前言

我国关键信息基础设施保护的基本原则之一便是“以风险管理为导向的动态防护”，即根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整，形成动态的安全防护机制，及时有效的防范应对安全风险。

今天笔者来谈一谈某运营者建立以风险管理为导向的网络安全保障体系的实践。

一、项目背景

某运营者属于关键信息基础设施运营者，向某市公众提供与生活密切相关的公共服务。

该运营者自组建之初便高度重视网络安全工作。截止到目前，做了大量的网络安全工作，包括：

（1）根据网络安全等级保护制度、ISO27001等，开展网络安全合规体系建设；

（2）积极参考国内外成功的、有益的通用实践经验，安全理论、方法、模型等，来指导网络安全保障工作；

（3）引入了某网络安全服务机构驻场协助安全管理部门开展常态化的安全运行维护工作，建立起了较为完善的网络安全保障体系。

2014年2月，美国发布《提升关键基础设施网络安全框架》，该框架提出了一套着眼于安全风险，对关键基础设施实施安全风险管控，将安全风险控制在可接受的范围的风险管理方法。这也与我国关键信息基础设施保护的“以风险管理为导向的动态防护”原则相符合。

该运营者目前也在常态化开展网络安全风险管理活动，但存在以下几个主要问题：

（1）风险管理的覆盖范围和对象不完整；

（2）风险管理涉及的各参与方协同机制不健全；

（3）缺乏统一的网络安全风险管理计划和有效的执行/反馈/检查工作机制；

（4）尚未建立起以风险管理为导向的网络安全保障体系。

基于此，该运营者决定参考国内外有益的、成功的通用实践经验，根据我国关键信息基础设施保护的相关政策、法律法规、标准规范等要求，建立以风险管理为导向的网络安全保障体系。

二、解决问题的思路和方法

该运营者的安全管理部门经过研究，并咨询了某网络安全服务机构意见后，决定采用“先研究、后试点、再推行”的“三步走”模式。

（1）“先研究”：根据参考国内外有益的、成功的通用实践经验，根据我国关键信息基础设施保护的相关政策、法律法规、标准规范等要求，结合本单位实际情况，研究可行的、能落地的、代价较小的以风险管理为导向的网络安全保障体系，形成试点实施方案并评审与审批通过。

（2）“后试点”：在试点实施方案形成并评审与审批通过后，选择某中心做试点，在不影响业务稳定、持续运行的前提下，以较小代价调整现有的网络安全保障体系，探索实践路径、积累经验，逐步推动建立以风险管理为导向的网络安全保障体系，并持续改进。

（3）“再推行”：总结某中心试点工作取得的成功经验，对试点实施方案做进一步修改完善；做好实施方案推广的前期准备工作和实施计划，向其他分支机构推行以风险管理为导向的网络安全保障体系。

三、网络安全保障体系实践过程

3.1  研究并形成实施方案

该运营者的安全管理部门与驻场的网络安全服务机构共同派人组成联合工作组，开展建立以风险管理为导向的网络安全保障体系研究工作。主要工作如下：

（1）研究国内外有益的、成功的通用实践经验，整理我国关键信息基础设施保护的相关政策、法律法规、标准规范等要求，对其中涉及的风险管理的相关内容进行梳理，形成参考基础材料。

（2）调研分支机构的网络安全运行维护工作，其他运行维护工作如主机运维、网络运维、基础设施建设等的开展情况。

在此基础上，联合工作组经过研究，并反复论证、完善和向业务和使用部门相关人员、驻场开展各类运行维护工作的第三方人员征求意见，最终编制形成了《建立以风险管理为导向的网络安全保障体系调整试点实施方案》（以下简称试点实施方案）。

该《试点实施方案》详细阐述了项目背景，当前网络安全保障体系的运行情况，国内外的相关通用实践情况，我国关键信息基础设施保护相关政策、法律法规及标准规范等对风险管理的若干要求，实施原则和依据，风险管理的目标，风险管理的范围和对象，风险管理相关人员的角色和职责，风险管理的内容和过程，现行网络安全保障体系的调整内容，需要协调的实施事项，实施推进计划，项目预算，保障措施，现行网络安全保障体系调整的主要代价分析，预期效益分析等。

