· 公众号:业务连续性+ 原文链接 ↗

ISO/IEC 27005白皮书

ISO /IEC 2700 5 介绍

7月9日,ISO发布I SO/IEC 27005:2018 ,这是该标准的第 3 个版本,是该标准2 011 年 改版 后的再次修订。

在我们这个超级链接、技术驱动的世界中,数据泄露和网络攻击是组织当前面临的重大威胁。保护公司信息的安全(无论是商业敏感信息还是客户的个人身份信息)受到前所未有的关注,诸如欧洲GDPR 等新的立法意味着组织面临更大的压力,必须确保信息安全才能赢得商业成功。但衡量什么样的技术、流程是合适的是个难题, 《ISO/IEC 27005:2018 信息技术 - 安全技术 - 信息安全风险管理》 ,提供了一套适用于信息安全的风险管理方法,它通过提供有效管理风险的框架,为组织提供指导,帮助组织解决信息安全管理问题。

Edward Humphreys 是 ISO/IEC工作组的召集人,同时开发了ISO/IEC 27001和ISO/IEC 27005,他说 这个 更新后的标准是ISO/IEC“网络风险工具箱”中的关键工具。“ISO/IEC 27005为组织提供 “ why 、what和h ow”, 支持组织按照I SO/IEC 27001有效地管理信息安全风险”,他说 , “它还有助于向组织的客户或利益相关 方 证明 稳健 的风险流程已经到位,让他们相信自己 可以安全 做生意。”

ISO/ IEC 27000 标准族

在ISO/ IEC 27000 标准族中, I SO / IEC 27005 是一个支持和资料性标准。

配图

ISO /IEC 27000 标准族的核心框架

在这个框架图中,我们可以看到: • ISO/ IEC 27000 : 2018 综述和词汇 描述了ISO/ IEC 27000 ISMS标准族的整体结构 与 范围,并给出了术语表,为整个标准族奠定了基础;2 018 版为其最新版本; • ISO/ IEC 27001:2013 信息安全管理体系要求 正式指明了ISMS的要求,组织可以依据此标准进行认证,说它是整个标准族的核心丝毫不为过;2 013 版为其最新版本; • ISO/ IEC 27002:2013 信息安全控制实用规则 提供了一个公认的控制目标和控制最佳实践的列表(用于选择和实施),为信息安全控制的实施提供指导;它与ISO/ IEC 27001 是伴生的,2 013 版为其最新版,从第5条到第1 8 条( 14 个领域,1 13 个控制项 ) 提供了具体的实施建议和指导,以支持I SO/IEC 27001:2013 A.5 至A .18 中指定的要求; • ISO/ IEC 27003:2017 信息安全管理体系实施指南 提供ISO/ IEC 27001 的解释和实施的程序化指导;它是重要的参考性标准,2 017 版为其最新版; • I SO / IEC 27004:2016 信息安全管理测量 “如果你无法测量它,你就无法管理它”,测量在管理中具有举足轻重的地位。ISO/ IEC 27004 提供了一个框架,可以按照ISO 27001 的测量和评价对ISMS有效性进行评估,2 016 版为最新版; • ISO/ IEC 27005:2018 信息安全风险管理 信息安全管理本质上是风险管理,信息安全管理体系是整个组织全面风险管理的重要组成,ISO /IEC 27005 承接ISO统一的风险管理标准“ISO 31000 风险管理

指南”,为实施流程导向的信息安全风险管理提供指导;2 018 版为其最新版; • ISO/ IEC 27006:2015 信息安全管理体系审核和认证机构要求 作为ISO/ IEC 27001 要求的补充,对实施ISMS审核和认证的机构规定了要求并提供指南;这是个小众但极为重要的标准,2 015 版为最新版。

在这几个关键和基础性标准中,ISO /IEC 27001 和ISO /IEC 27002 在2 013 年进行修订,随后ISO /IEC 27006 、ISO /IEC 27004 、ISO /IEC 27000 和ISO /IEC 27003 分别进行了改版,今年年初,ISO /IEC 27000 再次改版,7月,ISO/ IEC 27005 进行修订,至此,从2 013 年开始的ISO /IEC 27000 标准族的核心标准全部完成更新,与ISO /IEC 27001:2013 保持一致。

ISO 31000 与 ISO/ IEC 27000 的关系

配图

ISO/IEC 27005与ISO/IEC 27001 中 处理风险管理的部分紧密 关联 。ISO/IEC 27005关于信息安全风险管理的一般框架实际上是对ISO/IEC 27001的4.2.1c至4.2.1h和4.2.3d条款的详细阐述,也与ISO 31000的风险管理一般框架密切相关。ISO/IEC 2 7 00 5:201 8 符合ISO 31000 中提出的风险管理的通用 要求。

