上海非夕机器人信息安全总监&数据保护官刘歆轶

 

关于安全领域的认证考试，以CISSP认证为例，目前全球大概有15万持证人员，但从2003年第一次在中国举办考试至今，国内只有4100人通过认证。因为这类考试要考6个小时，从早上9点考到下午3点，中间不休息，难度非常大。还有一部分是对于组织的认证如ISO27001和ISO2000系列的认证。而愿意组织认证的行业企业主要有两个，一个是金融行业，另一个是互联网行业，这些都是有强制要求的。尤其是金融行业包括证券、银行、保险，证监会、人行、银保监会都有非常严格的安全监管要求，基本上每个月都会派审计师下去做审计，所以金融企业对信息安全投入非常大。

 

       Flexiv（非夕）是一家全球技术领先的AI机器人公司，专注于研发、生产集工业级力控、计算机视觉和人工智能技术于一体的自适应机器人，为不同行业客户提供基于非夕机器人系统的整体、创新性的解决方案和服务。2016年非夕在硅谷成立，核心创始团队来自斯坦福大学机器人和人工智能实验室。2017年在上海成立上海非夕机器人；随后又在北京、深圳等地区设立办公室，在佛山建有工厂，主要制造手臂形状的自主式柔性机器人。“非夕”是Flexiv的音译，也寓意着“不是夕阳产业”，也就是朝阳产业。

公司最重要的是研发能力，研发流程基本上是从国际领先的研究机构获取到一些新的研发资源和动态，在硅谷研发中心做转换，交由国内进行实现和生产，所以公司研发数据安全是信息安全管理工作的重中之重。

       我加入公司之后，开始做一系列相关安全规划工作。整体安全规划是依托于整个公司战略来制定，从企业战略到安全架构，最后到安全建设，用这样一种思考逻辑来规划。

       通过跟公司管理层访谈之后，梳理出公司的大概情况。可以参考业界比较认可的通用信息安全框架，如下图。底层的安全技术参考IATF“三保护一支撑”的概念，即保护安全的计算环境、区域边界、通讯网络以及支撑性的基础设施。

 

上层的安全运营主要是日常的风险管控、监控分析、安全运维及应急响应工作。而安全技术和安全运营两部分都是需要安全管理作为指导。

信息安全应该以自上而下覆盖方式推进，到底要做什么，往哪个方向去，确定好了之后，通过技术和运营加以实现，达到其目标。

基于整体信息安全框架，首先要梳理安全管理层面的问题。当然也考虑到一定因素，比如IT成熟度、资金投入等情况合理推进。可以循序渐进，先把整体框架搭建起来，再慢慢去填充。

 

    信息安全管理体系（ISMS）可以参照ISO/IEC27001，它的架构相对比较全面、稳定。涉及内容基本涵盖了组织主要的安全工作，附录的14个领域，包括方针策略、组织资产、人力资源、物理安全、通讯网络等领域；一共设定了35个控制目标、114个控制措施。

 

 

      标准ISO管理体系搭建过程，即信息安全管理建设具体分四个阶段，见下图。

      首先是启动和计划阶段。要做一些整体管理范围的确定、工作计划、前期沟通，尤其高层沟通，整个信息安全工作要依托企业安全战略，在风险评估里，确定风险准则一定是由公司最高管理层确定的。

   
  其二是差距评估和风险评估阶段。依据ISO27001准则，根据公司现状做整体对比，知道哪些地方有欠缺，再通过风险评估来评估哪些是重要的，哪些是高、中风险的，找出重点、区别出优先级，就可以制定出信息安全建设工作的三年规划或五年规划，知道要做哪些事情，知道按什么顺序去做。

    其三是体系建设阶段。按照之前确立的计划，开始设计整体管理框架、制度建设、制度评审、审批发布。制度发布之后，具体落地则经常需要技术层面做支撑。

    最后是试运行及内部审核阶段。在试运行阶段，发现问题还可以再做相应调整，再去整改，试运行的末期再做整体的内审、管理评审、改进等一系列工作。

     下面就几个重点的工作稍微做一下详细说明。

首先是差距评估。如何评估组织当前的信息安全管理现状呢？可以在14个领域分别给出不同的情况分析。在ISO27000体系里，一般从两个层面做评估，一个是管理制度层面，一个是实际执行层面。具体会分出四个象限，如果制度和执行都做得比较好就是绿色，没有差距；如果制度做得不好，但实际执行还行，但没有成文，就属于浅绿；如果制度写得挺漂亮，实际上没有做，就变成黄色；如果制度和执行都比较弱，但至少还有，就是橙色；如果完全没有考虑到这两个方面，就是红色。114个要求对比下来，就会形成一个整体的现状图，可以让管理者一目了然地知道大概哪个方面有什么样的欠缺。

