识别认定作为关保标准要求的第一个环节,要求对组织业务、资产、风险等进行识别和梳理。类似风险评估(资产、威胁、脆弱性)识别阶段,在这里《要求》也建议参考GB/T 20984的分析方法。 有关风险评估的流程和方法,论坛中有详细的解读文章,这里不再重述。
a)识别本组织的关键业务和关键业务所依赖的外部业务,识别外部业务对本组织关键业务的重要性。
b)当关键业务为外部业务提供服务时,识别本组织关键业务对外部业务的重要性。
c)梳理关键业务链,明确支撑本组织关键业务的关键信息基础设施分布和运营情况。
关保不再是只关心组织的某个关键业务系统,而是要考虑与业务相关的各类外部业务,考虑这些外部因素对关键业务的影响,类似BIA.
图1 组织关键业务、外部业务、CII影响关系
a)识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、服务和其他资产清单。
b)基于资产类别、资产重要性和支撑业务的重要性,对资产进行优先排序,确定资产防护的优先级。
c)实现对关键信息基础设施相关资产的自动化管理,根据关键业务链所依赖资产的实际情况实时动态更新。
关保重视CII所依赖的资产梳理,并进行分级分类管理,并要求能够对资产的自动化管理,包括识别、监控、预警、更新等。介于CII的资产规模,工具+人工的50/50方式已经很难管理,这种比例要依靠自动化管理平台向99/1的比例移动,即99自动化管理配合1的人工监督。
图2 CII依赖资产自动化梳理和管理
运营者应根据关键业务链开展安全风险及其影响分析,识别关键业务链各环节的威胁、脆弱性、已有安全控制措施及主要安全风险点,确定风险处置的优先级,形成安全风险报告。
关于风险识别的部分,大家应该比较熟悉了,基本还是风险评估的那套方法。只不过这次的范围界定会很大。除了CII自身业务链外,包括外部业务涉及的系统、网络、设备、人员、供应链、数据安全等方面,是整条业务链而非传统的自有单一业务。当然,也包括这条链所涉及的各组织的已有控制措施和控制效果。可以想象这巨大的工作量。《要求》中在此备注了可参照GB/T 20984.
运营者应在关键信息基础设施发生改建、扩建、所有人变更等重大变化有可能影响认定结果时,例如网络拓扑改变、业务链改变等,重新开展识别工作,并更新资产清单,及时将相关情况报告保护工作部门,按规定进行重新认定。
这部分和等保标准要求基本一致,只是要考虑的因素多了业务链改变,重大变更后应重新识别、重新认定。有关识别认定部分要求内容不是很多,但是涉及的范围较广,不过方法论上依旧是风险评估的模式。
*本文原创作者:宇宸,本文属FreeBuf原创奖励计划,未经许可禁止转载