風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)場(chǎng)景
趙立軍 2024-10-28
概述

2022年10月,國(guó)際標(biāo)準(zhǔn)化組織ISO發(fā)布了ISO/IEC 27005:2022《信息安全 網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全風(fēng)險(xiǎn)管理指南》。該標(biāo)準(zhǔn)中,增加了一個(gè)新的術(shù)語(yǔ):“風(fēng)險(xiǎn)場(chǎng)景(risk scenario)”,并且在后續(xù)的條款中多次引用。那么,什么是風(fēng)險(xiǎn)場(chǎng)景?為什么新增風(fēng)險(xiǎn)場(chǎng)景?風(fēng)險(xiǎn)場(chǎng)景如何編寫(xiě)?本文就這些問(wèn)題對(duì)風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)場(chǎng)景談?wù)劰P者個(gè)人的看法。
01 風(fēng)險(xiǎn)場(chǎng)景的定義和使用
在風(fēng)險(xiǎn)管理中,風(fēng)險(xiǎn)場(chǎng)景是指可能發(fā)生并影響企業(yè)實(shí)現(xiàn)其經(jīng)營(yíng)目標(biāo)的一系列事件或情況。這些場(chǎng)景通常涉及不確定性,并且可能導(dǎo)致正面或負(fù)面的影響。風(fēng)險(xiǎn)場(chǎng)景的概念出現(xiàn)在很多風(fēng)險(xiǎn)框架中。例如,國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)的風(fēng)險(xiǎn)IT [1]、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)風(fēng)險(xiǎn)管理框架RMF[2]、美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)下屬發(fā)起人委員會(huì)(COSO)、企業(yè)風(fēng)險(xiǎn)管理ERM等,都涉及到風(fēng)險(xiǎn)場(chǎng)景。ISO/IEC 27005將風(fēng)險(xiǎn)情景定義為“由最初的起因?qū)е虏黄谕蠊氖聭B(tài)序列或組合”。從定義可以看出,風(fēng)險(xiǎn)場(chǎng)景由起因和事態(tài)兩部分構(gòu)成。風(fēng)險(xiǎn)場(chǎng)景定義之后,ISO ISO/IEC 27005分別在“信息安全管理循環(huán)”、“風(fēng)險(xiǎn)識(shí)別“、“信息安全風(fēng)險(xiǎn)分析”、“選擇適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng)”、“監(jiān)視和評(píng)審”和附錄中均使用了風(fēng)險(xiǎn)場(chǎng)景的概念,特別是附錄中添加了大量對(duì)風(fēng)險(xiǎn)場(chǎng)景的描述??梢?jiàn),對(duì)于ISO/IEC 27005風(fēng)險(xiǎn)場(chǎng)景的理解非常重要。只有正確、全面理解風(fēng)險(xiǎn)場(chǎng)景,才能對(duì)新版的ISO/IEC 27005有更為清晰的認(rèn)識(shí),更好地指導(dǎo)風(fēng)險(xiǎn)管理工作的開(kāi)展。
02 風(fēng)險(xiǎn)場(chǎng)景的目的
通常,在風(fēng)險(xiǎn)框架中,風(fēng)險(xiǎn)場(chǎng)景的目的一是幫助決策者理解不利事件是如何影響組織戰(zhàn)略目標(biāo)的。二是構(gòu)建風(fēng)險(xiǎn)場(chǎng)景,為進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估提供輸入。在ISO/IEC 27005標(biāo)準(zhǔn)中,風(fēng)險(xiǎn)場(chǎng)景與風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置密切相關(guān)。風(fēng)險(xiǎn)場(chǎng)景必須清晰定義哪些因素會(huì)導(dǎo)致不利事件頻繁發(fā)生以及產(chǎn)生后產(chǎn)生的嚴(yán)重后果,并對(duì)這些因素進(jìn)行分解。
03 風(fēng)險(xiǎn)場(chǎng)景的編寫(xiě)
風(fēng)險(xiǎn)場(chǎng)景對(duì)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置非常重要,必須對(duì)風(fēng)險(xiǎn)場(chǎng)景進(jìn)行編寫(xiě)或表述。風(fēng)險(xiǎn)場(chǎng)景的編寫(xiě)通常用敘述性的語(yǔ)言,有多種不同的格式,例如:
(1)國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)使用的風(fēng)險(xiǎn)場(chǎng)景編寫(xiě)格式:由[原因]引起的[對(duì)目標(biāo)有影響的事件]導(dǎo)致了[后果]
(2)OpenFAIR(The Open Group, 領(lǐng)導(dǎo)廠商中立的開(kāi)放的技術(shù)標(biāo)準(zhǔn)和認(rèn)證的開(kāi)發(fā))使用的風(fēng)險(xiǎn)場(chǎng)景編寫(xiě)格式是:[威脅發(fā)起者]通過(guò)(可選)[方法]對(duì)[資產(chǎn)]造成了[影響]
兩種場(chǎng)景編寫(xiě)格式大同小異,但都覆蓋了ISO/IEC 27005中所描述的起因和事態(tài)兩部分內(nèi)容。
在ISO/IEC 27005中,風(fēng)險(xiǎn)識(shí)別提出了兩種方法,即基于資產(chǎn)的方法和基于事態(tài)的方法,這兩種方法都可以形成風(fēng)險(xiǎn)場(chǎng)景。可以考慮采用下圖來(lái)描述風(fēng)險(xiǎn)場(chǎng)景,由五個(gè)部分組成:發(fā)起人、威脅類(lèi)型、事態(tài)、資產(chǎn)/資源和時(shí)間。

在ISO/IEC 27005中引入風(fēng)險(xiǎn)場(chǎng)景的概念,為組織和相關(guān)方理解是什么原因?qū)е铝孙L(fēng)險(xiǎn)的發(fā)生,如何在組織內(nèi)外部環(huán)境不斷變化中開(kāi)展風(fēng)險(xiǎn)管理,起到積極、基礎(chǔ)和重要的作用。
參考文獻(xiàn)
[1] https://www.isaca.org/resources/it-risk
[2]https://csrc.nist.gov/projects/risk-management/about-rmf
[3] https://www.coso.org/pages/erm.aspx
——CISAW 風(fēng)險(xiǎn)管理認(rèn)證方向——
信息安全保障人員認(rèn)證(CISAW)風(fēng)險(xiǎn)管理方向是中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心針對(duì)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理領(lǐng)域的中高級(jí)專(zhuān)業(yè)技術(shù)人員和管理人員開(kāi)展的人員能力認(rèn)證。通過(guò)風(fēng)險(xiǎn)管理方向認(rèn)證,證明持證人員滿(mǎn)足《信息安全保障人員認(rèn)證準(zhǔn)則》的要求,具備網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理領(lǐng)域的專(zhuān)業(yè)知識(shí)和技能。CISAW風(fēng)險(xiǎn)管理方向綜合考查認(rèn)證申請(qǐng)人員在網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理領(lǐng)域?qū)︼L(fēng)險(xiǎn)管理標(biāo)準(zhǔn)、風(fēng)險(xiǎn)管理原則、框架和過(guò)程(包括環(huán)境建立、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)處置)等知識(shí)的掌握程度,運(yùn)用風(fēng)險(xiǎn)管理方法解決實(shí)際問(wèn)題的技術(shù)水平。