信息安全风险管理简述（上）

信息安全风险管理是信息安全保障工作中的一项重要基础性工作，其核心思想是对管理对象面临的信息安全风险进行管控，已经在政府、金融、交通、教育等各个领域广泛实施。信息安全风险评估以及风险管理的国家标准也于2022年4月和2023年5月进行修订，标志着企业信息安全管理工作进入了新的阶段。网宿安全团队结合新标准的发布，以及行业多年的实践经验，对信息安全风险管理工作进行了深入的分析与解读。

全文内容较长，分上下两篇论述。上篇将整体介绍信息安全风险管理的实施框架、实施步骤；下篇具体展开讲信息安全风险管理过程中如何进行风险评估。

一、信息安全风险管理实施框架

信息安全风险管理的目标是在确保安全合规的前提下，平衡组织发展与信息安全之间的关系。通过全面识别风险、科学评价风险、合理处置风险和持续监视风险，将风险控制到可接受程度。促进业务安全、持续、稳定运行，提升组织数字化应用水平，增强可持续发展能力。遵循分级管理、全面管理、动态调整、科学合理等管理原则，建立健全信息安全风险管理保障机制、保障措施，并在资产识别、威胁识别、脆弱性识别、已有措施有效性评价、风险分析与评价、风险处置、风险监测预警和风险信息共享等风险管理能力的基础上，执行语境建立、风险评估、风险处置、批准留存、监视与评审和沟通与咨询等风险管理过程，以实现信息安全风险管理目标。

1、管理原则

• 分级管理：组织宜根据风险发生的可能性，风险发生后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益等产生的影响程度，依据风险评价准则对风险进行合理分级。
• 全面管理：根据需要对网络和系统安全风险、数据安全风险、个人信息安全风险、供应链安全风险、新技术新应用安全风险等进行全面识别、控制和监视。同时，对信息安全风险管理涉及的过程、方法、人员和工具等进行全面管理。
• 动态管理：组织通过持续监视风险要素变化和风险管理过程，适应相关法律法规、政策、主管部门、自身业务相 关要求和技术运行环境的变化，动态调整风险管理的对象、准则、风险处置措施等内容，持续优化和提升 风险管理能力。
• 科学合理：基于组织面临的信息安全形势和环境，综合考虑信息安全投入和收益、风险可接受程度，以促进业 务的安全、持续、稳定运行为视角，平衡安全与发展之间的关系，实现信息安全风险管理的科学性和合理性。
  保障机制
• 领导负责制：组织宜依据国家和行业相关要求，结合本组织的特点和管理要求，明确高层领导负责信息安全风险管理工作。
• 统筹协调机制：明确组织信息安全风险管理工作的责任部门和统筹协调职责。
• 专家咨询机制：组织根据信息安全风险管理的需要组建风险管理专家库，为信息安全风险管理工作提供技术咨询。
• 重大风险会商机制：组织通过明确重大风险会商的参与人员、会商召集、会商决议内容、会商决议处置跟踪、重大风险解除等相关工作以建立重大风险会商机制。

2、保障措施

• 人员保障：组织通过配备人员、开展培训等工作，满足信息安全风险管理工作针对不同岗位、不同能力的相关需求。
• 制度保障：建立符合组织信息安全风险管理需求的制度体系是组织信息安全风险管理活动开展的有效保障。
• 经费保障：组织内部为信息安全风险管理活动提供必要的资金保障。
• 工具保障：组织通过配备信息安全风险管理相关工具，以保证信息安全风险管理工作的开展，提升风险管理的效果。
  管理能力
• 资产识别：针对风险管理范围内业务资产、系统资产、系统单元和组件3个层次进行资产识别，从识别活动的操作规范制定、设备和工具配备以及人员组建3个方面建立资产识别能力。
• 威胁识别：从威胁的来源、动机、途径、可能性及影响等方面全面、客观、准确识别威胁，从流程规范制定、工 具配备以及人员组建3个方面建立威胁识别能力。
• 脆弱性识别：以业务为核心，针对威胁，从技术和管理两个方面进行脆弱性识别，梳理资产可能被威胁利用的 脆弱点，从流程规范制定、工具配备以及人员组建3个方面建立脆弱性识别能力。
• 已有措施有效性评价：从降低威胁利用脆弱性导致安全事件发生的可能性和(或)减少安全事件发生后对组织造成的影响两个方面对已有措施有效性进行评价。从评价方法、工具配备以及人员3个方面建立已有安全措施有效性评价能力。
• 风险分析与评价：根据风险识别的结果，通过选用的风险计算模型对系统风险和业务风险进行计算、分析，具备依 据风险评价准则对风险进行等级划分的能力。从计算和评价方法、工具配备以及人员组建三个方面建 立风险分析与评价能力。
• 风险信息共享：基于风险评估、风险监控预警和风险监视相关工作成果，从风险信息共享流程和规范、风险信息 系统或工具和途径以及风险信息共享机构和人员3个方面建立风险信息共享能力。
• 风险监测预警：结合组织自身情况，从监测预警流程、监测预警技术体系以及监测预警机构和人员3个方面建立 监测预警能力。
• 风险处置：在风险处置准备、风险处置实施和风险处置效果评价等阶段，从处置措施、处置工具、处置团队 3个方面建立风险处置能力。

