信息安全风险与策略共识机制浅谈

在国家网信安全和安全可信战略背景下，信息安全作为组织专业领域的保障和支撑方向，在业务数字化转型过程重要性越来越明显，信息安全带来的合规风险，品牌声誉风险，和业务风险成为组织风险治理的关键风险。
同时，信息安全的技术复杂性和专业性，需要考虑风险分析、决策、治理策略与业务战略的一致性和共识，在进行相关的风险识别、评估、分析的方法，展现形式上如何实现组织级的沟通与共识，在针对风险分析决策的参考因素，需要在关注信息安全带来的影响，损失，和投入成本之外，还需要关注业务价值，影响和带来的成果，需要考虑信息安全之外的因素和变量。在风险治理策略上，需要综合评估方案的有效性，便利性，对业务的影响， 其中的资源投入的时间成本和资金成本，获取的收益和潜在价值的影响，在综合考虑ROI的同时，关注治理方案的外部性。相对于传统的信息安全风险评估的定量、定性分析以及从综合保障纵深防御角度的风险治理策略，需要相应的分析、决策、策略综合考虑组织内的协调与共识，需要信息安全部门与业务运作、支撑部门达成广泛的共识，才能实现信息安全风险的全面治理。否则，一方面抱怨信息安全意识薄弱，一方面又觉得工作难以推动和开展，孤军奋战陷入泥潭。当然，对于在组织中处于强势的信息安全管理部门，以红线为准绳，通过向上管理，自上而下的强制执行，但这种方式，仅依靠强大的专制能力，组织内被动实施和执行，难以达到主动发现，积极防御，协同联防的效果，而且工作开展过程中的满意度下降，错误会被放大，难以稳定持久的发展。
因此，组织内对信息安全风险与策略达成共识，对信息安全工作的开展，形成人民战争，通过基层动员，达到主动协防，无死角解决信息安全问题至关重要。
一、共识内容：建立两图一表的顶层沟通基础
信息安全部门的工作开展，往往存在目标导向，从做什么开始。会有一个做什么的计划列表，或者做什么的逻辑框架，把领域，方向，模块进行拆解划分，并根据模块的进展情况，重要程度，进行工作的推进和开展。例如划分为研发安全，数据安全，身份安全等。这其实是有个潜台词，往往信息安全部门已经根据经验和能力，潜意识的完成了风险评估以及解决方案的设计，得出的是安全策略的全景图。由于工作的专业性，在协同第三方推动过程中，根本未意识到由于信息不对称，业务方和其他支撑方缺少风险的识别，分析，判断的背景知识和来龙去脉，会从这个安全策略本身的价值进行追问，为什么，是什么，带来什么，经典3问出来，往往需要从头解释，自认为的想当然变成了灵魂追问，沟通的问题显现，事情的推动会受到阻碍。
信息安全风险评估作为从风险角度来看信息而全而言，逐渐有成熟的方法和标准，但应用和实践层面往往用于第三方测评认证和信息安全审计项目。基于威胁和漏洞的风险识别，基于影响和损害程度的风险分析，往往可以得出风险矩阵，可以定性的分析，也可以结合风险概率和损失的数字化，实现定量的分析。这种分析方式根据具象和抽象的粒度不同，可以作为共识沟通的基础。
两图中的第一图其实关注的是重要风险的整体视图。这个视图在组织级层面需要关注到的是组织信息安全风险的系统性和整体性，要做到麦肯锡MECE原则，不遗漏，不重复。另外就是要考虑风险的动态性和分布性，随着威胁、漏洞在时间、空间范围内的变化，势必会有动态的演进和调整。不过至于抽象的粒度和更新的频度，需要根据组织的规模，资源的情况，问题解决的能力和速度，逐步调整成优化的适合值。对于一般性组织，二十-三十项的重要风险抽象相对比较合适，一是外部变化引起的及时更新，例如合规风险，一是在半年或一年的调整范围内比较合适。
第二图是风险的紧急程度分布图，以百分比饼图作为对风险紧急程度的百分比分布，根据紧急程度关注到风险的占比分析，作为风险治理决策的依据和跟踪的相关指标。从经验值来看，需要关注长期能力建设的重要风险防范和紧急风险的处置，维持20%-30%风险是需要紧急处置的风险比较合适，在整体20-30项风险的前提下，4-9项的紧急高危风险的治理在年度范围内是比较适合。