 

       其次是风险评估。风险评估是所有安全工作的起点，只有知道哪些环境有风险，风险的高低，风险处置的优先级顺序，才知道后一步该怎么做。风险评估的方法可以基于ISO27005或ISO31000。一般是先识别信息资产，信息资产包括数据资产、软件资产、硬件资产、人员资产和服务资产；再去看外界有哪些威胁，内部有哪些缺陷和漏洞，以及当前已有的措施是否生效；分析清楚之后进行风险定级，划分高、中、低风险；根据风险准则决定是否处理，怎么处理；处理之后再做一轮残余风险评估。

      根据五类不同资产梳理出哪些是高风险、哪些是低风险，可以采用饼图和柱状图（见下图）的方式，让大家能够看清楚需要在哪个方向发力。      

 

 

 

很多人觉得“方针策略特别虚”，但实际上确实是必不可少而且至关重要的。安全方针指引公司的安全工作到底往哪个方向发展、引领我们后续到底怎么样开展工作。比如上海非夕目前的安全策略是“全面管理、预防为主、分级保护、合规审慎”，明确了信息安全的工作方向和范围。安全方针确定下来之后，后面的建设工作一定要跟着方针策略走。具体可以细化到年度，比如今年的策略是防止内部数据泄露，因此工作的重点就可能是漏洞补丁管理，数据防泄漏，员工桌面管控等；如果明年策略改成防御外来入侵，那工作方向可能要转向防火墙、WAF、威胁情报、态势感知等。总之，方针策略指导我们具体往哪个方向跑，因此策略一定是非常重要的。

       有了策略之后，就要有组织，即到底谁来干这些活儿。一般会分成几个层级，首先是成立信息安全领导小组，一定是公司最高管理层负责；然后要建立一个安全管理团队，一般都是IT人员、安全人员、核心部门负责人组成，主要负责制定一些具体要求；再往下是信息安全执行团队，可以在每一个部门都设立安全专员，即接口人，他们负责把整个安全体系慢慢往下推，推到每个部门里面去；最后是全员职责，即公司每一个员工都是信息安全的责任人，要对他们日常工作中的安全负责。

      对于管理体系的文件层级，一般分成四个层级：第一级是方针政策；第二级是程序，具体提出哪些管理要求；第三级是管理规范，包括具体如何执行，操作步骤，表单模板等；第四级是记录文档，记录到底有没有按照要去去执行，为事后审计提供证据。

       管理体系制度建设，一般按照以下程序顺序进行：初稿设计、对各个业务部门进行访谈和小组讨论、相应制度的修改、小组评审、集中评审、定稿，再审批发布。

按照整体框架在哪个领域分别建立哪些相应管理制度，每个公司都不一样，具体会按照业务和IT运维以及细化程度，建立一个制度清单。

       每个制度中都会有相应的工作要求，我们可以把这些要求汇总在一起，形成一个信息安全管理体系年度工作计划，定期进行回顾和检查，并设立有效性测量指标。每年至少组织一次内部审核，把前面做的所有事情全都做一遍梳理，看看到底还有哪些缺陷。内审结束之后还需要进行管理评审，召开一个管理评审会，让公司管理层了解一下到底今年信息安全体系运行状况怎么样，还有方针政策是否要调整，每年的安全工作回顾，还有相关利益方的安全需求有没有新的变化，外界的环境有没有新的变化，一切变化都要在管理评审会上提交，供管理层评价。

       内审发现的不符合项会涉及到很多改进计划，这些改进计划需要管理层批准，包括是否要找人、给钱、给时间，哪个做、哪个不做、哪个推迟、哪个取消等，都要在管理评审会上敲定。

 

ISO27000最早是英国标准协会（British Standards Institute，BSI）制定的信息安全标准。目前已经成为信息安全管理方面最受推崇的国际标准；由信息安全方面的最佳惯例组成的一套全面的控制集。其中，最主要的是27001认证标准，一般都按照这个标准来审核。

。整个体系包括27001的体系要求，27002的实用规则，27003的实用指南，还有27006、27007对于审核机构的要求、认证等。另外27701是关于个人信息保护的管理要求，很多互联网公司已经通过了27701。目前ISO27000家族系里所有的标准清单，红颜色的都可以认证。

