高亚楠 刘 丰 陈永刚

(国家信息中心信息与网络安全部 北京 100045)

(gaoyn@sic.gov.cn)

1 概 述

国内信息安全风险管理工作从2003年至今已经历了15年，在信息安全保障工作中发挥了重要作用，推动了信息安全保障在全国各地区和各行业的深化发展，也推动了风险评估工作的广泛开展.随着云计算、大数据、移动互联、物联网、智慧城市等新技术广泛应用;国与国之间的网络对抗强度增加，网络攻击的规模化、集团化程度和趋利性日益增强;APT攻击、震网攻击、水坑攻击等新的攻击形态层出不穷，对原有的信息安全风险管理的方式和方法带来了极大的挑战.新形势下网络安全威胁表现形式有了很大变化，新技术应用存在的信息安全脆弱性也有所不同，这些都对原有的信息安全风险管理标准带来了挑战.

国内的信息安全风险管理标准体系也面临着诸多挑战，包括标准体系架构有待调整、新技术下标准适用性捉襟见肘、新形势新挑战下标准还需紧跟步伐，本土标准和国际标准未接轨、部分行业指导或最佳实践缺失.因此，相应的信息安全风险管理标准体系也应进行必要的调整.

新形势下信息安全风险管理标准体系可分为4个面层，包括:政策法规支撑、基础标准、新技术标准和行业标准.政策法规支撑以国家网络安全法、信息安全保障工作意见、风险评估工作意见和网络安全等级保护制度为基石;基础标准以采用标准信息安全风险管理为纲领，以信息安全风险管理指南和信息安全风险评估规范为核心;新技术标准以大数据、物联网、工业控制、云计算、区块链等方面风险管理指南和风险评估实施指南为支撑.

本文梳理了国内及国际信息安全风险管理相关标准内容和关联关系，研究了当前国内信息安全风险管理标准体系存在的不适用处，通过风险评估规范标准修订工作带来的启示，提出了新形势下的信息安全风险管理标准体系框架，为信息安全风险管理标准体系建设及完善提供了参考.

2 国内外信息安全风险管理标准体系建设情况

2.1 国内信息安全风险管理标准体系建设情况

国内从2003年起开始发布相关政策引导风险管理发展，包括《关于开展信息安全风险评估工作的意见》和《国家信息化领导小组关于加强信息安全保障工作的意见》，为国内信息安全风险管理奠定了良好的基础.《信息安全风险管理指南》和《信息安全风险评估规范》作为筑基标准，指导了国内信息安全风险管理工作的开展.《风险评估实施指南》和《风险处置实施指南》为国内信息安全风险管理工作的落地提供了最佳实践.下面是对各项标准规范的逐项解读.国内信息安全风险管理标准体系架构如图1所示.

2007年，在原国信办的直接领导和支持下，在国家安标委的大力推动下，《信息安全技术 信息安全风险评估规范》(GB T 20984—2007)正式颁布.风险评估标准是信息安全风险管理标准体系的基石，是我国第1部信息安全风险管理标准，目前该标准正在进行修订.标准颁布10年来，GB T 20984—2007推动了我国信息安全保障工作的开展和安全保障体系的建设［1］.

2009年，《信息安全技术 信息安全风险管理指南》(GB Z 24364—2009)发布，风险管理指南给出了纲领性指导，对相关标准的补充完整起到了指引作用.该指南规范了信息安全风险管理的内容和过程，并提供了信息系统生命周期各阶段的信息安全风险管理方法［2］.风险管理指南标准发布时间晚于风险评估标准，与风险评估标准兼容性强.但随着风险评估标准的修订，风险识别和风险评估流程等内容有待更新.

2015年，《信息安全技术 信息安全风险评估实施指南》(GB T 31509—2015)发布，该标准细化了风险评估的实践方法和内容，推动了风险评估的发展.该标准定义了风险评估的基本概念、原理及实施流程，对资产、威胁和脆弱性识别要求进行了详细描述，提出了风险评估在信息系统生命周期不同阶段的实施要点及风险评估的工作形式［3］，实施指南与风险评估规范一脉相承.随着风险评估规范的修订，实施指南中资产识别的方法和内容，威胁分类、调查和分析内容，脆弱性分析以及风险分析内容应进行相应的调整.

图1 风险管理标准体系

2015年，《信息技术安全技术信息安全风险管理》(GB T 31722—2015 IDT ISO IEC 27005—2008)颁布，该标准是对国际标准的转化，旨在为基于风险管理方法建立信息安全管理体系提供指导.信息安全风险管理标准从语境建立、风险评估、风险处置、风险接受、风险沟通和风险监视评审6个方面提出要求.与信息安全风险管理指南的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询相对应，并新增了批准监督阶段内容［4］.

2016年，《信息安全技术 信息安全风险处理指南》(GB T 33132—2016)正式发布，该标准给出了信息安全风险处理实施的管理过程和方法，适用于指导信息系统运营使用单位和信息安全服务机构实施信息安全风险处理活动.标准给出了风险处理的方法和内容［5］.标准部分内容与风险评估规范以及风险评估指南相重叠，风险评估规范修订时对风险处理的内容进行了简化.后续应对风险处理实施指南中相关内容进行简化.