其中：

（1）风险管理的目标：通过建立统一的网络安全风险管理计划，推动各项风险管理活动的开展，将风险管理贯穿于关键信息基础设施保护的各阶段、各环节以及各项运行维护活动中，将安全风险控制在可接受的范围，从而建立以风险管理为导向的网络安全保障体系。

（2）风险管理相关人员的角色和职责：包括风险管理的直接参与人员，也包括风险管理对象的相关人员。例如：决策层人员、管理层人员、执行层人员（规划设计、建设、运行、维护、监控等）、支持层人员、用户层人员。

（3）风险管理的内容和过程：包括背景建立、风险评估、风险处理、批准留存、监视评审和沟通咨询6个方面的内容。其中风险评估描述了风险评估的框架、流程、实施过程、工作形式、关键信息基础设施生命周期各阶段的着重风险评估的内容等；风险处理描述了风险处理的原则、方式、流程、实施过程、处理评价等内容。

（4）现行网络安全保障体系的调整内容：提出了现行的若干运行维护活动需要加入的风险管理内容，现行的风险评估活动需要完善的内容，现行风险管理的工作机制包括组织、制度、流程等方面需要完善的内容，执行统一的网络安全风险管理计划的团队、工具、流程、制度等资源筹备内容等。

联合工作组邀请分管网络安全工作的主管、业务和使用部门的相关人员、驻场开展各类运行维护工作的第三方人员、外部专家，举行评审会，对《试点实施方案》进行评审。经充分讨论后，形成评审意见。

联合工作组根据评审意见进行修改后，经安全管理部门主管、网络安全主要负责人逐级审批后，正式形成《试点实施方案》。

3.2  试点建立以风险管理为导向的网络安全保障体系

联合工作组根据《试点实施方案》，准备在某中心开展试点工作。主要内容如下图所示：

3.2.1  重塑风险管理团队及相关人员的角色和职责

对现行的风险管理团队及相关人员的角色、职责与义务等进行重新定义，形成相关文件。调整后的风险管理团队及相关人员的角色和职责如下表：

3.2.2  调整风险管理的范围和对象

对现行的风险管理的范围和对象进行调整，开展以下工作：

（1）调查业务目标。了解某中心的使命，包括战略背景和战略目标等，从中明确支持该运营者完成其使命的风险管理对象的业务目标。

（2）调查业务特性。了解某中心的业务，包括业务内容和业务流程等，从中明确支持该运营者业务运营的信息系统的业务特性。

（3）调查管理特性。了解某中心的组织结构和管理制度，包括岗位设置、责任分配、规章制度、操作规程和人事管理等，从中明确支持该运营者业务运营的信息系统的管理特性。

（4）调查技术特性。了解风险管理对象涉及的资产，包括采用新技术、业务流（数据流）、物理平台、系统平台、网络平台、应用平台等，从中明确风险管理对象的技术特性。

汇总上述调查结果，形成描述报告，其中包含业务目标、业务特性、管理特性和技术特性等方面的内容。

基于上述调查结果，形成《风险管理的对象和范围清单》。

3.2.3  调整现行的风险管理的制度、流程、协同机制等

修订现行的风险管理制度，包括：

（1）增加“风险管理涉及的相关人员应主动报告网络安全风险相关内容”以及相关的网络安全风险主动报告所需的流程、协同机制等内容；

（2）增加“建立统一的网络安全风险管理计划”的内容以及相应的风险管理计划的执行、反馈、监视、检查等工作机制；

（3）增加“围绕识别、防护、检测、预警、响应、处置等环节，组织和管理各项网络安全活动”的内容；

（4）增加“以风险管理统领各项网络安全活动”的内容。

围绕识别、防护、检测、预警、响应、处置等环节，调整或新增若干运行维护活动，增加风险管理相关的工作内容描述，例如：

——运行维护团队在开展检测评估活动时，应将检测评估发现的安全问题和风险隐患，主动报告风险管理团队，纳入网络安全风险管理计划统一管理。

——增加数据出境管理活动，主要内容有采取措施保护出境数据的安全，并就数据出境活动进行安全评估。同时就安全评估发现的问题和风险隐患，主动上报风险管理团队，纳入网络安全风险管理计划统一管理。

