7月23日，在由企業(yè)網(wǎng)D1Net、信眾智(CIO智力輸出及社交平臺)主辦的“2022全國CIO大會”上，上海非夕機(jī)器人科技CISO劉歆軼發(fā)表主旨演講《信息安全管理體系標(biāo)準(zhǔn)升版說明》，并介紹了他如何規(guī)劃、部署ISO信息安全管理體系的實踐經(jīng)驗，以及今年ISO27001升級版本之后的變化與影響。

現(xiàn)場演講內(nèi)容整理如下。

首先分享兩個關(guān)于安全認(rèn)證方面的新情況。最近兩年，頒布的安全法規(guī)越來越多，因此涉及合規(guī)尤其是跨境數(shù)據(jù)傳輸和個人隱私相關(guān)信息的企業(yè)要格外關(guān)注。在學(xué)習(xí)數(shù)據(jù)保護(hù)相關(guān)內(nèi)容并參加DPO考試認(rèn)證時發(fā)現(xiàn)，參加認(rèn)證的80%是律師，各大律所開始搶占IT人的地盤，也值得注意。

關(guān)于安全領(lǐng)域的認(rèn)證考試，以CISSP認(rèn)證為例，目前全球大概有15萬持證人員，但從2003年第一次在中國舉辦考試至今，國內(nèi)只有4100人通過認(rèn)證。因為這類考試要考6個小時，從早上9點考到下午3點，中間不休息，難度非常大。還有一部分是對于組織的認(rèn)證如ISO27001和ISO2000系列的認(rèn)證。而愿意組織認(rèn)證的行業(yè)企業(yè)主要有兩個，一個是金融行業(yè)，另一個是互聯(lián)網(wǎng)行業(yè)，這些都是有強(qiáng)制要求的。尤其是金融行業(yè)包括證券、銀行、保險，證監(jiān)會、人行、銀保監(jiān)會都有非常嚴(yán)格的安全監(jiān)管要求，基本上每個月都會派審計師去做審計，所以金融企業(yè)對信息安全投入非常大。

非夕機(jī)器人的安全規(guī)劃邏輯

Flexiv(非夕)是一家全球技術(shù)領(lǐng)先的AI機(jī)器人公司，專注于研發(fā)、生產(chǎn)集工業(yè)級力控、計算機(jī)視覺和人工智能技術(shù)于一體的自適應(yīng)機(jī)器人，為不同行業(yè)客戶提供基于非夕機(jī)器人系統(tǒng)的整體、創(chuàng)新性的解決方案和服務(wù)。2016年非夕在硅谷成立，核心創(chuàng)始團(tuán)隊來自斯坦福大學(xué)機(jī)器人和人工智能實驗室。2017年在上海成立上海非夕機(jī)器人；隨后又在北京、深圳等地區(qū)設(shè)立辦公室，在佛山建有工廠，主要制造手臂形狀的自主式柔性機(jī)器人?！胺窍Α笔荈lexiv的音譯，也寓意著“不是夕陽產(chǎn)業(yè)”，也就是朝陽產(chǎn)業(yè)。

公司最重要的是研發(fā)能力，研發(fā)流程基本上是從國際領(lǐng)先的研究機(jī)構(gòu)獲取到一些新的研發(fā)資源和動態(tài)，在硅谷研發(fā)中心做轉(zhuǎn)換，交由國內(nèi)進(jìn)行實現(xiàn)和生產(chǎn)，所以公司研發(fā)數(shù)據(jù)安全是信息安全管理工作的重中之重。

我加入公司之后，開始做一系列相關(guān)安全規(guī)劃工作。整體安全規(guī)劃是依托于整個公司戰(zhàn)略來制定，從企業(yè)戰(zhàn)略到安全架構(gòu)，最后到安全建設(shè)，用這樣一種思考邏輯來規(guī)劃。

