現(xiàn)代企業(yè)的成功發(fā)展主要以企業(yè)的各項經(jīng)營活動健康運作為基礎(chǔ),健康的經(jīng)營運作又以企業(yè)信息化高度發(fā)展作為保障基礎(chǔ),其信息化的水平主要體現(xiàn)在企業(yè)的信息化系統(tǒng)是否能夠穩(wěn)定而有效地運轉(zhuǎn)。信息化系統(tǒng)的有效運行依賴于其運行環(huán)境、硬件設(shè)備以及在其上流動的信息數(shù)據(jù)及其安全,因此企業(yè)有必要將信息視為重要資產(chǎn),并采取安全措施加以嚴格保護。
1 企業(yè)信息安全的需求
企業(yè)往往會根據(jù)自身需求來確定所需要保護的信息資產(chǎn)的范圍和這類資料的受保護程度,而這些需求,一般來源于如下方面:
1.1 企業(yè)自身的原則、目標和規(guī)定方面
企業(yè)從自身業(yè)務(wù)和經(jīng)營管理的需求出發(fā),必然會在信息技術(shù)方面提出一些卓有遠見的方針、目標、原則和要求,以此明確自己的信息安全要求,確保企業(yè)支撐業(yè)務(wù)以及相關(guān)內(nèi)容運作的信息處理活動的安全性。
1.2 企業(yè)在法律、法規(guī)方面
法律法規(guī)通常包括國際法律、國家法律、各部委和地方的規(guī)范性文件或者規(guī)章。企業(yè)只需要關(guān)注與自身相關(guān)的法律或規(guī)范性文件,尤其應(yīng)重視與信息化和信息安全相關(guān)的部分,因為國家所規(guī)定的與企業(yè)信息安全相關(guān)的法律法規(guī)是企業(yè)必須遵循的強制性法規(guī),企業(yè)應(yīng)將此部分轉(zhuǎn)化為企業(yè)的信息安全需求。此外,企業(yè)還要必須考慮到合作伙伴或者商業(yè)客戶對企業(yè)提出的具體的信息安全要求,這些需求通常體現(xiàn)在合同約定、招標條件和安全承諾等內(nèi)容上。
1.3 風(fēng)險評估方面
我們通常將信息安全的風(fēng)險評估作為確定企業(yè)安全需求最主要的途徑之一,以風(fēng)險評估內(nèi)容與結(jié)果,企業(yè)確定最終對信息資產(chǎn)的保護程度、保護措施、控制方式。企業(yè)根據(jù)每種資產(chǎn)所面臨的威脅、自身的弱點、以及潛在影響和發(fā)生的可能性等因素,可分析并確定具體的安全需求。
企業(yè)信息的安全評估是一個較為復(fù)雜的工作,主要是因為評估的因素是動態(tài)、不確定的,且往往是隨機的,如何將被動、零散、無序地應(yīng)對信息資產(chǎn)安全風(fēng)險方式轉(zhuǎn)變成主動、系統(tǒng)、連續(xù)有效地管理風(fēng)險是企業(yè)最終需要重視的問題。而合適、合理進行風(fēng)險評估與管理的設(shè)計與實施是一種十分有效的方式,因為風(fēng)險評估是企業(yè)信息安全管理的基礎(chǔ)。風(fēng)險管理是圍繞信息安全風(fēng)險而展開的評估、處理和控制活動,風(fēng)險評估是建立信息安全管理體系的前提,可見信息安全實質(zhì)就是信息資產(chǎn)的風(fēng)險管理的問題;陲L(fēng)險評估結(jié)果,企業(yè)可以對當前的信息安全狀況有一個系統(tǒng)且全面的掌握,并能從中找出潛在的安全風(fēng)險問題,并對其進行合理分析,判斷風(fēng)險的嚴重性和影響程度,以此為基礎(chǔ)確定自身在信息安全建設(shè)方面的需求。而BS7799在當前來講是一套很好的安全管理與控制體系,其圍繞風(fēng)險評估從管理和技術(shù)兩方面建立了一套完整、可實現(xiàn)的信息安全評估體系,十分適于企業(yè)安全管理。
