信息安全风险处置浅析

一次性付费进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

风险处置依据风险评估结果，针对风险分析阶段输出的风险评估报告进行风险处置。

风险处置的基本原则是适度接受风险，根据组织可接受的处置成本将残余安全风险控制在可以接受的范围内。

依据国家、行业主管部门发布的信息安全建设要求进行的风险处置，应严格执行相关规定。如依据等级保护相关要求实施的安全风险加固工作，应满足等级保护相应等级的安全技术和管理要求；对于因不能够满足该等级安全要求产生的风险则不能够适用适度接受风险的原则。对于有着行业主管部门特殊安全要求的风险处置工作，同样不适用该原则。

一、风险处置流程

针对风险评估结果中发现的风险通常与导致这些风险的事件场景相关的，为便于信息安全管理，需要依据风险评价准则，按高低、优先顺序排列给出风险列表，然后制定一个风险处置计划，选择控制措施以降低、保留、规避或转移风险。风险处置有4种选项：风险降低、风险保留、风险规避和风险转移。风险处置流程如图1所示。

图1  风险处置流程

1、处置流程

在图1中，选择风险处置选项时要基于风险评估结果以及实施这些选项的预期成本和收益来进行选择，通常实施那些以相对较低的支出就可大量减少风险的选项，因为更进一步改进的选项可能是不经济的，需要判断其是否是合理的。

通常情况下，如果合理可行，宜尽量降低风险的负面后果，不需考虑任何绝对准则。管理者务必考虑罕见的但严重的风险。在这种情况下，可能需要实施严格经济意义上不合理的控制措施（如考虑覆盖特定高风险的业务连续性控制措施）。

风险处置的四个选项不是互相排斥的。有时组织可以大幅受益于选项的组合，如降低风险的可能性，减轻其后果，并转移或保留任何残余风险。某些风险处置能有效地解决多个风险（如信息安全培训和意识）。宜制定风险处置计划，明确标识出各风险处置的实施优先顺序和时限。优先级可以通过各种技术来确立，包括风险排序、成本效益分析。组织的管理者有责任决定实施控制措施的成本与预算安排之间的平衡。就成本比较而言，现有控制措施的识别可能得出这些现有控制措施已超出当前需要的结论，包括维护。如果考虑去除多余的或不必要的控制措施（尤其是如果这些控制措施需要高昂的维护费维护成本），那么宜考虑信息安全和成本因素。由于控制措施会相互影响，去除多余的控制措施可能会降低现有的整体安全。此外，保留而不是去除多余的或不必要的控制措施可能更便宜。

安全整改是风险处置中常用的风险消减方法。风险评估需提出安全整改建议。安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。

① 对于非常严重、需立即降低且加固措施易于实施的安全风险，建议被评估组织立即采取安全整改措施。

② 对于非常严重、需立即降低但加固措施不便于实施的安全风险，建议被评估组织立即制定安全整改实施方案，尽快实施安全整改；整改前应对相关安全隐患进行严密监控，并作好应急预案。

③ 对于比较严重、需降低且加固措施不易于实施的安全风险，建议被评估组织制定限期实施的整改方案；整改前应对相关安全隐患进行监控。

2、风险处置原则

① 合规原则。风险处理目标的确立和风险处理措施的选择应符合法律、法规、政策、标准和主管部门的要求。

② 有效原则。在合规原则的前提下，风险处理的核心目的就是通过采取风险处理活动，有效控制风险，使得处理后的风险处于组织的可承受范围之内。

③ 可控原则。明确风险处理的目标、方案、范围、需要实施的风险处理措施及风险处理措施本身可能带来的风险，明确风险处理所需的资源，确保整个风险处理工作的可控性。

④ 最佳收益原则。根据确立的风险处理目标，运用成本效益分析的方法，综合分析各种风险处理措施的成本、时间和技术等因素，以及能够获取的收益，选择收益最佳的风险处理措施。

3、风险处置边界

在风险处置时需要划定风险处置范围。根据风险评估报告、组织的安全管理策略及安全需求划定风险处置工作的范围，在确定风险处置边界时应考虑以下因素：① 业务系统的业务逻辑边界；② 网络及设备载体边界；③ 物理环境边界；④ 组织管理权限边界；⑤ 其他。