2.2 国外信息安全风险管理标准体系建设情况

国际信息安全管理体系(ISMS)标准族(即ISO IEC 27000系列标准)是国际信息安全风险管理标准体系的重要组成部分.国际信息安全标准化组织 ISO IEC JTC1 SC27 WG1专门负责 ISMS标准族的研究和制定.ISMS标准族作为一套具有一定科学理论基础和实践价值的标准，被广泛用于不同国家、不同领域，为不同信息安全管理需求的用户提供了参考和指导.

国际标准近年来陆续更新，国际标准化组织和美国NIST均制定了新的风险管理标准，均开展了多项标准的修订工作.当前主要国际信息安全风险管理标准如表1所示:

表1 国际信息安全风险管理标准

2.3 国内外风险管理标准关系

目前我国在国际系列标准的基础上，已经转化了ISMS中最为重要和核心的4项标准，分别是:GB T 22080—2008《信息技术安全技术信息安全管理体系要求》(对应 ISO IEC 27001—2005［6］)、GB T 22081—2008《信息技术安全技术信息安全管理使用规则》(对应 ISO IEC 27002—2005［7］)、GB T 25067—2010《信息技术安全技术信息安全管理体系认证机构认可要求》(对应 ISO IEC 27006—2007［8］)、ISO IEC 27000—2010 《信息技术安全技术信息安全管理体系 概述和词汇》.其中，GB T 22080—2008 和 GB T 22081—2008 是建设组织信息安全管理体系的基础依据;ISO IEC 27000—2010提供了有关ISMS系列标准的术语、定义和概述;GB T 25067—2010规范了信息安全风险管理体系审核和认证工作.对于希望了解和使用ISMS标准族的用户具有重要的指导意义.同时，近年来国际信息安全风险管理标准的舞台上也有许多国内标准编制专家的身影，对国内标准和国际标准的融合发展起到了重要作用.

3 存在的主要问题

3.1 标准体系架构有待调整

随着国家信息安全战略的调整以及信息化不断深化，原有的信息安全风险管理标准体系已逐渐显示出不适宜的地方.国内核心风险管理标准为风险管理、风险评估规范和风险管理指南，相关标准不足以支撑当前网络安全要求.此外，现有标准间既有交叉重复又有脱节，标准间的协调程度不高，标准体系有待进一步梳理、调整和完善.比如风险评估规范和风险评估实施指南中有风险处置相关的实施内容，和后续发布的风险处置指南的部分内容冲突.

3.2 新技术下标准适用性捉襟见肘

近年来，信息技术快速发展，云计算、物联网、大数据、移动互联等新技术得到广泛应用，这些新技术的应用在提升信息化水平的同时，也对原有的信息安全风险管理方法带来了极大的挑战，如云计算应用的风险和原有风险不同，风险分析和计算方法需要进行调整.信息安全风险管理标准体系应在原有工作基础上对云计算、大数据、工业控制等新技术面临的风险进行管理、防范、评估和处置.

以大数据安全风险管理为例，变化包括:1)数据基础设施频受攻击，数据丢失及泄露风险加大;2)新型网络威胁层出不穷，倒逼数据保护技术革新;3)数据交易地下产业链活动猖獗;4)数据跨境流动成为关注热点，监管机制面临挑战;5)数据资源需求强烈，开放共享与安全保护矛盾凸显.这些导致大数据安全风险分析的侧重点和内容发生了变化.以云计算风险管理为例，面临的风险包括数据泄露、凭证被盗和身份验证不足、不安全接口和API、系统漏洞利用、账户劫持、恶意内部人士、高级持续性威胁、永久性数据丢失、调查不足、云服务滥用、拒绝服务攻击和共享技术等.

3.3 新形势新挑战下标准还需紧跟步伐

网络安全法对信息安全风险管理提出了新的要求，包括个人信息安全保护、关键信息基础设施保护、数据跨境安全、关键产品服务安全等.为响应法律法规要求，相关标准规范和政策法规均启动了编制研究工作，其中多项标准与风险管理紧密相关，如个人信息安全风险评估指南、大数据业务安全风险控制实施指南、ICT供应链安全风险控制实施指南和关键基础设施网络安全分析管理框架等在研标准.这些标准均基于风险管理标准体系，由于当前风险管理标准体系存在不适用之处，所以也对相关标准适用性产生了影响.

国与国之间的网络对抗强度增加，网络攻击的规模化、集团化程度和趋利性日益增强;APT攻击、震网攻击、水坑攻击等新的攻击形态层出不穷.这些对风险管理语境建立、风险评估范围的划定、评估对象的确定、威胁和脆弱性的识别和分析、风险计算、风险分析和风险处置等都提出了严重挑战，风险管理标准体系的适用性受到了极大的冲击.

