ISO/IEC 27005白皮书
1. ISO/IEC 27005介绍
7月9日,ISO发布ISO/IEC 27005:2018,这是该标准的第3个版本,是该标准2011年改版后的再次修订。
在我们这个超级链接、技术驱动的世界中,数据泄露和网络攻击是组织当前面临的重大威胁。保护公司信息的安全(无论是商业敏感信息还是客户的个人身份信息)受到前所未有的关注,诸如欧洲GDPR 等新的立法意味着组织面临更大的压力,必须确保信息安全才能赢得商业成功。但衡量什么样的技术、流程是合适的是个难题,《ISO/IEC 27005:2018 信息技术 - 安全技术 - 信息安全风险管理》,提供了一套适用于信息安全的风险管理方法,它通过提供有效管理风险的框架,为组织提供指导,帮助组织解决信息安全管理问题。
Edward Humphreys是ISO/IEC工作组的召集人,同时开发了ISO/IEC 27001和ISO/IEC 27005,他说这个更新后的标准是ISO/IEC“网络风险工具箱”中的关键工具。“ISO/IEC 27005为组织提供“why、what和how”,支持组织按照ISO/IEC 27001有效地管理信息安全风险”,他说,“它还有助于向组织的客户或利益相关方证明稳健的风险流程已经到位,让他们相信自己可以安全做生意。”
2. ISO/IEC 27000标准族
在ISO/IEC 27000标准族中,ISO/IEC 27005是一个支持和资料性标准。
ISO/IEC 27000标准族的核心框架
在这个框架图中,我们可以看到:
• ISO/IEC 27000:2018 综述和词汇 描述了ISO/IEC 27000 ISMS标准族的整体结构与范围,并给出了术语表,为整个标准族奠定了基础;2018版为其最新版本;
• ISO/IEC 27001:2013 信息安全管理体系 要求 正式指明了ISMS的要求,组织可以依据此标准进行认证,说它是整个标准族的核心丝毫不为过;2013版为其最新版本;
• ISO/IEC 27002:2013 信息安全控制实用规则 提供了一个公认的控制目标和控制最佳实践的列表(用于选择和实施),为信息安全控制的实施提供指导;它与ISO/IEC 27001是伴生的 ,2013版为其最新版,从第5条到第18条(14个领域,113个控制项)提供了具体的实施建议和指导,以支持ISO/IEC 27001:2013 A.5至A.18中指定的要求;
• ISO/IEC 27003:2017 信息安全管理体系实施指南 提供ISO/IEC 27001的解释和实施的程序化指导;它是重要的参考性标准,2017版为其最新版;
• ISO/IEC 27004:2016 信息安全管理 测量 “如果你无法测量它,你就无法管理它”,测量在管理中具有举足轻重的地位。ISO/IEC 27004提供了一个框架,可以按照ISO 27001的测量和评价对ISMS有效性进行评估,2016版为最新版;
• ISO/IEC 27005:2018 信息安全风险管理 信息安全管理本质上是风险管理,信息安全管理体系是整个组织全面风险管理的重要组成,ISO/IEC 27005承接ISO统一的风险管理标准“ISO 31000 风险管理 - 指南”,为实施流程导向的信息安全风险管理提供指导;2018版为其最新版;
• ISO/IEC 27006:2015 信息安全管理体系审核和认证机构要求 作为ISO/IEC 27001要求的补充,对实施ISMS审核和认证的机构规定了要求并提供指南;这是个小众但极为重要的标准,2015版为最新版。
在这几个关键和基础性标准中,ISO/IEC 27001和ISO/IEC 27002在2013年进行修订,随后ISO/IEC 27006、ISO/IEC 27004、ISO/IEC 27000和ISO/IEC 27003分别进行了改版,今年年初,ISO/IEC 27000再次改版,7月,ISO/IEC 27005进行修订,至此,从2013年开始的ISO/IEC 27000标准族的核心标准全部完成更新,与ISO/IEC 27001:2013保持一致。
3. ISO 31000与ISO/IEC 27000的关系
