设计有效的IT安全管理系统必须从最高管理层开始，全面覆盖供应链的各个环节，并特别重视遵守相关法律法规。该体系的核心应基于国际最佳实践，确保其在抵御风险方面的有效性和合规性。当前广泛应用的方法论，如国际标准化组织（ISO）标准和美国国家标准与技术研究院（NIST）框架，均强调以风险为基础的决策方式，即所有决策都旨在最大化抵御风险的效果。

采用多种方法论可以提升控制措施的全面性和精确度——更广泛地覆盖控制环境并提供不同层次的细节。然而，如果处理不当，这种方法也可能导致因活动重叠和资源浪费而产生的低效率和复杂性。关键在于选择互补且整合良好的方法论，不仅要在各方法论之间实现协同效应，还要确保它们能与企业的各项业务流程无缝对接。

一种可行的方法是将风险管理过程与信息安全管理体系（ISMS）相结合，其中ISMS基于ISO/IEC 27001:2022标准，并遵循NIST网络安全框架（CSF）2.0。这两种管理过程分别执行特定任务，易于整合。从方法论的角度看，这种集成方式力求实现与企业业务流程的最佳契合，确保安全措施既能有效应对风险，又能灵活适应业务需求。

风险管理系统

企业风险管理系统（ERMS）相较于IT安全管理系统，扮演着更为根本性的作用。它充当了IT运营与业务流程之间的桥梁，对于理解组织赋予所处理信息的价值至关重要。这一联系通过组织资产（经由风险管理过程评估）和IT资产（由IT部门管理）的交集来定义。要启动ERMS流程的开发，企业必须首先确定所有对实现其目标至关重要的资产的业务价值。在IT风险管理方面，这意味着准确分类所有与组织资产相关的信息处理工具和方法，并定期审查这些分类，以确保它们始终符合业务目标。识别和评估风险是建立和控制信息安全管理体系（ISMS）的基础。

在ERMS创建组织资产登记册的过程中，会识别出需要保护的IT资产。这不仅避免了对ISMS进行重复的数据收集工作，更重要的是，确保被识别的资产确实是支持业务目标的关键组成部分，而不仅仅是出于IT部门的技术考量。从方法论的角度看，风险管理过程采用整体方法识别的组件将通过风险处理计划（RTP）提供给所有利益相关者，作为需要保护的资产及需实施的行动。ISMS的重点则放在保护RTP中识别的信息处理工具和信息本身。为了确保这两个过程——风险管理与信息安全——之间有有效的协作，需要制定一套一致的组织程序，并明确相应的责任分配。这有助于确保所有活动都紧密围绕业务目标展开，同时保持高效运作。

信息安全管理系统

实施和验证信息安全管理系统最广泛使用的标准可能是ISO/IEC 27001:2022。其条款中包括将ISMS设计与风险过程对齐的义务（第6条）以及评估实施的相应控制措施的要求（第8条）。其特点在于它是创建一个整体信息保护系统的模型，完美契合风险管理过程的逻辑。在现行版本中，倾向于考虑信息安全的所有相关方面，包括网络安全和隐私。该标准在控制领域涵盖的主题还包括物联网（IoT）、智能计量设备、云服务以及工业控制系统，即运营技术。

标准提出的控制措施的定义级别相对较为宽泛，因此需要一个专门的工具——适用性声明（SoA），以确保控制主题的深度足以满足每个业务类别的特定目标。SoA的编写源于对组织资产档案的分析（通过风险过程提供），该档案确定了所有需要保护的元素、分配给每个元素的保护级别以及相关的实施责任。

基于ISO/IEC 27001:2022的保护系统由两个部分组成：标准要求用于定义保护系统的管理规则，以及基于ISO/IEC 27002:2022所提出的控制措施构建的适用性声明（SoA）（但重新定义以适应业务目标）。对要求的实施水平和控制措施的有效性水平都需要及时评估，这可以通过成熟度模型实现。这样，即使反映的是不同的过程，结果始终是可以比较的。

