0引言
  風險是以一定的發(fā)生概率的潛在危機形式存在的可能性，而不是已經(jīng)存在的客觀結(jié)果或既定事實。風險管理是通過對風險的識別、衡量和控制，以最小的成本將風險導致的各種損失結(jié)果減少到最小的管理方法。
信息系統(tǒng)項目過程中存在各類風險，這些風險有著自身的特點，對項目的影響也隨項目的不同階段而不同。其中信息安全風險是指系統(tǒng)本身的脆弱性在來自環(huán)境的威脅下而產(chǎn)生的風險，這些風險會對項目造成延期、降低質(zhì)量、成本上升等后果。
對信息安全風險的評估是進行有效風險管理的基礎，是對后續(xù)風險計劃和風險控制過程的有力支撐，進而確保完成項目的投資、工期、質(zhì)量總目標。如果應用項目風險識別過程或工具對信息安全風險進行評估，會遇到難以量化風險的難題。
而成熟的信息安全評估過程由于不是面向項目、適用于大型組織以及持續(xù)時間長等原因無法應用到項目管理中。本文通過對信息安全風險評估在項目風險評估管理過程中的應用這一問題的研究，結(jié)合筆者的工作實踐努力去尋找一個適合在項目中運用的評估方法。
目前，信息系統(tǒng)項目的安全風險評估方面，國內(nèi)尚未有系統(tǒng)的理論研究成果，也無統(tǒng)一的模型和流程。希望筆者所做的工作能為信息系統(tǒng)項目信息安全風險管理的理論研究和實踐工作提供一定的參考。
l 信息系統(tǒng)項目風險管理
  在這里，項目所面對的信息系統(tǒng)并不局限于計算機軟硬件設備構成的系統(tǒng)、網(wǎng)絡、平臺或環(huán)境，它還包括人和信息在內(nèi)的廣義的大系統(tǒng)。信息系統(tǒng)項目，無論其規(guī)模大小，必然會為被實施方(用戶)在管理、業(yè)務經(jīng)營等多方面帶來變革，這就使項目必然具有高風險性的特點。
特別是當項目在人和計算機網(wǎng)絡空間里展開時，所面臨的威脅和風險呈現(xiàn)出多樣性。近年來，企業(yè)信息化項目的廣泛實施，一方面為眾多的企業(yè)帶來了管理、經(jīng)營方面的革新，而另一方面，夭折、中斷、失敗的項目也不在少數(shù)。
因此，如何在項目管理中有效地管理風險、控制風險，已經(jīng)成為了項目成功的必要條件。根據(jù)PMI項目管理手冊的定義:項目風險是一種不確定的事件或狀況，一旦發(fā)生，會對至少一個項目目標如時間、費用、范圍或質(zhì)量目標產(chǎn)生積極或者消極影響。
風險的起因可能是一種或多種，風險一旦發(fā)生，會產(chǎn)生一項或多項影響。風險管理包括項目風險管理規(guī)劃、風險識別、分析、應對和監(jiān)控的過程。項目風險管理的目標在于增加積極事件的概率和影響，降低項目消極事件的概率和影響。
其中風險識別和風險量化常被視做一個程序，稱為風險評估。
2 項目的信息安全風險
  信息系統(tǒng)項目的信息安全風險指信息系統(tǒng)在項目的生命周期中其安全屬性面臨的危害發(fā)生的可能性，指的是由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致信息安全事件發(fā)生的可能性及其造成的影響。
具體來說是信息系統(tǒng)在存儲、傳輸和處理信息時，信息的安全屬性如保密性、完整性、可用性及其他屬性(真實性、可核查性、防抵賴性等)受到的挑戰(zhàn)。
(1)保密性:保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義。
(2)完整性:保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。
(3)可用性:保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。信息安全風險可以用信息安全事件發(fā)生的可能性及其造成的影響或危害這兩個指標來衡量。
危害不僅取決于災害性事故的發(fā)生頻率，而且與事故造成的后果大小有關。目前對系統(tǒng)某一事件的風險R通常用時間發(fā)生的概率尸和事件產(chǎn)生的后果幅值C這兩個指標來表示。這一對指標并不代表簡單的數(shù)學運算、一個矢量或標量，而是表示某一事件的發(fā)生概率與產(chǎn)生的預期后果的對應關系。
(3)確定風險和評級:為已確定的風險評級。風險評估的輸出結(jié)果是一份確定了優(yōu)先級的風險列表，該列表向后續(xù)的風險應對和監(jiān)控過程提供輸入資料來源。
評估過程由一系列循序漸進的討論會組成，其核心是自主原則，指的是由組織內(nèi)部的人員來管理和指導組織的信息安全評估工作。
3項目的風險評估過程
3.1評估規(guī)劃
(1)建立評估團隊。評估風險在整個過程中需要跨部門的合作，要求不同的風險承擔者負責相應的任務。評估團隊的成員不但需要來自不同部門，而且需要團隊成員中存在一定的級別差異。目的在于分析和評估風險對于組織的任務和業(yè)務目標的影響。
這就需要來自管理層、業(yè)務部門和技術部門的成員。他們可以不需要非常豐富的仃知識，但必須對自己的業(yè)務非常了解。
(2)建立風險量化標準。建立風險量化標準是確立來自組織內(nèi)部對于項目和信息系統(tǒng)的安全需求，這種需求將成為評估風險給組織的任務和商業(yè)目標帶來的影響的驅(qū)動因素。這些驅(qū)動因素體會體現(xiàn)在一系列風險量化標準里而作為評估規(guī)劃的重要成果。
風險量化標準是一系列定量的量化方法。它參考了那些對已經(jīng)發(fā)生了的風險的影響進行評價的結(jié)果，繼而成為整個風險評估的基礎。使用一致的量化標準能確保在多個信息資產(chǎn)和操作部門之間同樣一致地執(zhí)行制訂的風險應對計劃。
除了評估在某特定區(qū)域內(nèi)的影響程度，組織還必須識別出哪些區(qū)域?qū)τ谒娜蝿蘸蜕虡I(yè)目標最為重要。譬如，一些組織會更重視有可能給他們與客戶的關系帶來影響的風險，而相比之下對影響相關法規(guī)符合性的風險就不如前者重要。
所以對有可能被風險影響的區(qū)域設定優(yōu)先級也是在評估規(guī)劃里必須執(zhí)行的。當項目風險管理中的風險管理規(guī)劃完成后，產(chǎn)生了項目的風險管理計劃。接著就可以啟動風險評估過程。評估過程即通過一個正式的流程來確定項目中組織面臨的風險并確定其優(yōu)先級。
并且將評估風險階段細分為以下三個步驟:
(l)評估規(guī)劃:為成功的風險評估建立基礎。
(2)數(shù)據(jù)收集和處理:通過研討會討論收集到的風
3.2數(shù)據(jù)收集和處理
(l)建立信息資產(chǎn)配置文件。評估過程關注的是組織的信息資產(chǎn)，所以在這一步開始建立資產(chǎn)配置文件。一個配置文件代表了一個信息資產(chǎn)，它描述了資產(chǎn)區(qū)別于其他資產(chǎn)的特征、品質(zhì)、特性和對它的賦值。
這個創(chuàng)建配置文件的過程確保了每一個資產(chǎn)都有清晰而且一致的描述來明確它的邊界，并且充分定義了有關安全的需求。每一個資產(chǎn)的配置文件生成一張表單，它將成為后續(xù)步驟中定義威脅和風險的基礎。
(2)識別信息資產(chǎn)容器。信息資產(chǎn)被存儲、傳輸和處理的地點稱之為容器。信息資產(chǎn)不僅會存在于組織邊界范圍內(nèi)，它也時常存在于不受組織直接控制的容器內(nèi)。任何對于容器的風險會被存在于其中的信息資產(chǎn)繼承下來。
譬如，許多組織向服務提供商外包它們部分的IT基礎設施，服務提供商管理和維護著含有這個組織信息資產(chǎn)的容器。如果服務提供商不了解它們管理的容器內(nèi)所存儲、傳輸和處理的信息資產(chǎn)來自組織的安全需求，那些用來保護信息資產(chǎn)的控制手段則有可能會不足，導致將資產(chǎn)暴露在風險面前。
這個問題在有些情況下會變得更顯著，譬如服務提供商在不通知資產(chǎn)所有者的情況下將服務(如數(shù)據(jù)存儲業(yè)務)簽署給另外的服務商。因此，為了獲取完整的信息資產(chǎn)風險配置文件，組織必須識別出所有信息資產(chǎn)被存儲、傳輸和處理的地點即信息資產(chǎn)容器，
而不論這些容器是在組織的直接控制或間接控制之下。識別出所有內(nèi)部的和外部的信息資產(chǎn)容器，然后將信息資產(chǎn)關聯(lián)到它所在的容器中并列表輸出。
(3)識別關注區(qū)域。開始通過頭腦風暴來識別風險，頭腦風暴的目的是找出任何可能威脅組織信息資產(chǎn)的條件或情況。這些被識別出來的現(xiàn)實世界中的場景就被視做是關注區(qū)域，它們可以代表威脅以及相對應的不良后果。
針對關注區(qū)域的討論可以幫助人們找出那些只對某一組織來說是威脅的風險。必須注意的是，識別關注區(qū)域的目的不是去完成一個完整的對信息資產(chǎn)可能的威脅場景列表，而是快速地記錄那些在頭腦風暴中最先跳出的可能威脅組織信息資產(chǎn)的條件和情況。
(4)識別威脅場景。識別出來的關注區(qū)域在這里被展開。展開的關注區(qū)域包含每一個威脅的具體內(nèi)容，稱之為威脅場景。但是這些從關注區(qū)域發(fā)展而來的威脅的集合還不足以為一個組織的信息資產(chǎn)所可能面臨的威脅提供一個周全的考慮。因此必須通過進一步分析威脅場景來考慮更廣范圍的附加風險。
主要的信息安全威脅有8種。
①竊取:非法用戶通過數(shù)據(jù)竊聽的手段獲得敏感信息;
②截取:非法用戶首先獲得信息，再將此信息發(fā)送給真正的接收者;
③偽黔頂具薰理燕難造:將偽造的信息發(fā)送給接收者;
④篡改:非法用戶對合法用戶之間的通訊信息進行修改，再發(fā)送給接收者;
⑤拒絕服務攻擊:攻擊服務系統(tǒng)，造成系統(tǒng)癱瘓，阻止合法用戶獲得服務;
⑥行為否認:合法用戶否認已經(jīng)發(fā)生的行為;
⑦非授權訪問:未經(jīng)系統(tǒng)授權而使用網(wǎng)絡或計算機資源;
⑧傳播病毒:通過網(wǎng)絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。
3.3確定風險和評級
(1)識別風險。當識別了威脅后，接下來是對那些已經(jīng)識別的威脅分析相應的后果，以完成風險識別。一個威脅對于一個組織可能會有多種潛在的影響。譬如，一個組織的電子商務系統(tǒng)的中斷會影響到它在客戶中的聲譽及其金融地位。所以通過這個步驟來確保識別出風險的不同后果。
(2)分析風險。最后用定量的方法來評價風險對組織的影響程度。即通過考慮風險的結(jié)果對組織的影響程度得出相對風險影響值。隨著影響區(qū)域的重要程度不同、風險的可能性和發(fā)生概率的不同，計算出來的風險值也不同。
也就是說，如果對一個組織來說聲譽最重要，那么對這個組織的聲譽有影響的風險將會得到比較高的數(shù)值，而影響其他領域的風險的數(shù)值相對比較低。組織通過對這些影響做優(yōu)先排序，從而確保風險也被優(yōu)先排序。至此，項目中的信息安全風險被識別、排序和輸出，最后為下一步風險管理過程輸人信息。
4結(jié)語
  將信息安全評估應用到IT項目風險管理中擴大了風險管理的內(nèi)涵，它使項目管理者能更好地管理信息安全風險。同時也帶來了許多新的課題，譬如，如何組織管理層和業(yè)務部門參與制訂信息安全風險計劃，如何監(jiān)控項目中的信息安全風險以及如何讓信息安全風險管理與項目整體管理結(jié)合得更好。