ISO/IEC 27005与ISO/IEC 27001中处理风险管理的部分紧密关联。ISO/IEC 27005关于信息安全风险管理的一般框架实际上是对ISO/IEC 27001的4.2.1c至4.2.1h和4.2.3d条款的详细阐述,也与ISO 31000的风险管理一般框架密切相关。ISO/IEC 27005:2018符合ISO 31000中提出的风险管理的通用要求。
4. 信息安全风险管理过程(基于ISO/IEC 27005)
ISO/IEC 27005提供了组织中信息安全风险管理的指导方针,标准中并未提供任何特定的信息安全风险管理方法,而是提供了通用的风险管理过程和风险处置活动。ISO/IEC 27005的主要条款如下:
第5条 背景
第6条 信息安全风险管理过程综述
第7条 环境建立
第8条 信息安全风险评估
第9条 信息安全风险处置
第10条 信息安全风险接受
第11条 信息安全风险沟通和协商
第12条 信息安全风险监视和评审
第5条 背景
信息安全风险管理过程可以应用于组织的一部分(如部门、物理场所、服务),或应用于整个组织以及任何信息系统。信息安全风险管理的方法是系统的、有效的,其方法与组织的总体目标相一致。
第6条 信息安全风险管理过程概述
ISO/IEC 27005:2018提出了一个8步的风险管理过程(如下图),包括:环境建立(context establishment)、风险识别(risk identification)、风险分析(risk analysis)、风险评价(risk evaluation)、风险处置(risk treatment)、风险接受(risk acceptance)、风险沟通与协商(risk communication and consultation)以及风险监督与评审(risk monitoring and review)。
与ISO 31000一致的风险管理过程
第7条 环境建立
该条款对信息安全风险管理环境建立提供指导,它明确了需要为风险管理方法、风险评价、影响和风险接受建立基本准则。
基本准则(basic criteria)
需要选择适合基本准则的风险管理方法。此外,组织须评估必要资源的可用性,如:
• 执行风险评估并建立风险处理计划
• 制定并执行方针和程序,包括所选控制的实施
• 监视控制
• 监视信息安全风险管理过程。
随后,在开发风险评价准则时需要考虑的几个问题,如:
• 企业信息过程的战略价值
• 涉及信息资产的关键程度
• 法律和法规要求和合同义务
• 可用性、保密性和完整性的运营和商业重要性
• 相关方的期望和看法,以及对商誉和声誉的负面影响
还应确定影响准则,以表明信息安全事件将如何影响信息资产、运营、业务、财务价值、计划、截止日期、声誉以及法律、法规或合同要求。
风险接受准则取决于组织,并且可以包括在最高管理层批准的例外情况下,风险在期望目标水平的多个阈值。这些准则可以表示为估算利益与估算风险的比率。
范围和边界
信息安全风险管理的范围需要由组织确定。这使组织能够确保在风险评估中考虑到相关资产。
第8条 信息安全风险评估
风险处置活动
风险评估确定信息资产的价值,识别适用的威胁和存在(或可能存在)的脆弱性,现有的控制及其对识别风险的影响,确定潜在的后果,并对得到的风险优先排序,根据在环境建立时设定的风险评价准则对其设定等级。风险评估包括风险识别、风险分析和风险评估。
风险识别
风险识别的目的是确定可能发生什么导致潜在的损失,并了解如何、在何处以及为什么可能发生损失。风险识别包括以下步骤:
• 识别资产—不只包括软硬件
• 识别威胁—可能是自然的或人引起的,可能是偶然的或故意的
• 识别现有的控制—控制列表可以在ISO/IEC 27001中找到
• 识别脆弱性—可能存在于组织、过程和程序、管理程序、人员、物理环境、信息系统配置、软硬件或通信设备、对外部的依赖
• 识别后果—可能表现为效率损失、不利的经营状况、商业损失、名誉、赔偿等。
风险分析
风险分析方法可分为定性分析和定量分析。风险分析包括3项子条款:
• 评估后果—严重依赖资产估价
• 评估事件可能性—考虑威胁发生的频率,以及漏洞被利用的容易程度
• 确定风险水平—输出带风险值的风险列表
风险评价
斟酌风险分析结果,风险评价还包括需要做出何时采取或不采取行动的决定,或者优先排序风险处置(依据估算的风险水平)。
第9条 信息安全风险处置
