基于全面风险管理视角的金融网络安全管理标准框架

贾海云 谢宗晓

摘要：论文分析了国际主流的标准框架设计体系，其中包括信息安全管理国际标准的框架设计、美国国家标准与技术研究院（NIST）关于网络安全的标准框架以及新加坡金融管理局（MAS）的相关标准，同时也讨论了信息安全国家标准的框架设计，最后在此基础上提出了一个可行且优化的金融网络安全管理标准的框架。

关键词： 信息安全 风险管理 金融网络安全

Abstract： We have analyzed the international mainstream standard framework design system， including the framework design of information security management international standards， the National Institute of Standards and Technology （NIST） standard framework for network security and the Singapore Monetary Authority （MAS） standards， but also discussed the information security National Standards Framework Design. Finally， a feasible and optimized framework of financial cybersecurity management standards is proposed.

Key words： information security， risk management， financial cybersecurity

在讨论细分领域网络安全标准时，我们应该将管理类标准与技术类标准分开，因为技术大多是通用的，尤其是密码技术等，虽然细分领域应用也略有不同。对于管理而言，存在的不同在于，管理虽然也存在通用性，但是与业务流程的结合更为重要。

1 国际标准架构、形成过程及其分析

ISO/IEC JCT1 SC27是目前影响最大的组织之一，关于信息安全管理的标准在2005年重新整合后，统一纳入ISO/IEC 27000标准族，该标准族目前也发布了关于网络安全（Cybersecurity）的标准，例如，2012年发布ISO/IEC 27032 Guidelines for Cybersecurity（网络安全指南）。当然，这区别于传统的网络安全（Network Security）相关标准，例如，陆续发布的6个部分的ISO/IEC 27033 Network Security（网络安全）。

ISO/IEC 27000标准族的起源是伦敦政经大学Backhouse等人开发的一个“最佳实践”，并将其定义为“信息安全管理体系（ISMS）”。也就是说，ISO/IEC 27000标准族是围绕一个“最佳实践”发展起来的标准体系。

ISO/IEC 27000标准族的发展与框架大致如下：

· 荷兰皇家壳牌石油公司多年信息安全实践；

· 1993年，Backhouse等人在英国政府资助下根据上述实践开发出“最佳实践”；

· 1995年，成为英国标准；1996年，加了一个方法论，即PDCA（Plan-Do-Check-Act）框架；

· 2000年，成为国际标准，“最佳实践”成了ISO/IEC 27002，“方法论”成了ISO/IEC 27001；

· 2005年，ISO/IEC 27000标准族的计划公布，并开始大规模统一标准号。

值得指出的是，之所以加PDCA框架，是因为1987年发布的ISO 9000是英国标准协会（BSI）推广成国际标准的，其中用的框架就是PDCA。当然，对于质量管理而言，贡献最大的是日本和美国，而不是英国，英国在国际标准推广方面比较领先。

目前的逻辑框架大致如下：

· ISO/IEC 27000至ISO/IEC 27008，是纯粹关于ISMS，或者说，从不同的方面定义了ISMS；

· ISO/IEC 27009至ISO/IEC 27030，包括了分行业应用，以及更外围的方面，或者与其他体系的整合问题；

· ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如，包括了信息安全事件管理和业务连续性管理等各个方面。

ISO/IEC 27000标准族是围绕“最佳实践”发展起来的框架，其后加的方法论，即PDCA戴明环，在实践中也备受争议。原因在于，对质量管理而言，技术手段是固定的，流程对于质量稳定非常重要，但是对于信息安全/网络安全管理而言，技术手段发展迅速，按部就班的PDCA多数时候没有用武之地。

就如上所示的框架而言，逻辑上非常清晰，但是存在一个很严重的问题：普遍认为，所有的网络安全实践的目的都是为了控制风险，但是在ISO/IEC 27000标准族中，风险管理所占的比重有限，为了解决这个问题，在ISO/IEC 27001中描述ISMS建立过程的时候，用了较大的篇幅描述风险评估和风险处置的过程。

结论A：以“最佳实践”为基础发展而来的国际信息安全管理标准架构（主要指ISO/IEC 27000标准族）并不是围绕“控制安全风险”展开的，虽然其中包含了风险评估/处置的过程，也多次强调风险管理的重要性，但整体而言，缺乏全面的风险观，至少其“PDCA方法论”并不能必然導致对风险的控制。

