0引言
  風(fēng)險(xiǎn)是以一定的發(fā)生概率的潛在危機(jī)形式存在的可能性，而不是已經(jīng)存在的客觀(guān)結(jié)果或既定事實(shí)。風(fēng)險(xiǎn)管理是通過(guò)對(duì)風(fēng)險(xiǎn)的識(shí)別、衡量和控制，以最小的成本將風(fēng)險(xiǎn)導(dǎo)致的各種損失結(jié)果減少到最小的管理方法。
信息系統(tǒng)項(xiàng)目過(guò)程中存在各類(lèi)風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)有著自身的特點(diǎn)，對(duì)項(xiàng)目的影響也隨項(xiàng)目的不同階段而不同。其中信息安全風(fēng)險(xiǎn)是指系統(tǒng)本身的脆弱性在來(lái)自環(huán)境的威脅下而產(chǎn)生的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)會(huì)對(duì)項(xiàng)目造成延期、降低質(zhì)量、成本上升等后果。
對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估是進(jìn)行有效風(fēng)險(xiǎn)管理的基礎(chǔ)，是對(duì)后續(xù)風(fēng)險(xiǎn)計(jì)劃和風(fēng)險(xiǎn)控制過(guò)程的有力支撐，進(jìn)而確保完成項(xiàng)目的投資、工期、質(zhì)量總目標(biāo)。如果應(yīng)用項(xiàng)目風(fēng)險(xiǎn)識(shí)別過(guò)程或工具對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，會(huì)遇到難以量化風(fēng)險(xiǎn)的難題。
而成熟的信息安全評(píng)估過(guò)程由于不是面向項(xiàng)目、適用于大型組織以及持續(xù)時(shí)間長(zhǎng)等原因無(wú)法應(yīng)用到項(xiàng)目管理中。本文通過(guò)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估在項(xiàng)目風(fēng)險(xiǎn)評(píng)估管理過(guò)程中的應(yīng)用這一問(wèn)題的研究，結(jié)合筆者的工作實(shí)踐努力去尋找一個(gè)適合在項(xiàng)目中運(yùn)用的評(píng)估方法。
目前，信息系統(tǒng)項(xiàng)目的安全風(fēng)險(xiǎn)評(píng)估方面，國(guó)內(nèi)尚未有系統(tǒng)的理論研究成果，也無(wú)統(tǒng)一的模型和流程。希望筆者所做的工作能為信息系統(tǒng)項(xiàng)目信息安全風(fēng)險(xiǎn)管理的理論研究和實(shí)踐工作提供一定的參考。
l 信息系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)管理
  在這里，項(xiàng)目所面對(duì)的信息系統(tǒng)并不局限于計(jì)算機(jī)軟硬件設(shè)備構(gòu)成的系統(tǒng)、網(wǎng)絡(luò)、平臺(tái)或環(huán)境，它還包括人和信息在內(nèi)的廣義的大系統(tǒng)。信息系統(tǒng)項(xiàng)目，無(wú)論其規(guī)模大小，必然會(huì)為被實(shí)施方(用戶(hù))在管理、業(yè)務(wù)經(jīng)營(yíng)等多方面帶來(lái)變革，這就使項(xiàng)目必然具有高風(fēng)險(xiǎn)性的特點(diǎn)。
特別是當(dāng)項(xiàng)目在人和計(jì)算機(jī)網(wǎng)絡(luò)空間里展開(kāi)時(shí)，所面臨的威脅和風(fēng)險(xiǎn)呈現(xiàn)出多樣性。近年來(lái)，企業(yè)信息化項(xiàng)目的廣泛實(shí)施，一方面為眾多的企業(yè)帶來(lái)了管理、經(jīng)營(yíng)方面的革新，而另一方面，夭折、中斷、失敗的項(xiàng)目也不在少數(shù)。
