ISO/IEC 27001 高阶架构 “规划” 之 风险评估

---写在前面的话---

我们该讨论信息安全风险评估章节了，简称“风险评估”，我把它称为“拍脑袋”。不要误解，这里的“拍脑袋”是中性词，因为真正的风险评估不是个人行为，是组织行为并且风险评估的结果需要是客观的、需要加入定量的元素，比如风险数值&概率计算，威胁大小的数据分析等等一系列复杂的运算，最后得出风险数值。而企业内部的风险评估基本就两步：1、发现有问题；2、经验判断风险；3、证明风险是正确的。有没有发现区别？信息安全风险评估应该是先评估，后有结果；但绝大多数情况是，先结果，后求证。

对于绝大部分组织来说，解决问题是最重要的，至于风险评估的方法，没有对错，没有好坏，只有适不适合。对于信息安全管理者来说，不一定关注风险值，目光要聚焦在“可以并能够”解决的问题上，并且要让问题决定风险高低，而不是要让风险高低决定问题。

---6.1 规划---

---6.1.2 信息安全风险评估---

组织应定义并应用风险评估过程，以：

a）建立并保持信息安全风险准则，包括：

        1）风险接受准则；

        2）执行信息安全风险评估的准则；

b）确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果；

c）识别信息安全风险：

        1）应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；

        2）识别风险责任人；

d）分析信息安全风险：

        1）评估 6.1.2 c） 1）中所识别风险发生后将导致的潜在影响；

        2）评估 6.1.2 c） 1）中所识别风险发生的现实可能性；

        3）确定风险级别；

e）评价信息安全风险：

        1）将风险分析结果同6.1.2 a）建立的风险准则进行比较；

        2）为实施风险处置确定已分析风险的优先级。

---如何理解与使用---

标准首先强调了风险评估的过程，参考ISO31000风险管理框架，风险管理过程分为：风险识别、‌风险评估‌、‌风险应对、监测与评审。风险评估是风险管理的一个环节，对于组织来说风险评估过程不重要，结果重要；对于信息安全管理者来说风险评估过程虽关键，但不重要；

举个栗子。

小木参与了一个关键数据外发治理的安全项目，项目背景、周期、规划等等小木一概不知，就这样稀里糊涂的拉入了一个项目组，莫名其妙的被要求写一个数据安全方案，小木后续的方案汇报均围绕技术方案调研、技术方案落地成本、任务拆解、时间点要求开展，唯独没有纳入对业务风险的评价。为什么？因为这个任务来自高层，汇报内容也会直达高层，讲数据风险是浪费高层的时间，讲该方案的落实结果才是重点。就这个场景来说，过程重要吗？对于高层来说不重要；对于小木的+1、+2来说重要吗？也不重要。对小木来说，也不重要。

但是，在制定方案的过程中，每一次的业务调研、每一次的会议拉通，小木都会偷偷进行风险评估，目的是想制定利用相关方（业务、领导、高层）都能接受并且能最大限度降低风险（a 建立并保持信息安全风险准则）的解决方案，其次是为了发现其他更为严重的安全风险（c 识别信息安全风险）。但其他安全风险小木会偷偷观察，按住不表，为什么？风险评估是一定要做的但不要动想法去解决，只降低关键数据外发的风险，其他风险先记录下来，下次处理。安全管理的日常工作一定要有边界感，一次聚焦解决一个问题，不要贪心、不要责任心泛滥，有时候步子迈大了真容易扯到蛋。

其次，作为信息安全管理者，如何正确理解"分析信息安全风险","评价信息安全风险"的内容。我的答案是，除非你能拿出数据将这些内容量化，否则自己凭经验“拍脑袋”就完了，然后相信你的判断是正确的。

如果风险评估是仅仅是个人行为，那就让它变成你成事的工具，让你的风险分析评价结果支撑你要做的事情，不要追求绝对客观，不要扮演众人皆醉我独醒，事不成，最后发现醉的是你。

不聋不瞎，不配当家，这道理得懂。