淺談中小型企業信息安全風險管理實踐方法

徐亮彧

摘 要

隨著全球互聯網應用的發展，網絡信息技術已經成為生活的重要部分。2017年我國亦施行了《中華人民共和國網絡安全法》，大幅度提高了國民的網絡安全意識，而在網絡安全法中也強調了風險管理的重要性，風險管理也是整個企業管理中的重中之重，但面對風險和機會的把握，成本效益的控制，中小型企業往往對于信息安全風險管理的執行方法，效益最大化等方面缺乏良好實踐及研究。本文在此就這一論題進行分析和討論，望對于中小企業的信息安全風險管理提供支持和借鑒。

關鍵詞

信息安全;風險管理;中小型企業;實踐

中圖分類號： G203;F270 ? ? ? ? ? ? 文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.09.082

1 信息安全風險管理相關概述及定義

1.1 風險

風險指的是“不確定性對目標的影響”，在定義中影響可以是正面的，也可以是負面的;目標可以是不同方面的，可以是財務、健康、環境、組織，層面、項目、產品、過程等等的目標。

1.2 信息安全風險

結合上文的風險管理和相關國際標準對信息安全風險的描述可以得知，信息安全風險指因不確定性對信息安全目標的影響。信息安全風險與威脅、信息資產和脆弱性相關。

1）信息安全：對信息的保密性、完整性、可用性的保護。

2）威脅：可能對信息系統或組織造成危害事件的潛在原因。

3）組織：具有自身的功能、責任、權威和關系來實現目標的人或一組人，一般在中小企業環境主要指的是企業、部門或特定的團隊。

4）脆弱性：指弱點，國內更多的稱之其為漏洞，這種弱點來源于可能被一個或多個威脅利用的資產或控制措施。

2 信息安全風險管理模型

信息安全風險管理模型隨著標準的不斷改進已經進入成熟期，在模型中遵循并強調了PDCA閉環的重要性（如圖1所示）。

在整個信息安全風險管理閉環中，循環的過程主要由4大部分組成：

①環境的建立：一個風險管理當中，環境建立是關鍵中的關鍵，通常組織需要在環境建立的過程中確定信息安全風險管理的具體目標、目標所涉及的范圍，以及目標所包含的利益相關方。根據這些元素對風險管理的對象進行梳理，根據組織的信息安全目標設置風險管理的目標，配備相關的資源。

②風險評估：風險管理的基礎且核心活動是風險評估，在整個循環過程中有3個部分整合了風險評估內容，包括風險識別、風險分析、風險評價。值得注意的是確定風險評估的方法，計算公式。并細化評估的對象所包含的信息資產。

③風險處置：其針對風險作出風險控制、風險規避、風險接受、風險轉移等處置措施。

風險修正：對風險采取控制措施，有效降低或控制風險。

風險規避：即消除風險，通常情況下一般是禁止可能導致該風險的活動。

風險保留：已了解風險可能造成的影響及風險的大小，但經過討論不對風險采取任何措施，亦愿意接受風險可能帶來的影響。通常是在計算成本效益后作出的決定。

風險共享：將現有的風險與其他組織進行共享，共同承擔可能造成的影響，但風險共享或產生新的風險亦可能改變現有的風險。

值得注意的是，風險處置的過程本身包含了PDCA的循環，需要經過細致的計劃，執行，檢查其執行的有效性，和持續改進。

④監控及檢查：這個活動應貫穿整個風險管理的生命周期中，并每一個活動中持續進行。以此進行每一個環節的有效性及質量控制，保證目標的實現。

隨著組織發展及時間線的推移，整個信息安全風險管理閉環在循環進行，組織在不斷的進行風險管理的過程中優化自身的風險管理策略，從而確保風險管理與目標的一致性。

貫穿整個生命周期還需要重要的部分是持續的討論和咨詢，確保結論輸出的專業性和策略及步驟中的風險控制。

3 中小型企業的風險管理的策略定制

中小型企業的風險管理策略定制過程中，最大的問題來自于對于風險管理專業知識的缺失，同時自身投入的資源也極其有限，通常面臨不知如何設定策略，策略需要包含哪些元素的問題。或者當組織細化到策略細節時把控不足策略的層面和顆粒度，往往導致策略無法制定或制定以后無法落實的問題，這也是導致目前大型企業往往風險管理能力較強，而中小型企業信息安全風險管理能力較弱的主要原因，當然，這也和中小型企業的信息化成熟度有關，互聯網企業通常信息安全風險管理的能力強于普通傳統企業。

