天天看点

ISMS、ITSM和BCMS三体系风险管理研究

本文主要描述了信息安全管理体系(ISMS)、信息技术服务管理体系(ITSM)和业务连续性管理体系(BCMS)三体系中有关风险管理标准规定,以及对三体系中涉及的风险管理的理解和实施建议。

信息安全管理体系(ISMS)国际标准2022版、信息技术服务管理体系(ITSM)国际标准2018版和业务连续性管理体系(BCMS)国际标准2019版在第6章规划和第8章运行中都提到了风险管理。依照标准的要求,组织在实施标准体系过程中必须实施风险管理。如果组织同时实施三个体系,如何理解第6章的风险和第8章的风险管理?风险管理在三个体系中的应用是否相同?本文从对三个体系风险管理的要求、区别和如何实施等方面分别进行分析。

ISMS、ITSM和BCMS三体系风险管理研究

一信息安全管理体系中的风险管理

2008年,大陆正式发布国家标准GB/T 22080-2008,完成信息安全管理体系国际标准2005版的转换。随着标准版本的升级,标准本身也有所变化,如风险识别过程的变化。信息安全管理体系从国际标准的2005版,发展到2013版,又升级到现在2022版,经过了三次版本的变化。在2005版的标准中,4.2.1建立ISMS[1]。从标准的规定可以看出,风险评估的识别基于信息资产。因此,当年的信息安全管理体系的风险评估都基于信息资产开展,否则不符合标准的要求。在2013版标准中,6.1.2信息安全风险评估[2]。2013版标准中风险的识别,已经不再强调“资产”。2022版标准,6.1.2信息安全风险评估[3]。2022版标准在2013版标准的基础上,同样不再强调“资产”,体现了现代管理体系注重的是风险管理的理念,核心思想是为组织业务服务。

信息技术服务管理体系中的风险管理

信息技术服务管理体系国际标准2011版中没有对风险管理做出明确的规定。信息技术服务管理体系国际标准2018版按照标准化结构进行规划,在第6章规划中有提及,如6.1应对风险和机会的措施[4]。

信息技术服务管理体系2018版标准,第8章节中,针对变更管理流程、服务可用性管理流程、服务连续性管理流程、信息安全控制管理流程,均提到了流程管理过程中的风险。

信息技术服务管理体系对于风险管理的变化,强调了现代管理的本质,即:风险管理是核心。

业务连续性管理体系中的风险管理

业务连续性管理体系国际标准2019版第6章规划分为3部分内容,其中6.1应对风险和机会的措施部分包括:6.1.1确定风险与机会、6.1.2应对风险和机会、注释内容。风险和机会与管理系统的有效性有关,与业务中断有关的风险在8.2中解决[5]。

业务连续性管理体系2019版的标准内容和2012版相比,对风险管理的总体要求没有大的变化,风险管理是业务连续性管理体系中的一个非常重要的部分。

三体系第6章规划和第8章运行中风险管理的区别

三体系中均在第6章规划中提到了风险,除了信息技术服务管理体系在第8章中没有专门提到风险管理相关内容,其他2个体系均在第8章中提到风险管理相关内容。

第6章有关风险的标准规定和第8章有关风险标准规定是不同的。第6章属于规划,应该涉及两方面事项:一是对在实施管理体系规划过程中可能出现的风险应进行风险评估,即根据组织本身的业务情况、组织所处的环境、相关方的需求和期望分析组织在规划三个管理体系时,可能遇到的风险以及由此带来的机遇。二是在体系规划过程中,应对风险管理进行规划。规划的内容包括:风险评估过程、风险评估实施准则、识别风险、风险分析、评价风险和风险处置。

第8章主要是关于风险评估的具体实施。以下通过举例说明第8章如何实施。如,某公司为客户提供信息系统软件研发服务,与客户签订合同之后,风险管理部门组织进行风险评估,依照第6章的规划进行风险识别,可采用头脑风暴法识别系统规划、分析、设计、实施过程中的风险,如有风险登记册,还可以参考风险登记册中的风险,然后针对识别出来的风险发生的可能性、造成的损失逐个进行风险分析。可采用定量或定性法判定每个风险值(定量)或者风险的级别。如风险值高(依照第6章的规划)或者风险级别为高的风险项,应采取风险应对措施,制定风险处置计划,明确风险处置的责任人。一旦风险处置完成,对处置后的风险项进行再评估,以判定经过风险处置后的风险级别是否达到可接受的状态。

标准中第8章运行中提到的风险主要涉及运行过程中的风险。三体系均需按照计划的时间间隔,或当重大变更提出或发生时进行风险评估,制定风险处置计划,并保留文件化信息[6]。

风险评估的活动伴随着项目的全生命周期,在每次风险评估之后,应将风险评估的过程记录进行归档。

三体系第6章规划实施的建议

如果组织同时实施三体系,那么在体系规划过程中是否需要单独做三份规划过程中风险与机遇分析?是否分别制定有关风险评估方面的管理规定?如果一个组织先实施信息安全管理体系和信息技术服务管理体系,后实施业务连续性管理体系,又该怎么办?

首先,有关风险评估过程、风险评估实施准则、识别风险、风险分析、评价风险和风险处置的管理规定,组织在规划过程中没有必要分别制定。无论从节约企业资源的角度,还是组织在实施管理体系过程中的便利程度,建议做好管理体系文件编写的融合工作。

其次,三体系规划过程中的风险与机遇分析,内容应全面包含信息安全的风险、服务的风险和中断的风险。

最后,如果体系的规划有前有后,那么应在原有体系实施的风险与机遇的基础上,补充后来规划的体系的风险与机遇的内容,并同时对原风险评估过程、风险评估实施准则、识别风险、风险分析、评价风险和风险处置的管理规定进行修订。

三体系第8章运行中风险管理的实施

三体系第8章运行部分实施风险评估要注意每个体系的侧重点,不能简单用某一个体系风险评估代替其他两个体系的风险评估。

信息安全管理体系在实施过程中风险评估的核心是信息安全风险。信息技术服务管理体系风险评估的核心是服务过程中的风险,尤其在服务过程中变更管理流程、服务可用性管理流程、服务连续性管理流程、信息安全控制管理流程的风险,对上述风险要进行充分识别。业务连续性管理体系的风险评估应基于业务影响分析的结果进行,核心是中断带来的风险。至于是什么样的中断,取决于组织从事的是什么类型的业务,但一定是核心业务。

基于以上原因,为保障风险评估的有效性,三体系在实施过程中的风险评估应分别开展。

总结

每个组织的业务情况有差别,组织内部文化也有新差异。随着人们对风险管理认识的不断增强,以及风险评估工作对于预防重大事件发生的前期重要作用,组织在实施三体系过程中,应高度重视风险评估的工作,并根据实际情况实施风险管理。

继续阅读