵階段引入外部專家的培訓(xùn)可能也是在策劃時應(yīng)該考慮的問題，畢竟風(fēng)險評估還是一個專業(yè)性較強(qiáng)的過程。評估過程中還可能選擇一些輔助的工具，這里所說的工具是指風(fēng)險評估過程軟件，不包括類似于漏洞掃描之類的工具。雖然目前的各種工具并不是太成熟，但工具的成本投入一般較高，在選擇的時候應(yīng)該與策劃的評估方法相適應(yīng)，可以通過試用版檢驗一下其適用性。

筆者的觀點是 Excel 表格可能是最好的工具了，基本上不用培訓(xùn)，具有很強(qiáng)的統(tǒng)計計算功能。無論如何適合的就是最好的，風(fēng)險評估的過程、方法、工具的選擇都應(yīng)遵循此原則。五、獲得最高管理者對風(fēng)險評估策劃的批準(zhǔn)風(fēng)險評估成敗的關(guān)鍵性因素之一就是領(lǐng)導(dǎo)作用的體現(xiàn)。領(lǐng)導(dǎo)者的關(guān)注、資金的支持、資源的提供是風(fēng)險評估項目過程中，組織的領(lǐng)導(dǎo)層應(yīng)該充當(dāng)?shù)慕巧ｏL(fēng)險評估的策劃應(yīng)充分考慮組織的商業(yè)需求及戰(zhàn)略目標(biāo)、企業(yè)文化、業(yè)務(wù)流程、安個要求、規(guī)模和結(jié)構(gòu)、員工素質(zhì)等因素，因此作為組織的最高管理者應(yīng)該從全局的角度，對風(fēng)險評估的策劃結(jié)果進(jìn)行評審。評估的范圍和 目的是否明確，是否合理;風(fēng)險評估的流程及方法是否能夠與企業(yè)文化及員工素質(zhì)相適應(yīng);所提出的安全要求及所覆蓋的業(yè)務(wù)流程是否符合組織的戰(zhàn)略目標(biāo)的要求，這些都應(yīng)該得到最高管理者及管理層的認(rèn)同。并且應(yīng)該將批準(zhǔn)的結(jié)果向評估范圍所覆蓋的部門及人員進(jìn)行溝通，充分體現(xiàn)全員參與的原則也是保證風(fēng)險評估過程及評估結(jié)果不出現(xiàn)較大偏差的保證。六、結(jié)束語風(fēng)險評估作為一個系統(tǒng)的過程，完善的策劃過程十分重要，本文僅僅對一些重要的因素做了粗淺的討論，希望能夠?qū)M織進(jìn)行風(fēng)險評估時的具體實施提供一點參考。

相信在國家的指導(dǎo)下，通過國內(nèi)各大安全廠商、先進(jìn)組織、業(yè)內(nèi)專家的共同努力下，我們必將建立適應(yīng)我國國情、科學(xué)、系統(tǒng)的風(fēng)險評估指南，使風(fēng)險評估能夠利用更科學(xué)的方法，不斷提高水平，從而促進(jìn)我國信息安全保障體系的建立，并進(jìn)而推動我國信息化的建設(shè)歷程。參考文獻(xiàn)ISO/ IEC 17799- 1 ion -Part I :Code of Pract ice for ion .BS7799- 2:2002 ion -Part 2: on for ion Systems王毅剛，吳昌倫，BS7799 - 2:2002及風(fēng)險評估，信息技術(shù)與標(biāo)準(zhǔn)化，2002 (10) .[美〕Harold F.Tipton, Micki Krause 信息安全管理手冊(卷) (第四版) 2004.OA20 5 論文，251