通過跟公司管理層訪談之后，梳理出公司的大概情況。可以參考業(yè)界比較認(rèn)可的通用信息安全框架，如下圖。底層的安全技術(shù)參考IATF“三保護(hù)一支撐”的概念，即保護(hù)安全的計算環(huán)境、區(qū)域邊界、通訊網(wǎng)絡(luò)以及支撐性的基礎(chǔ)設(shè)施。

上層的安全運營主要是日常的風(fēng)險管控、監(jiān)控分析、安全運維及應(yīng)急響應(yīng)工作。而安全技術(shù)和安全運營兩部分都是需要安全管理作為指導(dǎo)。

信息安全應(yīng)該以自上而下覆蓋方式推進(jìn)，到底要做什么，往哪個方向去，確定好了之后，通過技術(shù)和運營加以實現(xiàn)，達(dá)到其目標(biāo)。

基于整體信息安全框架，首先要梳理安全管理層面的問題。當(dāng)然也考慮到一定因素，比如IT成熟度、資金投入等情況合理推進(jìn)?？梢匝驖u進(jìn)，先把整體框架搭建起來，再慢慢去填充。

標(biāo)準(zhǔn)ISO安全管理建設(shè)的四個階段

信息安全管理體系(ISMS)可以參照ISO/IEC27001，它的架構(gòu)相對比較全面、穩(wěn)定。涉及內(nèi)容基本涵蓋了組織主要的安全工作，附錄的14個領(lǐng)域，包括方針策略、組織資產(chǎn)、人力資源、物理安全、通訊網(wǎng)絡(luò)等領(lǐng)域;一共設(shè)定了35個控制目標(biāo)、114個控制措施。

標(biāo)準(zhǔn)ISO管理體系搭建過程，即信息安全管理建設(shè)具體分四個階段，見下圖。

首先是啟動和計劃階段。要做一些整體管理范圍的確定、工作計劃、前期溝通，尤其高層溝通，整個信息安全工作要依托企業(yè)安全戰(zhàn)略，在風(fēng)險評估里，確定風(fēng)險準(zhǔn)則一定是由公司最高管理層確定的。

其二是差距評估和風(fēng)險評估階段。依據(jù)ISO27001準(zhǔn)則，根據(jù)公司現(xiàn)狀做整體對比，知道哪些地方有欠缺，再通過風(fēng)險評估來評估哪些是重要的，哪些是高、中風(fēng)險的，找出重點、區(qū)別出優(yōu)先級，就可以制定出信息安全建設(shè)工作的三年規(guī)劃或五年規(guī)劃，知道要做哪些事情，知道按什么順序去做。

其三是體系建設(shè)階段。按照之前確立的計劃，開始設(shè)計整體管理框架、制度建設(shè)、制度評審、審批發(fā)布。制度發(fā)布之后，具體落地則經(jīng)常需要技術(shù)層面做支撐。

最后是試運行及內(nèi)部審核階段。在試運行階段，發(fā)現(xiàn)問題還可以再做相應(yīng)調(diào)整，再去整改，試運行的末期再做整體的內(nèi)審、管理評審、改進(jìn)等一系列工作。

下面就幾個重點的工作稍微做一下詳細(xì)說明。

首先是差距評估。如何評估組織當(dāng)前的信息安全管理現(xiàn)狀呢?可以在14個領(lǐng)域分別給出不同的情況分析。在ISO27000體系里，一般從兩個層面做評估，一個是管理制度層面，一個是實際執(zhí)行層面。具體會分出四個象限，如果制度和執(zhí)行都做得比較好就是綠色，沒有差距；如果制度做得不好，但實際執(zhí)行還行，但沒有成文，就屬于淺綠;如果制度寫得挺漂亮，實際上沒有做，就變成黃色；如果制度和執(zhí)行都比較弱，但至少還有，就是橙色；如果完全沒有考慮到這兩個方面，就是紅色。114個要求對比下來，就會形成一個整體的現(xiàn)狀圖，可以讓管理者一目了然地知道大概哪個方面有什么樣的欠缺。

