曾经参与过不少企业的信息科技风险/安全管理体系的建设和优化,在这过程中,常常听到it风险人员and信息安全人员的一个问题就是,信息科技风险(简称it风险)和信息安全风险有啥不一样的?信息安全管理和信息科技风险管理又有啥不一样的?(其实大家心里想问的是:这个事儿是不是不该归我管?)
这真是一个一言难尽的问题,感觉这应该不是一回事儿,但it风险与信息安全风险就像一对双胞胎,总是如形随行,纠缠不清,实在分不清楚。
要搞清楚这个问题,需要先搞清楚信息安全风险和it风险分别是什么?我们先来看看常规的定义。
首先,什么是风险?
关于风险有很多的解释,现代汉语词典说“风险指遭受损失、伤害、不利或毁灭的可能性”,也有说“风险是生产目的与劳动成果之间的不确定性”,但总体来看都差不多,包含了两层意思,第一是预期目标与实际结果的不一致,第二是发生的不确定性/可能性。一般我们说的风险都隐含了遭受损失的意思。
什么是信息安全风险呢?
信息安全风险,从字面上理解,就是会影响到信息安全的风险,而信息安全,虽然有很多种表达,但中心思想都是保护信息(以及信息系统)机密性、完整性、可用性(以及其它的衍生特性)。在iso27005里,把信息安全风险定义为“某种特定的威胁利用资产或一组资产的脆弱点,导致这些资产受损或破坏的潜在可能”。结合信息安全的定义,我们可以把信息安全风险看成是“信息资产遭受损失、伤害、不利或毁灭的可能性”。
那it风险呢?
《新巴塞尔协议》说,it风险是指任何由于使用计算机硬件、软件、网络等系统所引发的不利情况,包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞及故障恢复等。听起来似乎好像,就是信息安全风险的另一种表述吧?计算机硬件、软件、网络可不都是信息资产么?
银监会发布的《商业银行信息科技风险管理指引》则说,信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
??纳尼?第一次读到这句话的时候,我真的是一脸的囧逼,这句话去除修饰之后是这样事儿的:
“信息科技风险是风险”
(不过需要说明的是,这个定义虽然有取巧的嫌疑,但从信息科技风险管理或是企业风险管理的角度来看,这个定义充满了智慧,这个我们以后再分析)
求人不如求已,参考下风险的释义,我们可以认为it风险就是“在信息科技运用过程中遭受损失、伤害、不利或毁灭的可能性”。但是这里面缺少了一个主语,谁遭受损害呢?那么我们想一想,跟信息科技相关的都有啥?
--信息系统、主机、网络。
这些东西是啥?
--信息资产。
所以it风险就是“在信息科技运用过程中,信息资产遭受损失、伤害、不利或毁灭的可能性”?对比一下,信息安全风险是“信息资产遭受损害的可能性”。所以it风险和信息安全风险原来是一回事?!好了,真相总算大白了。
那要是这么说来,所谓信息科技风险管理和信息安全管理就是一回事嘛。你看,信息科技风险管理,目的是控制风险,避免风险带来的损害;信息安全管理,目的是保护信息资产,使之不会受到损害。就是起了两个名字而已。
真的是这样么?
的确it风险是发生损害的可能性,但被损害的,可不一定就是信息资产,也可能是业务(所以你看,银监会的定义多有智慧),比如一个计划好的业务功能模块不能按时上线,信息资产并没有受到侵害,但是业务的正常开展受到了影响,这也是it风险,但跟信息安全没有关系。
嗯,有道理,那就是说,it风险中包含了信息安全风险以及其它风险?也就是说信息科技风险管理包含了信息安全管理?那还要信息安全管理部门来干嘛?解散解散~~
别捉急,我们再看看,it风险的确会损害信息资产的安全,但是损害信息资产的却不一定都是it风险。比如某个坏人,偷偷把老干妈辣酱的秘方学到手,跑去另一家公司搞生产,这妥妥的信息资产(的机密性)受到损害,然而,这跟it风险有半毛钱关系啊?
其实呢,简单点说就是,信息安全风险与it风险是两个在很大程度上重合的风险集合,而信息安全管理与信息科技风险管理的工作也有很多交集,但它们依然是独立的个体。
it风险影响到的是信息科技工作的正常开展,这其中包括了那些可能干扰到信息科技工作的信息安全风险,以及其它风险;而信息安全风险影响到的是信息资产的保密性、完整性和可用性,这里面包括了那些能够损害信息资产的it风险,以及其它风险。
那既然有很多交集,又为什么要把信息科技风险管理和信息安全管理区分开呢?尤其是在信息科技部门,本来管理的范围就在信息科技内,it风险与信息安全风险的重合度就更高了,区分开来有什么意义呢?这就涉及到信息安全部门和信息科技风险部门的职能、“三道防线”的设置,以及其它在管理方面存在的问题,我们下回接着说吧。