保密风险管理体系的建设方法

保密风险管理体系的建设方法

侯晓民

昆明汇安科技有限公司云南省昆明市650000

摘要：目前，我国的国民经济在快速的发展，社会在不断的进步，在日常保密工作中，业务的各个流程和环节都面临着风险。保密风险评估是对涉密业务和信息系统及其处理、传输和存储的信息设备的保密性、完整性和可用性系统进行全面分析和评价的过程。保密风险评估的目的是要做到主动防御、防范泄密事件发生，是保护国家秘密安全的有效方式。

关键词：保密风险管理；体系；建设

引言

保密管理是企业发展保障体系的重要组成部分，对护航企业安全稳定发展发挥着重要的作用。近年来，我国企业对保密管理工作的重视程度不断提高，投入不断加大，如何通过优化管理，进一步提高保密工作质量和效率，已经成为企业管理研究的重要课题。

1保密风险识别

1.1保密风险识别内容

风险识别是对单位保密管理面临的各种风险（包括涉密资产、威胁、弱点）进行确认的一个动态和反馈的过程，也是一个主动探寻的过程，是风险管理实施阶段的首要步骤。保密风险因素可以归结为外因和内因，外因为威胁，内因则为脆弱性，可通过对保密工作中资产的价值、保密威胁和保密管理的脆弱性进行识别。包括以下3方面的内容。资产识别：资产是机构直接赋予价值而需要保护的东西，它可以多种形式存在，可分为无形与有形的，硬件与软件，文档与代码，人员与制度等。资产的安全特性决定价值的不同，需要进行的保护和安全控制也各不相同。因此要对资产进行准确识别，以便进行后期的资产抽样、制定风险评估策略等。威胁识别：保密威胁是一种对保密资产构成潜在破坏的可能性因素或者事件，发生失泄密事件及其后果是分析威胁的重要依据，但是有相当的一部分威胁发生时，由于未能造成后果或者没有被人意识到而被忽略。产生威胁的主要因素分人为因素和环境因素，人为因素分有意和无意，环境因素分不可抗拒因素和其他因素。脆弱识别：保密脆弱性识别也称为弱点识别，主要分为技术弱点和管理弱点。这些弱点包括物理环境、机构、过程、人员、配置、硬件、软件等资产的脆弱性。

1.2保密风险识别主要方法

为了准确识别风险，为后期评估和分析打好基础、建立依据，必须用科学的方法进行风险点识别，主要包括2个步骤。调研识别：设计风险识别问卷，组织涉密部门和业务归口单位的相关人员填写风险识别问卷，对保密风险进行初始风险事件识别，讨论提交初始风险事项。整理汇总：由单位保密管理部门对问卷识别的风险事件进行归类、整理和修订，形成单位最初的保密风险分类结构及风险事件数据库。

2保密风险评估和分析

2.1风险分析评估标准

资产价值：保密风险评估的对象是资产，不同价值的资产面临风险也各不相同，在风险评估过程中首先要对资产进行赋值。资产可根据其涉密等级、完整性、可用性进行价值赋值，完整性表征了资产携带和保持信息的完整性，可用性表示资产携带的有效可用信息，资产的价值a可由下式计算得到：其中x表示涉密等级，y表示资产完整性，z表示资产可用性。经过计算后可对资产按照标准赋值。具体评判标准如表1所示。威胁赋值：威胁赋值是指可能造成失泄密事件发生的威胁事件发生概率的大小。可对威胁出现的频率进行等级划分处理，不同等级分别代表威胁出现频率的高低，等级数值越大，威胁出现的频率越高。表2给出了按照威胁频率进行赋值的方法。脆弱赋值：可以根据对资产的损害程度、技术实现的难易程度、弱点流行程度采用等级区分方式对已识别的脆弱性的严重程度进行赋值，如表3所示。在赋值过程中很多弱点反映的是同一类问题，或可能造成相似的后果，赋值的时候应该综合考虑这些弱点，确定该类脆弱的严重程度。对脆弱性严重程度进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低，等级分数值越大，脆弱性严重程度越高。

