freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

青驥原創 l 關于ISO 27001及其實施難點
2020-05-15 10:06:51



1589193600_5eb92b806a753.png!small? ? ?Hi同路人,這里是青驥汽車信息安全公益小組,上一篇我們對TISAX進行了簡要介紹,它是汽車行業內比較成熟的可信信息安全評估交換機制,只是在國內車企里沒有應用,相對比較陌生,基于TISAX的出發點及優勢,對于國內車企及其供應鏈而言也是發展趨勢。

? ?? 談了TISAX,不聊聊ISO 27001有點說不過去了,今天我們順勢介紹下ISO 27001, 感謝本期的責編作者青驥公益團隊核心成員?莊旨鑒?@Mr.Zhuang?(精通ISO 27001、20000、隱私保護以及等保的融合落地,是體系咨詢的集成專家),感謝我們的主編@Vincent yang 提出修訂的意見,本文成稿還要感謝ATLAS Academy的男哥進行的框架內容鋪墊。

-- 主理人:?@Keellee

摘要:

本文重點探討ISO27001標準體系建設文檔的編制,以及在體系建設實踐過程中各階段的難點與解決方式。

1.??什么是ISO 27001?

ISO 27001的前身是英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,于1995年5月修訂而成。1999年BSI重新修改了標準。BS7799主要分為 BS7799-1(信息安全管理實施規則 )和BS7799-2(信息安全管理體系規范),分別描述了對信息安全管理的建議與要求。

ISO 27001是由國際標準化組織(ISO)頒布的,用于指導組織建立信息安全管理體系(ISMS)的一套需求規范,其中詳細說明了建立、實施和維護信息安全管理體系的要求,目前最新版本為ISO 27001:2013,于2013年10月9日正式頒布實施。

2. ISO27001認證的收益

1、提高組織信息安全保護能力;

2、獲得國際認同的認證證書,提高組織認同感,提升商業價值。

本文側重于將ISO27001標準要求融入到企業日常工作流程中,完成信息安全管理體系(ISMS)的“落地”,兼顧標準認證與落地,解決業務安全管控問題的同時提升企業核心競爭力。

3. ISO 27001的核心與主線3.1?以資產安全為核心

資產是組織價值的核心,安全作為業務發展的保障,將始終圍繞資產安全開展。ISO27001中,清晰的資產是開展風險評估、訪問控制策略設計等的前提,如何確保資產安全,是ISO 27001各控制域需要回答的核心問題。

資產的價值決定安全投入多少,資產價值與安全投入成正比,資產價值越高,安全投入越大,反之亦然。ISMS體系的建設應同其要保護對象的價值、組織的價值相匹配。

資產的屬性決定安全保護措施,資產呈現為不同的屬性,包括有形資產、無形資產;軟件資產、硬件資產;資產的屬性決定安全保護措施的選擇,服務器等硬件資產,需要安全的空間進行存放,并配備門禁等,確保其惡意的人員接觸;核心數據資產,需要采取加密手段,保障其存儲、傳輸過程的安全;多種資產屬性的組合/**需要采取多種保護措施,甚至額外保護措施,承載核心數據的服務器需要存放在安全的空間中,其上核心數據應加密存儲,并采取備份措施。

3.2?以風險管理為主線

如果說資產是ISO 27001實踐的核心,那么風險管理則是其主線。一切活動的開展都是風險管理的延伸。

ISO 27001各控制域中對風險管理的思想體現的淋漓盡致,旨在確保組織面臨的風險始終保持在可以接受的范圍內。安全策略制定,安全控制措施選用,均是在明確的風險偏好下,參照風險評估結果,進行的預防、監控或處置。

3.3 ISO27001落地是一場馬拉松

ISO27001標準體系的落地就像是場馬拉松,ISMS建設與運行是需要持續PDCA持續,滾動升級。風險是動態的,安全也是動態的,所以組織獲得認證機構頒發ISO27001信息安全管理體系認證證書,僅能說明組織獲得認證時的狀態:存在一套正在運行的、較完整的信息安全運行流程與機制。組織的信息安全管理水平,需要在長期的實踐中進行檢驗。

微信圖片_01.jpg

PDCA循環管理模式圖

ISO27001標準體系落地的難點在哪里?根本上講,需要找到業務與安全的平衡點,任何安全控制措施的實施都會給降低業務運行效率,不論是增加安全設備,還是流程。安全的目標是為了保障業務的正常穩定運行,而不是阻礙業務的發展,因此,解決好業務和安全的平衡是ISO 27001標準體系落地的根本難點1589508095_5ebdf7ff63827.jpg!small

