◆甘清云
《信息安全风险评估规范》修订思考
◆甘清云
(中国直升机设计研究所 天津 300300)
2018年1月,《信息安全技术 信息安全风险评估规范(修订版)》(征求意见稿)对外公示进行意见征集。文章介绍了规范修订的主要内容、进一步完善的思考。
信息安全风险评估规范;修订
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)于2007年发布实施以来在信息安全领域起到了重要的作用,被广泛应用于各个行业和领域的信息安全风险评估工作中。标准颁布已有十余年,GB/T 20984-2007中部分内容已不适宜当前的信息安全新形势和新环境,因此需要对GB/T 20984-2007进行修订完善。
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)于2007年6月14日发布,2007年11月1日实施。规范提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。规范章节除范围、规范性引用文件、术语和定义外,分为:风险评估框架及流程、风险评估实施、信息系统生命周期各阶段的风险评估、风险评估的工作形式。规范附录为风险的计算方法和风险评估的工具。
2016年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)2016年第二次全会讨论通过,研究修订《信息安全技术 信息安全风险评估规范》。2018年1月形成《信息安全技术 信息安全风险评估规范(修订版)》(征求意见稿)。
GB/T 20984-2007中风险评估要素为:资产、威胁、脆弱性、安全措施、风险。这次修订风险评估要素变为:业务、资产、威胁、脆弱性、安全措施和风险。最直接也最明显的变化就是增加了业务这个要素,由原来的基于资产的评估调整为基于业务保护的风险评估,实际了也充分体现了我们不是为了安全而安全,安全的终极目标还是为了保障业务安全。
相应的在评估流程中增加了组织发展战略识别与分析、业务识别、资产/业务/发展战略关联分析。把风险处理作为一个章节从风险评估实施章节中独立出来,体现了风险评估和风险处理分别是风险管理全生命周期中2个不同的阶段。
风险评估实施章节主要是新增了发展战略识别、业务识别、战略/业务/资产分析3个部分。发展战略识别的内容包括组织的属性与职能定位、发展目标、业务规划和竞争关系。业务识别内容包括业务的定位、业务关联性识别和业务完整性。业务识别是风险评估的关键环节。业务识别与战略识别关系紧密,相互补充。战略/业务/资产关联分析的重点是战略对业务的依赖性分析、业务对资产的依赖性关系和资产三大属性(机密性、完整性、可用性)丧失对业务/战略影响分析。
风险处理章节分风险接受准则、风险处理计划、残余风险评估。在规范中风险处理章节篇幅较少,个人认为主要的原因在于关于风险处理有专门的标准《信息安全技术 信息安全风险处理实施指南》(GB/T 33132-2016)来详细介绍。
由基于资产的评估调整为基于业务的评估后,风险分析到底应该怎么实际落地,在附录部分增加了风险分析示例。示例从要素识别、脆弱性和已有安全措施关联分析、威胁和脆弱性关联分析、使用矩阵法计算风险4个方面描述了风险分析的实际操作方法,具有非常强的指导性和针对性,值得参考。
目前,信息安全风险管理标准体系主要包括《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)、《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)、《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)、《信息安全技术 信息安全风险处理实施指南》(GB/T 33132-2016)、《信息技术 安全技术 信息安全风险管理》(GB/T 31722-2015 IDT ISO/IEC 27005:2008)。
《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)是《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)的实施细则,既然GB/T 20984-2007已经在修订,所以应该同步考虑GB/T 31509-2015的同步修订,否则就存在两个标准之间 “打架”。
目前的信息安全风险管理标准体系中既有我国自研的国家标准,也有等同采用的国际标准;既有顶层一些的规范,也有偏向操作落地层面的实施指南;既有多年前编制的标准,也有近几年编制的标准;部分标准之间还是存在不少重复的内容,可以做整合。比如GB/T 31509-2015和正在修订的《信息安全技术 信息安全风险评估规范》就可以整合为一个标准。
网络空间成为继陆地、海洋、天空、外空之外的第五空间。随着网络空间地位的日益提升,网络空间已成为各国家、地区间安全博弈的新战场。“没有网络安全就没有国家安全,没有信息化就没有现代化”。《中华人民共和国网络安全法》、《国家网络空间安全战略》相继出台。今年6月公安部会同有关部门起草的《网络安全等级保护条例(征求意见稿)》向社会公开征求意见,该保护条例将取代2007年发布的《信息安全等级保护管理办法》。除了一个是条例另一个是管理办法的区别外,其中一个很大的变化在于将“信息安全”改为了“网络安全”。此次在修订《信息安全风险评估规范》时是否也可以考虑改为《网络安全风险评估规范》呢?这个问题值得标准修订者思考。
2018年1月《信息安全技术 信息安全风险评估规范(修订版)》(征求意见稿)面向社会进行意见征集,规范编制工作组收到了不少的意见建议,相信他们一定会吸纳好的意见建议,打磨出一份高质量的网络安全风险评估规范,为提升网络安全风险评估能力做出积极贡献。
[1]范红.国家信息安全风险评估标准及试点工作进展介绍[J].网络安全技术与应用,2005.
[2]梁洪涛,王大萌,黄俊强,马遥.信息安全风险评估规范在电子政务中的应用[J].信息技术,2007.
[3]沈浩,杜彦辉,孙言.信息安全风险评估标准研究[J].网络安全技术与应用,2009.
[4]魏克. 阅读标准 参与实践 信息安全风险评估待提高[J].中国教育网络,2010.
[5]谢宗晓,刘立科.信息安全风险评估/管理相关国家标准介绍[J].中国标准导报,2016.