二、信息安全风险管理过程与语境建立

信息安全风险管理包括语境建立、风险评估、风险处置、批准留存、监视与评审和沟通与咨询6个方面的内容。语境建立、风险评估、风险处置和批准留存是信息安全风险管理的4个基本步骤。信息安全风险管理过程图：

第一步是语境建立，确定风险管理的对象和范围，实施风险管理准备，进行相关信息的调查和分析，明确风险管理对象的安全要求。

第二步是风险评估，针对确立的风险管理对象所面临的风险进行识别、分析和评价。

第三步是风险处置，依据风险评估的结果，选择并执行合适的安全措施来降低风险的过程。

第四步是批准留存，机构的决策层依据风险评估和风险处置的结果是否满足风险管理对象的安全要求，做出是否认可风险管理活动的决定，并将结果留存。

第一步：语境建立

语境建立是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此语境建立阶段应考虑如下：

• 确定风险评估的目标；（确定风险评估要的效果）
• 确定风险评估的范围；
• 组建适当的评估管理与实施团队；
• 进行系统调研；
• 确定评估依据和方法；
• 获得最高管理者对风险评估工作的支持。

第二步：风险评估

信息安全风险评估是信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。风险要素的核心是资产，而资产的脆弱性/漏洞/弱点是必然存在的，为了获取资产权限，威胁源是客观存在的，安全措施可能有也可能没有，需要综合分析整体的风险情况。

风险要素及其关系如下：

风险评估实施流程如下：

第三步：风险处置

风险处置的目的是依据风险评估的结果，针对不同类型、不同规模、不同概率的风险，采取相应的对策、措施或方法，使风险损失对组织、业务或风险管理对象的影响降低到最小程度。风险处置方式主要包括风险规避、风险转移、风险消减和风险接受四种方式。

• 风险规避：可能的情况下停止有风险的活动，消除风险源头或通过不使用存在风险的资产避免风险的发生。
• 风险转移：通过将面临风险的资产或其价值转移到更安全的地方，或者转移给能有效管理特定风险的另一方，来改变风险发生的可能或风险发生的后果，也可采用购买保险分包合作的方式分担风险。
• 风险消减：通过对面临风险的资产采取保护措施来降低风险，使残余风险再被评估时能达到可 接受的级别。可以从构成风险的5个方面(即威胁源、威胁行为、脆弱性、资产和影响)采取保护措施来降低风险。
• 风险接受：在明显满足组织发展战略和业务安全发展的条件下，有意识地、客观地选择对风险 不采取进一步的处置措施，接受风险可能带来的结果。

第四步：批准留存

批准留存是信息安全风险管理的第四步，批准是指组织的决策层依据风险评估和风险处置的结果 是否满足组织的方针目标和信息安全要求，做出是否认可风险管理活动的决定；留存是指将风险管理所产生的信息形成文档保存。

风险评估结果和风险处置结果的批准原则是：

• 业务优先：组织的风险关注的是对组织业务可能造成的不良影响或带来机会的风险；
• 风险可控：合理利用风险和控制风险，使其为组织的发展带来良性支持；
• 成本适宜：做到成本效益符合组织相关方的利益诉求；
• 措施有效：采取的风险控制措施力求实效。

三、风险管理价值总结

信息安全风险管理的价值在于确保组织的敏感信息和资产受到保护，同时减少数据泄露、系统瘫痪和其他安全事件可能带来的负面影响。通过风险评估标识资产对于组织的价值，识别脆弱性和威胁，量化潜在威胁的可能性及其对业务的影响，在威胁的影响和对策的成本之间达到预算的平衡。通过有效的风险管理，组织可以降低安全事件发生的概率，提高安全性，遵守法律法规，保护声誉和客户信任，同时降低潜在的财务损失。此外，信息安全风险管理还可以提高组织的运营效率，提升员工的安全意识和技能，加强对供应链安全的管理，从而为组织的可持续发展和业务增长提供保障。因此，信息安全风险管理对于任何规模和类型的组织都具有重要的价值。

与此同时，网宿安全也始终秉承着以“风险管理”为核心的理念，为用户提供产品加服务一体化的解决方案，帮助客户更好的完善信息安全保障体系的建设和管理。