信息安全與業務效率的關系

4. ISO 27001標準體系落地的難點有哪些?4.1 資產不清晰

資產是ISMS保護的對象,資產的不清晰將導致安全策略的無效、冗余、甚至缺失。在小型組織中,資產數量和類型往往較少,但是在大型組織中,資產數量和類型紛繁復雜,如何將資產梳理清楚已經成為普遍認識的難題,資產梳理的結果往往僅停留在一張表,無法為ISMS的建設提供實質性的基礎支撐。

·????資產權屬不清晰,資產的所有者、管理者、使用者模糊不清,導致資產有人用,無人管;

·????資產價值不清晰,資產價值被過高或過低的評價,造成保護過當或不足;

·????資產位置不清晰,資產可能在多個地點存在副本,如數據的流動往往會造成其在多處存在副本,資產位置不清晰,將導致部分資產處于0防護狀態;

·????資產訪問需求不清晰,誰需要使用,怎么使用,始終處于動態變化過程中。

資產是動態的,資產的權屬、價值、位置、訪問需求等均處在動態變化的過程中,若做不到資產的持續動態監控,那么安全管理策略在制定出來的那一刻,就已經部分失效了。大型組織要注重采用有效技術手段提高資產持續動態監控的能力,做到資產的時時清晰。

4.2 風險不清晰

風險是ISMS建設的主線,目標是保證保護對象面臨的風險始終在組織的可接受范圍內,風險的不清晰將導致風險應對措施失效,既造成了資源的浪費,又無法降低真正的風險。

在現階段,如何做到風險的持續有效監控,是組織面臨的一大挑戰,主要原因包括:

·????風險評估人才門檻高

·????過度依賴技術手段

需要對組織面臨的風險情況進行監控,不斷調整更新ISMS,以適應風險環境的變化。

5.??ISO27001體系建設文檔編制說明

從ISO27001信息安全管理體系的整體控制域而言,信息安全管理主要分為三部分:第一部分為安全管理基礎架構的搭建,包括安全規則(框架)、組織(管理者)、資產(保護對象)等,分別對應的是控制域A5安全方針、A6信息安全組織以及A8資產管理;第二部分為事前管理,主要涵蓋了預防性的管理措施與要求,包括了A9~A15以及A7人力資源安全幾大控制域;最后一部分為事后管理,主要是在安全事件發生后的處理措施與計劃,以及法律法規符合性層面的要求,對應的控制域為A16信息安全事件管理、A17信息安全業務連續性管理以及A18符合性。

?? 體系建設階段的文檔編制始終是圍繞著ISO27001的指導思想來編纂的,并將各個控制域的要求與核心內容融入到組織既有的流程當中,形成完整的信息安全管理體系文件。這里需要注意的是,安全管理要求是不能夠脫離組織業務流程而單獨存在的,這也是組織信息安全管理體系落地的一大關鍵。

1589508166_5ebdf846cb1d8.png!small

信息安全管理體系控制域分布

?? 嚴格意義上來說,體系文件通??煞譃樗募壩募?/span>

?? 一級文件涵蓋組織ISMS總體方針、目標、組織結構以及政策適用聲明等內容,是指導性文件;

???二級文件體現的是ISO27001標準各控制域的管理策略,是從要求層面考慮的;

???三級文件是安全控制措施與組織業務流程相結合的管理程序,一定程度上可以看作是執行層面上的業務流程安全控制措施指導書或業務安全操作流程手冊;

???四級文件是一些管理程序對應存在的工具模板、記錄、表單等。當然,組織的ISMS文件形式上并非一定要拘泥于上述劃分,但應確保滿足標準的各項要求。

1589508172_5ebdf84ca3311.png!small

信息安全管理體系四級文件劃分

? ? 體系文件建設的難點在于安全控制項(要求)與組織既有業務流程的契合度是否足夠高,許多組織存在將標準中控制要求“填鴨式”地“組裝”到現有流程當中而不考慮業務的兼容性,這樣的制度文檔通??此啤捌痢?,但事實上在業務執行過程當中會產生諸多不合理的要求與步驟,幾乎不具有實踐意義。