 

      国际标准化组织（ISO组织）遵循所有标准每隔4年进行一次回顾的原则。今年是ISO27002文档发生了改版情况。按照ISO27000的惯例，一般都是先更新ISO27002，再更新ISO27001。

这次改版变化蛮大，有必要分享一下。

原来ISO27002的名字叫做“信息技术-安全技术-信息安全控制实用规则”，改版以后叫做“信息安全、网络安全和隐私保护-信息安全控制”。新增了网络安全和隐私保护的内容。很多时候这些名词的概念容易混淆，比如数据安全、网络安全、信息安全到底有什么区别？边界在哪里？ 

整体来讲，信息安全是大框，什么都能装；信息资产包含数据、软件、硬件、服务和人员，所以数据安全管理作为信息安全管理的一部分，但同时数据安全是作为数据治理的一部分，内容有交叠，也不完全包含。

信息安全强调的是对于信息资产的保护，也就是CIA三个属性，而网络安全强调的是动态的攻防和对抗，IPDRR的过程，这两个角度不一样。原来ISO27000是基于信息安全的架构来做描述的，现在增加了网络安全，即强调对抗的内容。

 

核心内容章节由14个缩减成4个：组织控制、人员控制、物理控制和技术控制；也就是说原来我们常说的14个领域，现在只有4个框架了。
 

        关于标准内容、术语，原来是直接引用了ISO27000，现在增加了很多新的术语内容。

控制域从原来14个域变成了4个主题，这就造成我们实际使用的时候没有办法用主题来分类。原来用14个域来划分，每一个域有1~2个、2~3个控制要求，比较好管理，现在变成4个主题，比如某一个主题里面会有37个控制要求，根本没办法用它来细分分类，这就会给我们造成困扰。所以新版标准建议我们用属性视图做细分。

新版标准增加一些控制措施，也做了一些延伸，比如之前没有威胁情报、云安全；现在特别提到连续性要求、物理安全监控、配置管理等；增加了个人信息的隐私保护等内容；还增加了其他监控活动、网络过滤、安全编码等。

增加了控制属性视图。所有控制要求，每一条要求都要分属于不同属性，比如控制类型分成预防、检测、纠正，安全属性CIA（保密性、完整性、可用性）跟哪个相关，网络安全属性按IPDRR架构，属于哪个阶段；运营能力与之前14个领域非常像，变成了15个域，可以进行映射；安全域属性包含治理、保护、防御、响应。

       对照下图，如果之前按照14个域来划分，现在可以转换成运营能力15个域，有严格对应的关系，已经按照2013版标准开展了工作的，此次升版也不用改动太多，而是直接调整一下，放到新的运营能力里面就可以了，不会产生太大的变化。
 

   新版增加了如此之多的属性视图，是为了方便不同的组织按照不同的视角和习惯，选择不同的视图去筛选比如强调网络安全，就采用网络安全属性作为整体视图去看，到底这些安全控制在IPDRR的哪些方面；如果习惯信息安全的视角，就按照CIA属性来看。组织可以用一些工具，把哪一条属于哪个控制视图、安全属性视图、网络安全视图进行筛选，当然也可以用一些工具在线上做或多维表格都可以，没有的话，用Excel也可以。

   

     总之，ISO/IEC 27002不是认证标准，是一个实践标准，最后会引起ISO/IEC27001的升级。按照ISO内部的说法，在今年10月份左右，ISO/IEC27001就会升级到ISO/IEC 27001:2022版。

    对于企业来讲，如果还没有做ISO27001认证，可以有两个选择，一是继续按照老版标准做准备、去认证，等到2022新版发布之后再去升级；二是直接等到2022新版发布之后，一次性按照新版去认证。两种路径都可以，看企业目前准备的情况如何。一般升级版都有三年周期让企业慢慢调整。

     升级对企业安全管控的实际影响有多大呢？首先是信息安全管理的方法论不会变，都是基于风险的信息安全管理体系；其次新版涉及的范围更加广泛，增加了网络安全、隐私保护的内容；第三，兼容性也更强，可以通过不同视角、分别按照企业喜欢的方式去展现所有的控制方法。

 

 

 

关于企业网D1net(www.d1net.com)：

国内主流的to B IT门户，同时运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)；同时运营18个IT行业公众号(微信搜索D1net即可关注)。