因此，如何在項(xiàng)目管理中有效地管理風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)，已經(jīng)成為了項(xiàng)目成功的必要條件。根據(jù)PMI項(xiàng)目管理手冊(cè)的定義:項(xiàng)目風(fēng)險(xiǎn)是一種不確定的事件或狀況，一旦發(fā)生，會(huì)對(duì)至少一個(gè)項(xiàng)目目標(biāo)如時(shí)間、費(fèi)用、范圍或質(zhì)量目標(biāo)產(chǎn)生積極或者消極影響。
風(fēng)險(xiǎn)的起因可能是一種或多種，風(fēng)險(xiǎn)一旦發(fā)生，會(huì)產(chǎn)生一項(xiàng)或多項(xiàng)影響。風(fēng)險(xiǎn)管理包括項(xiàng)目風(fēng)險(xiǎn)管理規(guī)劃、風(fēng)險(xiǎn)識(shí)別、分析、應(yīng)對(duì)和監(jiān)控的過(guò)程。項(xiàng)目風(fēng)險(xiǎn)管理的目標(biāo)在于增加積極事件的概率和影響，降低項(xiàng)目消極事件的概率和影響。
其中風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)量化常被視做一個(gè)程序，稱(chēng)為風(fēng)險(xiǎn)評(píng)估。
2 項(xiàng)目的信息安全風(fēng)險(xiǎn)
  信息系統(tǒng)項(xiàng)目的信息安全風(fēng)險(xiǎn)指信息系統(tǒng)在項(xiàng)目的生命周期中其安全屬性面臨的危害發(fā)生的可能性，指的是由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致信息安全事件發(fā)生的可能性及其造成的影響。
具體來(lái)說(shuō)是信息系統(tǒng)在存儲(chǔ)、傳輸和處理信息時(shí)，信息的安全屬性如保密性、完整性、可用性及其他屬性(真實(shí)性、可核查性、防抵賴(lài)性等)受到的挑戰(zhàn)。
(1)保密性:保證機(jī)密信息不被竊聽(tīng)，或竊聽(tīng)者不能了解信息的真實(shí)含義。
(2)完整性:保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶(hù)篡改。
(3)可用性:保證合法用戶(hù)對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。信息安全風(fēng)險(xiǎn)可以用信息安全事件發(fā)生的可能性及其造成的影響或危害這兩個(gè)指標(biāo)來(lái)衡量。
危害不僅取決于災(zāi)害性事故的發(fā)生頻率，而且與事故造成的后果大小有關(guān)。目前對(duì)系統(tǒng)某一事件的風(fēng)險(xiǎn)R通常用時(shí)間發(fā)生的概率尸和事件產(chǎn)生的后果幅值C這兩個(gè)指標(biāo)來(lái)表示。這一對(duì)指標(biāo)并不代表簡(jiǎn)單的數(shù)學(xué)運(yùn)算、一個(gè)矢量或標(biāo)量，而是表示某一事件的發(fā)生概率與產(chǎn)生的預(yù)期后果的對(duì)應(yīng)關(guān)系。
(3)確定風(fēng)險(xiǎn)和評(píng)級(jí):為已確定的風(fēng)險(xiǎn)評(píng)級(jí)。風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果是一份確定了優(yōu)先級(jí)的風(fēng)險(xiǎn)列表，該列表向后續(xù)的風(fēng)險(xiǎn)應(yīng)對(duì)和監(jiān)控過(guò)程提供輸入資料來(lái)源。
評(píng)估過(guò)程由一系列循序漸進(jìn)的討論會(huì)組成，其核心是自主原則，指的是由組織內(nèi)部的人員來(lái)管理和指導(dǎo)組織的信息安全評(píng)估工作。
3項(xiàng)目的風(fēng)險(xiǎn)評(píng)估過(guò)程
3.1評(píng)估規(guī)劃
(1)建立評(píng)估團(tuán)隊(duì)。評(píng)估風(fēng)險(xiǎn)在整個(gè)過(guò)程中需要跨部門(mén)的合作，要求不同的風(fēng)險(xiǎn)承擔(dān)者負(fù)責(zé)相應(yīng)的任務(wù)。評(píng)估團(tuán)隊(duì)的成員不但需要來(lái)自不同部門(mén)，而且需要團(tuán)隊(duì)成員中存在一定的級(jí)別差異。目的在于分析和評(píng)估風(fēng)險(xiǎn)對(duì)于組織的任務(wù)和業(yè)務(wù)目標(biāo)的影響。
這就需要來(lái)自管理層、業(yè)務(wù)部門(mén)和技術(shù)部門(mén)的成員。他們可以不需要非常豐富的仃知識(shí)，但必須對(duì)自己的業(yè)務(wù)非常了解。
(2)建立風(fēng)險(xiǎn)量化標(biāo)準(zhǔn)。建立風(fēng)險(xiǎn)量化標(biāo)準(zhǔn)是確立來(lái)自組織內(nèi)部對(duì)于項(xiàng)目和信息系統(tǒng)的安全需求，這種需求將成為評(píng)估風(fēng)險(xiǎn)給組織的任務(wù)和商業(yè)目標(biāo)帶來(lái)的影響的驅(qū)動(dòng)因素。這些驅(qū)動(dòng)因素體會(huì)體現(xiàn)在一系列風(fēng)險(xiǎn)量化標(biāo)準(zhǔn)里而作為評(píng)估規(guī)劃的重要成果。
風(fēng)險(xiǎn)量化標(biāo)準(zhǔn)是一系列定量的量化方法。它參考了那些對(duì)已經(jīng)發(fā)生了的風(fēng)險(xiǎn)的影響進(jìn)行評(píng)價(jià)的結(jié)果，繼而成為整個(gè)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)。使用一致的量化標(biāo)準(zhǔn)能確保在多個(gè)信息資產(chǎn)和操作部門(mén)之間同樣一致地執(zhí)行制訂的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。
除了評(píng)估在某特定區(qū)域內(nèi)的影響程度，組織還必須識(shí)別出哪些區(qū)域?qū)τ谒娜蝿?wù)和商業(yè)目標(biāo)最為重要。譬如，一些組織會(huì)更重視有可能給他們與客戶(hù)的關(guān)系帶來(lái)影響的風(fēng)險(xiǎn)，而相比之下對(duì)影響相關(guān)法規(guī)符合性的風(fēng)險(xiǎn)就不如前者重要。
所以對(duì)有可能被風(fēng)險(xiǎn)影響的區(qū)域設(shè)定優(yōu)先級(jí)也是在評(píng)估規(guī)劃里必須執(zhí)行的。當(dāng)項(xiàng)目風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)管理規(guī)劃完成后，產(chǎn)生了項(xiàng)目的風(fēng)險(xiǎn)管理計(jì)劃。接著就可以啟動(dòng)風(fēng)險(xiǎn)評(píng)估過(guò)程。評(píng)估過(guò)程即通過(guò)一個(gè)正式的流程來(lái)確定項(xiàng)目中組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)。
并且將評(píng)估風(fēng)險(xiǎn)階段細(xì)分為以下三個(gè)步驟:
(l)評(píng)估規(guī)劃:為成功的風(fēng)險(xiǎn)評(píng)估建立基礎(chǔ)。
(2)數(shù)據(jù)收集和處理:通過(guò)研討會(huì)討論收集到的風(fēng)
3.2數(shù)據(jù)收集和處理
(l)建立信息資產(chǎn)配置文件。評(píng)估過(guò)程關(guān)注的是組織的信息資產(chǎn)，所以在這一步開(kāi)始建立資產(chǎn)配置文件。一個(gè)配置文件代表了一個(gè)信息資產(chǎn)，它描述了資產(chǎn)區(qū)別于其他資產(chǎn)的特征、品質(zhì)、特性和對(duì)它的賦值。
這個(gè)創(chuàng)建配置文件的過(guò)程確保了每一個(gè)資產(chǎn)都有清晰而且一致的描述來(lái)明確它的邊界，并且充分定義了有關(guān)安全的需求。每一個(gè)資產(chǎn)的配置文件生成一張表單，它將成為后續(xù)步驟中定義威脅和風(fēng)險(xiǎn)的基礎(chǔ)。
(2)識(shí)別信息資產(chǎn)容器。信息資產(chǎn)被存儲(chǔ)、傳輸和處理的地點(diǎn)稱(chēng)之為容器。信息資產(chǎn)不僅會(huì)存在于組織邊界范圍內(nèi)，它也時(shí)常存在于不受組織直接控制的容器內(nèi)。任何對(duì)于容器的風(fēng)險(xiǎn)會(huì)被存在于其中的信息資產(chǎn)繼承下來(lái)。
譬如，許多組織向服務(wù)提供商外包它們部分的IT基礎(chǔ)設(shè)施，服務(wù)提供商管理和維護(hù)著含有這個(gè)組織信息資產(chǎn)的容器。如果服務(wù)提供商不了解它們管理的容器內(nèi)所存儲(chǔ)、傳輸和處理的信息資產(chǎn)來(lái)自組織的安全需求，那些用來(lái)保護(hù)信息資產(chǎn)的控制手段則有可能會(huì)不足，導(dǎo)致將資產(chǎn)暴露在風(fēng)險(xiǎn)面前。
這個(gè)問(wèn)題在有些情況下會(huì)變得更顯著，譬如服務(wù)提供商在不通知資產(chǎn)所有者的情況下將服務(wù)(如數(shù)據(jù)存儲(chǔ)業(yè)務(wù))簽署給另外的服務(wù)商。因此，為了獲取完整的信息資產(chǎn)風(fēng)險(xiǎn)配置文件，組織必須識(shí)別出所有信息資產(chǎn)被存儲(chǔ)、傳輸和處理的地點(diǎn)即信息資產(chǎn)容器，
而不論這些容器是在組織的直接控制或間接控制之下。識(shí)別出所有內(nèi)部的和外部的信息資產(chǎn)容器，然后將信息資產(chǎn)關(guān)聯(lián)到它所在的容器中并列表輸出。
(3)識(shí)別關(guān)注區(qū)域。開(kāi)始通過(guò)頭腦風(fēng)暴來(lái)識(shí)別風(fēng)險(xiǎn)，頭腦風(fēng)暴的目的是找出任何可能威脅組織信息資產(chǎn)的條件或情況。這些被識(shí)別出來(lái)的現(xiàn)實(shí)世界中的場(chǎng)景就被視做是關(guān)注區(qū)域，它們可以代表威脅以及相對(duì)應(yīng)的不良后果。
針對(duì)關(guān)注區(qū)域的討論可以幫助人們找出那些只對(duì)某一組織來(lái)說(shuō)是威脅的風(fēng)險(xiǎn)。必須注意的是，識(shí)別關(guān)注區(qū)域的目的不是去完成一個(gè)完整的對(duì)信息資產(chǎn)可能的威脅場(chǎng)景列表，而是快速地記錄那些在頭腦風(fēng)暴中最先跳出的可能威脅組織信息資產(chǎn)的條件和情況。
