【安全建设】【转载】关于ISO 27001及其实施难点

最近开始在公司着手安全建设方向的工作，自己也是从0开始学习。在学习过程中发现了一篇非常好的文章，看完以后我对ISO 27001安全标准有了更深的理解。因此转载过来，分享给你们大家，也作为这个新的专题的第一篇文章。

原文url：https://www.freebuf.com/articles/ics-articles/236842.html

摘要：

本文重点探讨ISO27001标准体系建设文档的编制，以及在体系建设实践过程中各阶段的难点与解决方式。

1. 什么是ISO 27001?

ISO 27001的前身是英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，于1995年5月修订而成。1999年BSI重新修改了标准。BS7799主要分为 BS7799-1（信息安全管理实施规则）和BS7799-2（信息安全管理体系规范），分别描述了对信息安全管理的建议与要求。

ISO 27001是由国际标准化组织（ISO）颁布的，用于指导组织建立信息安全管理体系（ISMS）的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，目前最新版本为ISO 27001：2013，于2013年10月9日正式颁布实施。

2. ISO27001认证的收益

1、提高组织信息安全保护能力；

2、获得国际认同的认证证书，提高组织认同感，提升商业价值。

本文侧重于将ISO27001标准要求融入到企业日常工作流程中，完成信息安全管理体系（ISMS）的“落地”，兼顾标准认证与落地，解决业务安全管控问题的同时提升企业核心竞争力。

3. ISO 27001的核心与主线

3.1 以资产安全为核心

资产是组织价值的核心，安全作为业务发展的保障，将始终围绕资产安全开展。ISO27001中，清晰的资产是开展风险评估、访问控制策略设计等的前提，如何确保资产安全，是ISO 27001各控制域需要回答的核心问题。

资产的价值决定安全投入多少，资产价值与安全投入成正比，资产价值越高，安全投入越大，反之亦然。ISMS体系的建设应同其要保护对象的价值、组织的价值相匹配。

资产的属性决定安全保护措施，资产呈现为不同的属性，包括有形资产、无形资产；软件资产、硬件资产；资产的属性决定安全保护措施的选择，服务器等硬件资产，需要安全的空间进行存放，并配备门禁等，确保其恶意的人员接触；核心数据资产，需要采取加密手段，保障其存储、传输过程的安全；多种资产属性的组合/**需要采取多种保护措施，甚至额外保护措施，承载核心数据的服务器需要存放在安全的空间中，其上核心数据应加密存储，并采取备份措施。

3.2 以风险管理为主线

如果说资产是ISO 27001实践的核心，那么风险管理则是其主线。一切活动的开展都是风险管理的延伸。

ISO 27001各控制域中对风险管理的思想体现的淋漓尽致，旨在确保组织面临的风险始终保持在可以接受的范围内。安全策略制定，安全控制措施选用，均是在明确的风险偏好下，参照风险评估结果，进行的预防、监控或处置。

3.3 ISO27001落地是一场马拉松

ISO27001标准体系的落地就像是场马拉松，ISMS建设与运行是需要持续PDCA持续，滚动升级。风险是动态的，安全也是动态的，所以组织获得认证机构颁发ISO27001信息安全管理体系认证证书，仅能说明组织获得认证时的状态：存在一套正在运行的、较完整的信息安全运行流程与机制。组织的信息安全管理水平，需要在长期的实践中进行检验。

ISO27001标准体系落地的难点在哪里？根本上讲，需要找到业务与安全的平衡点，任何安全控制措施的实施都会给降低业务运行效率，不论是增加安全设备，还是流程。安全的目标是为了保障业务的正常稳定运行，而不是阻碍业务的发展，因此，解决好业务和安全的平衡是ISO 27001标准体系落地的根本难点

4. ISO 27001标准体系落地的难点有哪些？

4.1 资产不清晰

资产是ISMS保护的对象，资产的不清晰将导致安全策略的无效、冗余、甚至缺失。在小型组织中，资产数量和类型往往较少，但是在大型组织中，资产数量和类型纷繁复杂，如何将资产梳理清楚已经成为普遍认识的难题，资产梳理的结果往往仅停留在一张表，无法为ISMS的建设提供实质性的基础支撑。

· 资产权属不清晰，资产的所有者、管理者、使用者模糊不清，导致资产有人用，无人管；

· 资产价值不清晰，资产价值被过高或过低的评价，造成保护过当或不足；

· 资产位置不清晰，资产可能在多个地点存在副本，如数据的流动往往会造成其在多处存在副本，资产位置不清晰，将导致部分资产处于0防护状态；

· 资产访问需求不清晰，谁需要使用，怎么使用，始终处于动态变化过程中。

资产是动态的，资产的权属、价值、位置、访问需求等均处在动态变化的过程中，若做不到资产的持续动态监控，那么安全管理策略在制定出来的那一刻，就已经部分失效了。大型组织要注重采用有效技术手段提高资产持续动态监控的能力，做到资产的时时清晰。

