论文部分内容阅读
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文42篇,出版专著12本。
信息安全管理系列之十六
无论是信息安全管理体系(ISMS),还是信息系统安全等级保护,几乎所有的信息安全管理最佳实践都以风险管理为基础。信息安全风险评估/管理实践往往依据一系列的标准,下文中对与信息安全风险评估/管理相关的国家标准做了大致的介绍。
谢宗晓(特约编辑)
摘要:本文介绍了信息安全风险评估/管理的相关标准,其中包括:(1)GB/T 20984—2007《信息安全技术 信息安全风险评估规范》;(2)GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》;(3)GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》;(4)GB/T 31722—2015 / ISO/IEC 27005:2008《信息安全技术 信息安全风险管理》;(5)《信息安全技术 信息安全风险处理实施指南》(征求意见稿)。
关键词: 信息安全 风险评估 风险管理 风险应对
Abstract: In this paper, we introduce standards related to risk assessment / management, including: (1)GB/T 20984—2007 Information security technology—Risk assessment specification for information security; (2) GB/Z 24364—2009 Information security technology—Guidelines for information security risk management; (3) GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment; (4) GB/T 31722—2015 / ISO/IEC 27005: 2008 Information technology—Security techniques—Information security risk management; (5) Information security technology—Guide of implementation for information security risk treatment.
Key words: information security, risk assessment, risk management, risk treatment
截至2015年12月,我国已经发布的信息安全风险评估/管理的相关国家标准如表1所示。
一般而言,风险应对(风险处理)不会作为单独的标准出现,而是作为风险管理标准的一部分。但是国家标准在实施指南的层次将信息安全风险管理分成了两个标准,分别为GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》和《信息安全技术 信息安全风险处理实施指南》(征求意见稿)。
当然,2012年9月发布的NIST SP 800-30 Rev1,新标题为:Guide for Conducting Risk Assessments(风险评估实施指南)。对比2002年版本标题:Risk Management Guide for Information Technology Systems(IT系统风险管理指南),也存在这种趋势。
1 GB/T 20984—2007
GB/T 20984—2007是信息安全领域应用最广泛的国家标准之一,在风险分析原理的基础上,给出了风险评估的实施流程。其中风险分析原理如图1所示。
在图1的风险分析原理中,标识A,在所有的标准中基本都保持了一致,即风险是可能性和影响的函数。脆弱性的严重程度同时影响安全事件可能性和损失的大小,标识B强调损坏的程度,标识C则强调利用的难易程度,当然这两者都可以称为严重程度。在GB/T 20984—2007的“表10 脆弱性严重程度赋值表”中,脆弱性的难易程度没有损坏程度描述的充分。在《Microsoft安全风险管理指南》 4)中有更细致的计算方式。
与ISO/IEC 27005:2008相似,在GB/T 20984—2007的5.4.1中也强调了“威胁总是要利用资产的脆弱性才可造成危害”,但标准中对威胁与脆弱性的赋值都是单独进行的。
GB/T 20984—2007的风险评估的实施步骤与NIST SP 800-30(2002年第1版)基本保持了一致,GB/T 20984—2007也描述了信息系统生命周期各阶段的风险评估。
2 GB/Z 24364—2009
GB/Z 24364—2009并没有专注于描述流程,而是更关注文档,因此对于信息安全风险管理过程文档的描述非常清晰,本文中不再做详细的介绍5)。
3 GB/T 31509—2015
GB/T 31509—2015是GB/T 20984—2007的操作性指导标准,从风险评估工作开展的组织、管理、流程、文档、审核等几个方面进行了细化。
GB/T 31509—2015沿用了GB/T 20984—2007 的风险评估流程,同时对GB/T 20984—2007中的“风险评估的工作形式”和“信息系统生命周期内的风险评估”的内容重新进行了说明,但篇幅大大缩减。 一个较为显著的变化是,GB/T 31509—2015引用了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》,在脆弱性识别的过程中,增加了“安全技术脆弱性核查”和“安全管理脆弱性核查”,在附录中还给出了详细的核查列表。
