現代企業的成功發展主要以企業的各項經營活動健康運作為基礎，健康的經營運作又以企業信息化高度發展作為保障基礎，其信息化的水平主要體現在企業的信息化系統是否能夠穩定而有效地運轉。信息化系統的有效運行依賴于其運行環境、硬件設備以及在其上流動的信息數據及其安全，因此企業有必要將信息視為重要資產，并采取安全措施加以嚴格保護。

1 企業信息安全的需求

    企業往往會根據自身需求來確定所需要保護的信息資產的范圍和這類資料的受保護程度，而這些需求，一般來源于如下方面：

    1．1 企業自身的原則、目標和規定方面

    企業從自身業務和經營管理的需求出發，必然會在信息技術方面提出一些卓有遠見的方針、目標、原則和要求，以此明確自己的信息安全要求，確保企業支撐業務以及相關內容運作的信息處理活動的安全性。

    1.2 企業在法律、法規方面

    法律法規通常包括國際法律、國家法律、各部委和地方的規范性文件或者規章。企業只需要關注與自身相關的法律或規范性文件，尤其應重視與信息化和信息安全相關的部分，因為國家所規定的與企業信息安全相關的法律法規是企業必須遵循的強制性法規，企業應將此部分轉化為企業的信息安全需求。此外，企業還要必須考慮到合作伙伴或者商業客戶對企業提出的具體的信息安全要求，這些需求通常體現在合同約定、招標條件和安全承諾等內容上。

    1．3 風險評估方面

    我們通常將信息安全的風險評估作為確定企業安全需求最主要的途徑之一，以風險評估內容與結果，企業確定最終對信息資產的保護程度、保護措施、控制方式。企業根據每種資產所面臨的威脅、自身的弱點、以及潛在影響和發生的可能性等因素，可分析并確定具體的安全需求。

    企業信息的安全評估是一個較為復雜的工作，主要是因為評估的因素是動態、不確定的，且往往是隨機的，如何將被動、零散、無序地應對信息資產安全風險方式轉變成主動、系統、連續有效地管理風險是企業最終需要重視的問題。而合適、合理進行風險評估與管理的設計與實施是一種十分有效的方式，因為風險評估是企業信息安全管理的基礎。風險管理是圍繞信息安全風險而展開的評估、處理和控制活動，風險評估是建立信息安全管理體系的前提，可見信息安全實質就是信息資產的風險管理的問題。基于風險評估結果，企業可以對當前的信息安全狀況有一個系統且全面的掌握，并能從中找出潛在的安全風險問題，并對其進行合理分析，判斷風險的嚴重性和影響程度，以此為基礎確定自身在信息安全建設方面的需求。而BS7799在當前來講是一套很好的安全管理與控制體系，其圍繞風險評估從管理和技術兩方面建立了一套完整、可實現的信息安全評估體系，十分適于企業安全管理。

    BS7799是英國標準協會發布的一個關于信息安全管理的標準，由兩個部分組成：分別為ISO17799和ISO27001標準。BS7799標準明確了企業所有選擇控制目標和控制的舉動，都應該根據由風險評估而導出的真實需求來實施。其中，ISO27001是建立信息安全管理系統(ISMs)的一套需求規范，規范包括信息安全、安全技術、信息安全管理、以及安全需求等，在此規范中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準。而ISO27001：20o5則指導相關人員如何應用ISO17799。

    信息安全管理體系(IsMs)是企業整體管理體系中的重要部分，它是企業在整體或特定范圍內所應建立的信息安全方針和目標以及完成這些目標所用方法的體系與結構。ISMS要求企業在其整體商業活動中，在風險環境下建立、實施、運作、監視、評審ISMS、維護和信息安全改進等一系列管理以及與之對應的活動，并最終轉化為企業自身組織結構、策略方針、目標與原則、計劃活動、過程與方法、人員與責任、資源應用等具體環節與要素的集合。