这两个图是组织内对信息安全风险形成共识的基础，信息安全部门在充分调研和专业判断的前提下，确定整体风险视图和风险的紧急程度分布图。在风险层面达成信息安全风险治理的共识。
基于需要紧急治理降低风险等级的20-30%高危风险，从预防、检测、监测、响应的维度，确定解决方案，结合投入成本，实现价值，以及实施的复杂度，协同范围，业务影响，时间等多维度评估，形成风险治理解决方案落实项目表，确定项目经理，相关成员和关键里程碑，跟进落实，推动风险治理的落地实施。风险治理项目跟进表作为高危风险治理的共识基础，需要信息安全部门与涉及到的相关支撑业务达成共识，共同推动，确保风险治理的成功。
综上所述，两图一表在共识达成至关重要，是全面实现信息安全风险治理共识的基础。
二、共识方法：问卷、访谈、会议三步法沟通计划
两图一表的形成和更新过程，需要建立良性的沟通计划，相关关系人需要考虑达成共识的相关方法，确定干系人沟通输入、过程方法和输出，实现共识的达成。
RACI干系人的问卷，针对干系人相关领域的风险和治理策略，进行开放式的问卷设计，通过对现有风险分析和治理项目的定性评价，确定相关共识支持的比例，以及反对，修订的意见和建议，并收集相关领域对风险的识别和需求。
中高层、关键干系人访谈，进行1 by 1沟通，提前针对沟通内容进行梳理，主要包括对风险识别、分析、处置的沟通。首先，确认中高层，关键干系人对相关领域的风险认知和风险识别，对需要信息安全关注和解决，处理的风险进行阐述，对需要信息安全提供的帮助进行梳理和描述，对中高层和关键干系人的风险意识和风险认知进行了解，对需求进行分析和梳理，纳入到风险识别中去。其次，确认中高层对信息安全既定的信息安全风险的识别、分析的判断以及风险治理方案的认可和支持情况，可以投入的资源支持，以及修订的意见和建议。正式的沟通输入可以是两图一表，非正式的沟通可以是相关问题的口头描述。
关键节点的会议方式，针对具体风险的识别、分析、决策，以及高危风险的治理解决方案的遴选、决策，可以通过会议的方式具体讨论，形成决策性的意见纳入项目计划进行跟进。
三、持续改进：具象风险与项目，持续迭代和优化
组织级的两图一表在具体领域，部门和方向上，可以进一步细化和拆解。从抽象的组织级两图一表，细化到具体实施层面的两图一表。无论是自上而下的组织级具象到领域级，还是自下而上的从领域级抽象为组织级，都是行至有效的风险治理方法，关键在于团队的水平能力以及组织整体的信息安全水平，各业务和支撑部门具有良好的信息安全意识和稳定的安全能力水平的，可以对相关部门内和领域内的风险进行自主识别、判断和自行制定解决方案并贯彻执行的，适用于自下而上的模式。而整体组织安全能力水平依赖于信息安全团队的专业性实现保障和支撑的，适合自上而下的模式，从抽象逐渐具象。
  当然，组织风险的动态特征以及组织能力水平的持续演进，会经历由自上而下到自下而上，从而形成持续改进的循环模式。而抽象与具象的灵活转换，形成统一的沟通语言体系，从而形成组织战略融合的信息安全风险共识治理机制是最终的理想状态。
  信息安全工作的开展从做什么到如何做，已经不是单纯的专业性和支撑的话题，而是如何真正的解决信息安全合规和信息安全业务保障融为一体，真正实现信息安全本质目的，降低业务因信息安全带来风险造成的损失，甚至更进一步，通过信息安全策略的实施，实现业务的战略竞争力，从而创造价值。路长道远，信息安全团队需要在提升专业能力的同时，提升组织共识达成的能力。

本篇文章来源于微信公众号:                 IT的阿土