作者:truebasic,文章转载自Sec-UN安全村(www.sec-un.org)
这是最难写的一个章节,没有之一。工作了十几年,和不同企业的同行探讨过不少回,没有得到一个一致的答案。但是,大家的回答还是给了不少启发。我把这个问题拆解为几个小问题,咱们逐一解决。本篇得以成稿,老同事张亦颖和刘翠华帮助莫大,在此表示感谢,其他参与过讨论的老朋友们在此一并谢过。
1. 谁关心这个问题?为什么关心这个问题?
(1)老板关心:老板需要评价CSO工作的成效(“这个CSO干的好不好”),评价CSO的工作产出和其对业应产生的价值是否匹配,评估投入和产出是否对等(就是关心在信息安全方面的投资收益比)。
(2)CSO关心:需要有一个相对客观的结果展现自己的业绩、价值,需要通过结果和同行、竞争对手对标、找差距,进而找到企业信息安全的短板,加以改进。
(3)CSO的下属(信息安全团队的成员)关心:需要有一个结果和同行、竞争对手对标、找差距,要么是找到自己的长处,要么是找到自己的短板、进而改进。
(4)企业信息安全应对的威胁者关心:我如果要对这家企业下手(入侵利用、破坏或者是窃取),风险大不大、成本高不高、得手的几率大不大。
回答了这个小问题,也就知道我们应该如何设计、选择评价方法了。我们不是为了评价而评价,是为了评估成效、评估投资收益比、寻找需要改进的短板(这句话很重要、很重要、很重要)。作为一个甲方人员,下面篇幅讲的主要都是针对(1)(2)(3)种情况的。
2. 评价体系与KPI之间的关系
我倾向用一个指标体系来评价企业信息安全工作的好坏,而不是1、2个指标。之所以说体系,是因为企业信息安全的好坏需要从多个维度来综合评判;而用一个指标体系可以让评价过程和评价结果相对全面、客观、量化、容易被读懂。通过这个评价体系持续监测、评估企业的信息安全状况3-5年,从其变化趋势也可以评判企业信息安全工作的好坏。而KPI通常用3-4个指标来评价当期信息安全工作的绩效,在全面性和持久性上是有显著差别的,两者的目的和关注点是不一样的。
其次,任何评价体系都应该是一个效果为主的评价体系,当然其中可以增补一些动作性、过程性的指标。这一点,评价体系和KPI是相似的。
第三,评价体系通常用于反映企业的信息安全状态,但这个状态一般不会用于CSO的当期绩效考核、进而影响CSO和信息安全团队当期的收入和待遇。KPI则完全不一样。因此,我也不赞成用评价体系来代替KPI、代替绩效评价。
当然,从“威胁者”的角度来看,可能往往就看1-2个指标就可以了。比如:过往发生的信息安全事件数量是否多、危害是否大?这家企业历史上暴露的信息安全漏洞是否多、等级是否高?过往是否有成功打击泄密者、窃取者、攻击者的案例,是否足够有威慑力?这家企业的信息在黑市上的售卖价格是高还是低?作为CSO要应对的威胁和对手,这类指标往往效果更加显著,因此应该作为评价体系的组成部分。当然,有时候如果老板实在不懂安全、但他又想来评价信息安全工作,用这几个指标也往往能镇得住老板。
有朋友还给我推荐了一种方法:某个金融公司将每次安全防御的成果换算成对企业带来的绩效;该公司会评估每次攻击可能造成的损失,防御了一次攻击就相当于帮企业挽回了对应的损失,挽回损失就是信息安全工作的绩效。这个方法具有较好的直观性,但我还是认为评价维度过于单一,而且似乎只适合金融企业。
3. 常见的评价方法
(1)分类量化的评价标准
“分类量化”的评价方法,一般以ISO27001、COBIT的控制点为基础演化而来,对这些控制点先融合再分类。记住,这里面请把“威胁者”关注的指标加进去。
对于控制点的分类,我见过一些公司(包括咨询公司)是这样划分的:
以上分类方式,我个人更喜欢IBM的“PPT”方法,也就是Process(流程)、Person(人)、Tech(技术),但我对之做了一些改进、称为Process(业务和流程)、Person(人)、Tech(IT技术与物理安全)。需要特别说明的是Process为什么是“业务和流程”:“流程”强调的是“在流程中应该有信息安全的控制点,有了控制点、信息安全措施的有效性才能得到保证”,“业务”强调的是“信息安全应该关注高价值和高风险业务、不用面面俱到”。
权重 | 初始级 | 可定义级 | 标准级 | 量化管理级 | 优化管理级 | |
流程 | 40% | |||||
技术 | 30% | |||||
人 | 30% |
分类打分完毕之后,参照上面这个表格进行加权计算,最终以一个量化分数或者成熟度级别展现出来。各类评价标准操作下来,大致都要给这么一个量化的分数或者是成熟度级别,就是为了让老板看得懂。
下面这张图是我自己总结的信息安全管理成熟度。据说Gartner的ITScore将成熟度分为:1-意识;2-被动;3-主动;4-符合服务;5-符合业务,似乎有异曲同工之妙;但我对此认知较浅,就不多说了。有兴趣的读者可以从https://www.gartner.com/technology/research/methodologies/it-score.jsp进入,做进一步研究。