根据该条款,可以基于风险评估结果和成本效益分析选择4种风险处置方式:风险修正(risk modification)、风险保留(risk retention)、风险规避(risk avoidance)和风险分担(risk sharing)。
风险修正(risk modification):通过变更控制实现,这些控制可以通过纠正(correction)、消除(elimination)、预防(prevention)、影响最小化(impact minimization)、威慑(deterrence)、检测(detection)、恢复(recovery)、监测(monitoring)和意识(awareness)来保护资产。在变更控制时,确保解决方案同时满足绩效要求和信息安全非常重要。通常,有时间、财务和技术等限制条件。
风险保留(risk retention):如果风险评估结果表明风险可接受,那么可以简单地保留风险,不需要变更任何控制。
风险规避(risk avoidance):可以通过完全规避活动或引起这种情况的风险来实现。当处理风险的成本太高,或者风险自身太高时,适用这种选择。
风险分担(risk sharing):该处置选项涉及到其他方,如保险公司或分包商。切记,风险分担并不意味着责任的分担,因为事件后果仍然在该组织。
第10条 信息安全风险处置
在风险处置后,组织需做出是否接受剩余风险的决定,由负责的管理者审查和批准。作为结果,组织应列出接受风险,并对不符合组织正常风险接受标准的风险进行说明。
第11条 信息安全风险沟通与协商
根据该条款,信息安全风险需要在风险责任人和相关方之间进行沟通。这种信息安全风险沟通应为风险管理成果提供保障、分享风险评估结果、支持决策和提升意识。组织应为正常和紧急情况编制风险沟通计划。持续理解组织的信息安全风险管理过程及其结果才能得到这些成果。
第12条 信息安全风险监督和评审
该条款为信息安全风险因素(和风险管理一样)提供监督和评审。
风险因素的监督和评审:由于风险会因为脆弱性、可能性或后果的变化而改变,所以组织需要持续监测。特别是,组织需要确保监测以下内容:
• 风险管理范围内的新资产
• 修正的资产价值
• 新威胁
• 新漏洞
• 可导致不可接受收风险水平的、升高的影响或后果
• 信息安全事件
风险管理的监督和审查以及改进:为了确保环境、风险评估结果、风险处理和管理计划保持相关和适宜于特定情况,有必要对信息安全风险管理不间断地监督和评审。此外,需要对相应管理人员的知识进行必要的改进。该阶段需要解决的问题是:旧准则验证、法律和环境背景、竞争环境、风险评估方法、资产价值和类别、总拥有成本和必要资源。监督和改进的结果可能是修改或添加风险管理过程中采用的途径、方法或工具。
5. ISO/IEC 27005的未来与发展
7月9日,ISO/IEC 27005:2018正式发布,这是该标准的第3个版本,是该标准2011年改版后的再次修订。
与上一版本(ISO/IEC 27005:2011)相比,这次改版的主要变化包括反映ISO/IEC 27001:2013带来的变化并与其保持一致,以及其它的编辑性修订,这是一次有意义但并不彻底的修订,因为并未解决ISO/IEC 27005面临的两大问题:
• 如何定位信息安全风险管理 信息安全管理的本质就是风险管理,ISO/IEC 27000标准族用数十个标准对信息安全管理体系的策划、建设、运行、保持和改进提出要求并给出指导。因此,有人认为,既然如此,那是否还有必要有一个独立的信息安全风险管理标准,即“ISO/IEC 27005是多余的”,此次修订并未回应该疑问;
• 如何应对ISO 31000的改版 ISO/IEC 27005提出了信息安全的风险管理框架,而“ISO31000 风险管理 – 指南”在今年2月改版,迎来了不少重大变化,而这些变化并未同步反映在ISO/IEC 27005中(下面我们花些篇幅简要介绍一下ISO 31000的改版及可能的影响)。
期待ISO/IEC 27005的第4版与ISO/IEC 27001下一个版本同时发布,并解决这些问题。
6. 重要参考
ISO/IEC 27000 ISMS标准族包含60多项标准,目前已有50多项标准发布,这些标准之间的关系如下图所示:
信息安全管理体系标准族关系图
来源: