随着全球化的业务大集中、数据大集中趋势,IT越来越渗透到企业运营的每一个环节和流程,企业对IT系统的依赖度与IT风险的关系犹如水与船的关系,水涨船高,依赖度越强,IT风险越大。恰逢去年以来,来势汹涌的金融危机又使全球经济环境发生了剧烈变化。风险这个词汇再一个撞击着世人的神经,企业亟待普及风险意识,以及如何有效防范IT风险,建立IT风险管理机制,成了各行各业不可回避的问题。
当前国内信息化走在前列的企业如银行、电信等在IT风险管理方面也做了不少的工作,比如说参照国家标准《GB-T20984-2007信息安全风险评估规范》或者国际标准《ISO13335 IT安全管理指南》对企业内部的信息资产做了全面风险评估,IT资产的风险基本上做了控制,但是整个业务流程总是不断的发生或这或那的安全问题,这问题为什么会发生,问题的根源在哪,这需要我们去探索与研究。本人有幸全面参与了某研究院业务流程风险评估的项目,在此非常荣幸的与大家分享企业流程风险评估的一些经验。
项目背景:
电信业重组之后,三大电信巨头进入全业务的竞争时代,竞争会更加激烈,现在铺天盖地的3G业务广告拉开了这场白热化竞争的序幕。某研究院(以下简称研究院)是某电信运营商下属的科研机构,主要研究电信技术发展趋势与战略,网络、技术与业务发展规划,决策软科学,信息情报,进行负责网络管理和业务管理等支撑系统的开发,应用软件研究与系统集成,开发电信新业务和增值业务等,是知识密集型组织。
研究院在08年初知识管理系统正式上线,知识管理要更好地服务研究院的核心业务流程,为知识增值做出更多贡献。随着知识管理系统的应用不断深入,知识共享与研究院内部信息保密的矛盾一日突出。知识共享与信息保密是天生的矛盾体,前者要求知识广泛共享,强调提升知识价值,而信息保密强调的是把知识限制在许可的范围内,强调维护企业知识产权甚至商业机密。为了最大限度的达到知识共享,同时又要防止信息泄密,该研究院启动了对知识管理流程风险评估项目,旨在全面评估知识管理流程安全风险,提出合理的解决方案。
为什么要实施业务流程风险评估?
(1) 流程的概念
业务流程是以一种或者多种输入为条件,从而为企业创造某种价值输出的活动的集合。业务流程有特定的目标,同时也受到外部环境或者其他过程中发生事件的影响。业务流程一般具有以下特征:
ü 具有特定的业务目标
ü 遵照有一定的业务规则
ü 有明确的输入和输出
ü 使用必要的资源,包括如人、原料、信息和产品。
ü 由一系列相互关联又相互依赖的活动组成
ü 为企业或组织创造价值。
以上这些概念都相互联系:一个规则可以影响到资源组织的方式;一个资源被分配给一个特定的过程;一个目标与一个特定的过程执行相关联。
(2) 流程风险示例
假设某一业务流程包含顺序的30个子活动,由30个主机系统支撑,且这些主机都没有采取双机的方式,为了简单起见,现假定所有主机因系统故障(可能是人员误操作、黑客攻击等所有的内外部威胁的集合而导致的系统故障)而导致业务中断的风险概率为1%,那么该业务的IT风险为30×1%=30%,可靠性只有70%,70%的可靠性就意味着一天的工作时间(按8小时计算)内平均有2.4小时该业务是处在停滞状态。从以上的分析可以看到,尽管单个的信息资产风险已经很低,但是放在整个业务流程当中而引发的连锁效应在此放大了30倍,可见必须从流程的角度来评价风险。
(3) 调查统计
国际知名咨询机构Gartner的在2000年调查结果以及和我们在实践中证实发现,现实的状况的确如此。同时Gartner也做了个调查,哪些是减少基础设施故障从而保障业务连续的最有效的措施,调查结果如下:
从以上的调查结果可以看出,要减少信息系统故障最有效的方式之一进行有效的流程管理,因此,单纯只是从资产的角度去分析和解决问题,不能解决全部的问题,因此需要在保证“静态资产”安全的基础上,对IT相关业务流程进行有效管理,以保护业务流程这类“动态资产”的安全 。
什么是流程风险评估:
常用的信息资产评估是从信息资产、弱点以及威胁三个要素入手识别和评价风险,关注的是“点”,是“静态资产”,而流程风险评估是以信息资产风险评估作为基础,把“静态资产点”窜接成线、形成工作流程,从流程目标定义、信息输入、输出、流程活动规则、人员参入等角度去识别和评价风险。