4.2 风险不清晰

风险是ISMS建设的主线，目标是保证保护对象面临的风险始终在组织的可接受范围内，风险的不清晰将导致风险应对措施失效，既造成了资源的浪费，又无法降低真正的风险。

在现阶段，如何做到风险的持续有效监控，是组织面临的一大挑战，主要原因包括：

· 风险评估人才门槛高

· 过度依赖技术手段

需要对组织面临的风险情况进行监控，不断调整更新ISMS，以适应风险环境的变化。

5. ISO27001体系建设文档编制说明

从ISO27001信息安全管理体系的整体控制域而言，信息安全管理主要分为三部分：第一部分为安全管理基础架构的搭建，包括安全规则（框架）、组织（管理者）、资产（保护对象）等，分别对应的是控制域A5安全方针、A6信息安全组织以及A8资产管理；第二部分为事前管理，主要涵盖了预防性的管理措施与要求，包括了A9~A15以及A7人力资源安全几大控制域；最后一部分为事后管理，主要是在安全事件发生后的处理措施与计划，以及法律法规符合性层面的要求，对应的控制域为A16信息安全事件管理、A17信息安全业务连续性管理以及A18符合性。

体系建设阶段的文档编制始终是围绕着ISO27001的指导思想来编纂的，并将各个控制域的要求与核心内容融入到组织既有的流程当中，形成完整的信息安全管理体系文件。这里需要注意的是，安全管理要求是不能够脱离组织业务流程而单独存在的，这也是组织信息安全管理体系落地的一大关键。

严格意义上来说，体系文件通常可分为四级文件：

一级文件涵盖组织ISMS总体方针、目标、组织结构以及政策适用声明等内容，是指导性文件；

二级文件体现的是ISO27001标准各控制域的管理策略，是从要求层面考虑的；

三级文件是安全控制措施与组织业务流程相结合的管理程序，一定程度上可以看作是执行层面上的业务流程安全控制措施指导书或业务安全操作流程手册；

四级文件是一些管理程序对应存在的工具模板、记录、表单等。当然，组织的ISMS文件形式上并非一定要拘泥于上述划分，但应确保满足标准的各项要求。

体系文件建设的难点在于安全控制项（要求）与组织既有业务流程的契合度是否足够高，许多组织存在将标准中控制要求“填鸭式”地“组装”到现有流程当中而不考虑业务的兼容性，这样的制度文档通常看似“漂亮”，但事实上在业务执行过程当中会产生诸多不合理的要求与步骤，几乎不具有实践意义。

程序文件编纂过程中的一个关键点在于梳理角色职责的映射关系（RACI）。在ISMS的建设过程中，由于在不同业务环节中增加了部分安全控制措施，或多或少地会延长相关业务流程，而若这些新增的安全控制措施责任人（包括实施者）不明确，则势必会造成业务混乱、角色/部门间的矛盾甚至是安全控制措施的真空。所以在每份程序文件中，角色与职责的对应矩阵都应被清晰的展示，这也是程序文件具有可操作性的必要前提。

再者，程序文件中业务流程安全控制的可检查性同样是信息安全管理体系落地的关键。不同安全控制措施的有效性需要通过对应的检查流程进行验证，必要时可附加四级文件描述相关的检查标准（定期、定量、定点等）。由于检查工作也是需要对应到相关责任人（包括实施者），可操作性同样必不可少（RACI中体现）。

1.1 体系宣贯与试运行

“实践是检验真理的唯一标准”。任何未经试运行检验的安全体系都是不成熟、不可靠的。试运行阶段就像是一场模拟考，对已搭建完成的信息安全管理体系是否能够很好的运转进行的一次测试，同时也是体系建设者对体系寻错、纠正、调整的一次绝佳时机，更重要的是，该阶段践行着PDCA戴明环中“检查（Check）”和“处理（Act）”两个环节，为体系后续真正运行后进入下一循环做铺垫。

1.2 以风险为导向持续优化

信息安全领域的涉及面非常广，组织需要面临新的威胁与相对应的管控机制也层出不穷，即便是一家再大的组织，也无法全部都做到尽善尽美。况且组织在信息安全领域的投入（无论是人力还是资金）也不可能无所限制，如何利用有限的资源更有针对性的进行安全投入才是组织最需要思考的问题。但不变的是，信息安全终究是为了业务而服务的，所以信息安全管理体系的建设与投入始终是要以风险为导向，同时组织真正的安全风险痛点也需要信息安全管理人员不断花时间与精力去发现和研究。