信息安全风险管理过程(基于ISO/ IEC 27005)

ISO /IEC 27005 提供了组织中信息安全风险管理的指导方针,标准中并未提供任何特定的信息安全风险管理方法,而是提供了通用的风险管理过程和风险处置活动。ISO/ IEC 27005 的主要条款如下:

第5条背景 第6条信息安全风险管理过程综述 第7条环境建立 第8条信息安全风险评估 第9条信息安全风险处置 第1 0 条信息安全风险接受 第1 1 条信息安全风险沟通和协商 第1 2 条信息安全风险监视和评审

第5条背景 信息安全风险管理过程可以应用于组织的一部分(如 部门、物理 场所 、服务 ),或 应用于整个组织以及任何信息系统。信息安全风险管理的方法是系统的 、有效的,其方法 与组织的总体目标相一致。

第6条信息安全风险管理过程概述 ISO /IEC 27005:2018 提出了一个 8 步的风险管理过程(如下图 ) ,包括:环境建立( context establishment) 、风险识别( risk identification) 、风险分析( risk analysis) 、风险评价( risk evaluation) 、风险处置( risk treatment) 、风险接受( risk acceptance) 、风险沟通与协商( risk communication and consultation) 以及风险监督与评审( risk monitoring and review) 。

配图

与ISO 31000 一致的风险管理过程

第 7 条环境建立 该条款对信息安全风险管理环境 建立 提供指导, 它 明确 了需要为风险管理方法、风险评 价、影响和风险接受建立 基本 准则 。

基本准则(basic criteria) 需要选择 适合基本准则的风险管理方法。此外,组织须评估必要资源的可用性,如: • 执 行风险评估并建立风险处理计划 • 制定并执行 方针 和程序,包括所选控制的实施 • 监视 控制 • 监 视 信息安全风险管理 过 程。

随后,在 开发 风险评价准则 时需要考虑的几个问题,如: • 企业信息过程 的战略价值 • 涉及信息资产的关键程度 • 法律和法规要求和合同义务 • 可用性、保密性和完整性的运营 和商业重要性 • 相关 方 的期望和看法,以及对商誉和声誉的负面影响

还应确定 影响准则 ,以表明信息安全事件将如何影响信息资产、运营、业务、财务价值、计划、截止日期、声誉以及法律、法规 或合同要求。

风险接受准则 取决于组织,并且可以包括在最高管理层批准的例外情况下, 风险在期望目标 水平的多个阈值。这 些 准 则 可以表示为估 算利益 与估 算 风险的比率。

范围和边界 信息安全风险管理的范围需要由组织确定 。这使组织能够确保在风险评估中考虑到相关资产。

第8条信息安全风险评估

配图

风险处置活动

风险评估确定 信息资产的价值 , 识别 适用的 威胁和 存在(或可能存在)的 脆弱性 ,现有的 控制及其对 识别风险 的影响 ,确定潜在的后果,并对得到的风险优先排序,根据在环境建立时设定的风险评价准则 对其 设定等级。 风险评估 包括 风险识别 、 风险分析 和 风险评估 。

风险识别 风险识别的目的是确定可能发生什么导致潜在的损失,并了解如何、在何处以及为什么可能发生损失。风险识别包括以下步骤: • 识别资产—不只 包括 软硬件 • 识别威胁— 可能是自然的或人 引起的,可能是偶然的或故意的 • 识别现有的控制 — 控制列表可以在ISO/IEC 27001中找到 • 识别脆弱性 — 可能存在于组织、过程和程序、管理程序、人员、物理环境、信息系统 配置 、 软硬件 或通信设备、对外部的依赖 • 识别后果—可能表现为 效 率损失、不利的经营状况、 商业 损失、名誉、赔偿 等。

风险分析 风险分析方法可分为定性分析和定量分析。 风险分析 包括3 项 子条款: • 评估后果— 严重依赖资产 估价 • 评估 事 件可能性 —考虑威胁发生的频率,以及漏洞被利 用的容易程度 • 确定风险水平 — 输出带风险值的 风险列表

风险评价 斟酌风险分析结果 ,风险评 价还包括需要做出何时 采取 或不采取行动的 决定,或者 优先排序风险处置(依据 估 算 的风险水平 ) 。

第9条信息安全风险处置 根据该条款,可以基于风险评估结果和成本效益分析选择 4 种风险处置方式:风险修正( risk modification) 、风险保留( risk retention) 、风险规避( risk avoidance) 和风险分担( risk sharing) 。