业务流程风险评估一般做法:
(1) 资产风险评估
信息资产的风险评估就是从信息资产出发,分析和评价知识管理系统的风险,方法和过程在此就不累赘了。但是作为流程风险评估的基础,是非常有必要纳入到流程的风险评估的过程当中的。
(2) 流程理解
通过人员访谈,熟悉业务流程活动的流转。接下来是通过一种直观的方式描述流程的关键活动以及不同活动的顺序,这就是流程建模。目前有许多建立流程模型的方法,这里我们采用UML为业务流程建模。以UML类图的形式对业务过程进行描述,如图所示:
(3) 建立流程风险矩阵表
通过“流程理解”阶段的访谈和现状调查,知晓了流程本身需要,或者说业务需要的控制要求(控制点),同时结合信息资产风险评估的结果,对流程要素所具有的弱点和威胁一一进行识别和分析。
(4) 流程风险评价
在流程风险矩阵表中,对流程所有可能遭遇的风险的所有要素进行一一评价,同时考虑现有的控制措施,最终得出流程在某个控制点的风险状况,然后综合所有的控制点的风险,最终得出该流程的总体的风险状况。
本案分析:
(1) 业务流程的分类
不同的流程应该根据流程的特征选择适合该流程的风险评估方法,评估方法的选择决定了从何种视角去分析流程所面临的风险,而不同的视角又将影响流程的分析结果。而流程真正的信息安全是在一个个动态的业务流程及IT流程中实现的,从流程的目标来看可以分为以下两类:
ü 需要IT支撑的业务流程
ü 支撑业务的IT流程
但是从流程的特征来看,流程可以分为:
ü 数据流,数据流关注数据在流转过程中安全
ü 控制流,控制流则关注流程遍历时控制点是否缺失,是否有效等
ü 数据流和控制流的结合体,即关心数据的流转安全,同时又关注关键控制点。
知识管理流程属于需要IT支撑的业务流程,同时也是数据流程和控制流的结合体。
(2) 业务流程风险评估指标
通过前期的人员访谈和调研,知识管理流程是既有数据流的特征同时又有控制流的要求,因此在评估过程中,既要从信息的生命周期来进行管控,同时又要从流程活动的目标能否达成来分析。信息生命周期控制从以下几个方面来分析:
(3) 流程风险矩阵表
流程风险矩阵默认描述了一类(个)流程可能面临所有的风险,或者说该流程应该具备的控制目标。而风险矩阵的目的就是收集某个流程当前所有的控制信息,对照风险控制要求或者控制目标,最终评价流程的风险。下图是知识管理流程中某个子流程部分风险矩阵。
(4) 评价流程风险
评价流程风险是本项目最困难的部分,其困难之处在于最后风险结果的呈现方式,对于知识管理流程而言,包括知识创建、知识分类与存储、知识共享以及知识更新等几个子流程,那么势必就有需要比较这些流程哪个流程风险最高,哪个流程风险最低。如果单单能够像上文“流程风险示例”那样能够定量的给出流程中所有环节的风险,然后依据流程中各活动之间的串行或者并行的关系,相对而言能够比较轻松得到流程最终的风险。但是,大家也知道,在信息安全领域中的定量的风险评估由于缺乏必要的基础数据的支撑以及方法本身非常复杂,而在实践当中几乎没有使用,而定性的风险评估方法由于操作简单,在实践中得到了广泛的应用,在本案中,也不例外,我们采取定性的风险评估,采取“高、中、低”的方式评价每个控制点的风险,且对“高、中、低”简单的赋值“3、2、1”,然后对流程中所有的控制点的风险值相加,得到了该流程最后的风险,在此基础上比较流程风险的高低,依据企业风险处理策略,相应对这些子流程采取必要的控制措施。这样的比较方法,其重要的基础就是把每个子流程所有的控制点全部识别出来,并要根据控制点在流程控制中所处的地位,比如是关键控制还是一般控制给控制点分配一定的权重。因此对流程本身的理解就显得非常关键,这依赖于前期的“流程理解”阶段的工作。
结束语:
这个项目已经结束,但是流程风险评估的工作才刚刚开始,应该说,我们在流程风险评估方面做了有益的探索和尝试也取得了宝贵的经验。下面引用客户的评价作为本文的结束:“业务流程风险评估方法的提出更新我们对IT风险的认识,使我们认识到风险不仅仅限于信息系统、网络设备等相对静止的信息资产的风险,而且还包括把这所有的系统、设备以及人员窜接起来形成一条线的风险,这个项目发现了重大的安全漏洞并并提出了相应解决方案,整个评估方法具有针对性和前瞻性。”
