為了有效地管理網路安全風險，組織需要持續瞭解自己的資訊保安狀況、漏洞和威脅。要獲取這種資訊以及更有效地管理風險，組織可以資訊保安持續監控（ISCM）專案為指導，實現資訊保安持續監控能力。ISCM專案對ISCM進行定義，組建相關團隊，全面實施並運營ISCM，為組織提供必要資訊，促使組織各風險管理級別（組織級、任務/業務流程級和系統級）就安全狀況做出基於風險的決策。

《NIST評估資訊保安持續監控（ISCM）專案：評估方法》一文可用於：

·  為組織各風險管理級別（定義見NIST SP 800-39《管理資訊保安風險：組織、任務與資訊系統視角》）開展ISCM專案評估提供指導；

·  闡述了ISCM專案評估與重要安全概念和過程的相關性，如NIST風險管理框架（RMF）、全組織風險管理級別、組織治理、ISCM指標和持續授權；

·  介紹了有效的ISCM專案評估所具備的特點；

·  提出了ISCM專案評估標準（同時提供了參考來源），組織可採用這些標準進行ISCM專案評估，或基於這些標準制定適合本組織的評估標準；

·  介紹了透過評估程式進行ISCM專案評估的方法，該評估程式在相關配套檔案（包含ISCM專案評估要素一覽表）中進行了定義，用以開發可複用的評估流程。

讀者物件

本文件的目標讀者為持續監控資訊保安態勢和組織風險管理的個人，包括：

·  負責評審組織ISCM專案的個人，包括進行技術評審的管理人員和評估人員（如系統評估人、內部和第三方評估員/評估團隊、獨立驗證/認證評估師、審計人員和系統負責人）；

·  承擔任務/業務負責人或受託人責任的個人（如聯邦機構負責人、執行長和首席財務官）；

需要考慮ISCM功能的系統開發/整合負責人（如專案經理、系統負責人、資訊科技產品開發人員、系統開發人員、系統整合商、企業架構師、資訊保安架構師和通用控制元件提供方）；

·  承擔系統和/或安全管理/監督職責的個人（如高層領導人、風險管理人員、授權人、資訊長、首席資訊保安官），這類人員需在一定程度上依賴於持續監控過程中輸出的安全相關資訊做出基於風險的決策；

·  負責系統和安全控制評估與監控的個人（如系統評估人、評估員/評估團隊、獨立驗證/認證評估師、審計人員、系統負責人或系統安全主管）。

本次連載內容介紹了對組織風險管理中的ISCM進行評估的基本原則。

一、ISCM專案評估的基本原則

ISCM專案評估是一個管理過程，用以檢視以下各項的充分性和有效性：

·  ISCM戰略規劃

·  ISCM專案的建立

·  ISCM戰略、政策、程式和指標的實施

·  ISCM專案的運營

·  對所收集資料進行的分析及結果報告

·  對ISCM結果的響應

·  ISCM流程改進

ISCM專案評估並不是為了驗證組織及其業務/任務流程和系統對於SP800-137所提出的各種ISCM概念的實現情況，而是為了確定這些概念以及FISMA和OMB對聯邦組織提出的ISCM要求是否可充分判斷ISCM專案的穩健性（Robustness）。應注意的是，各組織或評估人員根據本指南制定ISCM專案評估方案時，可能會根據自己對重要性的認知而制定出不同的評估標準。

1. ISCM管理

ISCM首先是整個組織的責任，然後是系統級責任【SP800-37】，還包括任務/業務流程。組織範圍內的持續監控工作的第一步是組織領導制定全面的組織級ISCM戰略，該戰略不僅要為風險管理部門（RE（f））決策提供直接支援，還要包括與組織各風險管理級別相關的統一管理指標。僅當ISCM戰略在組織層面上制定實施，並與RE（f）建立內在聯絡時，才能保證ISCM專案具有合理的廣度和深度，為組織各層級明確劃分職責。組織級戰略由系統級ISCM戰略和任務/業務流程ISCM戰略（可選）提供支援。

ISCM包括執行持續監控功能的所有人員、策略、流程、技術和標準，它是一個賦能過程，在組織面臨網路安全威脅和風險時為組織提供支援，維持正常運營。

合理的ISCM專案會規定組織各層級的活動，保證ISCM功能在全組織範圍內實施。要有效支援整體ISCM工作，須統一開發、部署和維護ISCM活動，這些活動要能反應整個組織的ISCM戰略目標和風險管理戰略。

1.1 ISCM背景

ISCM目標包括檢測組織的運營、系統環境中的異常與變化、洞悉資產情況、發現漏洞和威脅、瞭解安全控制的有效性以及安全態勢。要實現ISCM目標，要在ISCM架構中部署工具和技術，結合使用手動和自動方法，按照合理頻率提供滿足具體需要、詳略得當的資訊。ISCM專案的關鍵成果是收集、整合、分析和呈現整個組織的所有系統及其執行環境的安全相關資訊，促進基於風險的決策。

有效的ISCM專案會區分組織級ISCM戰略中的手動和自動監控過程，將這些過程和輸出進行關聯，最終呈現態勢感知結果。使用手動過程前要進行驗證，保證過程可複用，實施結果一致。

自動化過程（包括使用自動化支援工具）可以使持續監控更為統一，效率更高，結果更準確，成本效益更高。

有效的ISCM專案可推動系統持續授權和再授權決策【SP800-37】，如2.1.7節所述。在持續監控期間收集的安全相關資訊可用於更新各適用系統的授權包和支援工件。更新後工件作為證據，可證明基線控制措施按照最初計劃為系統提供了持續保護。