配图

风险修正( risk modification) :通过变更控制实现 ,这些控制可以通过纠正 ( correction) 、消除 ( elimination) 、预防 ( prevention) 、影响最小化 ( impact minimization) 、威慑 ( deterrence) 、检测 ( detection) 、恢复 ( recovery) 、监测 ( monitoring) 和意识 ( awareness) 来保护资产。在变更控制 时,确保解决方案 同时 满足 绩效 要求和信息安全非常重要。通常, 有时间、财务和技术等限制条件 。

风险保留( risk retention) :如果风险评估结果表明风险可接受 ,那么可以简单地保留 风险, 不需要 变更 任何控制。

风险规避( risk avoidance) : 可以通过完全 规避活动或 引起 这种情况的 风险来实现。当处理风险 的成本太高,或者风险自身 太高时, 适用这种选择 。

风险分担( risk sharing) :该 处 置选项涉及到其他 方,如保险公司或分包商。 切记 , 风险分担并不意味着责任的分担 ,因为 事件后果 仍然 在该 组织。

第1 0 条信息安全风险处置 在风险处置后,组织需做 出 是否接受剩余风险 的决定, 由 负责的管理者审查和批准。 作为 结果,组织 应列出接受 风险, 并对不符合组织正常风险接受标准的风险进行 说明。

第1 1 条信息安全风险沟通与协商 根据该条款,信息安全风险需要在风险责任人和 相关 方之间进行沟通。这种信息安全风险沟通应为风险管理成 果 提供保障、分享风险评估结果、支持决策和提升意识。组织应 为 正常和紧急情况编制 风险沟通计划。 持续理解组织的信息安全风险管理过程及其结果才能得到这些成 果。

第1 2 条信息安全风险监督和评审 该条款 为信息安全风险因素(和风险管理一样 ) 提供监督和评审 。

风险因素的监督和评审 :由于风险 会因为 脆弱性、可能性或后果的变化而改变,所以组织需要持续监 测 。特别是,组织需要确保监测以下内容: • 风险管理范围内的新资产 • 修正 的 资产价值 • 新威胁 • 新 漏洞 • 可导致不可接受收风险水平的、升高 的影响或后果 • 信息安全事件

风险管理的监督和审查以及改进 :为了确保 环境 、风险评估结果、风险处理和管理计划 保持相关和适宜于特定情况,有必要对信息安全风险管理不间断地监督和评审。 此外,需要 对相应管理人员的知识进行必要的改进。该阶段需要解决的问题是:旧 准 则 验证、法律和环境背景、竞争 环境、风险评估方法、资产价值和类别、总拥有成本和必要资源。监督和改进的结果可能是修改或添加风险管理过程中采用的途径 、方法或工具。

ISO/ IEC 27005 的未来与发展

7月9日,I SO/IEC 27005:2018 正式发布 ,这是该标准的第 3 个版本,是该标准 2 011 年 改版 后的 再次 修订 。

与上一版本(ISO /IEC 27005:2011) 相比, 这次改版 的主要 变化包括 反映IS O/IEC 27001:2013 带来的变化并与其保持一致,以及其它的编辑性修订 , 这是 一次有意义但并不彻底的修订 ,因为 并未解决ISO/ IEC 27005 面临的两大问题:

• 如何定位 信息安全风险管理 信息安全管理的本质就是风险管理,ISO/ IEC 27000 标准族用数十个标准对信息安全管理体系的策划、建设、运行、保持和改进提出要求并 给出指导。因此,有人认为,既然如此,那是否还 有必要有 一个 独立的信息安全风险管理 标准, 即 “ I SO/ IEC 27005 是多余的”,此次修订并未回应该疑问; • 如何应对ISO 31000 的改版 ISO / IEC 27005 提出了信息安全的风险管理框架,而 “ISO 31000 风险管理 – 指南”在今年2月改版,迎来了 不少重大变化,而 这些变化并未同步反映在ISO / IEC 27005 中 ( 下面我们花些篇幅简要介绍一下ISO 31000 的改版及可能的影响 ) 。

期待ISO/ IEC 27005 的第4版与ISO /IEC 27001 下一个版本同时发布,并解决这些问题。

重要参考

ISO /IEC 27000 ISMS标准族包含 6 0 多项标准,目前已有5 0 多项标准发布,这些标准之间的关系如下图所示:

配图

信息安全管理体系标准族关系图

可参阅 以下 公众号文章 ,更全面、深入地了解ISO /IEC 27000 标准族: 阅读与思考20180805 · ISO/IEC 27000标准族更新

本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。

配图

原文发表于公众号”业务连续性+” | 原文链接