其次是風(fēng)險評估。風(fēng)險評估是所有安全工作的起點，只有知道哪些環(huán)境有風(fēng)險，風(fēng)險的高低，風(fēng)險處置的優(yōu)先級順序，才知道后一步該怎么做。風(fēng)險評估的方法可以基于ISO27005或ISO31000。一般是先識別信息資產(chǎn)，信息資產(chǎn)包括數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)、人員資產(chǎn)和服務(wù)資產(chǎn)；再去看外界有哪些威脅，內(nèi)部有哪些缺陷和漏洞，以及當(dāng)前已有的措施是否生效；分析清楚之后進(jìn)行風(fēng)險定級，劃分高、中、低風(fēng)險；根據(jù)風(fēng)險準(zhǔn)則決定是否處理，怎么處理；處理之后再做一輪殘余風(fēng)險評估。

根據(jù)五類不同資產(chǎn)梳理出哪些是高風(fēng)險、哪些是低風(fēng)險，可以采用餅圖和柱狀圖(見下圖)的方式，讓大家能夠看清楚需要在哪個方向發(fā)力。

策略為先，制度落地

很多人覺得“方針策略特別虛”，但實際上確實是必不可少而且至關(guān)重要的。安全方針指引公司的安全工作到底往哪個方向發(fā)展、引領(lǐng)我們后續(xù)到底怎么樣開展工作。比如上海非夕目前的安全策略是“全面管理、預(yù)防為主、分級保護(hù)、合規(guī)審慎”，明確了信息安全的工作方向和范圍。安全方針確定下來之后，后面的建設(shè)工作一定要跟著方針策略走。具體可以細(xì)化到年度，比如今年的策略是防止內(nèi)部數(shù)據(jù)泄露，因此工作的重點就可能是漏洞補(bǔ)丁管理，數(shù)據(jù)防泄漏，員工桌面管控等;如果明年策略改成防御外來入侵，那工作方向可能要轉(zhuǎn)向防火墻、WAF、威脅情報、態(tài)勢感知等?？傊结槻呗灾笇?dǎo)我們具體往哪個方向跑，因此策略一定是非常重要的。

有了策略之后，就要有組織，即到底誰來干這些活兒。一般會分成幾個層級，首先是成立信息安全領(lǐng)導(dǎo)小組，一定是公司最高管理層負(fù)責(zé)；然后要建立一個安全管理團(tuán)隊，一般都是IT人員、安全人員、核心部門負(fù)責(zé)人組成，主要負(fù)責(zé)制定一些具體要求；再往下是信息安全執(zhí)行團(tuán)隊，可以在每一個部門都設(shè)立安全專員，即接口人，他們負(fù)責(zé)把整個安全體系慢慢往下推，推到每個部門里面去；最后是全員職責(zé)，即公司每一個員工都是信息安全的責(zé)任人，要對他們?nèi)粘９ぷ髦械陌踩?fù)責(zé)。

對于管理體系的文件層級，一般分成四個層級：第一級是方針政策；第二級是程序，具體提出哪些管理要求；第三級是管理規(guī)范，包括具體如何執(zhí)行，操作步驟，表單模板等；第四級是記錄文檔，記錄到底有沒有按照要求去執(zhí)行，為事后審計提供證據(jù)。

管理體系制度建設(shè)，一般按照以下程序順序進(jìn)行：初稿設(shè)計、對各個業(yè)務(wù)部門進(jìn)行訪談和小組討論、相應(yīng)制度的修改、小組評審、集中評審、定稿，再審批發(fā)布。

按照整體框架在哪個領(lǐng)域分別建立哪些相應(yīng)管理制度，每個公司都不一樣，具體會按照業(yè)務(wù)和IT運維以及細(xì)化程度，建立一個制度清單。