网络安全风险简介

NIST网络安全框架（CSF）2.0中引入的新特性提高了其在评估组织网络安全风险概况方面的适用性。该框架的初衷是：“NIST网络安全框架帮助各类企业更好地理解、管理和降低其网络安全风险，保护其网络和数据。该框架是自愿的。”引入治理功能使组织能够定义其治理结构、确定优先事项并设定规则，以实现通过其他五个功能描述的期望结果，最终在相关的类别和子类别中详细说明这些结果。

支撑该方法论的检查表包含了与既定风险概况对齐所期望实现的结果的陈述。该框架并未详细说明必须执行的具体操作或实施这些操作的方法。该检查表提供了企业流程的组织视角，结果被分组为功能和类别，通过避免技术细节实现带来整体的简单性和清晰性。这意味着需要考虑其他方法有效实施安全管理系统。

与支持保护系统实施方法论的连接体现在框架的第五列（图1），该列专门引用了包括ISO 27001在内的其他国际模型，以简单且不含歧义的方式建立了框架之间的稳固联系。NIST CSF检查表的子类别级别评估用于建立一个可接受的网络安全风险概况，指导组织自信地实现安全目标。每个子类别的结果由为此目的在风险处理计划（RTP）中定义的一组或多个控制措施的实施程度决定。比较当前网络风险概况与目标，可以识别出改善组织及其供应链中涉及的实体韧性所需的行动（控制措施）。

来源：美国国家标准与技术研究院，《NIST网络安全框架（CSF）2.0》，2024年，https://www.nist.gov/informative-references

为了便于ISO 27001标准、NIST CSF框架和RTP中规定的要求之间分析和评估结果的交流和一致性，建议采用相同的度量标准。成熟度模型在这方面具有最好的特性。

能力成熟度模型

漏洞评估直接依赖于规则、控制措施或活动的实施水平，并且是确定处理风险所需行动的必要基础。每个组织都有非常不同的评估领域，涉及从组织到技术的无数方面。每个组织还必须考虑法律、声誉、财务、人力、环境和物理等问题，安全是它们唯一共同的目标。为了在所有领域之间共享评估，有必要使用实用和适合的指标评估。选择自然倾向于定性方法，因为定性方法更简单、速度更快且成本更低。其中，最广泛使用的是能力成熟度模型，它可以确定控制措施的有效性水平和所需的风险结果，这正是RTP所要求的。

为了增强对信息保护状态的整体理解，有必要建立一个连贯高效的综合评估共享系统，从而避免评估任务的重叠或管理复杂性。

成熟度模型同样适用于所有框架，整合对ISO标准条款的合规性评估、适用性声明（SoA）控制措施的实施程度、NIST CSF功能交付成果的达成状态以及风险处理计划（RTP）控制措施的有效性。其结果是根据不同的视角产生对控制措施和流程有效性以及网络安全风险的全面视图，这些视图会随着时间的推移而更新。

控制任务

为了增强对信息保护状态的整体理解，需要有一个连贯高效的综合评估共享系统，以避免评估任务出现重叠或管理的复杂性。这种整合不仅必须与业务流程在功能上兼容（因此只需一个数据收集接口），还必须与系统的主要流程在操作上兼容（因此需要共享评估参数和计算方法）。流程应至少借鉴ISO 27001标准，该标准侧重于信息安全管理系统（ISMS）的实施和控制；NIST CSF专注于确定与期望保护相关的风险概况；以及旨在评估流程、系统和服务的IT风险过程，从而确保实现企业信息安全目标。