2 由此演化来的国家标准体系及其分析

全国信息安全标准化技术委员会（SAC/TC260）在2002年成立，是与ISO/IEC JCT1 SC27相对应的组织，因此，在信息安全管理方面的标准大致也遵循了上述逻辑架构，当然也有所创新，例如，在风险管理方面，发布了以下5个标准：

· GB/T 20984—2007 信息安全技术 信息安全风险评估规范；

· GB/Z 24364—2009 信息安全技术 信息安全风险管理指南；

· GB/T 31509—2015 信息安全技术 信息安全风险评估实施指南；

· GB/T 31722—2015/ISO/IEC 27005： 2008 信息技术 安全技术 信息安全风险管理；

· GB/T 33132—2016 信息安全技术 信息安全风险处理实施指南。

国家标准存在另一个不足，GB/T 27×××号码段已经被占用，如果沿用ISO 9000采用为GB/T 19000的类似形式，目前也不可行，导致国家标准不但存在国际标准已有的问题，而且看起来不够体系化。

结论B：在金融网络安全细分领域，如果将国际/国家标准体系照搬，不但会存在结论A所述的缺点，而且与金融主营业务所强调的全面风险管理视角不能一脉相承。

3 NIST Approach及其纵向分层分析

美国国家标准与技术研究院（NIST）的组织机构介绍中一直没有用“信息安全”这个词汇，该分支机构自成立就用计算机安全（Computer Security）这一词汇，2016年，该分支机构名称修改为Cybersecurity（网络安全）。

NIST关于网络安全管理标准的横向架构被Wheeler E.定义为NIST Approach。这个方法是一个围绕“安全风险”的框架标准集。具体而言，NIST Approach包括了6个步骤：1）分类（Categorize）；2）选择（Select）；3）应用（Implement）；4）評估（Assess）；5）授权（Authorize）；6）监视（Monitor）。

原则上，NIST发布的所有网络安全管理类标准都分布在这6个步骤上，但是实际情况是，已经发布的标准并没有将NIST RMF框架作为依据，这个框架在某种程度上只是充当了NIST Handbook的分类依据。究其原因，大概是因为这个“方法论”步骤过于复杂，已经失去了模型的抽象意义。

基于风险管理的横向划分应用是失败的，但是NIST SP 800-39所描述的风险纵向分层却有很高的实用价值，随后在2012改版的NIST SP 800-30就基于这个分层，具体分层为：

· TIER1，治理层，关注整个组织层面的风险；

· TIER2，管理层，关注任务/业务过程中的风险；

· TIER3，控制层，关注信息系统风险，或者具体的技术风险。

这3个层次的划分，最重要的意义之一在于使风险的管理责任变得有章可循，从上至下，风险的责任分别归属治理层（董事会和高管）、管理层（中层管理）和控制层（基层员工），关注的重点依次为：组织、任务/业务过程和信息系统。

但是NIST已经发布的标准中关于治理层（TIER1）和管理层（TIER2）的极少，绝大部分都集中在控制层（TIER3）。因为NIST发布的标准并不针对具体的业务系统或者具体类型的组织，导致很难抽象化，而信息系统更多的是技术问题，比较容易抽象。

结论C：NIST所描述的RMF方法论，虽然围绕 “安全风险”，但是严重失去了体系（system）感或整体感，同时，NIST所提供的纵向3个分层，对划分风险管理责任非常有意义。缺点是限于其部门职能，其绝大部分标准都集中在控制层。

4 MAS TRMG的框架分析

既然NIST是面向通用安全的标准机构，这同时也导致了治理层和业务层难以抽象化的问题，那么细分领域，例如金融网络安全恰好提供了这样的可能。新加坡金融管理局（MAS）在2013年发布的《技术风险管理指引》（TRMG）和ISO/TC 68发布的ISO/TR 13569： 2005都验证了这一观点。例如，在ISO/TR 13569： 2005中，5.2法律法规符合性中，有专门的“公司治理（corporate governance）”章节。又如，在MAS TRMG中，3.1 角色与职责，要求比较多是“董事会与高管宜……”。与之对应，ISO/IEC 27000标准族和NIST网络安全相关标准中，虽然也有关于治理的，例如ISO/IEC 27014： 2013，但比较游离，也比较简略。

还有一种可能，是否重视公司治理是由这些标准的制定者所导致的。因为ISO/IEC或者NIST发布的网络安全标准，一般都是出自信息系统管理领域或者计算机相关学科的学者，这些学者对于“公司治理”普遍知之甚少。但是ISO/TC 68的人员则不同，他们一般来自金融企业，对财务等领域很熟悉，而公司治理在研究方法和研究问题与该领域基本一致。