GB/T 31509—2015很有指导意义。
4 GB/T 31722—2015/ ISO/IEC 27005:2008
ISO/IEC 27005是信息安全管理体系(Information Security Management System,ISMS)标准族的重要标准之一,可以满足ISO/IEC 27005中对风险管理的 要求。
ISO/IEC 27005最新版本为2011版(第2版)。由于ISO/IEC 27000标准族成员变动频繁,导致ISO/IEC 27005:2008存在一个问题,在讨论的开始,首先就对风险管理的过程与PDCA进行了映射,但是新版的ISO/IEC 27001:2013却已经弃用了PDCA 模型。
ISO/IEC 27005:2008有两个显著的特点:
(1)将威胁和脆弱性首次以成对的形式出现在附录中。当然,更早出现在其前身标准BS7799-36)。由于威胁和脆弱性单独都不足以形成风险,因此对一个具体的组织而言,威胁脆弱性对的性质才是关注的重点,而单一的威胁或脆弱性列表更适合做成字典表供选择。
(2)开始考虑情境(context)7)的建立。情境包括了一系列的内容,例如,基本准则、范围和边界以及信息安全风险管理组织等,实际上就是包括了主要的准备活动。在ISO/IEC 27001的2013版本中,也用了这个词汇,在2005版中则没有。
GB/T 31722—2015 / ISO/IEC 27005:2008中信息安全风险管理过程由语境建立(第7章)、风险评估(第8章)、风险处置(第9章)、风险接受(第10章)、风险沟通(第11章)和风险监视与评审(第12章)组成,对每一个过程的描述非常清晰,依次划分为:输入、动作、实施指南和输出。
5 信息安全风险处理8)实施指南
GB/T 20984—2007、GB/Z 24364—2009、GB/T 31509—2015和《信息安全技术 信息安全风险处理实施指南》这4个国家标准的第一起草单位都是国家信息中心。
《信息安全技术 信息安全风险处理实施指南》(征求意见稿)包括了三个阶段的工作,分别为:风险处理准备阶段、风险处理实施阶段和风险处理效果评价阶段。
第一个步骤是风险处理准备,确定风险处理的范围,明确风险处理的依据,组建风险处理团队,设定风险处理的目标和可接受准则,选择风险处理方式,明确风险处理资源,形成风险处理计划,并得到管理层对风险处理计划的批准。
第二个步骤是风险处理实施,准备风险处理备选措施,进行成本效益分析和残余风险分析,对处理措施进行风险分析并制定应急计划,编制风险处理方案,待处理方案获得批准后,要对风险处理措施进行测试,测试完成后,正式实施。在处理措施的实施过程中,要加强监管与审核。
第三个步骤是风险处理效果评价,制定评价原则和方案,开展评价实施工作,对没有达到处理目的的风险,要进行持续改进。风险处理工作是持续性的活动,当受保护系统的政策环境、业务目标、安全目标和特性发生变化时,需要再次进入上述 步骤。
综上所述,信息安全风险评估/管理相关国家标准的概述如表2所示。
参考文献
[1]赵战生,谢宗晓. 信息安全风险评估——概念、方法和实践(第2版)[M]. 北京:中国标准出版社,2016.
[2]谢宗晓. 信息安全风险管理相关词汇定义与解析[J]. 中国标准导报,2016(4).
信息安全管理系列之十六
无论是信息安全管理体系(ISMS),还是信息系统安全等级保护,几乎所有的信息安全管理最佳实践都以风险管理为基础。信息安全风险评估/管理实践往往依据一系列的标准,下文中对与信息安全风险评估/管理相关的国家标准做了大致的介绍。
谢宗晓(特约编辑)
摘要:本文介绍了信息安全风险评估/管理的相关标准,其中包括:(1)GB/T 20984—2007《信息安全技术 信息安全风险评估规范》;(2)GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》;(3)GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》;(4)GB/T 31722—2015 / ISO/IEC 27005:2008《信息安全技术 信息安全风险管理》;(5)《信息安全技术 信息安全风险处理实施指南》(征求意见稿)。
关键词: 信息安全 风险评估 风险管理 风险应对
Abstract: In this paper, we introduce standards related to risk assessment / management, including: (1)GB/T 20984—2007 Information security technology—Risk assessment specification for information security; (2) GB/Z 24364—2009 Information security technology—Guidelines for information security risk management; (3) GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment; (4) GB/T 31722—2015 / ISO/IEC 27005: 2008 Information technology—Security techniques—Information security risk management; (5) Information security technology—Guide of implementation for information security risk treatment.