在信息安全管理体系的建设和维护过程中，需要时刻避免对ISO27001标准的教条理解、缺少与组织实际风险场景的结合，甚至是不分重点、照本宣科地去执行信息安全管理体系要求。要知道冷冰冰的制度规范不仅发挥不出其在管理上应有的作用，反而会伤害到组织的运作效率甚至管理者的真正利益，造成本末倒置。

最后需要强调的是，风险是会永久存在的，安全体系的落地建设是一项长期工程。组织需要做的就是务实，不断地寻找发现已有的或可能出现的风险，并对他们进行处理、管控、预防，重新建设或调整即有的安全管理架构，增强安全体系韧性，提高安全维度。

只有不断践行PDCA循环，才能让组织在信息安全方面持续地散发活力，让安全与业务达到一个更加稳定、平衡的状态，更自信地迎接来自信息时代的安全威胁与挑战。

2. ISO27001体系建设实践过程中各阶段的难点与解决方式

##
2.1资产识别

万事开头难。组织信息资产识别与收集的工作是在信息安全体系建设初期阶段进行的，对于后续风险评估与体系文件设计编纂具有很好的参考价值，有效的资产识别对于组织资产安全乃至于整体的信息安全来说都是不可或缺的，但这往往也是组织最容易轻视甚至忽视的要点。

许多人会不假思索的认为资产识别就是把现有的六大类信息资产做个汇总形成清单，然后给出各资产的C（保密性）、I（完整性）、A（可用性）评分，符合ISO27001的A8资产管理控制域（以及A15供应商关系控制域的部分内容）的各项控制点即可，但这不过是纸上谈兵，想要做到全面、准确且有效的信息资产识别这并非易事。

即便是对于专门配备有资产管理部门的组织来说，也往往因为无法兼顾安全属性而导致识别过程中出现漏洞与缺陷，无法做到尽善尽美。即便是由安全部门进行信息资产识别的工作，也会因为各部门间的配合、对资产安全的理解与认识、时间等因素导致无法顺利开展。（上图为非人员，下图为人员）

信息资产与其他物理形式的财务资产不同点在于：信息资产不是一成不变的，它是一种携带动态属性的资产，存在于所承载的信息全生命周期当中的一个阶段或多个阶段，不同的信息资产具有其独特资产价值，而通常来说，同一种信息资产在信息生命周期中的不同阶段会产生不同的资产价值，正是这种动态属性赋予了资产识别更深刻的意义。

信息资产的分类方式通常是根据组织的业务类型特点所决定的，但总体上不会有太大的偏差。根据ISO27005:2008中资产识别章节的描述，分为基本资产和所有类型的支持性资产（资本资产所依赖的范围）。

基本资产又分为业务过程或活动以及信息两大类，而支持性资产包括了如硬件、软件、网络、人员、场所、组织架构等。在这样的资产框架下，不同组织按照各自的业务重点进行有针对性的分类。如下图是一种常见分类方式（其中数据资产较为特殊，放到本章节最后谈）：
资产大类确定后，可以对每类资产进行二级分类、三级分类等拆分细化。而对于相同类别、相同位置、相同所有者和管理者、脆弱性和面对威胁类似的信息资产，在识别过程中可归纳为一个资产，同样的若是从信息系统为出发点进行资产识别时，某个信息系统所属的应用程序、服务器操作系统、数据库、中间件等，也可以再次归纳识别为一个“资产组”。

因为像这样对有逻辑关联性的资产进行合并归纳，大大减少了工作量的同时，还能更清晰的理解组织资产间的关系纽带，可以为后续风险评估工作中的落地提供更有价值的参考。

划入后续风险评估范围和边界的每项资产都应该被识别和评价，资产识别的不准确，可能会造成后续风险评估的对象模糊、体系文件范围不清晰、甚至是各角色岗位的管理（针对资产）出现真空等一系列问题，影响的是整个信息安全体系建设的过程。

当然，也不要因此产生排斥、恐惧，信息资产识别的对象并不是组织所有的资产，识别的是与信息和信息处理设施有关的资产，这与资产盘点还是有本质区别的，所以只要有计划、有条理、有层次、模块化的将信息资产识别的工作推进下去，并做好知识传递与宣导，才能打好ISO27001标准贯彻的地基。

需要明确理解的一点是，资产识别的工作不是组织的信息安全部或资产管理部等某一个部门的责任，而是需要全公司所有部门的共同配合与参与。事实上ISO27001标准体系就是面向全公司层级的全方位安全建设。