目前，信息安全风险管理标准体系中部分标准颁布年限均已大大超过了生存周期.由于受到编制环境的限制，标准大都具有自身的生存周期.研究表明，一个标准的正常生存周期通常是3～5年，超过这个期限就有可能会阻碍相关工作的发展.标准体系中多项标准超过生存周期会使标准本身的适用性下降，因此，应对超过生存周期并且存在很多适用性问题的标准进行修订，并对标准体系进行调整.

3.4 本土标准和国际标准未接轨

由于国内外风险管理标准编制工作存在时间差，所以采用标准和国内编制标准间存在未接轨之处，导致标准的适用性和指导性都会逐渐下降，也使标准体系的适用性和扩展性降低.

3.5 部分行业指导或最佳实践缺失

风险评估在部分领域已经发布了行业指导，为风险管理和风险评估的落地提供了支撑.但是不同领域给予的指导程度不同，在很多领域缺乏具体的落实建议，缺乏风险管理的指引、行业相关威胁的研究和行业特有风险的分析.建议给出信息安全保障工作的指导和最佳实践.

4 新形势下信息安全风险管理标准体系

国家对网络安全工作高度重视.2014年2月27日，中央网络安全和信息化领导小组成立，习近平总书记亲自担任小组组长，这是中国在网络安全和信息化方面迈出的重要一步.习近平总书记指出，“没有网络安全，就没有国家安全;没有信息化，就没有现代化”，将网络安全提升到了国家安全的高度.

2016年颁布的《中华人民共和国网络安全法》中明确指出，对关键信息基础设施的安全风险进行抽查检测，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估.

2016年底颁布的《国家网络空间安全战略》中也明确指出，网络安全风险得到有效控制，国家网络安全保障体系健全完善，核心技术装备安全可控，网络和信息系统运行稳定可靠.应采取必要措施保障关键信息基础设施安全，逐步实现先评估后使用.

2017年初颁布的《“十三五”国家网络安全规划》中也指出，主动防范和化解新技术应用带来的潜在风险.正确认识网络新技术、新应用、新产品可能带来的挑战，提前应对工业机器人、人工智能等对传统工作岗位的冲击，加快提升国民信息技能，促进社会就业结构调整平滑过渡.提高网络风险防控能力，以可控方式和节奏主动释放互联网可能引发的经济社会风险，维护社会和谐稳定.建立互联网新技术、新应用网络安全风险评估制度，加强对新技术、新应用上线前的风险评估.

由习总书记讲话和上述文件的论述可以看出，目前国家所处的网络环境发生了变化，对网络的定义也发生了根本性的变化，网络已不再是狭义的network，而是广义的cyberspace，基于上述背景，本文提出了新形势下的信息安全风险管理标准体系.

新形势下的信息安全风险管理标准体系可分为4个层面，包括政策法规支撑、基础标准、新技术标准、行业标准，如图2所示:

图2 信息安全风险管理标准体系

政策法规支撑是信息安全风险管理标准体系的顶层纲领性文件，指导相关工作的开展，引导相关标准规范的确立.政策法规层面以《中华人民共和国网络安全法》为基础，《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发［2003］27号)等相关政策要求为辅.此外还包括《电信和互联网用户个人信息保护规定》《全国人民代表大会常务委员会关于加强网络信息保护的规定》《关键信息基础设施安全保护条例》《网络产品和服务安全审查办法》和《个人信息和重要数据出境安全评估办法》等.

为推动政策执行，支撑政策文件落地实施，基础标准给出了信息安风险管理工作的定义、范畴和内容.基础标准包括《信息安全风险管理》《信息安全风险管理指南》《信息安全风险评估规范》《信息安全风险处理实施指南》.

新技术标准给出了风险评估标准在新技术领域的实施流程和方法，包括《个人信息安全风险评估指南》(在研)、《大数据业务安全风险控制实施指南》(在研)、《ICT供应链安全风险管理指南》(在研)、《工业控制系统风险评估实施指南》(在研)、《云计算安全风险评估实施指南》和《区块链安全风险评估指南》等.

行业标准指导着具体工作在各行业的开展和实施，包括《金融行业信息安全风险评估规范》《政务信息安全风险评估规范》《交通行业信息安全风险评估规范》《金融行业信息安全风险评估指南》《政务信息安全风险评估指南》《交通行业信息安全风险评估指南》等.

5 总 结

信息安全风险管理标准体系是对信息安全风险管理标准的顶层设计.标准体系的科学性是信息安全风险管理标准发展的重要基础［9］.然而当前标准体系存在一些不适用之处，包括标准体系中大多数标准颁布年限超过生存周期，对云计算、物联网、大数据、移动互联等新技术的兼容度较低，网络安全攻击形态的层出不穷，标准间的交叉重复等.本文分析了国内及国际信息安全风险管理标准体系现状，根据当前信息安全风险管理标准体系的不适用处，从政策法规层、规划层、基础层、实施层4个层面开展新形势下信息安全风险管理标准体系研究，提出了新形势下的信息安全风险管理标准体系.