“信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,于1995年5月修订而成。1999年BSI重新修改了标准。BS7799主要分为BS7799-1(信息安全管理实施规则)和BS7799-2(信息安全管理体系规范),分别描述了对信息安全管理的建议与要求。
目前在全球范围内,英国标准ISO27001:2005已然是信息安全管理标准的佼佼者,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成,目前最新版本为ISO27001:2013。”
(Source:百度百科)
ISO27001认证的目的
ISO27001落地是一场马拉松
ISO27001标准体系的落地就像是场马拉松,信息安全管理体系建设与运行是需要符合PDCA(Plan,Do,Check,Act)持续运行的核心思想。PDCA不是一种静止的状态,而是一套持续性的不断优化的模型,所以企业的信息安全并非完成了一次完整的ISO27001体系认证项目的实施就可以一劳永逸了,认证机构为企业颁发ISO27001信息安全管理体系认证证书也只是说明了企业当前存在一套正在运行的、较完整的信息安全运行流程与机制,但并不能代表企业的信息安全管理水平已经达到了某个峰值,甚至还远远不够。事实上这是一项长期的、需要融入企业发展战略的工作。
PDCA循环管理模式图
ISO27001标准体系落地的难点在哪里?整体来看,许多企业认为信息安全管理就像是一块绊脚石,以影响企业业务为生,这样的想法不在少数,可未免太过于狭隘了。在当前的信息化时代,企业的蓬勃发展与信息安全管理水平是密不可分的,两者是相辅相成而非水火不容。当然,在某种层面上来说,企业在原有的管理架构中增加信息安全管控节点势必在一定程度上延长了业务流程,增加了额外的工作内容,这也是难以获得许多部门支持配合的原因,但从企业健康、稳定发展的角度来说,确是极其有必要的。如此,找到业务与安全的平衡点就是体系落地的重中之重了。
信息安全与业务效率的关系
体系建设各阶段的难点与解决方式
资产识别
万事开头难。企业信息资产识别与收集的工作是在信息安全体系建设初期阶段进行的,对于后续风险评估与体系文件设计编纂具有很好的参考价值,有效的资产识别对于企业资产安全乃至于整体的信息安全来说都是不可或缺的,但这往往也是企业最容易轻视甚至忽视的要点。
资产价值评分标准(非人员)
资产价值评分标准(人员)
信息资产与其他物理形式的财务资产不同点在于:信息资产不是一成不变的,它是一种携带动态属性的资产,存在于所承载的信息全生命周期当中的一个阶段或多个阶段,不同的信息资产具有其独特资产价值,而通常来说,同一种信息资产在信息生命周期中的不同阶段会产生不同的资产价值,正是这种动态属性赋予了资产识别更深刻的意义。
信息资产的分类方式通常是根据企业的业务类型特点所决定的,但总体上不会有太大的偏差。根据ISO27005:2008中资产识别章节的描述,分为基本资产和所有类型的支持性资产(资本资产所依赖的范围)。基本资产又分为业务过程或活动以及信息两大类,而支持性资产包括了如硬件、软件、网络、人员、场所、组织架构等。在这样的资产框架下,不同企业按照各自的业务重点进行有针对性的分类。如下图是一种常见分类方式(其中数据资产较为特殊,放到本章节最后谈):
信息资产分类举例
资产大类确定后,可以对每类资产进行二级分类、三级分类等拆分细化。而对于相同类别、相同位置、相同所有者和管理者、脆弱性和面对威胁类似的信息资产,在识别过程中可归纳为一个资产,同样的若是从信息系统为出发点进行资产识别时,某个信息系统所属的应用程序、服务器操作系统、数据库、中间件等,也可以再次归纳识别为一个“资产组”。因为像这样对有逻辑关联性的资产进行合并归纳,大大减少了工作量的同时,还能更清晰的理解企业资产间的关系纽带,可以为后续风险评估工作中的落地提供更有价值的参考。