Key words: information security, risk assessment, risk management, risk treatment
截至2015年12月,我国已经发布的信息安全风险评估/管理的相关国家标准如表1所示。
一般而言,风险应对(风险处理)不会作为单独的标准出现,而是作为风险管理标准的一部分。但是国家标准在实施指南的层次将信息安全风险管理分成了两个标准,分别为GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》和《信息安全技术 信息安全风险处理实施指南》(征求意见稿)。
当然,2012年9月发布的NIST SP 800-30 Rev1,新标题为:Guide for Conducting Risk Assessments(风险评估实施指南)。对比2002年版本标题:Risk Management Guide for Information Technology Systems(IT系统风险管理指南),也存在这种趋势。
1 GB/T 20984—2007
GB/T 20984—2007是信息安全领域应用最广泛的国家标准之一,在风险分析原理的基础上,给出了风险评估的实施流程。其中风险分析原理如图1所示。
在图1的风险分析原理中,标识A,在所有的标准中基本都保持了一致,即风险是可能性和影响的函数。脆弱性的严重程度同时影响安全事件可能性和损失的大小,标识B强调损坏的程度,标识C则强调利用的难易程度,当然这两者都可以称为严重程度。在GB/T 20984—2007的“表10 脆弱性严重程度赋值表”中,脆弱性的难易程度没有损坏程度描述的充分。在《Microsoft安全风险管理指南》 4)中有更细致的计算方式。
与ISO/IEC 27005:2008相似,在GB/T 20984—2007的5.4.1中也强调了“威胁总是要利用资产的脆弱性才可造成危害”,但标准中对威胁与脆弱性的赋值都是单独进行的。
GB/T 20984—2007的风险评估的实施步骤与NIST SP 800-30(2002年第1版)基本保持了一致,GB/T 20984—2007也描述了信息系统生命周期各阶段的风险评估。
2 GB/Z 24364—2009
GB/Z 24364—2009并没有专注于描述流程,而是更关注文档,因此对于信息安全风险管理过程文档的描述非常清晰,本文中不再做详细的介绍5)。
3 GB/T 31509—2015
GB/T 31509—2015是GB/T 20984—2007的操作性指导标准,从风险评估工作开展的组织、管理、流程、文档、审核等几个方面进行了细化。
GB/T 31509—2015沿用了GB/T 20984—2007 的风险评估流程,同时对GB/T 20984—2007中的“风险评估的工作形式”和“信息系统生命周期内的风险评估”的内容重新进行了说明,但篇幅大大缩减。 一个较为显著的变化是,GB/T 31509—2015引用了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》,在脆弱性识别的过程中,增加了“安全技术脆弱性核查”和“安全管理脆弱性核查”,在附录中还给出了详细的核查列表。
GB/T 31509—2015很有指导意义。
4 GB/T 31722—2015/ ISO/IEC 27005:2008
ISO/IEC 27005是信息安全管理体系(Information Security Management System,ISMS)标准族的重要标准之一,可以满足ISO/IEC 27005中对风险管理的 要求。
ISO/IEC 27005最新版本为2011版(第2版)。由于ISO/IEC 27000标准族成员变动频繁,导致ISO/IEC 27005:2008存在一个问题,在讨论的开始,首先就对风险管理的过程与PDCA进行了映射,但是新版的ISO/IEC 27001:2013却已经弃用了PDCA 模型。
ISO/IEC 27005:2008有两个显著的特点:
(1)将威胁和脆弱性首次以成对的形式出现在附录中。当然,更早出现在其前身标准BS7799-36)。由于威胁和脆弱性单独都不足以形成风险,因此对一个具体的组织而言,威胁脆弱性对的性质才是关注的重点,而单一的威胁或脆弱性列表更适合做成字典表供选择。
(2)开始考虑情境(context)7)的建立。情境包括了一系列的内容,例如,基本准则、范围和边界以及信息安全风险管理组织等,实际上就是包括了主要的准备活动。在ISO/IEC 27001的2013版本中,也用了这个词汇,在2005版中则没有。
GB/T 31722—2015 / ISO/IEC 27005:2008中信息安全风险管理过程由语境建立(第7章)、风险评估(第8章)、风险处置(第9章)、风险接受(第10章)、风险沟通(第11章)和风险监视与评审(第12章)组成,对每一个过程的描述非常清晰,依次划分为:输入、动作、实施指南和输出。
5 信息安全风险处理8)实施指南
GB/T 20984—2007、GB/Z 24364—2009、GB/T 31509—2015和《信息安全技术 信息安全风险处理实施指南》这4个国家标准的第一起草单位都是国家信息中心。
《信息安全技术 信息安全风险处理实施指南》(征求意见稿)包括了三个阶段的工作,分别为:风险处理准备阶段、风险处理实施阶段和风险处理效果评价阶段。
第一个步骤是风险处理准备,确定风险处理的范围,明确风险处理的依据,组建风险处理团队,设定风险处理的目标和可接受准则,选择风险处理方式,明确风险处理资源,形成风险处理计划,并得到管理层对风险处理计划的批准。
第二个步骤是风险处理实施,准备风险处理备选措施,进行成本效益分析和残余风险分析,对处理措施进行风险分析并制定应急计划,编制风险处理方案,待处理方案获得批准后,要对风险处理措施进行测试,测试完成后,正式实施。在处理措施的实施过程中,要加强监管与审核。
第三个步骤是风险处理效果评价,制定评价原则和方案,开展评价实施工作,对没有达到处理目的的风险,要进行持续改进。风险处理工作是持续性的活动,当受保护系统的政策环境、业务目标、安全目标和特性发生变化时,需要再次进入上述 步骤。
综上所述,信息安全风险评估/管理相关国家标准的概述如表2所示。
参考文献
[1]赵战生,谢宗晓. 信息安全风险评估——概念、方法和实践(第2版)[M]. 北京:中国标准出版社,2016.
[2]谢宗晓. 信息安全风险管理相关词汇定义与解析[J]. 中国标准导报,2016(4).