4、风险处置依据

对于风险处置的依据包括（但不限于）：① 国家的相关法律、法规和政策；② 现行国际标准、国家标准和行业标准；③ 行业主管部门的相关规章和制度；④ 组织的业务战略和信息安全需求；⑤ 组织业务相关单位的安全要求；⑥ 系统本身的安全要求等。

二、风险降低

通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险。比如，采用法律的手段制裁计算机犯罪（包括窃取涉密信息，攻击关键的信息系统基础设施，传播有害信息和垃圾邮件等），发挥法律的威慑作用，从而有效遏制威胁源的动机；采取身份认证措施，从而抵制身份假冒威胁行为的能力；及时给系统打补丁（特别是针对安全漏洞的补丁），关闭无用的网络服务端口，从而减少系统的脆弱性，降低其被利用的可能性；采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；采取容灾备份、应急响应和业务连续性计划等措施，从而降低安全事件造成的影响程度。

风险降低是指通过选择控制措施来降低风险级别，使残余风险能够再被评估时达到可接受的级别，如从高风险降低到低风险或者可以接受的风险。

通常，可采取纠正、消除、预防、影响最小化、威慑、检测、恢复、监视和意识等控制措施。在选择控制措施时，重要的是权衡获取、实施、管理、运行、监视和保持控制措施的成本与被保护资产的价值。

选择和实施控制措施时要考虑各种不同约束。典型地，考虑时间约束、财务约束、技术约束、运行约束、文化约束、道德约束、环境约束、法律约束、易用性、人员约束、整合新的和现有控制措施的约束。

有许多约束会影响控制措施的选择。比如技术约束中性能要求、可管理性（运行支持要求）和兼容性问题，可能会妨碍某些控制措施的使用，或者导致人为失误，要么使控制措施无效，产生安全错觉，要么比没有控制措施还甚至增加风险（例如，要求复杂的口令，但没有适当的培训，导致用户将口令写下来）。而且，控制措施可能会影响性能。管理者应设法找出解决方案，以保证足够的信息安全的同时满足性能要求。这一步骤的结果是可能的控制措施的列表，包括成本、效益和实施优先级。

三、风险保留

在GB/T22080 中指出，“在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险”，是对风险保留的描述。也就是说，风险对单位的策略实施不会造成影响、低于可接受的风险度量值，风险是可以保留下来的。换言之，如果风险级别满足风险接受准则，那么没有必要实施额外的控制措施，并且风险可被保留。

四、风险规避

通过不使用面临风险的资产来避免风险。比如，在没有足够安全保障的信息系统中，不处理敏感的信息，从而防止敏感信息的泄漏。再如，对于只处理内部业务的信息系统，不使用互联网，从而避免外部的入侵和攻击。

当所识别的风险被认为过高，或实施其他风险处置选项的花费超过了收益时，可作出从计划的或现有的活动或一组活动中的撤出，或者改变活动赖以进行的状况的决定，来完全地规避风险。例如，对于由自然界引起的风险，物理上把信息处理设施移到风险不存在或处于控制下的地方，可能是成本效益最好的选择。

五、风险转移

风险转移是指依据风险评价将风险转移给能有效管理特定风险的另一方。在实施的时候，风险转移需做出与外部相关方共担某些风险的决策。风险转移能产生新的风险或更改现存的、已识别的风险。因此，必要时需要引入新的额外的风险处置。

通过将面临风险的资产或其价值进行安全转移来避免或降低风险。比如，在本机构不具备足够的安全保障技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机构，从而避免技术风险。再如，通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失。

转移的实现可以是通过保险来补偿后果，或者分包给合作伙伴来监视信息系统和立即采取行动阻止攻击以防造成超过规定程度的损害。注意的是，转移管理风险的责任是可能的，但是转移影响的责任通常是不可能的。客户通常会将负面影响归于组织的过错。