    ISO27001建立和維護信息安全管理體系的標準，它通過如下過程來建立ISMS框架：首先確定企業自身安全體系范圍；其次以安全范圍制定其信息安全策略，明確管理職責；最后通過風險評估確定控制目標和控制方式，并確定與實現。企業的安全管理與防護是個動態系統，安全體系一旦建立完成，企業仍需要不斷在實施、維護和持續改進ISMS，以確保安全體系有效安全的運作。在IS027001體系中信息安全文件化的管理與實現工作，是一個十分重要的部分，ISMS的文件體系通常包括企業安全策略、選擇與未選擇的控制目標和控制措施、實施安全控制所需的文件、ISMS管理和操作規范與程序、企業圍繞ISMS開展的所有活動的相關材料。與以往技術為主的安全體系不同，IS027001：2005提出的信息安全管理體系是一個系統化、文檔化和程式化(我們也可以稱之為流程化)的管理體系，技術措施將只是作為依據安全需求有選擇有側重地實現安全目標的手段而非全部。ISO 27001：2005標準指出ISMS所包含的內容：用于企業信息資產風險管理、確保企業信息安全的包括為制定、實施、評審和維護信息安全策略所需的企業機構、目標、職責、程序、過程和資源。IS027001：2005標準要求建立ISMS框架的過程：制定信息安全策略，確定體系范圍，明確管理職責，通過風險評估確定控制目標和控制方式。體系一旦建立，企業應該實施、維護和持續改進ISMS，保持體系的有效性。

    如圖1所示，描述了企業信息安全中關于風險及相關要素之間的關系，這種關系將是企業進行信息安全風險管理的理論基礎與評估出發點。

圖1 風險管理各要素之間的關系

2 風險評估流程

    企業在實施風險評估時，通常由能夠代表各個相關單位和部門的人員組建一個風險評估小組，以期各自負責與本部門相關的風險評估事務，并且能共同討論一些共性問題。風險評估小組將指定一個能控制全局的人擔任組長，負責風險評估事務以及各組員間的協調。在風險評估前，評估小組及相關人員應接受必要的培訓，以熟悉企業運作的流程、安全需求，并且理解信息安全管理基本知識，掌握風險評估的方法和技巧。一個完整的風險評估活動，通常包括：

    (1)前期溝通。前期調研，了解安全需求；

    (2)啟動風險評估項目。明確安全評估的目標和范圍；

    (3)項目計劃。對企業運行的環境進行描述，確定各項安全評估指標，建立評估小組，人員培訓，并提供必須的各類支持資源，確定適用的表格、問卷等，制定項目計劃；

    (4)資產評估。信息資產的標識與關鍵信息資產評估；

    (5)威脅評估。識別威脅，衡量威脅的可發性與來源；

    (6)弱點評估。識別各類信息資產以及各控制流程與管理中的弱點，衡量弱點的嚴重度；

    (7)風險評估。進行風險場景描述，劃分風險等級，評價風險，編寫風險評估報告；

    (8)風險處理。推薦、評估并確定控制目標和控制，編制風險處理計劃。這些活動具有緊密的前后關聯性，前一個節點的輸出是下一個節點的輸入，這種關系如圖2所示：

圖2 風險評估實施流程

    對企業來說，事先選擇適合的風險評估方法是非常重要的，這也是ISO27001標準所要求的(標準本身并沒有規定具體的風險評估方法)。傳統的風險評估方法主要是定量和定性兩種，對ISO27001認證項目來說，選擇定性方法應該是更簡便有效的。實施者因為所處行業的特點，通常會選擇一些帶有很強行業特色的風險評估方法，比如很多與汽車配件生產相關的半導體制造企業，因為在實施ISOflX3 16949以及QS 9000質量管理體系時會采用FMEA (Failure Modes and EffectsAnalysis，失效模式和后果分析)方法，只需要將一些專業術語映射到信息安全領域，就很容易移植過來使用。

3 風險分析方法

    故障樹分析法是一種演繹的風險分析法，其將系統總的風險狀況作為樹頂。通過分析造成安全風險事件的各種可能原因，以及彼此間的關系，繪制出故障樹圖。企業或評估機構將根據該邏輯關系圖，以期確定安全事件所發生的概率和原因。并以此為依據，分析安全風險事件發生結果，確定被分析系統的薄弱環節、關鍵部位、應采取的措施、對安全性實驗的要求等。

    故障樹分析法適用于BS7799標準的實例化操作，本文對BS7799標準層次結構采用故障樹方法進行了構建，各層彼此之間的邏輯關系如圖3所示：

圖3 BS7799故障樹

4 結束語

    本文在分析BS7799標準的特點的基礎上，分析了其風險管理各要素間的關系，并定義了一種風險評估的基本流程，在此基礎上構建了一種適于企業的風險分析法。本分析方法基于BS7799工作，豐富了國內風險評估體系。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：信息安全風險評估探討

本文網址：http://www.guhuozai8.cn/html/consultation/1083954208.html