曾經參與過不少企業的信息科技風險/安全管理體系的建設和優化,在這過程中,常常聽到IT風險人員and信息安全人員的一個問題就是,信息科技風險(簡稱IT風險)和信息安全風險有啥不一樣的?信息安全管理和信息科技風險管理又有啥不一樣的?(其實大家心裡想問的是:這個事兒是不是不該歸我管?)
這真是一個一言難盡的問題,感覺這應該不是一回事兒,但IT風險與信息安全風險就像一對雙胞胎,總是如形隨行,糾纏不清,實在分不清楚。
要搞清楚這個問題,需要先搞清楚信息安全風險和IT風險分別是什麼?我們先來看看常規的定義。
首先,什麼是風險?
關於風險有很多的解釋,現代漢語詞典說“風險指遭受損失、傷害、不利或毀滅的可能性”,也有說“風險是生產目的與勞動成果之間的
不確定性”,但總體來看都差不多,包含了兩層意思,第一是預期目標與實際結果的不一致,第二是發生的不確定性/可能性。一般我們說的風險都隱含了遭受損失的意思。什麼是信息安全風險呢?
信息安全風險,從字面上理解,就是會影響到信息安全的風險,而信息安全,雖然有很多種表達,但中心思想都是保護信息(以及信息系統)機密性、完整性、可用性(以及其它的衍生特性)。在ISO27005裡,把信息安全風險定義為“某種特定的威脅利用資產或一組資產的脆弱點,導致這些資產受損或破壞的潛在可能”。結合信息安全的定義,我們可以把信息安全風險看成是“信息資產遭受損失、傷害、不利或毀滅的可能性”。
那IT風險呢?
《新巴塞爾協議》說,IT風險是指任何由於使用計算機硬件、軟件、網絡等系統所引發的不利情況,包括程序錯誤、系統宕機、軟件缺陷、操作失誤、硬件故障、容量不足、網絡漏洞及故障恢復等。聽起來似乎好像,就是信息安全風險的另一種表述吧?計算機硬件、軟件、網絡可不都是信息資產麼?
銀監會發布的《商業銀行信息科技風險管理指引》則說,信息科技風險,是指信息科技在商業銀行運用過程中,由於自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。
??納尼?第一次讀到這句話的時候,我真的是一臉的囧逼,這句話去除修飾之後是這樣事兒的:
“信息科技風險是風險”
(不過需要說明的是,這個定義雖然有取巧的嫌疑,但從信息科技風險管理或是企業風險管理的角度來看,這個定義充滿了智慧,這個我們以後再分析)
求人不如求已,參考下風險的釋義,我們可以認為IT風險就是“在信息科技運用過程中遭受損失、傷害、不利或毀滅的可能性”。但是這裡面缺少了一個主語,誰遭受損害呢?那麼我們想一想,跟信息科技相關的都有啥?
--信息系統、主機、網絡。
這些東西是啥?
--信息資產。
所以IT風險就是“在信息科技運用過程中,信息資產遭受損失、傷害、不利或毀滅的可能性”?對比一下,信息安全風險是“信息資產遭受損害的可能性”。所以IT風險和信息安全風險原來是一回事?!好了,真相總算大白了。
那要是這麼說來,所謂信息科技風險管理和信息安全管理就是一回事嘛。你看,信息科技風險管理,目的是控制風險,避免風險帶來的損害;信息安全管理,目的是保護信息資產,使之不會受到損害。就是起了兩個名字而已。
真的是這樣麼?
的確IT風險是發生損害的可能性,但被損害的,可不一定就是信息資產,也可能是業務(所以你看,銀監會的定義多有智慧),比如一個計劃好的業務功能模塊不能按時上線,信息資產並沒有受到侵害,但是業務的正常開展受到了影響,這也是IT風險,但跟信息安全沒有關係。
嗯,有道理,那就是說,IT風險中包含了信息安全風險以及其它風險?也就是說信息科技風險管理包含了信息安全管理?那還要信息安全管理部門來幹嘛?解散解散~~
別捉急,我們再看看,IT風險的確會損害信息資產的安全,但是損害信息資產的卻不一定都是IT風險。比如某個壞人,偷偷把老乾媽辣醬的秘方學到手,跑去另一家公司搞生產,這妥妥的信息資產(的機密性)受到損害,然而,這跟IT風險有半毛錢關係啊?
其實呢,簡單點說就是,信息安全風險與IT風險是兩個在很大程度上重合的風險集合,而信息安全管理與信息科技風險管理的工作也有很多交集,但它們依然是獨立的個體。
IT風險影響到的是信息科技工作的正常開展,這其中包括了那些可能干擾到信息科技工作的信息安全風險,以及其它風險;而信息安全風險影響到的是信息資產的保密性、完整性和可用性,這裡麵包括了那些能夠損害信息資產的IT風險,以及其它風險。
那既然有很多交集,又為什麼要把信息科技風險管理和信息安全管理區分開呢?尤其是在信息科技部門,本來管理的範圍就在信息科技內,IT風險與信息安全風險的重合度就更高了,區分開來有什麼意義呢?這就涉及到信息安全部門和信息科技風險部門的職能、“三道防線”的設置,以及其它在管理方面存在的問題,我們下回接著說吧。
閱讀更多 閏業學院 的文章