六、风险接受

风险接受是指组织管理者决定接受的风险处置计划和残余风险，并做出并正式记录接受风险的决策及相应责任。也是指对风险不采取进一步的处理措施，接受风险可能带来的结果。风险接受的前提是：确定了信息系统的风险等级，评估了风险发生的可能性以及带来的潜在破坏，分析了使用处理措施的可能性，并进行了较全面的成本效益分析，认定某些功能、服务、信息或资产不需要进一步保护。

风险接受准则可能比只决定残余风险是否高于或低于某个单一阈值更加复杂。在某些情况下，由于所用的风险接受准则没有考虑当前的环境，残余风险级别可能不满足风险接受准则。例如，由于伴随风险的利益非常诱人，或者降低风险的成本太高，可能会主张有必要接受风险。这种情况表明风险接受准则是不充分的，如有可能进行修订。然而，及时修订风险接受准则不总是可能的。在这种情况下，决策者可能不得不接受不符合正常接受准则的风险。如果这是必要的，决策者应明确地给出对风险的意见，并给出其不按正常风险接受准则做决策的理由。

七、风险沟通

风险沟通是一项在决策者和利益相关者之间就如何通过交换和（或）共享有关风险信息来管理风险而达成一致的活动。风险信息包括但不限于风险的存在、性质、形式、可能性、严重程度、处置和可接受性。

利益相关者之间的有效沟通是重要的，因为可能对决策有显著的影响。沟通将确保那些实施风险管理的负责人和那些既得利益者，理解决策的基础和所需特定行动的原因。沟通是双向的。

进行风险沟通的目的主要表现在为组织的风险管理结果提供保证，收集风险信息，共享风险评估结果，提出风险处置计划，避免或减少由于决策者和利益相关者之间缺少相互理解而造成的信息安全违反及其后果，支持决策，获取新的信息安全知识，与其他方协作并制定响应计划以降低任何事件的后果，使决策者和利益相关者具有风险责任感，提高意识。

当利益相关者涉及面临的风险或问题时，对风险的感知可能因他们的假设、概念与需求、问题与关注点的不同而不同。利益相关者很可能基于他们对风险的感知来判断风险可接受性。尤其重要的是确保识别和文件化利益相关者对风险和利益的感知，并明确地理解和解决其根本原因。

组织宜为正常运行以及突发情况制定风险沟通计划，因此宜持续执行风险沟通活动。

可以通过成立一个委员会来实现主要决策者和利益相关者之间的协作，风险及其优先级、适当处置和接受可在这个委员会上讨论。

重要的是与组织内适当的公共关系部门或对外沟通部门进行合作，以协调所有有关风险沟通的任务。这在危机沟通行动中至关重要，如突发响应特殊事件。

八、风险监视

风险不是静态的。威胁、脆弱性、可能性或后果可能会在没有任何迹象的情况下突然改变。因此，有必要持续监视以发现这些变化。风险监视可以由提供有关新威胁或脆弱性信息的外部服务处获得支持。

组织要确保以下事项得到持续监视：① 被包括到风险管理范围内的新资产；② 资产价值的必要更改，如由于已变化的业务要求；③ 活跃于组织内部和外部且未被评估的新威胁；④ 新的或增加的脆弱性被威胁利用的可能性；⑤ 正暴露于新的或再现威胁的已识别的脆弱性；⑥ 已评估的威胁、脆弱性和风险因聚合而增加的影响或结果，进而导致不可接受的风险级别；⑦ 信息安全事件。

新的威胁或脆弱性、可能性或后果的变化可能会提高先前被评估为低级别的风险。评审低级别的和已接受的风险宜分别考虑每个风险以及所有这些风险的聚合，以评估其潜在的累加影响。如果风险没能归入到低级别的或可接受风险类别中，可使用风险处置流程中给出的一个或多个选项来处理这些风险。

影响威胁发生的可能性和后果的因素与影响各种处置选项的适用性或成本的因素都可能发生变化。影响组织的重要变化可作为进一步详尽评审的理由。因此，应定期重复风险监视活动，并定期评审所选的风险处置选项。

关于风险处置的具体内容请参考《信息安全技术 信息安全风险处理实施指南》和《信息技术 安全技术 信息安全风险管理》。