BS7799是英國標準協(xié)會發(fā)布的一個關(guān)于信息安全管理的標準,由兩個部分組成:分別為ISO17799和ISO27001標準。BS7799標準明確了企業(yè)所有選擇控制目標和控制的舉動,都應(yīng)該根據(jù)由風(fēng)險評估而導(dǎo)出的真實需求來實施。其中,ISO27001是建立信息安全管理系統(tǒng)(ISMs)的一套需求規(guī)范,規(guī)范包括信息安全、安全技術(shù)、信息安全管理、以及安全需求等,在此規(guī)范中詳細說明了建立、實施和維護信息安全管理體系的要求,指出實施機構(gòu)應(yīng)該遵循的風(fēng)險評估標準。而ISO27001:20o5則指導(dǎo)相關(guān)人員如何應(yīng)用ISO17799。
信息安全管理體系(IsMs)是企業(yè)整體管理體系中的重要部分,它是企業(yè)在整體或特定范圍內(nèi)所應(yīng)建立的信息安全方針和目標以及完成這些目標所用方法的體系與結(jié)構(gòu)。ISMS要求企業(yè)在其整體商業(yè)活動中,在風(fēng)險環(huán)境下建立、實施、運作、監(jiān)視、評審ISMS、維護和信息安全改進等一系列管理以及與之對應(yīng)的活動,并最終轉(zhuǎn)化為企業(yè)自身組織結(jié)構(gòu)、策略方針、目標與原則、計劃活動、過程與方法、人員與責(zé)任、資源應(yīng)用等具體環(huán)節(jié)與要素的集合。
ISO27001建立和維護信息安全管理體系的標準,它通過如下過程來建立ISMS框架:首先確定企業(yè)自身安全體系范圍;其次以安全范圍制定其信息安全策略,明確管理職責(zé);最后通過風(fēng)險評估確定控制目標和控制方式,并確定與實現(xiàn)。企業(yè)的安全管理與防護是個動態(tài)系統(tǒng),安全體系一旦建立完成,企業(yè)仍需要不斷在實施、維護和持續(xù)改進ISMS,以確保安全體系有效安全的運作。在IS027001體系中信息安全文件化的管理與實現(xiàn)工作,是一個十分重要的部分,ISMS的文件體系通常包括企業(yè)安全策略、選擇與未選擇的控制目標和控制措施、實施安全控制所需的文件、ISMS管理和操作規(guī)范與程序、企業(yè)圍繞ISMS開展的所有活動的相關(guān)材料。與以往技術(shù)為主的安全體系不同,IS027001:2005提出的信息安全管理體系是一個系統(tǒng)化、文檔化和程式化(我們也可以稱之為流程化)的管理體系,技術(shù)措施將只是作為依據(jù)安全需求有選擇有側(cè)重地實現(xiàn)安全目標的手段而非全部。ISO 27001:2005標準指出ISMS所包含的內(nèi)容:用于企業(yè)信息資產(chǎn)風(fēng)險管理、確保企業(yè)信息安全的包括為制定、實施、評審和維護信息安全策略所需的企業(yè)機構(gòu)、目標、職責(zé)、程序、過程和資源。IS027001:2005標準要求建立ISMS框架的過程:制定信息安全策略,確定體系范圍,明確管理職責(zé),通過風(fēng)險評估確定控制目標和控制方式。體系一旦建立,企業(yè)應(yīng)該實施、維護和持續(xù)改進ISMS,保持體系的有效性。
如圖1所示,描述了企業(yè)信息安全中關(guān)于風(fēng)險及相關(guān)要素之間的關(guān)系,這種關(guān)系將是企業(yè)進行信息安全風(fēng)險管理的理論基礎(chǔ)與評估出發(fā)點。
圖1 風(fēng)險管理各要素之間的關(guān)系
2 風(fēng)險評估流程
企業(yè)在實施風(fēng)險評估時,通常由能夠代表各個相關(guān)單位和部門的人員組建一個風(fēng)險評估小組,以期各自負責(zé)與本部門相關(guān)的風(fēng)險評估事務(wù),并且能共同討論一些共性問題。風(fēng)險評估小組將指定一個能控制全局的人擔任組長,負責(zé)風(fēng)險評估事務(wù)以及各組員間的協(xié)調(diào)。在風(fēng)險評估前,評估小組及相關(guān)人員應(yīng)接受必要的培訓(xùn),以熟悉企業(yè)運作的流程、安全需求,并且理解信息安全管理基本知識,掌握風(fēng)險評估的方法和技巧。一個完整的風(fēng)險評估活動,通常包括:
(1)前期溝通。前期調(diào)研,了解安全需求;
(2)啟動風(fēng)險評估項目。明確安全評估的目標和范圍;
(3)項目計劃。對企業(yè)運行的環(huán)境進行描述,確定各項安全評估指標,建立評估小組,人員培訓(xùn),并提供必須的各類支持資源,確定適用的表格、問卷等,制定項目計劃;
(4)資產(chǎn)評估。信息資產(chǎn)的標識與關(guān)鍵信息資產(chǎn)評估;
(5)威脅評估。識別威脅,衡量威脅的可發(fā)性與來源;
(6)弱點評估。識別各類信息資產(chǎn)以及各控制流程與管理中的弱點,衡量弱點的嚴重度;
(7)風(fēng)險評估。進行風(fēng)險場景描述,劃分風(fēng)險等級,評價風(fēng)險,編寫風(fēng)險評估報告;
(8)風(fēng)險處理。推薦、評估并確定控制目標和控制,編制風(fēng)險處理計劃。這些活動具有緊密的前后關(guān)聯(lián)性,前一個節(jié)點的輸出是下一個節(jié)點的輸入,這種關(guān)系如圖2所示:
圖2 風(fēng)險評估實施流程
對企業(yè)來說,事先選擇適合的風(fēng)險評估方法是非常重要的,這也是ISO27001標準所要求的(標準本身并沒有規(guī)定具體的風(fēng)險評估方法)。傳統(tǒng)的風(fēng)險評估方法主要是定量和定性兩種,對ISO27001認證項目來說,選擇定性方法應(yīng)該是更簡便有效的。實施者因為所處行業(yè)的特點,通常會選擇一些帶有很強行業(yè)特色的風(fēng)險評估方法,比如很多與汽車配件生產(chǎn)相關(guān)的半導(dǎo)體制造企業(yè),因為在實施ISOflX3 16949以及QS 9000質(zhì)量管理體系時會采用FMEA (Failure Modes and EffectsAnalysis,失效模式和后果分析)方法,只需要將一些專業(yè)術(shù)語映射到信息安全領(lǐng)域,就很容易移植過來使用。
3 風(fēng)險分析方法
故障樹分析法是一種演繹的風(fēng)險分析法,其將系統(tǒng)總的風(fēng)險狀況作為樹頂。通過分析造成安全風(fēng)險事件的各種可能原因,以及彼此間的關(guān)系,繪制出故障樹圖。企業(yè)或評估機構(gòu)將根據(jù)該邏輯關(guān)系圖,以期確定安全事件所發(fā)生的概率和原因。并以此為依據(jù),分析安全風(fēng)險事件發(fā)生結(jié)果,確定被分析系統(tǒng)的薄弱環(huán)節(jié)、關(guān)鍵部位、應(yīng)采取的措施、對安全性實驗的要求等。
故障樹分析法適用于BS7799標準的實例化操作,本文對BS7799標準層次結(jié)構(gòu)采用故障樹方法進行了構(gòu)建,各層彼此之間的邏輯關(guān)系如圖3所示:
圖3 BS7799故障樹
4 結(jié)束語
本文在分析BS7799標準的特點的基礎(chǔ)上,分析了其風(fēng)險管理各要素間的關(guān)系,并定義了一種風(fēng)險評估的基本流程,在此基礎(chǔ)上構(gòu)建了一種適于企業(yè)的風(fēng)險分析法。本分析方法基于BS7799工作,豐富了國內(nèi)風(fēng)險評估體系。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:信息安全風(fēng)險評估探討
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954208.html