这当中有2个细节没有展现出来。第一就是每个分类里面更加细化、量化的打分规则到底是什么。因为我还没有足够的精力把这部分整理出来;即便整理出来了,这个打分规则也依然是个参考,因为不同行业的差异性、不同企业对于信息安全认知的差异性,都会显著影响评价标准、打分规则的变化。比如科技研发型企业对于保密性更加关注,金融企业对于保密性和可用性更加关注,生产制造型企业对于可用性、完整性更加关注,互联网企业对于保密性、可用性和完整性都关注。
第二就是每个公司在信息安全上的投入,往往是一个极其重要的衡量因素;当然这个因素到底属于哪一类就是仁者见仁智者见智了。再细分下去,投入分为几块(1)老板或信息安全管理的最高层在信息安全工作上的时间、精力的投入多少;(2)每年在信息安全建设、改造上的资金投入,在企业当年总投入的占比;(3)信息安全团队人员的数量、级别和拥有资质,以及在公司总人数的占比;
(2)对标行业标杆的评价标准
做法上先定一个评价标准(通常是某个国际通用的标准)、找一个行业标杆企业、确定这个标杆企业的基准分值(这个分值可能根据行业、业务领域、地域等因素有差别),根据评价标准、寻找和标杆企业之间的差距(更好或者更差)、打分,得到最后的分值。
实施这种评价标准的直接作用就是找差距。实施上的难点在于(1)得先找到一个行业标杆企业;(2)实施评价的时候,对标杆企业的做法必须有足够的了解、掌握充分的信息。所以实施这种评价标准的时候往往依赖咨询公司。
(3)“证明有或没有”的评价标准
对于企业来说,通过外部机构的认可、认证也是一种评价标准。常理来说,得到一些权威机构的认可、认证,至少可以证明其在某些方面达到了较好的水平。当然,我们也不能由此推断,通过认证的企业一定比未通过认证的企业做得好;尤其是在国内,有的时候确实存在给钱就能过的现象,这些认证机构拿自己的权威和声誉开玩笑。因此,如果要看证书,一般以BSI、DNV、SGI或中国信息安全认证中心出具的还算权威的。
常见的几个评价标准如下:
A、 ISO27001:2013
相信对于了解信息安全的人来说,一定对这个标准不陌生,就我认为这是目前安全界里最权威、最具代表和最完善的信息安全管理标准(注意,是管理标准),通过14个安全控制域和114项安全控制措施,全面覆盖企业信息安全管理的各个方面。ISO27001是一个基础的信息安全管理标准,他可以帮助一家没有任何信息安全管理能力的企业,可以通过实施ISO27001快速帮助企业搭建一套信息安全管理框架;也可以帮助一家实施安全已经很长的企业,去思考在安全领域哪些是短板,哪些是空白,需要在哪些领域继续深化才能更全面覆盖安全。所以我个人认为,一个优秀的CSO你可以不懂安全攻防技术,但是你绝对不能不了解ISO27001,因为没有视野的人是无法当一个称职的CSO。
不过遗憾的是,我认为ISO27001:2013在“业务安全”方面还描述的不够,对于企业的信息安全应该如何给业务赋能、理解业务乃至服务业务方面,还是有显著短板的。很期待后续的版本中能够补足。
B、 SDL
SDL即Security Development Lifecycle (SDL),是微软从安全的角度提出的指导软件开发过程的管理模式,SDL的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段需求分析、设计、编码、测试和维护;由于SDL实施起来成本很高,因此仅限有能力的甲方安全团队借鉴。
C、 CSA-STAR
随着云计算服务的高速发展,云安全也成为云服务提供商和云服务客户最关注的的问题;CSA STAR是一项全新而有针对性的国际专业认证项目,由全球标准奠基者——英国标准协会(BSI)和国际云安全权威组织云安全联盟(CSA)联合推出,旨在应对与云安全相关的特定问题。CSA-STAR是以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用BSI提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与;策略、计划、流程和系统性方法;技术和能力;所有权、领导力和管理;监督和测量等5个维度,综合评估组织云端安全管理和技术能力。ISO22301
一个企业的信息安全做得好不能仅仅从保密性来衡量,所以在这里引入了业务连续性的管理体系,对于现在的企业,不论你是制造业、互联网或者是金融业,都无法容忍灾难带来的业务中断,这里提出的ISO22301就是通过一套系统化的管理流程,帮助企业对潜在灾难事件进行分析,帮助企业提前确定可能发生的灾难,并做好应急准备,以阻止或减少这些灾难带给企业的损失。
上面说了一些评价标准,其实安全的标准中还有很多很好的标准,这里拿ISO2700标准族做一个简单举例:
ISO27011 | 电信组织信息安全控制实用规则 |
ISO27014 | 信息安全治理 |
ISO27015 | 金融行业的信息安全管理 |
ISO27017 | 云服务的信息安全控制实用规则 |
ISO27018 | 公有云个人信息处理者保护个人信息的实用规则 |
ISO27019 | 能源公共事业行业过程控制的信息安全管理指南 |
…… |
4. 谁来评?怎么评?