? ? 程序文件編纂過程中的一個關鍵點在于梳理角色職責的映射關系(RACI)。在ISMS的建設過程中,由于在不同業務環節中增加了部分安全控制措施,或多或少地會延長相關業務流程,而若這些新增的安全控制措施責任人(包括實施者)不明確,則勢必會造成業務混亂、角色/部門間的矛盾甚至是安全控制措施的真空。所以在每份程序文件中,角色與職責的對應矩陣都應被清晰的展示,這也是程序文件具有可操作性的必要前提。

1589508188_5ebdf85c1e1bf.png!small

RACI矩陣例圖

?? 再者,程序文件中業務流程安全控制的可檢查性同樣是信息安全管理體系落地的關鍵。不同安全控制措施的有效性需要通過對應的檢查流程進行驗證,必要時可附加四級文件描述相關的檢查標準(定期、定量、定點等)。由于檢查工作也是需要對應到相關責任人(包括實施者),可操作性同樣必不可少(RACI中體現)。

1.1 體系宣貫與試運行

?? “實踐是檢驗真理的唯一標準”。任何未經試運行檢驗的安全體系都是不成熟、不可靠的。試運行階段就像是一場模擬考,對已搭建完成的信息安全管理體系是否能夠很好的運轉進行的一次測試,同時也是體系建設者對體系尋錯、糾正、調整的一次絕佳時機,更重要的是,該階段踐行著PDCA戴明環中“檢查(Check)”和“處理(Act)”兩個環節,為體系后續真正運行后進入下一循環做鋪墊。

1.2 以風險為導向持續優化

? ? 信息安全領域的涉及面非常廣,組織需要面臨新的威脅與相對應的管控機制也層出不窮,即便是一家再大的組織,也無法全部都做到盡善盡美。況且組織在信息安全領域的投入(無論是人力還是資金)也不可能無所限制,如何利用有限的資源更有針對性的進行安全投入才是組織最需要思考的問題。

? ? 但不變的是,信息安全終究是為了業務而服務的,所以信息安全管理體系的建設與投入始終是要以風險為導向,同時組織真正的安全風險痛點也需要信息安全管理人員不斷花時間與精力去發現和研究。

?? 在信息安全管理體系的建設和維護過程中,需要時刻避免對ISO27001標準的教條理解、缺少與組織實際風險場景的結合,甚至是不分重點、照本宣科地去執行信息安全管理體系要求。要知道冷冰冰的制度規范不僅發揮不出其在管理上應有的作用,反而會傷害到組織的運作效率甚至管理者的真正利益,造成本末倒置。

?? 最后需要強調的是,風險是會永久存在的,安全體系的落地建設是一項長期工程。組織需要做的就是務實,不斷地尋找發現已有的或可能出現的風險,并對他們進行處理、管控、預防,重新建設或調整即有的安全管理架構,增強安全體系韌性,提高安全維度。

?? 只有不斷踐行PDCA循環,才能讓組織在信息安全方面持續地散發活力,讓安全與業務達到一個更加穩定、平衡的狀態,更自信地迎接來自信息時代的安全威脅與挑戰。

2. ISO27001體系建設實踐過程中各階段的難點與解決方式

2.1資產識別

?? 萬事開頭難。組織信息資產識別與收集的工作是在信息安全體系建設初期階段進行的,對于后續風險評估與體系文件設計編纂具有很好的參考價值,有效的資產識別對于組織資產安全乃至于整體的信息安全來說都是不可或缺的,但這往往也是組織最容易輕視甚至忽視的要點。

?? 許多人會不假思索的認為資產識別就是把現有的六大類信息資產做個匯總形成清單,然后給出各資產的C(保密性)、I(完整性)、A(可用性)評分,符合ISO27001的A8資產管理控制域(以及A15供應商關系控制域的部分內容)的各項控制點即可,但這不過是紙上談兵,想要做到全面、準確且有效的信息資產識別這并非易事。

?? 即便是對于專門配備有資產管理部門的組織來說,也往往因為無法兼顧安全屬性而導致識別過程中出現漏洞與缺陷,無法做到盡善盡美。即便是由安全部門進行信息資產識別的工作,也會因為各部門間的配合、對資產安全的理解與認識、時間等因素導致無法順利開展。

1589508197_5ebdf865f349f.png!small

資產價值評分標準(非人員)?

