应用科学方法，提高信息安全风险评估水平.docVIP

应用科学方法，提高信息安全风险评估水平 作者：王 智 中兴通讯股份有限公司 二OO四年四月三十日 应用科学方法，提高信息安全风险评估水平 王 智 中兴通讯股份有限公司 【摘要】 随着网络技术发展，随着国际化程度提高，信息安全管理被摆在越来越重要位置。而整个信息安全管理全过程中，第一步就是进行风险评估。本文阐述了信息安全评估中常用方法、以及它们的利弊和在信息安全评估过程中应着重注意的几个问题。 【关键词】 自评估、委托评估、信息安全、管理 随着信息技术不断的发展，知识传播速度和容量都以几何数字进行增长。此时信息安全管理就日益成为信息时代发展的重点。而所有信息安全管理工作都是从风险评估开始的，也就是要找出信息安全管理方面存在问题。只有问题找准了才能够有的放矢，事半功倍。 从现阶段来看，信息安全风险评估的方法主要体现在以下几种方式： 委托评估 请第三方信息安全咨询公司，按照ISO17799集中进行评估； 直接将部分信息安全管理职能外包给第三方安全公司； 请信息安全管理方面的专家担任顾问定期进行风险评估； 自评估 组建自已的安全团队进行评估； 委托评估是信息安全管理工作走向正规的捷径。 （1）当信息安全管理工作起步时，利用委托评估方式，“站在巨的人肩膀上” 可以单刀直入，切入要点。大大节约了在总结信息安全管理的目标、途径、技巧等方面的时间需求，利用第三方在此领域内丰富的经验，从策略、标准、规范、流程、步骤、架构、产品等全面了解信息安全管理重点、难点和关键点。对于制定本单位信息安全管理计划，培养本地化团队，收集同行信息都有百利而无一害。 （2）当信息安全管理工作顺利起步之后，定期邀请第三方人员进行信息安全评估可以大大避免一叶障目，不见泰山的情况发生。可以通过第三方评估，获得管理层支持，申请到平时无法获得的资源，同时也能够了解新的威胁和应对方法。 （3）但委托式评估的缺点也是不言而喻的。其一，外来团队不了解公司组织架构，不了解公司企业文化，不了解公司管理方法，制约了评估结果的针对性。其二，委托咨询服务，是一种商业合作，委托方和被委托方如何达到双赢，还需要实践的检验。其三，委托咨询人员理论水平与实践能力有时相差较远。 2、培养自评估团队是信息安全管理工作成功的关键。 自评估能力，是信息安全管理水平高低的重要指标。它代表了整个团队发现问题的能力，只有及时的发现漏洞，找到问题源，才能够由表及里，透表面看到本质。信息安全管理方面是一项系统工程，而不是一两牛人就可以做到，它是团队整体运作的结果。需要优秀的团队领导者、上层关系处理能力、用户需求分析能力、项目管理、冲突解决方案、内部激励机制等众多内容。 团队的领导者。 优秀的评估团队领导者应有以下四方面的能力。一是确定方向，描述评估的目标并提出达到这样的目标要采取的战略。二是协调能力，用语言和行动将这种未来前景传递给所有团队成员；三是激励和鼓舞，激发人们突破遇到的各种障碍；四是，得到管理层支持，了解整个管理层对信息安全的要求，以获得必要的资源。 团队的专业化和多样化相结合。 首先，信息安全管理是一个管理与技术相结合的工作，所以信息安全评估团队应有网络技术、企业管理、流程再造、质量监控、物理环境安全等各方面的专家。另一方面，信息安全管理也是一个全员参与的过程。所以在整个自评估团队中也应有一些最终用户，通过他们来了解用户的需求。 流程分析能力。 信息安全是七分管理三分技术，更重要是通过评估发现流程缺陷，发现管理问题，所以在整个评估过程中，不应该因一两名技术方面的专家而改变对流程和管理方面的需求。 项目管理能力 整个评估的过程应按照项目管理的方式进行全面管理。应有项目启动、项目计划、项目实施、项目控制、项目收尾这五大内容。全面规范对目的、任务、时间、资源、费用的管理。这样才能够提高整个团队的整体运作能力。 内外交流。 一个闭门造车的评估团队是不可能直正适应不断变化的安全需求的。要走出去、请进来，与信息安全方面的专家、学者多交流。 当然一个团队的建设有它非常复杂的要求，还有其它的如风险管理、沟通管理、质量管理、人力资源管理、成本管理、时间管理、集成管理等诸多方面。这些都会影响到整个信息安全评估团队的工作效率和工作能力。 3、在信息安全风险评估过程中应采用的科学方法。 无论是委托评估方法，还是自评估的方法，都应从以下几个方面全面客观的思考和分析问题。 （1）“不信任”理论和“信任”理论相结合。 所有的安全工作都是建立在“不信任”理论的基础上的。所谓的不信任理论就是对现有人员、网络和物理环境等持有“不信任”的观点，认为有发生问题的可能。担心因为蓄意或者非蓄意的破坏，造成金钱、时间、人员士气等方面的损失。所以在评估过程中应尽可能多的找出存在的问题，而不