有了评价标准,下面就是怎么评、谁来评的问题了。
一般来说,有钱的企业可以请第三方咨询公司来评价,不想花钱的自己评价,或者在公司里面请第三方部门来评价。考虑到评价过程的成本投入,以及对评价结果的运用周期,建议每1-2年评价一次,并且一定要保障评价的有效性;有效的评价可以通过从前后评价结果的差异中判断进步是否满意,以及帮助决策如何改进。如果为评价而评价,会导致这样的评价与评价的目的不符合。
那么操作过程中,如何保证评价的有效性?
(1)坚持以终为始,每次评价之前都再问自己一遍,“我们为什么要进行评价”?
(2)充分调研。最好跟外部咨询公司、行业协会、同行企业有充分交流和调研,尽可能根据客观事实、量化数据来进行评价,不但结果更有说服力,也更容易识别评价过程中发现的差距和问题。
(3)随着企业战略和经营的变化,外部环境的变化、信息安全团队定位和价值的变化,信息安全评价标准和评价方法也要及时调整和优化。尤其要关注新业务新流程引入的安全风险、新产生的威胁和手段、组织或业务脆弱性带来的新风险,进而评价组织对于新风险的控制能力。
(4)资源许可的情况下,可以聘请第三方中立、权威机构来开展评价工作;自评、等保测评或者其他类型的内审,只要老板认,其实也是可行的。
5. 评价完之后怎么办?
信息安全的工作思路是PDCA,那么对于信息安全的评价也应该遵循这个思路:评价完之后怎么办?
做得好的,继续加强、巩固、提升,甚至可以扩大优势;同时给公司高层、核心干系人做正面宣传;对于一些亮点的负责员工要给予精神物质奖励,进而激励整个团队。
做的不够好的、那就是短板,投入资源进行改进、提升。同时也要对比评估:同行做的好的这方面带来了哪些收益;投入产出比是否恰当;不改进可能带来怎样的风险、产生多大的损失?
6. 新的思考
其实以上评价标准和方法,虽然已经到达可以用的地步了,但是我一直都不太满意,总是觉得差了那么一点,差在哪儿却一直没找到。在写这篇文章的时候,脑子里面突然蹦出一个想法:目前的这些评价标准和方法,更多地是在评价“我们做了什么、我们有什么武器”(这是动作、过程),而不是在评价“我们做成了什么样子、我们成为了谁”(这是结果、效果、目标)。那换个角度,信息安全的工作最终是为了控制风险、应对威胁和漏洞,那么,是否可以从纠正预防、阻断拦截、发现响应、打击威慑4个方面来评价?
纠正预防能力讲的是提前发现、及时纠正,以及保证不再犯错的能力;阻断拦截能力讲的是信息安全风险发生过程中的拦截阻断能力,阻止风险发生的能力,属于事中控制能力;发现响应能力讲的是信息安全风险发现之后的及时发现、响应能力,属于事后控制能力;打击威慑能力讲的是信息安全风险已经发生、损失已经造成后,对于威胁的快速有力打击、形成有效威慑的能力。
按照我的理解,这4个维度的评价,应该不止适用于互联网行业,对于科技研发型、生产制造类行业、金融业也是适用的。不一定对,还请各位读者指正。
声明:本文来自Sec-UN安全村,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。