当前,信息安全风险管理已成为企业信息化工作的关键,而信息系统安全风险已经成为企业信息化运营风险中最为重要的组成部分。信息系统风险管理是内控框架中的核心内容,并已成为判定企业成熟度的一项重要指标。信息系统安全风险评估是安全风险管理的基础和重要内容,既是企业信息安全体系建设的起点,也将覆盖其全生命周期。如何持续提升信息安全风险评估意识和能力,妥当开展信息系统安全风险评估及风险管控,是企业信息安全工作的重中之重,本文就此进行探讨研究。
一、评估目的、原则及方式
1.1 评估的目的。企业进行信息系统安全风险评估,是为了提高信息安全保障体系的有效性,主要包括:发现现有基础信息网络和重要信息系统的安全问题和隐患,提出针对性改进措施;识别在用系统和在建系统在生命周期各个阶段的安全风险;分析现有与信息安全相关的组织管理机构、管理制度和管理流程的缺陷与不足;评价已有信息安全措施的适当性、合规性等。
1.2 评估的原则。进行信息系统安全风险评估,要遵循以下原则:(1)整体性。系统安全风险评估应从企业实际需求出发,不局限于网络、主机等单一的安全层面,而是从业务角度进行评估,包括技术、管理和业务运营的安全性。(2)动态性。风险评估应是动态、阶段性重复的,并非一次评估即可解决所有问题。每次评估应达到有限的目标,并依据评估的动态特性考虑再次评估的时机,形成良性的评估生命周期。(3)适当性。选择恰当的评估对象、评估范围、评估时机,评估对象要有代表性,确定评估范围的恰当性、可行性等情况。(4)规范化。应严格规范评估过程和成果文档,便于项目跟踪和控制。(5)可控性。评估过程和所使用的工具应具有可控性。评估所采用的工具必须经过实践检验,可根据企业实际现状与需求进行定制。(6)最小影响。评估工作应充分准备,精心筹划,事先预见可能发生的情况并制定应急预案,不能对网络和信息系统的运行及业务的正常运作产生影响。(7)保密性。参与评估的工作人员应签署保密协议,明确要求在评估过程中对所有的相关数据、信息严格保密,不得将评估中的任何数据用于与评估以外的任何活动。
1.3 评估方式。风险评估的方式可分为自评估、检查评估、委托评估三种。自评估是由企业自身实施,以发现现有信息技术设施和信息系统的弱点、实施安全管理为目的的评估方式。检查评估是由主管部门发起,对下级单位的安全风险管理工作进行检查而实施的评估活动。委托评估是指企业委托具有风险评估能力和资质的专业评估机构实施的评估活动。
企业信息管理部门应定期或在重大、特殊事件发生时组织进行风险评估,识别和分析风险,实施控制措施,确保信息安全和信息系统的稳定安全运行。
1.4 评估时机。企业信息系统风险评估应贯穿于系统的整个生命周期,方可做好风险管控。在系统规划设计阶段,通过风险评估明确系统建设的安全目标;在系统建设阶段,通过风险评估确定系统的安全目标是否达到;在系统运行维护阶段,实施风险评估识别系统面临不断变化的风险和脆弱性,从而确定安全措施的有效性,确保信息系统安全运行;在系统废弃阶段,确保硬件和软件等资产的残留信息得到适当的处置,确保废弃过程在安全的状态下完成。
二、评估方法
企业信息系统的安全风险评估大致可分为三个阶段:计划准备阶段、现场评估阶段、分析报告阶段。三个阶段的工作内容和步骤如图 1 所示。
2.1 计划准备阶段。在进行安全风险评估之前,充分的准备工作是评估工作成功的基础。在计划准备阶段,需要开展以下工作:(1)制定项目计划。确定评估目标、范围和对象;明确评估人员组织,包括项目领导小组、项目负责人、项目技术顾问组、风险评估小组、被评估单位项目协调人和项目配合人员;制定项目进度计划;明确项目沟通与配合制度。(2)召开项目启动会。进行评估前的项目动员。(3)收集相关信息。收集所有评估对象资产信息;收集文档信息,包括安全管理文档、技术设施文档、应用系统文档和机房环境文档等。