划入后续风险评估范围和边界的每项资产都应该被识别和评价,资产识别的不准确,可能会造成后续风险评估的对象模糊、体系文件范围不清晰、甚至是各角色岗位的管理(针对资产)出现真空等一系列问题,影响的是整个信息安全体系建设的过程。当然,也不要因此产生排斥、恐惧,信息资产识别的对象并不是企业所有的资产,识别的是与信息和信息处理设施有关的资产,这与资产盘点还是有本质区别的,所以只要有计划、有条理、有层次、模块化的将信息资产识别的工作推进下去,并做好知识传递与宣导,才能打好ISO27001标准贯彻的地基。
信息资产所有者、管理者与使用者定义
其次,统一资产清单模板、委任各部门资产识别负责人的工作同样必不可少。资产清单模板的统一是为了便于后续所有部门资产信息回收后的汇总。鉴于个别部门业务与资产的特殊性,模板的设计就需要考虑更周全,如资产的分类是否涵盖全面、各类资产的属性描述是否准确等。而筛选出各部门最适合资产识别的负责人,则可以大大提高资产识别的效率及准确性。通常部门会有专门负责内部资产管理的人员,而熟悉部门内部业务的员工也是合适的人选。当然需要指出的是,真正确定具体资产的人并不一定是该负责人,更多的是承担着协调者的角色,找到各类资产对应的所有者或管理者并下发给他们识别才是负责人的主要工作。
关于数据,由于该类资产的存在形态与重要程度等特殊性,在资产识别的过程中有其额外的环节——数据分级。数据分级是数据保护的起点,只有在此基础上,后续人员角色、职责的分配才有效。
数据分类分级的意义
数据保密性评分标准——业务类型
数据保密性评分标准——流通范围
数据保密性评分标准——影响程度
根据分级要素及权重计算数据保密性的价值总分以进行最终的分级评定,最终得出公开数据、内部数据、机密数据以及绝密数据四级分类。
数据保密性四级分类
对数据进行有效的分类分级无论从ISO27001标准落地还是数据治理方面来说,都是必不可少的环节,当今这个时代的数据量级与繁杂程度也预示着企业不可能采取一刀切的数据管理方式,取而代之的是数据分级管理,采用更加精准的控制措施完成数据共享的便利性与数据使用安全之间的平衡。
差距分析&风险评估
差距分析的核心是严格将ISO27001:2013的14个控制域、35个控制目标、114个控制点与企业的实际运行现状进行差异比对,宏观的了解企业当前安全状态。从认证的角度来说,这是企业与标准差异的直观体现,同时也对后续风险评估的完整性提供很好的参考。而这114个控制点中,每个控制点又蕴含着不同程度、不同角度的风险可能性,风险评估的目的就是要挖掘出企业已存在或将要存在的安全风险点,对症下药,将所有可能的安全漏洞进行修补处置,补齐所有“木板”的缺口。
前文中曾提到了PDCA模型,事实上该模型可应用于整个ISMS体系建立的全过程,风险评估阶段同样是如此,从风险评估方法论的建立、风险评估计划的制定、风险评估的执行、风险点确认到风险分析与处置,最后达成风险评估工作常态化持续运行的目的,践行着PDCA戴明环中“环”的属性。
上述的威胁识别主要是识别出可能对信息资产或组织造成损坏的某种安全事件发生的潜在原因,而脆弱性识别更多的是寻找信息系统、系统安全程序、内部控制或实施中可能被威胁利用的弱点,是资产、载体或内部业务流程自身所携带的负面基因,从横向的种类来看通常分为技术类脆弱性和管理类脆弱性,从纵向的ISO27001安全域层级来看通常分为应用层脆弱性、操作系统层脆弱性、终端硬件脆弱性、通信和组网级脆弱性、安全机制脆弱性以及开发生命周期与运维管理脆弱性等。
通用脆弱性
结合横向类型与纵向ISO27001安全域的视角来看,包括资产管理、访问控制、物理与环境安全、操作安全、通信安全、信息系统获取开发与维护等不同管理安全域的脆弱性。
管理安全域脆弱性举例
以及应用层、操作系统层、终端硬件、通信、组网级通信、虚拟化等不同层面的技术模块脆弱性。
技术安全域脆弱性举例
以上述的威胁库与脆弱性列举为输入,结合企业本身所在行业的特殊性以及现有的包括威胁性、预防性、检测性与纠正性控制的识别,建立有针对性的威胁与脆弱性矩阵列表,执行风险评估工作。需要注意的是,风险评估落地的一个关键操作在于对已采取的安全措施的有效性进行确认,即现有控制是否真正地降低了资产的脆弱性,抵御了威胁,现有控制是否准确识别。