(4)識(shí)別威脅場(chǎng)景。識(shí)別出來(lái)的關(guān)注區(qū)域在這里被展開(kāi)。展開(kāi)的關(guān)注區(qū)域包含每一個(gè)威脅的具體內(nèi)容，稱(chēng)之為威脅場(chǎng)景。但是這些從關(guān)注區(qū)域發(fā)展而來(lái)的威脅的集合還不足以為一個(gè)組織的信息資產(chǎn)所可能面臨的威脅提供一個(gè)周全的考慮。因此必須通過(guò)進(jìn)一步分析威脅場(chǎng)景來(lái)考慮更廣范圍的附加風(fēng)險(xiǎn)。
主要的信息安全威脅有8種。
①竊取:非法用戶(hù)通過(guò)數(shù)據(jù)竊聽(tīng)的手段獲得敏感信息;
②截取:非法用戶(hù)首先獲得信息，再將此信息發(fā)送給真正的接收者;
③偽黔頂具薰理燕難造:將偽造的信息發(fā)送給接收者;
④篡改:非法用戶(hù)對(duì)合法用戶(hù)之間的通訊信息進(jìn)行修改，再發(fā)送給接收者;
⑤拒絕服務(wù)攻擊:攻擊服務(wù)系統(tǒng)，造成系統(tǒng)癱瘓，阻止合法用戶(hù)獲得服務(wù);
⑥行為否認(rèn):合法用戶(hù)否認(rèn)已經(jīng)發(fā)生的行為;
⑦非授權(quán)訪(fǎng)問(wèn):未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源;
⑧傳播病毒:通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶(hù)很難防范。
3.3確定風(fēng)險(xiǎn)和評(píng)級(jí)
(1)識(shí)別風(fēng)險(xiǎn)。當(dāng)識(shí)別了威脅后，接下來(lái)是對(duì)那些已經(jīng)識(shí)別的威脅分析相應(yīng)的后果，以完成風(fēng)險(xiǎn)識(shí)別。一個(gè)威脅對(duì)于一個(gè)組織可能會(huì)有多種潛在的影響。譬如，一個(gè)組織的電子商務(wù)系統(tǒng)的中斷會(huì)影響到它在客戶(hù)中的聲譽(yù)及其金融地位。所以通過(guò)這個(gè)步驟來(lái)確保識(shí)別出風(fēng)險(xiǎn)的不同后果。
(2)分析風(fēng)險(xiǎn)。最后用定量的方法來(lái)評(píng)價(jià)風(fēng)險(xiǎn)對(duì)組織的影響程度。即通過(guò)考慮風(fēng)險(xiǎn)的結(jié)果對(duì)組織的影響程度得出相對(duì)風(fēng)險(xiǎn)影響值。隨著影響區(qū)域的重要程度不同、風(fēng)險(xiǎn)的可能性和發(fā)生概率的不同，計(jì)算出來(lái)的風(fēng)險(xiǎn)值也不同。
也就是說(shuō)，如果對(duì)一個(gè)組織來(lái)說(shuō)聲譽(yù)最重要，那么對(duì)這個(gè)組織的聲譽(yù)有影響的風(fēng)險(xiǎn)將會(huì)得到比較高的數(shù)值，而影響其他領(lǐng)域的風(fēng)險(xiǎn)的數(shù)值相對(duì)比較低。組織通過(guò)對(duì)這些影響做優(yōu)先排序，從而確保風(fēng)險(xiǎn)也被優(yōu)先排序。至此，項(xiàng)目中的信息安全風(fēng)險(xiǎn)被識(shí)別、排序和輸出，最后為下一步風(fēng)險(xiǎn)管理過(guò)程輸人信息。
4結(jié)語(yǔ)
  將信息安全評(píng)估應(yīng)用到IT項(xiàng)目風(fēng)險(xiǎn)管理中擴(kuò)大了風(fēng)險(xiǎn)管理的內(nèi)涵，它使項(xiàng)目管理者能更好地管理信息安全風(fēng)險(xiǎn)。同時(shí)也帶來(lái)了許多新的課題，譬如，如何組織管理層和業(yè)務(wù)部門(mén)參與制訂信息安全風(fēng)險(xiǎn)計(jì)劃，如何監(jiān)控項(xiàng)目中的信息安全風(fēng)險(xiǎn)以及如何讓信息安全風(fēng)險(xiǎn)管理與項(xiàng)目整體管理結(jié)合得更好。