根據上文信息安全風險管理模型，中小型企業應先梳理出與自身業務生態相關的信息系統，并確定這些信息系統中是否存在可以大幅影響核心業務運營的系統，是否存在當這些系統中包含著組織核心的信息。通常這些系統都在核心業務運營中承擔著某個環節的執行工具的作用，例如，負責通訊的郵件或內部溝通系統、財務系統、業務過程計算系統，也有可能是一些辦公工具，比如office、pdf工具等。

在明確組織的信息化對象后，組織可以根據這些對象展開目標的梳理，這些目標通常對于中小型企業而言來自于外部，比如我國的《網絡安全法》、等級保護制度、行業的要求、利益相關者的要求等等;還有部分來源于組織內部需求，比如，基于信息數據私密性的考量、組織曾經發生的信息安全事件、業務戰略的變化、可用性下降的需求等等。由于中小型企業的組織特性，導致大多中小型企業不具備自主挖掘這些目標的良好能力，通常可通過行業內交流，引入外部組織資源，展開自我風險評估等方式進行，具體的方式應在基礎的判斷效益進行展開，比如，設定一個基礎信息安全風險管理的預算池，整體信息化資產及預算的1%-3%作為其預算，當然，這個數值應根據不同行業，不同特性，以及不同的信息化成熟度進行不同的設定，本為中給出的值僅為示例值。在基礎預算池之上是根據上一年基礎預算池的成效和總結進行每年的調整，最終調整到適合自身組織的定值區間。

政策的制定應圍繞既定的目標展開，并具備一定的延續性，中小型企業的政策設計可以根據信息安全的保密性、完整性、可用性進行展開，同時結合不同行業業務領域的分布進行展開，并可通過圖表法進行整理與歸檔的討論。

在圖標法中將政策所屬的領域、安全性分類、信息安全目標、具體的政策內容作為表格的主要指標項，并對政策進行編號，對政策的實施狀態進行登記，首先記錄下每一個領域中的安全目標，如“框架|完整性|整體信息安全目標的達成”這樣可以幫助整個組織思考在這一安全目標下所需的政策支持內容有哪些，隨后進行政策內容的發散，可以針對同一目標展開多個政策。而記錄政策編號以及政策的狀態以便于更好的為政策的修訂和審查做支撐。

中小型企業通過政策表，快速設定對應的目標以及目標完成所需要的政策內容，周期性評估政策是否有效，通過管理閉環不斷REVIEW及優化政策。表的維護可根據每年的風險評估抽檢的情況對部分政策進行實行情況的檢查，并討論后快速迭代。不過這會受到短板效應的影響，具體的評估范圍應根據實際風險管理的預算，實行管理的效益分析，發現風險的情況進行抽檢范圍的控制。

4 中小型企業的風險管理的組織架構

整個信息安全風險管理的組織架構通常分為三層架構，即政策層、管理層、執行層。政策層一般負責信息安全風險管理的政策制定與信息安全風險管理的目標制定;管理層主要負責將頂層的政策拆分成具體的管理要求、管理策略、具體的執行規范;執行層負責具體的風險管理執行的內容，例如風險管理四大部分中的環境建立、風險評估的具體實物，監控與記錄匯總等工作。在大型企業的風險管理往往會貫穿整個企業架構，分層更細膩，風險管理人員會貫穿整個組織架構。而對于中小型企業的信息安全風險管理人員投入往往較少，甚至可能通過外包的方式進行。一般，頂層的風險管理引導者往往是組織所有者的朋友或認識的專業人員，管理層的工作可由一名組織內部人員結合外部組織專業人員進行工作分擔，而執行層的人員可結合管理層的設計產物，分析現有人員的覆蓋范圍，從而制定新的人員結構，一般中小型企業的執行層亦主要由外部組織承擔，但通常在職權分離的規則下進行，管理層的外部組織與執行層的外部組織盡可能選擇不同的組織，以減少舞弊、片面性及其他風險。

