現(xiàn)代企業(yè)的成功發(fā)展主要以企業(yè)的各項經(jīng)營活動健康運作為基礎，健康的經(jīng)營運作又以企業(yè)信息化高度發(fā)展作為保障基礎，其信息化的水平主要體現(xiàn)在企業(yè)的信息化系統(tǒng)是否能夠穩(wěn)定而有效地運轉。信息化系統(tǒng)的有效運行依賴于其運行環(huán)境、硬件設備以及在其上流動的信息數(shù)據(jù)及其安全，因此企業(yè)有必要將信息視為重要資產(chǎn)，并采取安全措施加以嚴格保護。

1 企業(yè)信息安全的需求

    企業(yè)往往會根據(jù)自身需求來確定所需要保護的信息資產(chǎn)的范圍和這類資料的受保護程度，而這些需求，一般來源于如下方面：

    1．1 企業(yè)自身的原則、目標和規(guī)定方面

    企業(yè)從自身業(yè)務和經(jīng)營管理的需求出發(fā)，必然會在信息技術方面提出一些卓有遠見的方針、目標、原則和要求，以此明確自己的信息安全要求，確保企業(yè)支撐業(yè)務以及相關內(nèi)容運作的信息處理活動的安全性。

    1.2 企業(yè)在法律、法規(guī)方面

    法律法規(guī)通常包括國際法律、國家法律、各部委和地方的規(guī)范性文件或者規(guī)章。企業(yè)只需要關注與自身相關的法律或規(guī)范性文件，尤其應重視與信息化和信息安全相關的部分，因為國家所規(guī)定的與企業(yè)信息安全相關的法律法規(guī)是企業(yè)必須遵循的強制性法規(guī)，企業(yè)應將此部分轉化為企業(yè)的信息安全需求。此外，企業(yè)還要必須考慮到合作伙伴或者商業(yè)客戶對企業(yè)提出的具體的信息安全要求，這些需求通常體現(xiàn)在合同約定、招標條件和安全承諾等內(nèi)容上。

    1．3 風險評估方面

    我們通常將信息安全的風險評估作為確定企業(yè)安全需求最主要的途徑之一，以風險評估內(nèi)容與結果，企業(yè)確定最終對信息資產(chǎn)的保護程度、保護措施、控制方式。企業(yè)根據(jù)每種資產(chǎn)所面臨的威脅、自身的弱點、以及潛在影響和發(fā)生的可能性等因素，可分析并確定具體的安全需求。

    企業(yè)信息的安全評估是一個較為復雜的工作，主要是因為評估的因素是動態(tài)、不確定的，且往往是隨機的，如何將被動、零散、無序地應對信息資產(chǎn)安全風險方式轉變成主動、系統(tǒng)、連續(xù)有效地管理風險是企業(yè)最終需要重視的問題。而合適、合理進行風險評估與管理的設計與實施是一種十分有效的方式，因為風險評估是企業(yè)信息安全管理的基礎。風險管理是圍繞信息安全風險而展開的評估、處理和控制活動，風險評估是建立信息安全管理體系的前提，可見信息安全實質就是信息資產(chǎn)的風險管理的問題�；�于風險評估結果，企業(yè)可以對當前的信息安全狀況有一個系統(tǒng)且全面的掌握，并能從中找出潛在的安全風險問題，并對其進行合理分析，判斷風險的嚴重性和影響程度，以此為基礎確定自身在信息安全建設方面的需求。而BS7799在當前來講是一套很好的安全管理與控制體系，其圍繞風險評估從管理和技術兩方面建立了一套完整、可實現(xiàn)的信息安全評估體系，十分適于企業(yè)安全管理。

    BS7799是英國標準協(xié)會發(fā)布的一個關于信息安全管理的標準，由兩個部分組成：分別為ISO17799和ISO27001標準。BS7799標準明確了企業(yè)所有選擇控制目標和控制的舉動，都應該根據(jù)由風險評估而導出的真實需求來實施。其中，ISO27001是建立信息安全管理系統(tǒng)(ISMs)的一套需求規(guī)范，規(guī)范包括信息安全、安全技術、信息安全管理、以及安全需求等，在此規(guī)范中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準。而ISO27001：20o5則指導相關人員如何應用ISO17799。

    信息安全管理體系(IsMs)是企業(yè)整體管理體系中的重要部分，它是企業(yè)在整體或特定范圍內(nèi)所應建立的信息安全方針和目標以及完成這些目標所用方法的體系與結構。ISMS要求企業(yè)在其整體商業(yè)活動中，在風險環(huán)境下建立、實施、運作、監(jiān)視、評審ISMS、維護和信息安全改進等一系列管理以及與之對應的活動，并最終轉化為企業(yè)自身組織結構、策略方針、目標與原則、計劃活動、過程與方法、人員與責任、資源應用等具體環(huán)節(jié)與要素的集合。

    ISO27001建立和維護信息安全管理體系的標準，它通過如下過程來建立ISMS框架：首先確定企業(yè)自身安全體系范圍；其次以安全范圍制定其信息安全策略，明確管理職責；最后通過風險評估確定控制目標和控制方式，并確定與實現(xiàn)。企業(yè)的安全管理與防護是個動態(tài)系統(tǒng)，安全體系一旦建立完成，企業(yè)仍需要不斷在實施、維護和持續(xù)改進ISMS，以確保安全體系有效安全的運作。在IS027001體系中信息安全文件化的管理與實現(xiàn)工作，是一個十分重要的部分，ISMS的文件體系通常包括企業(yè)安全策略、選擇與未選擇的控制目標和控制措施、實施安全控制所需的文件、ISMS管理和操作規(guī)范與程序、企業(yè)圍繞ISMS開展的所有活動的相關材料。與以往技術為主的安全體系不同，IS027001：2005提出的信息安全管理體系是一個系統(tǒng)化、文檔化和程式化(我們也可以稱之為流程化)的管理體系，技術措施將只是作為依據(jù)安全需求有選擇有側重地實現(xiàn)安全目標的手段而非全部。ISO 27001：2005標準指出ISMS所包含的內(nèi)容：用于企業(yè)信息資產(chǎn)風險管理、確保企業(yè)信息安全的包括為制定、實施、評審和維護信息安全策略所需的企業(yè)機構、目標、職責、程序、過程和資源。IS027001：2005標準要求建立ISMS框架的過程：制定信息安全策略，確定體系范圍，明確管理職責，通過風險評估確定控制目標和控制方式。體系一旦建立，企業(yè)應該實施、維護和持續(xù)改進ISMS，保持體系的有效性。

    如圖1所示，描述了企業(yè)信息安全中關于風險及相關要素之間的關系，這種關系將是企業(yè)進行信息安全風險管理的理論基礎與評估出發(fā)點。

圖1 風險管理各要素之間的關系

2 風險評估流程

    企業(yè)在實施風險評估時，通常由能夠代表各個相關單位和部門的人員組建一個風險評估小組，以期各自負責與本部門相關的風險評估事務，并且能共同討論一些共性問題。風險評估小組將指定一個能控制全局的人擔任組長，負責風險評估事務以及各組員間的協(xié)調。在風險評估前，評估小組及相關人員應接受必要的培訓，以熟悉企業(yè)運作的流程、安全需求，并且理解信息安全管理基本知識，掌握風險評估的方法和技巧。一個完整的風險評估活動，通常包括：

    (1)前期溝通。前期調研，了解安全需求；

    (2)啟動風險評估項目。明確安全評估的目標和范圍；

    (3)項目計劃。對企業(yè)運行的環(huán)境進行描述，確定各項安全評估指標，建立評估小組，人員培訓，并提供必須的各類支持資源，確定適用的表格、問卷等，制定項目計劃；

    (4)資產(chǎn)評估。信息資產(chǎn)的標識與關鍵信息資產(chǎn)評估；

    (5)威脅評估。識別威脅，衡量威脅的可發(fā)性與來源；

    (6)弱點評估。識別各類信息資產(chǎn)以及各控制流程與管理中的弱點，衡量弱點的嚴重度；

    (7)風險評估。進行風險場景描述，劃分風險等級，評價風險，編寫風險評估報告；

    (8)風險處理。推薦、評估并確定控制目標和控制，編制風險處理計劃。這些活動具有緊密的前后關聯(lián)性，前一個節(jié)點的輸出是下一個節(jié)點的輸入，這種關系如圖2所示：

圖2 風險評估實施流程

    對企業(yè)來說，事先選擇適合的風險評估方法是非常重要的，這也是ISO27001標準所要求的(標準本身并沒有規(guī)定具體的風險評估方法)。傳統(tǒng)的風險評估方法主要是定量和定性兩種，對ISO27001認證項目來說，選擇定性方法應該是更簡便有效的。實施者因為所處行業(yè)的特點，通常會選擇一些帶有很強行業(yè)特色的風險評估方法，比如很多與汽車配件生產(chǎn)相關的半導體制造企業(yè)，因為在實施ISOflX3 16949以及QS 9000質量管理體系時會采用FMEA (Failure Modes and EffectsAnalysis，失效模式和后果分析)方法，只需要將一些專業(yè)術語映射到信息安全領域，就很容易移植過來使用。

3 風險分析方法

    故障樹分析法是一種演繹的風險分析法，其將系統(tǒng)總的風險狀況作為樹頂。通過分析造成安全風險事件的各種可能原因，以及彼此間的關系，繪制出故障樹圖。企業(yè)或評估機構將根據(jù)該邏輯關系圖，以期確定安全事件所發(fā)生的概率和原因。并以此為依據(jù)，分析安全風險事件發(fā)生結果，確定被分析系統(tǒng)的薄弱環(huán)節(jié)、關鍵部位、應采取的措施、對安全性實驗的要求等。

    故障樹分析法適用于BS7799標準的實例化操作，本文對BS7799標準層次結構采用故障樹方法進行了構建，各層彼此之間的邏輯關系如圖3所示：

圖3 BS7799故障樹

4 結束語

    本文在分析BS7799標準的特點的基礎上，分析了其風險管理各要素間的關系，并定義了一種風險評估的基本流程，在此基礎上構建了一種適于企業(yè)的風險分析法。本分析方法基于BS7799工作，豐富了國內(nèi)風險評估體系。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：信息安全風險評估探討

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083954208.html