风险值量化评分举例
资产价值可通过资产识别阶段的对信息资产的打分获取,严重程度、发生频率以及成熟度的评分可参考如下判断依据:(此处需要注意的是成熟度一项,成熟度越高,对应的成熟度风险值越小,成反比)
风险影响判定标准举例
而风险可接受水平更像是一块“平衡板”。理论上来说,风险当然是越小越好。但现实中降低风险(包括降低风险发生的可能性与采取措施减少风险损失)意味着资金、人力资源、技术资源的投入,这种投入当然不会是无限制的,就像是上篇中的信息安全与业务效率的关系。而风险可接受水平的确定可以很好的平衡风险与利益,根据风险的影响要素、强度、范围等,计算出风险可接受的损失空间,为风险处置提供最佳的参考建议。当然,风险可接受水平同样会受到行业、业务类型等影响。
风险处置影响因素
最后,根据风险评价的结果制定所有风险的处置策略。处置策略通常分为接受风险、消减风险、转移风险与规避风险四大类,对于一般的风险而言,“消减风险”是常用的手段,通过风险控制措施,抑制风险的危害,减少风险带来的损失或削弱风险发生的可能性。而需要强调的是,“接受风险”看似是一种消极的处置态度,事实上这种“灵活的”处置方式在企业的实际风险控制活动中不可或缺,有时在处理成本较高却又因为一些行业特性而“不得不”面对的风险时,还需要低成本的“消减风险”策略配合处置。
风险处置策略
体系建设文档编制
从ISO27001信息安全管理体系的整体控制域而言,信息安全管理主要分为三部分:第一部分为安全管理基础架构的搭建,包括安全规则(框架)、组织(管理者)、资产(保护对象)等,分别对应的是控制域A5安全方针、A6信息安全组织以及A8资产管理;第二部分为事前管理,主要涵盖了预防性的管理措施与要求,包括了A9~A15以及A7人力资源安全几大控制域;最后一部分为事后管理,主要是在安全事件发生后的处理措施与计划,以及法律法规符合性层面的要求,对应的控制域为A16信息安全事件管理、A17信息安全业务连续性管理以及A18符合性。体系建设阶段的文档编制始终是围绕着ISO27001的指导思想来编纂的,并将各个控制域的要求与核心内容融入到企业既有的流程当中,形成完整的信息安全管理体系文件。这里需要注意的是,安全管理要求是不能够脱离企业业务流程而单独存在的,这也是企业信息安全管理体系落地的一大关键。
信息安全管理体系控制域分布
信息安全管理体系四级文件划分
信息安全管理体系文件的建设基础是体系内容符合ISO27001标准的各个控制要求,而体系文件建设的真正难点在于安全控制项(要求)与企业既有业务流程的契合度是否足够高,这同样也是安全体系标准落地的核心。许多企业存在这样的理解偏差,将标准中所有的控制要求“填鸭式”地“组装”到现有流程当中而不考虑业务的兼容性,这样的制度文档通常看似“漂亮”,但事实上这在企业的日常业务执行过程当中会产生诸多不合理的要求与步骤,几乎不具有参考意义,这就违背了信息安全管理体系落地的宗旨。同时,风险评估结果的输入也是程序文件编纂的一大参考要点,是从控制措施层面对即有风险进行长期化解决的重要契机。
RACI矩阵例图
体系宣贯与试运行
“实践是检验真理的唯一标准”。任何未经试运行检验的安全体系都是不成熟、不可靠的。试运行阶段就像是一场模拟考,对已搭建完成的信息安全管理体系是否能够很好的运转进行的一次测试,同时也是体系建设者对体系寻错、纠正、调整的一次绝佳时机,更重要的是,该阶段践行着PDCA戴明环中“检查(Check)”和“处理(Act)”两个环节,为体系后续真正运行后进入下一循环做铺垫。
以风险为导向持续优化
最后需要强调的是,风险是会永久存在的,安全体系的落地建设是一项长期工程。企业需要做的就是务实,不断地寻找发现已有的或可能出现的风险,并对他们进行处理、管控、预防,重新建设或调整即有的安全管理架构,增强安全体系韧性,提高安全维度。只有不断践行PDCA循环,才能让企业在信息安全方面持续地散发活力,让安全与业务达到一个更加稳定、平衡的状态,更自信地迎接来自信息时代的安全威胁与挑战。