1589508204_5ebdf86c4284f.png!small

資產價值評分標準(人員)

?? 信息資產與其他物理形式的財務資產不同點在于:信息資產不是一成不變的,它是一種攜帶動態屬性的資產,存在于所承載的信息全生命周期當中的一個階段或多個階段,不同的信息資產具有其獨特資產價值,而通常來說,同一種信息資產在信息生命周期中的不同階段會產生不同的資產價值,正是這種動態屬性賦予了資產識別更深刻的意義。

? ? 信息資產的分類方式通常是根據組織的業務類型特點所決定的,但總體上不會有太大的偏差。根據ISO27005:2008中資產識別章節的描述,分為基本資產和所有類型的支持性資產(資本資產所依賴的范圍)。

?? 基本資產又分為業務過程或活動以及信息兩大類,而支持性資產包括了如硬件、軟件、網絡、人員、場所、組織架構等。在這樣的資產框架下,不同組織按照各自的業務重點進行有針對性的分類。如下圖是一種常見分類方式(其中數據資產較為特殊,放到本章節最后談):

1589508211_5ebdf873dd057.png!small

信息資產分類舉例

? ? 資產大類確定后,可以對每類資產進行二級分類、三級分類等拆分細化。而對于相同類別、相同位置、相同所有者和管理者、脆弱性和面對威脅類似的信息資產,在識別過程中可歸納為一個資產,同樣的若是從信息系統為出發點進行資產識別時,某個信息系統所屬的應用程序、服務器操作系統、數據庫、中間件等,也可以再次歸納識別為一個“資產組”。

? ? 因為像這樣對有邏輯關聯性的資產進行合并歸納,大大減少了工作量的同時,還能更清晰的理解組織資產間的關系紐帶,可以為后續風險評估工作中的落地提供更有價值的參考。

? ? 劃入后續風險評估范圍和邊界的每項資產都應該被識別和評價,資產識別的不準確,可能會造成后續風險評估的對象模糊、體系文件范圍不清晰、甚至是各角色崗位的管理(針對資產)出現真空等一系列問題,影響的是整個信息安全體系建設的過程。

? ? 當然,也不要因此產生排斥、恐懼,信息資產識別的對象并不是組織所有的資產,識別的是與信息和信息處理設施有關的資產,這與資產盤點還是有本質區別的,所以只要有計劃、有條理、有層次、模塊化的將信息資產識別的工作推進下去,并做好知識傳遞與宣導,才能打好ISO27001標準貫徹的地基。

? ? 需要明確理解的一點是,資產識別的工作不是組織的信息安全部或資產管理部等某一個部門的責任,而是需要全公司所有部門的共同配合與參與。事實上ISO27001標準體系就是面向全公司層級的全方位安全建設。

? ? 所以作為體系建設的牽頭者(通常為組織的信息安全部),第一要務應該是通過培訓宣貫等方式,向各部門傳達體系建設的重要性。除此之外,信息資產識別作為體系建設的基礎,要讓各部門清晰地了解到信息資產的屬性、分類及相關定義,清楚識別每項資產的所有者(owner)、管理者和使用者,以免為后續的風險處置階段造成不必要的爭端與麻煩,阻礙體系落地的進程。

1589508223_5ebdf87f2fe61.png!small

信息資產所有者、管理者與使用者定義

? ? 其次,統一資產清單模板、委任各部門資產識別負責人的工作同樣必不可少。資產清單模板的統一是為了便于后續所有部門資產信息回收后的匯總。鑒于個別部門業務與資產的特殊性,模板的設計就需要考慮更周全,如資產的分類是否涵蓋全面、各類資產的屬性描述是否準確等。而篩選出各部門最適合資產識別的負責人,則可以大大提高資產識別的效率及準確性。

? ? 通常部門會有專門負責內部資產管理的人員,而熟悉部門內部業務的員工也是合適的人選。當然需要指出的是,真正確定具體資產的人并不一定是該負責人,更多的是承擔著協調者的角色,找到各類資產對應的所有者或管理者并下發給他們識別才是負責人的主要工作。

2.2 差距分析&風險評估

? ? 根據木桶原理,一只木桶能裝多少水取決于它最短的那塊木板,同樣組織的安全性達到什么樣的高度取決于安全性最弱的一環,也是黑客或惡意攻擊者的關注點,一旦被攻破,可能會導致整個組織安全的崩壞。差距分析與風險評估的目的就是尋找組織這一塊或多塊“短板”,或是即將成為“短板”的地方。

? ? 差距分析的核心是嚴格將ISO27001:2013的14個控制域、35個控制目標、114個控制點與組織的實際運行現狀進行差異比對,宏觀的了解組織當前安全狀態,是組織與標準差異的直觀體現,同時也對后續風險評估的完整性提供很好的參考。