5 中小型企業的風險評估計算模型的設計

中小型企業風險評估環節中最難處理的是風險的計算模型，現行我國各大測評機構用的風險計算模型是根據國標GB/T 20984 信息安全風險評估規范而制定的，使用對表法或乘積法，采用風險值=R（安全事件的可能性，安全事件造成的影響）=R（L（T，V），F（Ia，Va））的公式，并將威脅可能性、脆弱性的嚴重程度、資產價值的分級劃分為5級進行不同的賦值和計算。介于中小型企業在上文中提到的專業能力不足的實際情況，而風險偏好又是一個需要組織所有者達成共識的參數。在中小型企業的風險評估計算時，采用ISO31000的基礎模型將整個賦值活動放在“安全事件的可能性”與“安全事件造成的損失上”，并簡化賦值為“高”、“中”、“低”（如表1、表2）。

通過這種方法使組織所有者和各個部門的主要負責人皆可以參與安全事件發生可能性和安全事件影響的條件設定中去，這也直接關系了組織的信息安全風險偏好。當然，在設定這些條件時可能存在遺漏或錯誤或合理性相關的問題，這也是后期監控，review的過程。對于中小型企業而言，這個過程亦可以通過外部組織進行咨詢的事務，以加強設計的有效性。

簡化后的計算模型在計算信息安全風險時，仍先確認被評估的資產對象、挖掘其脆弱性。在脆弱性挖掘的方法上，可參考我國2個常用的標準GB/T 22239網絡安全等級保護基本要求及GB/T 22080 信息安全管理體系要求這兩個文件，同時結合一定的自我知識體系進行脆弱性的判斷。根據每一個資產排列出所有的脆弱性，隨后針對每一個資產的脆弱性進行可能產生的威脅排列（如表3）。

對每一個威脅利用脆弱性所產生的安全事件可能和安全事件影響進行與上文中定性方法模型進行比對，并將對應的可能性評估，影響評估進行填寫。在考慮這些可能性與影響時應簡單分析攻擊路徑，以此判斷是否多個脆弱性可能產生聯動性影響或可能性的變化，這也是上文中強調需先排列出每個資產的所有脆弱性的原因。

中小型企業的風險評價過程可以適當的簡化，但需在風險計算環節將可能性評估，影響評估取高值組合進行最終的排列（如表4）。因為對于中小型企業來說，風險管理的關鍵在于分析風險及平衡效益，其關鍵在于發現脆弱性最嚴重的風險情況，并幫助判斷對該風險做何種處置。

最終每一個資產的每一個脆弱性對應的最大風險都能用表4中的表格進行呈現，這里可能存在的比較可能性和影響對于風險大小的判斷，比如，可能性中而影響高;可能性高而影響中，這兩種情況。一般在這種比較的情況下，通常來說影響大于可能性，這種判斷的機制與黑天鵝的機制相同。具體可參考表5。

當然，中小型企業可根據自己的風險偏好和戰略以及預算進行整個風險評估過程優化和重新設計，但總體原則不建議復雜化整個風險計算的過程。

6 中小型企業的風險處置建議

通過組織會議，使各個環節的高級管理人員皆參與到風險處置的會議之中，并通過參與風險管理的外部組織給予一定的建議。必要的是，中小型企業的風險處置決定應由負責安全的責任人在得到組織所有者的認可情況下對風險進行處置的決定。

在處置風險的過程中，應首先關注風險處置的預期結果，處置措施計劃及措施可能帶來的風險。處置措施計劃應是落實到責任人與具體時間的，可使用RACI模型結合時間計劃表的形式，進行持續跟進和反饋。在處置完后對處置的結果進行評價，已決定是否接受剩余的風險，同時，這個處置的結果在每一年持續的風險評估活動中需被關注，并根據整體風險處置的結果已推進持續改進的風險管理。

7 結束語

中小型企業作為我國經濟發展的重要力量，隨著信息化應用的時代潮流，信息安全風險管理對于其而言越發重要。望通過本文對中小型企業在信息安全風險管理上起到一定的幫助作用，為推動信息安全風險管理的發展，減少風險帶來的影響和可能性，增加企業效益提供支持。

參考文獻

[1]中華人民共和國網絡安全法.

[2]GB/T 22239.2019 網絡安全等級保護基本要求.

[3]GB/T 20984.2007 信息安全風險評估規范.

[4]GB/T 22080.2016 信息技術 安全技術 信息安全管理體系 要求.

[5]ISO 31000.2018 Risk management—Guidelines .

[6]ISO 27000.2018 Information technology—Security techniques—Information security management systems—Overview and vocabulary.

[7]ISO 27005.2018 Information technology-Security techniques-Information security risk management.