在操作层面，实施各个框架或标准要求的所有控制措施将是非常复杂且昂贵的。然而，每个控制措施都可以从组织流程中已经实施的简单行动组合中获得。由于这些行动所执行的控制功能，它们可被称为控制任务。此外，还必须有一个中央目录（例如，图2），列出所有可以在框架的单个元素级别引用的控制任务。不同框架元素之间控制能力的等效性这一概念与CSF信息性参考的基础相同。目录中的控制任务通过对所需目标（符合RTP）的叙述、目标成熟度水平、有关组织的信息以及相关框架元素的列表进行特征化。

在评估控制任务（图3）时，必须描述行动的当前实施状态和所达到的成熟度水平（在RTP中报告）。当通过框架评估时，评估结果会自动共享，并且所有其他框架的指标也会相应更新。建议添加额外的属性以促进操作管理，例如控制所有者的角色或行动的严重性。

控制任务在以下情况下与框架通过各自检查表的最低级别连接：

• RTP包含当前风险状态的最终总结和实现目标所需的行动计划。它包括作为先前评估周期结果而实施的控制措施，以及使当前风险水平可接受所需的未来行动。控制任务包含当前状态的描述（当前行动列表）、目标结果的描述（未来行动列表）以及当前行动所达到的成熟度水平的评估，这代表了对风险事件脆弱性的测量。

• ISO 27001包括标准条款的要求和构成SoA的控制措施。两者都需要采取行动来证明实施过程中达到的成熟度水平，这与控制任务的当前状态描述一致。为了与风险评估保持一致，证据来自于RTP中包含的当前库存列表。因此，不仅需要评估SoA的控制措施，还需要评估标准的条款，将每个元素与实施的相应行动结合以应对风险。

• NIST CSF将子类别设定为评估级别，尽管详细，但仍然过于通用和简化，无法准确描述实施的各种行动。相反，控制任务通过RTP中列出的当前行动为评估需求提供了足够的细节。

• 因此，我们应该在RTP层面确定适当的行动，并在风险评估过程中对其进行评价。随后，这些行动将与相关标准和框架相结合，如有需要，可以直接在检查表上进一步评估，并自动将结果反馈给风险评估过程，后者作为已实施控制任务的集合点。这种方法简化了评估流程，避免了重复工作，并且由于各检查表之间的一致性，提升了整体质量。如果难以确定具体的行动，可以从NIST CSF 2.0概念文件中提供的子类别实施示例入手，根据组织的具体特点进行调整。此外，这些示例行动很容易通过NIST CSF中的参考信息与SoA控制措施相匹配。

ISMS设计操作说明

为了理解如何实施与风险过程集成的保护系统，需要一些操作上的考虑。应使用一个集中管理所有已实施控制活动（即控制任务）的工具，以便在保护系统、RTP和任何其他采用的控制框架之间共享这些活动。该工具管理框架元素之间的关系，并实施控制所有者所做评估的自动聚合过程。根据企业的复杂性和规模，可能需要将其划分为不同的组织单位（实体），以便专注于关键过程，对每个单位单独评估，然后自动汇总到组织的顶层。因为系统会自动执行此操作，所以创建虚拟实体的过程不会引入额外的工作量，但仍然需要明确的组织建立角色和责任，以保证对控制措施的持续监控。

在整体系统的设计层面，需要保证在管理已实施的控制元素与框架要求的控制元素之间具有足够的灵活性。这有助于避免不必要的冗余，并为系统提供有效的更新任务分配工作流程。

以下数据库设计的功能规则应遵循：

• 只有一个组织资产档案库，由ERMS过程管理，确保资产有两个层级。一级（或组织级）资产直接来源于企业目标，仅由ERMS管理。二级资产是一级资产的重要组成部分，有可能对业务流程造成操作上的关键问题（例如，IT风险）。

• 控制任务档案是唯一的，并在所有使用的检查清单中共享。当前状态和成熟度水平的评估由相关业务负责人负责，而目标状态只能在定义 RTP 时修改。

• RTP 的定义基于资产档案，并为每个资产添加识别出的威胁类别。这样，每条记录都代表一个需要处理的风险事件，而现有控制措施和期望控制措施则与控制任务档案直接关联。