调整现行的风险管理活动内容，不仅包括现行的主动开展的风险管理活动，还应对风险管理相关的人员主动上报的风险进行管理。建立统一的网络安全风险管理计划，制定风险管理计划的模板，建立综合风险管理计划的执行、反馈、监视、检查工作机制。根据对关键业务的潜在影响选择不同的方法来处理风险，包括缓解风险、转移风险、避免风险和接受风险。

网络安全风险管理计划包括风险对象、类型/级别、描述、优先级、风险处理方式、保护措施、风险处置时间等内容。

将现行的风险管理活动提升到最高级别的网络安全活动，并纳入网络安全风险管理计划，以风险管理统领各项网络安全活动。其最终目标是：对关键信息基础设施动态风控，将关键信息基础设施面临的安全风险控制在可接受的范围。

建立持续改进的策略、方法和机制。

3.2.4  小范围试点运行调整后的网络安全保障体系

从业务和使用部门，负责主机/数据库/网络/安全的运维工作小组中分别选择1人，开展以风险管理为导向的网络安全保障体系运行试点工作，并在试点工作中总结经验，改进缺点和不足。

风险分析的方法可参照GB/T 20984 《信息安全技术 信息安全风险评估规范》，风险管理可参照GB/T 24364《信息安全技术 信息安全风险管理指南》。

3.2.5  组织风险管理活动涉及的相关人员进行培训、宣贯

小范围试点工作结束后，根据试点情况进一步完善试点实施方案，编制培训宣贯材料，组织风险管理活动涉及的相关人员进行统一培训，就建立以风险管理为导向的网络安全保障体系所涉及的组织架构调整，相关人员职责及主要工作内容，风险管理的执行、反馈、监视、检查工作机制进行统一说明、释疑。

3.2.6  运行以风险管理为导向的网络安全保障体系

相关工作准备就绪后，正式试点运行以风险管理为导向的网络安全保障体系，开展常态化的统一网络安全风险管理活动，执行、反馈、监视、检查网络安全风险管理计划。

3.3  总结经验并向其他分支机构推行

根据某中心试点工作情况，总结经验，修改完善实施方案，根据实施计划，逐步在各分支机构建立并推行以风险管理为导向的网络安全保障体系。

四、效果评价和经验总结

经过“先研究、后试点、再推行”等过程，该运营者在当前网络安全保障工作的基础上，建立起了以风险管理为导向的网络安全保障体系。

通过践行以风险管理统领各项网络安全活动的理念，主机、网络、业务、数据库以及安全等方面的运维与管理人员的风险意识深入人心，规划设计、开发建设、运行维护、退役废弃等阶段在内的若干网络安全活动可能面临的风险被明确定义和清晰界定，通过网络安全风险管理计划得以全局统一执行、反馈、监视、检查等风险管理活动，并通过持续改进策略进而将动态的安全风险控制在可接受的范围。

经过本次以风险管理为导向的网络安全保障体系的建立，该运营者认识到，保护关键信息基础设施安全，除了做好各项网络安全合规工作外，还应以风险管理为导向，通过建立网络安全风险管理计划和适用于整个组织的网络安全风险管理体系，以风险管理统领各项网络安全活动，根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整，以及时有效的防范应对安全风险，将安全风险控制在可接受的范围。

小结

本文描述了某运营者以风险管理为导向建立网络安全保障体系的实践过程、运行效果和经验总结。

我国关键信息基础设施保护还在逐步探索和推进中，运营者也在根据本单位实际情况，在满足我国关键信息基础设施保护的相关政策、法律法规等要求的前提下，采取各种技术保护措施和其他必要措施对关键信息基础设施进行重点保护，本文提到的“建立以风险管理为导向的网络安全保障体系实践”不见得适用其他运营者，若有不成熟的地方，敬请指正。