IT经理频道 国内外信息安全风险管理的动态与趋势
2008-06-20 11:40
作者:
来源:来自论坛
[摘要] 如今,风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛,在公众网络中间构建相对可信的网络,成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险,自然成为各方面都十分关注的问题,本文对国内外信息安全风险管理的动态和趋势作一简要勾勒,供大家参考。
如今,风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛,在公众网络中间构建相对可信的网络,成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险,自然成为各方面都十分关注的问题,本文对国内外信息安全风险管理的动态和趋势作一简要勾勒,供大家参考。
风险管理是当今全球信息安全工作的一个热点。据不完全统计,目前关于风险管理的正式出版物、书籍有20多种,博士论文有50多篇,政府工作报告超过100份,能够从网络上查到的学术论文近千份。风险管理的核心内容目前在国际上基本包括以下四个方面:一是确立风险意识的文化;二要对风险进行现实的评估;三是要确立风险承担制;四是将风险管理纳入信息化建设的日常工作中。
尽管风险管理还称不上是一门精确的科学,但说它是一门富于高度不可预见性的艺术则不过分,美、欧、亚太和相关国际组织均在该领域进行积极有益的探索。
1.美国:独占鳌头,加强控管
众所周知,美国的信息化程度全球最高、在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在风险管理以及政策支持方面也走在全球的前列:一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;二是形成了军、政、学、商分工协作的风险管理体系;三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。
(1)DOD:风险评估的领路者。纵观信息安全的历史,不难发现,美国国防部几乎影响了全世界的信息安全概念、观念和理念:1967年,DOD开始研究计算机安全问题,到1970年,即对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年,DOD提出了加强联邦政府和国防系统计算机安全的倡议。1983年,提出可信计算机系统评估准则(TCSEC),1987年,第一次对新发布的《计算机安全法》的执行情况进行部门级评估。1997年,美国国防部发布《国防部IT安全认证认可规程》(DITSCAP),该规程在2000年由国家安全委员会发布为《国家信息保障认证和认可规程》(NIACAP)。根据美国的网络安全国家战略计划,2007年将对政府各部门的信息安全状况进行更加全面的审计和评估。
(2)DOC/NIST:风险评估的推动者。在美国的信息安全风险管理领域,隶属于商务部的“国家标准与技术局”(NIST)扮演着十分重要的角色。2000年,NIST在《联邦IT安全评估框架》中提出了自评估的5个级别,并颁布了《IT系统安全自评估指南》(SP 800-26)。2002年,NIST发布了《IT系统风险管理指南》(SP 800-30),阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。从2002年10月开始,NIST先后发布了《联邦IT系统安全认证和认可指南》(SP 800-37)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦IT系统最小安全控制》(SP 800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP 800-60)等多个文档,以风险管理思想为基础加强联邦政府的信息安全。
(3)OMB/GAO:风险评估的监督者。为了确保信息安全风险管理工作落到实处,美国政府在各部门年度财政预算中专门安排了风险评估的经费。
1978年,美国白宫管理和预算办公室(OMB)发布《联邦自动化信息系统的安全》(A-71)通告。1979年,颁布第一个联邦风险评估的标准:《自动数据处理系统(ADP)风险分析标准》(FIPS 65)。尤为重要的是,2002年,颁布了《联邦信息安全管理法案》(FISMA),要求联邦各机构必须进行定期的风险评估。
美国总审计署(GAO)根据“信息技术投资管理办法”(ITIM)每年对各政府部门的信息安全情况进行制度化的评估和审计,并公布结果。
(4)学术界:风险评估的探索者。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。以卡内基梅隆大学为例:美国的国家安全计划和军方均对该校予以强有力的支持。我们非常熟悉的SSE—CMM(信息安全工程能力成熟度模型)以及这些年来为世界风险评估熟悉并采用的OCTAVE(信息安全风险评估方法),就是由该校研究提出的。
风险管理是当今全球信息安全工作的一个热点。据不完全统计,目前关于风险管理的正式出版物、书籍有20多种,博士论文有50多篇,政府工作报告超过100份,能够从网络上查到的学术论文近千份。风险管理的核心内容目前在国际上基本包括以下四个方面:一是确立风险意识的文化;二要对风险进行现实的评估;三是要确立风险承担制;四是将风险管理纳入信息化建设的日常工作中。
尽管风险管理还称不上是一门精确的科学,但说它是一门富于高度不可预见性的艺术则不过分,美、欧、亚太和相关国际组织均在该领域进行积极有益的探索。
1.美国:独占鳌头,加强控管
众所周知,美国的信息化程度全球最高、在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在风险管理以及政策支持方面也走在全球的前列:一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;二是形成了军、政、学、商分工协作的风险管理体系;三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。
(1)DOD:风险评估的领路者。纵观信息安全的历史,不难发现,美国国防部几乎影响了全世界的信息安全概念、观念和理念:1967年,DOD开始研究计算机安全问题,到1970年,即对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年,DOD提出了加强联邦政府和国防系统计算机安全的倡议。1983年,提出可信计算机系统评估准则(TCSEC),1987年,第一次对新发布的《计算机安全法》的执行情况进行部门级评估。1997年,美国国防部发布《国防部IT安全认证认可规程》(DITSCAP),该规程在2000年由国家安全委员会发布为《国家信息保障认证和认可规程》(NIACAP)。根据美国的网络安全国家战略计划,2007年将对政府各部门的信息安全状况进行更加全面的审计和评估。
(2)DOC/NIST:风险评估的推动者。在美国的信息安全风险管理领域,隶属于商务部的“国家标准与技术局”(NIST)扮演着十分重要的角色。2000年,NIST在《联邦IT安全评估框架》中提出了自评估的5个级别,并颁布了《IT系统安全自评估指南》(SP 800-26)。2002年,NIST发布了《IT系统风险管理指南》(SP 800-30),阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。从2002年10月开始,NIST先后发布了《联邦IT系统安全认证和认可指南》(SP 800-37)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦IT系统最小安全控制》(SP 800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP 800-60)等多个文档,以风险管理思想为基础加强联邦政府的信息安全。
(3)OMB/GAO:风险评估的监督者。为了确保信息安全风险管理工作落到实处,美国政府在各部门年度财政预算中专门安排了风险评估的经费。
1978年,美国白宫管理和预算办公室(OMB)发布《联邦自动化信息系统的安全》(A-71)通告。1979年,颁布第一个联邦风险评估的标准:《自动数据处理系统(ADP)风险分析标准》(FIPS 65)。尤为重要的是,2002年,颁布了《联邦信息安全管理法案》(FISMA),要求联邦各机构必须进行定期的风险评估。
美国总审计署(GAO)根据“信息技术投资管理办法”(ITIM)每年对各政府部门的信息安全情况进行制度化的评估和审计,并公布结果。
(4)学术界:风险评估的探索者。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。以卡内基梅隆大学为例:美国的国家安全计划和军方均对该校予以强有力的支持。我们非常熟悉的SSE—CMM(信息安全工程能力成熟度模型)以及这些年来为世界风险评估熟悉并采用的OCTAVE(信息安全风险评估方法),就是由该校研究提出的。
- 相关文章
- 精选专题