整体而言，MAS TRMG在整体架构上沿用了ISO/TR 13569： 2005，虽然在风险评估/管理的描述方面与ISO/IEC 27001相比较进展不大，但是在通篇描述上非常注重公司治理与巴塞尔协议兼容等问题。

5 基于全面风险管理视角的标准框架

综上所述，当前流行的标准体系优劣分析如下：

· 国际标准/ISO/IEC 27000标准族，优点为起源于“最佳实践”的整体设计非常体系化，但是缺乏全面的风险观，整体并不是围绕“控制安全风险”展开；

· NIST发布的标准，更注重落地，整个框架设计基于风险管理，虽然围绕“安全风险”，但是严重失去了体系感或整体感。

基于上述分析，我们提出了一个基于图1所示的网络安全管理标准的框架，这个框架基于全面风险管理视角，并采纳了NIST SP 800-39所描述的风险纵向分层，将所有的标准按照治理层、管理层和控制层分开，这个逻辑与ISO/TR 13569： 2005等标准也保持了兼容。

基于全面风险管理视角的金融网络安全管理标准框架沿用了NIST SP 800-39的纵向分层，以更好地区分不同的管理者应该关注的重点，以及更好地进行责任分割。具体描述如下：

· 治理层主要关注信息安全管理的架构问题，其中包括了词汇和框架等基础标准，也包括了形如ISO/IEC 27014信息安全治理一类的治理层问题；在职责分配方面，治理层的标准阅读者主要是组织高层管理者，据此确定组织的信息安全管理架构或信息安全风险管理架构；

· 管理层主要关注业务流程的相关问题，是实现信息安全转变为“从业务到安全”的关键，其中包括了不涉及具体信息系统情况下的各类安全控制，例如，信息安全风险评估流程、业务连续性管理、信息安全事件管理等标准；在职责分配方面，管理层的标准阅读者主要是组织的中层管理者，安全控制的选择要考虑治理层所确立的信息安全战略定位以及组织具体业务特点；

· 控制層主要关注具体信息系统的问题，更多的是基线配置指南，控制层的标准是管理层的相关标准要求在具体信息系统的落地，某种程度而言，这类标准更适合作为团体标准来处理，即，某类业务系统都有其基线配置要求；在职责分配方面，控制层的标准阅读者主要是技术人员。

6 小结

本文主要分析了基于“最佳实践”发展而来的ISO/IEC 27000标准族的架构和基于“风险管理”的NIST关于网络安全的相关标准架构，在此基础上，指出了这些标准难于在金融领域推行的几个原因：（1）缺乏全面风险管理的视角，使得安全控制与业务流程相结合较为困难，导致部署流于形式，例如，由于此原因，导致ISO/IEC TR 27015在2017年被废止；（2）未能考虑金融领域的强监管特征，应用范围较广的标准，例如ISO/IEC 27002：2013将此列入“符合性”，但是从ISO TR 13569：2005来看，金融领域的标准必须考虑行业监管以及巴塞尔协议；（3）没有充分考虑金融行业管理的特点，例如，MAS TRMG或ISO/TC 68发布的标准都无一例外地首先强调了“公司治理”，而现有的大部分的标准并没有考虑这些特点。

基于此，本文提出了金融网络安全标准的框架，这个框架避免了已有标准体系中所存在的以上问题，该框架主要有以下特点：（1）基于全面风险管理视角，将风险自上而下依次梳理为治理层的架构风险、管理层的过程风险和控制层的系统风险；（2）考虑金融网络空间的特点，强调金融网络安全的“最佳实践”，而不是照搬信息安全时代的最佳实践，例如，一个重要特点是对“可用性”的关注；（3）紧密结合金融行业的特点，充分考虑与巴塞尔协议等主流监管标准的兼容，并且将“公司治理”等作为重点关注的内容。

参考文献

谢宗晓. 信息安全管理体系实施指南（第二版）[M]. 北 京：中国质检出版社/中国标准出版社，2017.

谢宗晓. 信息安全管理体系实施案例（第二版）[M]. 北 京：中国质检出版社/中国标准出版社，2017.

赵战生，谢宗晓. 信息安全风险评估（第二版）[M]. 北 京：中国质检出版社/中国标准出版社，2017.