? ? PDCA模型可應用于整個ISMS體系建立的全過程,風險評估階段同樣是如此,從風險評估方法論的建立、風險評估計劃的制定、風險評估的執行、風險點確認到風險分析與處置,最后達成風險評估工作常態化持續運行的目的——識別ISMS范圍內的信息資產喪失保密性、完整性和可用性的相關風險。

? ? 其中包括了威脅識別、現有控制識別、脆弱性識別以及影響識別,而信息安全風險的定義是“人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響”,風險識別的目的終歸是為了保護組織信息資產。

?? 風險評估前期以ISO 27005以及行業最佳實踐為參考基礎建立通用威脅庫時,收集所有作用于信息資產的包括信息系統、人員活動、物理環境以及自然災難等威脅來源。

?? 尋找信息系統、系統安全程序、內部控制實施中可能被威脅利用的弱點,脆弱點是資產、載體或內部業務流程自身所攜帶的負面基因,從橫向的種類來看通常分為技術類脆弱性和管理類脆弱性,從縱向的ISO27001安全域層級來看通常分為應用層脆弱性、操作系統層脆弱性、終端硬件脆弱性、通信和組網級脆弱性、安全機制脆弱性以及開發生命周期與運維管理脆弱性等。

1589508232_5ebdf8883e1ed.png!small

通用脆弱性

? ? 以上述的威脅庫與脆弱性列舉為輸入,結合組織本身所在行業的特殊性以及現有的包括威脅性、預防性、檢測性與糾正性控制的識別,建立有針對性的威脅與脆弱性矩陣列表,執行風險評估工作。需要注意的是,風險評估落地的一個關鍵操作在于對已采取的安全措施的有效性進行確認,即現有控制是否真正地降低了資產的脆弱性,抵御了威脅,現有控制是否準確識別。

? ? 建立有針對性的威脅與脆弱性矩陣列表,目的是為了識別出相應的威脅源、威脅事件與相關脆弱性的關聯關系,評估如果該脆弱性被該威脅源利用,會對所評估對象的機密性,完整性和可用性產生多大的風險,而該風險的大小判斷可通過設計相關計算公式得出,量化評估關系如下:

1589508239_5ebdf88f64dc1.png!small

風險值量化評分舉例

? ? 資產價值可通過資產識別階段的對信息資產的打分獲取,嚴重程度、發生頻率以及成熟度的評分可參考如下判斷依據:(此處需要注意的是成熟度一項,成熟度越高,對應的成熟度風險值越小,成反比)

1589508247_5ebdf8977c6db.png!small

風險影響判定標準舉例

?? 風險識別與評估中應首先明確風險偏好,風險偏好是組織對風險的可接受程度,可能來源于多個客觀事實與主觀思維,如組織所在行業的獨特性、政策、甚至是管理層的個人偏好(如歷史經驗、激進或保守思維等),在某些特定的情況下,合適且具有前瞻性的風險偏好會大大提高風險處置的效率與準確性,一定程度上能夠優化處置優先級的順序,甚至可以獲得超出預期的安全收益。

? ? 而風險可接受水平更像是一塊“平衡板”。理論上來說,風險當然是越小越好,但現實中降低風險(包括降低風險發生的可能性與采取措施減少風險損失)意味著資金、人力資源、技術資源的投入。而風險可接受水平的確定可以很好的平衡風險與利益,根據風險的影響要素、強度、范圍等,計算出風險可接受的損失空間,為風險處置提供最佳的參考建議。

1589508254_5ebdf89e0caf8.png!small

風險處置影響因素

?? 最后,根據風險評價的結果制定所有風險的處置策略。處置策略通常分為接受風險、消減風險、轉移風險與規避風險四大類。

1589508267_5ebdf8ab2ba9f.png!small

風險處置策略

? ?



以上,就是關于ISO 27001的整體介紹,相信您對管理體系的實踐也有了初步的認識,再次感謝您的關注!


本文及系列原創作品版權歸青驥信息安全公益團隊及作者所有

歡迎您轉載分享點擊在看

誠邀關注同名微信公眾號汽車信息安全

希望伴君一路同行,做汽車信息安全知識的踐行與傳播者

本文作者:, 轉載請注明來自FreeBuf.COM

# 安全體系 # 信息安全管理 # 實施難點
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网