广州市番禺区人民检察院 郭汉文

当今我们是如何看待网络与信息化？对个人，人需要信息化还是信息化“绑架”人？对企事业单位和社会团体，组织依赖信息化还是信息化成就组织？对经济发展，经济发展带动了信息技术还是信息技术促进了经济发展？对社会稳定，信息化的发展对社会稳定的影响是正面的还是负面的？对国家安全，信息化是国家安全的利器还是祸害？没有标准答案，但值得思考。检察业务系统风险管理的内容有哪些呢？我们作了以下的探讨：

1.风险管理的基本架构与概念

1.1 风险管理的基本架构(如图1-1所示)

1.2 风险管理工作内容

1.2.1 风险管理工作主要内容有：建立背景、风险评估、风险处置、批准监督、监控审查、沟通咨询(如图1-2所示)。

1.2.2 系统生命周期中的风险管理：掌握系统规划阶段的风险管理工作；掌握系统设计阶段的风险管理工作；掌握系统实施阶段的风险管理工作；掌握系统运行维护阶段的风险管理工作；掌握系统废弃阶段的风险管理工作(如图1-3所示)。

信息安全风险管理是信息安全保障工作中的一项基础性工作，是需要贯穿信息系统生命周期，持续进行的工作。我们的检察业务系统是顺应信息化发展及业务需求的实际情况，经过检察系统多部门合作开发的符合全国检察业务需求的背景下建立的。那么我们应该要掌握一套完善的管理方式去做好这件事。那就是要学会风险管理运用好风险管理的实质内容。

1.3 相关概念

1.3.1 通用风险管理定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。

1.3.2 检察业务系统信息安全工作为什么需要风险管理方式？

常见问题：安全投资逐年增加，但看不到收益；按照国家要求或行业要求开展信息安全工作，但安全事件仍出现；IT安全需求很多，有限的资金应优先拨向哪个领域；当了CIO，时刻担心系统出事，无法预见可能会出什么事。

问题根源浅析：没有根据风险优先级做安全投资规划，没有抓住主要矛盾，导致有限资金的有效利用率低；没有根据企业自身安全需求部署安全控制措施，没有突出控制高风险。决策者没有看到安全投资收益报告，资金划拨无参考依据。没有残余风险清单，在什么条件可被触发，如何做好控制。总的来说可以概括为以下三点：(1)信息安全风险和事件不可能完全避免，没有绝对的安全。(2)信息安全是高技术的对抗，有别于传统安全，呈现扩散速度快、难控制等特点。(3)因此管理信息安全必须以风险管理的方式，关键在于如何控制、化解和规避风险，而不是完全消除风险。

风险管理是信息安全保障工作有效工作方式。好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平。好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险。风险管理是一个持续的PDCA管理过程，即计划-做-检查-执行循环的管理过程。也可以这样理解，在全国使用统一的检察业务系统，做需求分析计划组织开发业务系统--全国各省市部分基层院试运行使用--检查业务系统的可行性及需要完善的报告--执行需要完善的地方继续开发完善。一个持续的不断完善的管理过程。

在全国使用统一的检察业务系统，也就会出现数据大集中，数据大集中天生的脆弱性就是数据集中的销毁或丢失，这就是它与生俱来的风险，那么我们认识了这一点，就应该采用相应的技术措施来控制风险。什么是信息安全风险管理？了解风险+控制风险=管理风险。定义一：GB/Z 24364《信息安全风险管理指南》指：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二：在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程。

1.3.3 正确的风险管理方法是前瞻性风险管理加反应性风险管理。

(1)前瞻性风险管理：评估风险、实施风险决策、风险控制、评定风险管理的有效性。(2)反应性风险管理：保护人身安全、遏制损害、评估损害、确定损害部位、修复损害部位、审查响应过程并更新安全策略。风险管理最佳实践。简单的例子：流行性感冒是一种致命的呼吸道疾病，美国每年都会有数以百万计的感染者。这些感染者中，至少有100,000人必须入院治疗，并且约有36,000人死亡。您可能会选择通过等待以确定您是否受到感染，如果确实受到感染，则采用服药治疗这种方式来治疗疾病。此外，您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。

1.3.4 全国使用统一的检察业务系信息安全风险管理的目标是它能做好：保密性、完善性、可用性、真实性、抗抵赖性。GB/T 20984的定义，信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。

2.风险管理的工作内容

2.1 背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。风险管理准备：确定对象、组建团队、制定计划、获得支持。信息系统调查：信息系统的业务目标、技术和管理上的特点。信息系统分析：信息系统的体系结构、关键要素。信息安全分析：分析安全要求、分析安全环境。如图2-1所示。

图1-1 风险管理的基本架构图

图1-2 风险管理工作主要内容关系图

图1-3系统生命周期中的风险管理关系图

图2-1 背景建立过程图

2.2 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。

信息系统的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。风险评估是风险管理的起点和基础环节。风险管理是在倡导适度安全。

2.3 风险处理是为了将风险始终控制在可接受的范围内。现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以。处理目标确认：不可接受的风险需要控制到怎样的程度。处理措施选择：选择风险处理方式，确定风险控制措施。处理措施实施：制定具体安全方案，部署控制措施。常用的四类风险处置方法如下：

2.3.1 减低风险：通过对面临风险的资产采取保护措施来降低风险。首先应当考虑的风险处置措施，通常在安全投入小于负面影响价值的情况下采用。保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险。减低风险办法：减少威胁源：采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机；减低威胁能力：采取身份认证措施，从而抵制身份假冒这种威胁行为的能力；减少脆弱性：及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性；防护资产：采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；降低负面影响：采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度。

2.3.2 转移风险：通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构，从而避免技术风险。通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失。

2.4 批准监督。批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定。监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险。

2.5 监控审查的意义，监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性。

3.安全风险评估实践与国家相关政策

3.1 国家对开展风险评估工作的政策要求

3.1.1 信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确提出：“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”

3.1.2 《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办【2006】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则；风险评估工作的基本要求；开展风险评估工作的有关安排。

3.2 《关于开展信息安全风险评估工作的意见》的实施要求

3.2.1 信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施，从而避免产生欠保护或过保护的情况。

3.2.2 在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能，是否满足了信息系统的安全需求并达到预期的安全目标。

3.3 《关于开展信息安全风险评估工作的意见》的管理要求

3.3.1 信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理不当，反而可能引入新的风险，《意见》强调，必须高度重视信息安全风险评估的组织管理工作。

3.3.2 为规避由于风险评估工作而引入新的安全风险，《意见》提出以下要求：(1)参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承担相应的责任和义务。(2)风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议。(3)对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。

3.3.3 加快制定和完善信息安全风险评估有关技术标准，尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准，各行业主管部门也可根据本行业特点制定相应的技术规范。

3.4 2071号文件对电子政务提出要求

为落实《国家电子政务工程建设项目管理暂行办法》(发改委[2007]55号令)对风险评估的要求，发改高技【2008】2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》提出了具体要求：(相当于“信息安全审计”)电子政务工程建设项目应开展信息安全风险评估工作；评估的主要内容应包含：资产、威胁、脆弱性、已有的安全措施和残余风险的影响等；项目建设单位应在试运行期间开展风险评估工作，作为项目验收的重要依据；项目验收申请时，应提交信息安全风险评估报告；系统投入运行后，应定期开展信息安全风险评估。

[1]信息安全测评中心.信息安全保障[Z].

[2]新浪官方网站[OL].www.sina.com.cn.

[3]百度网站[OL].www.baidu.com.