表1保密资产重要性判断表

2.2风险评估工作方法

制定评价标准：根据单位保密管理现状、资产、组织情况制定单位保密风险评价标准，对进行风险评估的人员进行风险评价标准培训。进行评价打分：由单位保密管理职能部门、信息化管理部门、业务主管部门等部门的相关人员与专家对单位保密工作资产赋值，并对资产的威胁性和脆弱性进行分析和打分。评分结果统计：由保密管理部门进行风险评价结果统计，通过计算形成最终的风险排序，确定保密风险等级。

2.3风险计算方法和风险等级确定

信息安全事件发生的可能性，一般采用矩阵法进行计算。根据威胁出现频率及弱点的状况，计算威胁利用脆弱性导致安全事件发生的可能性。计算过程可通过表4的矩阵计算获得。如某服务器的未授权访问威胁发生频率为3，允许匿名访问登录FTP脆弱性为4，则该时间发生的可能性L（3，4）=4。计算信息安全事件发生后的损失，根据资产价值和脆弱性严重程度计算安全事件一旦发生后对单位造成的损失。可通过表5矩阵进行计算。如某服务器的价值等级为5，允许匿名登录FTP的脆弱性为4，根据威胁资产价值和脆弱性严重程度值在矩阵中进行对照，则该安全事件发生后的损失F（5，4）=5。风险值计算：根据信息安全事件发生的可能性和安全事件出现后的损失，利用表5矩阵法计算出安全事件发生后对组织的损失，即风险值。

表4安全事件可能性等级计算矩阵

风险计算表格如表6，如某服务器的安全事件发生的可能性程度为4，安全事件的损失等级为5，根据资产价值等级和脆弱性严重程度值在矩阵中进行计算：风险值=R（L（T，V），F（Ia，Va）=R（4，5）=5。根据计算得到风险值的不同，进行风险等级确定，等级划分表如表7。

3风险应对和控制

风险应对是改变风险的过程，风险管理者通过回避、转化、承受、降低或者分担风险，使风险转化或降低的一系列过程。面对复杂的保密工作，无论采取多么完美的安全保护措施，保密工作中的安全风险都不可能完全避免，完全消失，只有在对单位保密工作进行安全风险评估的基础上，找出高风险点，有针对性地提出安全风险控制策略，利用相关技术及管理措施才能降低风险，将风险控制在单位可控的范围之内。可以通过以下方法完成风险控制。一是要根据风险点特别是高风险点及时修订保密管理制度，设计合理可行的保密管理制度，能够从制度上降低风险点，保障业务过程中的安全。二是要提高保密技术防范能力。根据高风险点事项加大计算机信息保密技术防范力度，积极应用防泄密反窃密新技术和新产品推进保密技术防护水平，降低风险。三是要及时做好每月反馈和总结。单位要根据高风险事项及时将风险点反馈给单位负责人，从领导层面重视风险点，及时总结风险事项和改进思路，形成良好的反馈机制。经过相关措施后，要再次对整个信息系统进行残余风险评估、风险控制应对，直到单位可以完全接受能够承担的风险为止，这样才能够及时化解单位信息安全风险，防患于未然。

表6保密风险值计算矩阵表

结语

本文设计了一种风险评估的方法，该方法采用风险识别、风险评估和分析、风险应对和控制、风险数据归档分析4个模块实现单位风险评估。在风险评估和分析过程中采用矩阵法对保密信息系统进行风险计算，并给出风险控制应对措施，该方法计算简单，适应于大部分单位。单位通过多次风险评估后，单位能够在业务过程中积极主动地认识和应对风险，确保失泄密事件不再发生，为单位信息安全提供强有力的保障。

参考文献：

[1]2007GBT.信息安全技术信息安全风险评估规范[S].2007.

[2]王少刚，吴金秋，李险峰.企业保密风险管理的应用与实践[J].保密科学技术，2014（11）：21-26.