所以作为体系建设的牵头者（通常为组织的信息安全部），第一要务应该是通过培训宣贯等方式，向各部门传达体系建设的重要性。除此之外，信息资产识别作为体系建设的基础，要让各部门清晰地了解到信息资产的属性、分类及相关定义，清楚识别每项资产的所有者（owner）、管理者和使用者，以免为后续的风险处置阶段造成不必要的争端与麻烦，阻碍体系落地的进程。
其次，统一资产清单模板、委任各部门资产识别负责人的工作同样必不可少。资产清单模板的统一是为了便于后续所有部门资产信息回收后的汇总。鉴于个别部门业务与资产的特殊性，模板的设计就需要考虑更周全，如资产的分类是否涵盖全面、各类资产的属性描述是否准确等。而筛选出各部门最适合资产识别的负责人，则可以大大提高资产识别的效率及准确性。

通常部门会有专门负责内部资产管理的人员，而熟悉部门内部业务的员工也是合适的人选。当然需要指出的是，真正确定具体资产的人并不一定是该负责人，更多的是承担着协调者的角色，找到各类资产对应的所有者或管理者并下发给他们识别才是负责人的主要工作。

2.2 差距分析&风险评估

根据木桶原理，一只木桶能装多少水取决于它最短的那块木板，同样组织的安全性达到什么样的高度取决于安全性最弱的一环，也是黑客或恶意攻击者的关注点，一旦被攻破，可能会导致整个组织安全的崩坏。差距分析与风险评估的目的就是寻找组织这一块或多块“短板”，或是即将成为“短板”的地方。

差距分析的核心是严格将ISO27001:2013的14个控制域、35个控制目标、114个控制点与组织的实际运行现状进行差异比对，宏观的了解组织当前安全状态，是组织与标准差异的直观体现，同时也对后续风险评估的完整性提供很好的参考。

PDCA模型可应用于整个ISMS体系建立的全过程，风险评估阶段同样是如此，从风险评估方法论的建立、风险评估计划的制定、风险评估的执行、风险点确认到风险分析与处置，最后达成风险评估工作常态化持续运行的目的——识别ISMS范围内的信息资产丧失保密性、完整性和可用性的相关风险。

其中包括了威胁识别、现有控制识别、脆弱性识别以及影响识别，而信息安全风险的定义是“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”，风险识别的目的终归是为了保护组织信息资产。

风险评估前期以ISO 27005以及行业最佳实践为参考基础建立通用威胁库时，收集所有作用于信息资产的包括信息系统、人员活动、物理环境以及自然灾难等威胁来源。

寻找信息系统、系统安全程序、内部控制或实施中可能被威胁利用的弱点，脆弱点是资产、载体或内部业务流程自身所携带的负面基因，从横向的种类来看通常分为技术类脆弱性和管理类脆弱性，从纵向的ISO27001安全域层级来看通常分为应用层脆弱性、操作系统层脆弱性、终端硬件脆弱性、通信和组网级脆弱性、安全机制脆弱性以及开发生命周期与运维管理脆弱性等。
以上述的威胁库与脆弱性列举为输入，结合组织本身所在行业的特殊性以及现有的包括威胁性、预防性、检测性与纠正性控制的识别，建立有针对性的威胁与脆弱性矩阵列表，执行风险评估工作。需要注意的是，风险评估落地的一个关键操作在于对已采取的安全措施的有效性进行确认，即现有控制是否真正地降低了资产的脆弱性，抵御了威胁，现有控制是否准确识别。

建立有针对性的威胁与脆弱性矩阵列表，目的是为了识别出相应的威胁源、威胁事件与相关脆弱性的关联关系，评估如果该脆弱性被该威胁源利用，会对所评估对象的机密性，完整性和可用性产生多大的风险，而该风险的大小判断可通过设计相关计算公式得出，量化评估关系如下：
资产价值可通过资产识别阶段的对信息资产的打分获取，严重程度、发生频率以及成熟度的评分可参考如下判断依据：（此处需要注意的是成熟度一项，成熟度越高，对应的成熟度风险值越小，成反比）
风险识别与评估中应首先明确风险偏好，风险偏好是组织对风险的可接受程度，可能来源于多个客观事实与主观思维，如组织所在行业的独特性、政策、甚至是管理层的个人偏好（如历史经验、激进或保守思维等），在某些特定的情况下，合适且具有前瞻性的风险偏好会大大提高风险处置的效率与准确性，一定程度上能够优化处置优先级的顺序，甚至可以获得超出预期的安全收益。

而风险可接受水平更像是一块“平衡板”。理论上来说，风险当然是越小越好，但现实中降低风险（包括降低风险发生的可能性与采取措施减少风险损失）意味着资金、人力资源、技术资源的投入。而风险可接受水平的确定可以很好的平衡风险与利益，根据风险的影响要素、强度、范围等，计算出风险可接受的损失空间，为风险处置提供最佳的参考建议。
最后，根据风险评价的结果制定所有风险的处置策略。处置策略通常分为接受风险、消减风险、转移风险与规避风险四大类。