• ISO 27001 条款检查清单与控制任务档案关联，以便评估相关要求当前实施状态的成熟度水平。当前行动可以在此检查清单中进一步评估（除了 RTP 之外），并且结果可以在所有框架之间共享。

这两个框架都基于风险管理和循环改进的概念，即不等待达到最佳状态再开始，而是从一个解决方案开始，通过抵御风险不断进行优化。这样，解决方案可以适应数字生态系统中的所有变化。

• 由SoA定义的控制清单与控制任务档案关联，以便对相关控制实施的成熟度进行评估。此外，对于该清单，还可以评估当前的行动并共享结果。

• NIST CSF清单具有与SoA控制相关的子类别，正如NIST所引用的，同时也与控制任务库关联，允许使用以及对当前行动可能的评估。按子类别聚合的结果集代表了网络安全状况。

评估由每个实体的业务流程控制所有者执行，这意味着将活动分配给大量参与者，从而减轻个体的工作负担。评估过程的监督由风险管理负责并将结果汇总到执行层面，同时首席信息安全官（CISO）负责ISO 27001和NIST CSF安全清单。

ISMS质量

根据ISO 27001标准实施的ISMS与基于NIST CSF的网络风险概况评估框架的整合产生了更有效的ISMS，因为这种整合从风险管理的角度加强了ISMS。两个框架都基于风险管理的概念和循环改进，即不是等待达到最优状态才开始，而是从一开始就采用一个不断通过对抗风险来完善的解决方案。这样做可以使解决方案适应数字生态系统中的所有变化。

考虑到质量管理体系所基于的原则（图4），特别是就信息安全的视角而言，很明显ISMS必须遵循所有这些原则才能奏效。利用基于这些原则得出的指标，可以确定它们的成熟度水平，从而为评估ISMS的功能性提供了另一种方法。

结论

信息安全的ISO标准和网络安全的NIST框架应始终共存——这并不是因为它们简单的相互衍生，而是因为它们是互补的，代表着同一事物的两个方面。在方法论上，二者有许多重叠点。两者都推动与业务流程的综合方法，并要求决策阶段始终由风险评估引导。在标准中，要求实施风险管理，从而获得对运营流程的有效指导。在框架中，风险用于定义整体的网络安全状态，并评估实现期望结果的差距。

在控制评估中使用成熟度模型能够快速执行和汇总结果，即使这些结果来源于缺乏操作关联的领域，例如组织问题与技术问题。当当前风险状态的结果需要整合以向高层管理层展示时，基于控制任务的适当、共同且统一的评估基础所提供的便捷性显而易见。及时并以正确的语言突出与组织相关的问题，有助于促进沟通，并帮助巩固所有利益相关者的信任——这就是它带来的价值。

编者注：本文出自ISACA Journal 2024年第5期。尾注略。文章内容仅代表作者本人观点。

作者：LUIGI SBRIZ | CISM, CRISC, CDPSE, ISO/IEC 27001 LA, TISAX AL3, ITIL V4, NIST CSF, UNI 11697:2017 DPO，是一名首席审核员、培训师和风险管理、网络安全及隐私问题的高级顾问。

翻译：杨皓然（AdySec），CISSP，CISM，CISA，CDPSE，CRISC，CGEIT，PMP，CCSK，CZTP，CDSP，CCSSP，RHCA，CCNP，ISO27001 Auditor，ISACA微信公众号特邀通讯员，CSA大中华区专家，ISC2北京分会会员，致力于云安全、零信任、数据安全、安全运营等方向

校对：姚凯（Kevin Yao），CISA，CISM，CRISC，CGEIT，CDPSE，ISACA微信公众号特邀通讯员，拥有二十余年IT从业经验，近年来关注IT安全，隐私保护和数字化。