每個制度中都會有相應(yīng)的工作要求，我們可以把這些要求匯總在一起，形成一個信息安全管理體系年度工作計劃，定期進(jìn)行回顧和檢查，并設(shè)立有效性測量指標(biāo)。每年至少組織一次內(nèi)部審核，把前面做的所有事情全都做一遍梳理，看看到底還有哪些缺陷。內(nèi)審結(jié)束之后還需要進(jìn)行管理評審，召開一個管理評審會，讓公司管理層了解一下到底今年信息安全體系運行狀況怎么樣，還有方針政策是否要調(diào)整，每年的安全工作回顧，還有相關(guān)利益方的安全需求有沒有新的變化，外界的環(huán)境有沒有新的變化，一切變化都要在管理評審會上提交，供管理層評價。

內(nèi)審發(fā)現(xiàn)的不符合項會涉及到很多改進(jìn)計劃，這些改進(jìn)計劃需要管理層批準(zhǔn)，包括是否要找人、給錢、給時間，哪個做、哪個不做、哪個推遲、哪個取消等，都要在管理評審會上敲定。

ISO27000變化解讀

ISO27000最早是英國標(biāo)準(zhǔn)協(xié)會(British Standards Institute，BSI)制定的信息安全標(biāo)準(zhǔn)。目前已經(jīng)成為信息安全管理方面最受推崇的國際標(biāo)準(zhǔn)；由信息安全方面的最佳慣例組成的一套全面的控制集。其中，最主要的是27001認(rèn)證標(biāo)準(zhǔn)，一般都按照這個標(biāo)準(zhǔn)來審核。

整個體系包括27001的體系要求，27002的實用規(guī)則，27003的實用指南，還有27006、27007對于審核機(jī)構(gòu)的要求、認(rèn)證等。另外27701是關(guān)于個人信息保護(hù)的管理要求，很多互聯(lián)網(wǎng)公司已經(jīng)通過了27701。目前ISO27000家族系里所有的標(biāo)準(zhǔn)清單，紅顏色的都可以認(rèn)證。

國際標(biāo)準(zhǔn)化組織(ISO組織)遵循所有標(biāo)準(zhǔn)每隔4年進(jìn)行一次回顧的原則。今年是ISO27002文檔發(fā)生了改版情況。按照ISO27000的慣例，一般都是先更新ISO27002，再更新ISO27001。

這次改版變化蠻大，有必要分享一下。

1.標(biāo)準(zhǔn)名稱的變化：這意味著內(nèi)容會產(chǎn)生很大變化。

原來ISO27002的名字叫做“信息技術(shù)-安全技術(shù)-信息安全控制實用規(guī)則”，改版以后叫做“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制”。新增了網(wǎng)絡(luò)安全和隱私保護(hù)的內(nèi)容。很多時候這些名詞的概念容易混淆，比如數(shù)據(jù)安全、網(wǎng)絡(luò)安全、信息安全到底有什么區(qū)別？邊界在哪里?

整體來講，信息安全是大框，什么都能裝；信息資產(chǎn)包含數(shù)據(jù)、軟件、硬件、服務(wù)和人員，所以數(shù)據(jù)安全管理作為信息安全管理的一部分，但同時數(shù)據(jù)安全是作為數(shù)據(jù)治理的一部分，內(nèi)容有交疊，也不完全包含。

信息安全強(qiáng)調(diào)的是對于信息資產(chǎn)的保護(hù)，也就是CIA三個屬性，而網(wǎng)絡(luò)安全強(qiáng)調(diào)的是動態(tài)的攻防和對抗，IPDRR的過程，這兩個角度不一樣。原來ISO27000是基于信息安全的架構(gòu)來做描述的，現(xiàn)在增加了網(wǎng)絡(luò)安全，即強(qiáng)調(diào)對抗的內(nèi)容。

2. 整體結(jié)構(gòu)：從原來18個章節(jié)變成現(xiàn)在8個章節(jié)和2個附錄。

核心內(nèi)容章節(jié)由14個縮減成4個：組織控制、人員控制、物理控制和技術(shù)控制;也就是說原來我們常說的14個領(lǐng)域，現(xiàn)在只有4個框架了。

3.內(nèi)容變化：術(shù)語定義、控制分類、控制數(shù)量、控制屬性、控制視圖都做了相應(yīng)變化，尤其增加了屬性，視圖是之前沒有的，將來會有新的變化。

關(guān)于標(biāo)準(zhǔn)內(nèi)容、術(shù)語，原來是直接引用了ISO27000，現(xiàn)在增加了很多新的術(shù)語內(nèi)容。

控制域從原來14個域變成了4個主題，這就造成我們實際使用的時候沒有辦法用主題來分類。原來用14個域來劃分，每一個域有1~2個、2~3個控制要求，比較好管理，現(xiàn)在變成4個主題，比如某一個主題里面會有37個控制要求，根本沒辦法用它來細(xì)分分類，這就會給我們造成困擾。所以新版標(biāo)準(zhǔn)建議我們用屬性視圖做細(xì)分。

新版標(biāo)準(zhǔn)增加一些控制措施，也做了一些延伸，比如之前沒有威脅情報、云安全;現(xiàn)在特別提到連續(xù)性要求、物理安全監(jiān)控、配置管理等;增加了個人信息的隱私保護(hù)等內(nèi)容;還增加了其他監(jiān)控活動、網(wǎng)絡(luò)過濾、安全編碼等。

增加了控制屬性視圖。所有控制要求，每一條要求都要分屬于不同屬性，比如控制類型分成預(yù)防、檢測、糾正，安全屬性CIA(保密性、完整性、可用性)跟哪個相關(guān)，網(wǎng)絡(luò)安全屬性按IPDRR架構(gòu)，屬于哪個階段；運營能力與之前14個領(lǐng)域非常像，變成了15個域，可以進(jìn)行映射；安全域?qū)傩园卫怼⒈Ｗo(hù)、防御、響應(yīng)。

對照下圖，如果之前按照14個域來劃分，現(xiàn)在可以轉(zhuǎn)換成運營能力15個域，有嚴(yán)格對應(yīng)的關(guān)系，已經(jīng)按照2013版標(biāo)準(zhǔn)開展了工作的，此次升版也不用改動太多，而是直接調(diào)整一下，放到新的運營能力里面就可以了，不會產(chǎn)生太大的變化。

新版增加了如此之多的屬性視圖，是為了方便不同的組織按照不同的視角和習(xí)慣，選擇不同的視圖去篩選比如強(qiáng)調(diào)網(wǎng)絡(luò)安全，就采用網(wǎng)絡(luò)安全屬性作為整體視圖去看，到底這些安全控制在IPDRR的哪些方面；如果習(xí)慣信息安全的視角，就按照CIA屬性來看。組織可以用一些工具，把哪一條屬于哪個控制視圖、安全屬性視圖、網(wǎng)絡(luò)安全視圖進(jìn)行篩選，當(dāng)然也可以用一些工具在線上做或多維表格都可以，沒有的話，用Excel也可以。

總之，ISO/IEC 27002不是認(rèn)證標(biāo)準(zhǔn)，是一個實踐標(biāo)準(zhǔn)，最后會引起ISO/IEC27001的升級。按照ISO內(nèi)部的說法，在今年10月份左右，ISO/IEC27001就會升級到ISO/IEC 27001:2022版。

對于企業(yè)來講，如果還沒有做ISO27001認(rèn)證，可以有兩個選擇，一是繼續(xù)按照老版標(biāo)準(zhǔn)做準(zhǔn)備、去認(rèn)證，等到2022新版發(fā)布之后再去升級；二是直接等到2022新版發(fā)布之后，一次性按照新版去認(rèn)證。兩種路徑都可以，看企業(yè)目前準(zhǔn)備的情況如何。一般升級版都有三年周期讓企業(yè)慢慢調(diào)整。

升級對企業(yè)安全管控的實際影響有多大呢？首先是信息安全管理的方法論不會變，都是基于風(fēng)險的信息安全管理體系；其次新版涉及的范圍更加廣泛，增加了網(wǎng)絡(luò)安全、隱私保護(hù)的內(nèi)容；第三，兼容性也更強(qiáng)，可以通過不同視角、分別按照企業(yè)喜歡的方式去展現(xiàn)所有的控制方法。