1.2 ISCM流程各階段

NIST SP 800-137將ISCM流程分為六個階段，如圖1所示。具體資訊見如下段落。有一點要注意，對於覆蓋全組織的資訊保安持續監控工作或流程，第一步都是開發全面的ISCM戰略，涵蓋技術、流程、程式、執行環境和人力等各方面因素。

圖1：ISCM流程

ISCM分為六個階段，在本文中稱為“流程階段”，具體如下：

1、定義ISCM戰略（定義） – 根據風險承受能力，定義全組織和系統級ISCM戰略，保持對資產、漏洞、最新威脅資訊和任務/業務影響的清晰認識。根據全組織ISCM戰略，為組織內部的各個系統定義系統級ISCM戰略。任務/業務流程領域若需定義ISCM戰略，也須與組織級戰略一致，用於支援任務/業務流程領域的系統。

2、建立ISCM專案（立項） – 建立ISCM專案，確定指標、狀態監控頻率、控制評估頻率和ISCM技術架構。

3、實施ISCM專案（實施） – 實施ISCM專案，收集指標、評估和報告所需的安全相關資訊。儘可能採用自動化方法收集、分析及上報資料。

4、分析ISCM資料並出具報告（分析/報告） – 分析收集的資料，報告監控中發現的問題，確定合理的響應措施。有時可能需要收集額外的資訊，以澄清或補充現有的監控資料。

5、響應ISCM中發現的問題（響應） – 透過技術、管理和運營風險緩解活動響應所發現的問題，或接受、轉移/分享或避免/拒絕風險。

6、回顧、更新ISCM專案和戰略（回顧/更新） – 回顧、更新監控專案，調整相應級別的ISCM戰略，完善測量能力，提高資產可見性和對漏洞的感知能力，進而基於資料來管控組織的資訊基礎設施安全，提高組織的恢復能力。

ISCM的“定義”階段定義了組織級、系統級和任務/業務流程級（可選）ISCM戰略。RMF在針對1級和2級的“準備”階段闡述了組織級和任務/業務流程級（可選）ISCM戰略，在針對3級的“選擇”階段闡述了系統級ISCM戰略（見SP800-37）。

1.3 組織的風險管理級別

ISCM適用於SP800-39中定義的所有三個組織風險管理級別：

·  1級（組織級）：管理整個組織的風險，將風險背景資訊和風險決策傳達給2、3級風險管理者。

·  2級（任務/業務流程級）：基於從1級風險管理獲取的風險背景資訊、風險決策和風險活動，從任務/業務流程角度管理風險。

·  3級（系統級）：是組織內部面向系統的風險管理級別。這一級側重於系統活動，以1、2級風險管理中所輸出的風險背景、決策和活動為指導。

在3級風險管理過程中獲取的安全相關資訊和採取的相應措施傳達至1級和2級，用於組織級和任務/業務流程級風險決策。ISCM專案評估驗證了不同級別之間的資訊流。

1.4 NIST風險管理框架與ISCM

根據SP800-37定義，RMF是一個結構化的有序過程，它將資訊保安和風險管理活動融入到組織和系統的系統開發生命週期中。ISCM專案的實施依賴於RMF中實施的工件和過程，同時也為RMF各階段提供輸入，促進對風險的瞭解和管理。評估方法和評估要素要慮及所有可能出現的重疊和/或關係。

RMF的“監控”階段涉及持續監控，這是風險管理流程的關鍵環節。ISCM的實施可以滿足組織持續監控的要求，這一過程中產生的輸出可用於識別、應對風險。另外，組織也應該監控其整體安全架構以及相應的安全計劃，確保即使發生了變化，整個組織的業務仍處於可接受的風險水平之內。及時、相關、準確的安全相關資訊至關重要，在資源缺乏時尤其如此，組織必須重點關注此類資訊。

就3級而言，RMF的“監控”階段與ISCM活動高度一致。對所實施安全控制措施的評估方法相同，不管評估僅是為了支援系統授權（RMF的“授權”階段），還是為了支援更廣泛、更全面的持續監控工作。系統級主管和員工進行持續評估，監控並分析結果。組織級、任務/業務流程級和系統級的風險管理都要用到該資訊。

儘管頻率要求不盡相同，無論哪個級別，只要獲取到最新的安全相關資訊，就能應用於受影響流程。在ISCM專案範圍內執行的RMF監控活動為系統風險判斷提供持續支援，是持續授權（OA）的基礎。若ISCM專案足以支援對整個（或部分）組織的風險進行判斷，則能夠支援整個（或部分）組織的OA。ISCM專案評估可驗證相關ISCM結果（有時包括相關指標）是否提供給OA流程用以就係統授權做出決策。OA相關資訊見2.1.7節。

1.5 治理與ISCM

ISCM治理是整個組織治理的一部分，透過確立許可權、職責、責任以及治理流程和程式，推動ISCM治理流程的落實、實施和持續改進，進而監控組織安全。治理—包括ISCM治理—在整個組織的各風險管理級別建立了責任線。

ISCM治理是一種用於管理風險的概念性組織和規劃結構。它與一個或多個高管或員工相關，如RE（f）等受問責制約束的高階官員（如負責風險管理的高階問責官員、高階機構資訊保安官（SAISO）、負責隱私的高階機構領導、資訊長（CIO）等）。資訊保安治理結構中涉及ISCM的部分與其他治理結構一致，以確保與組織內的現有管理實踐相相容，提高總體效率。

ISCM專案評估可確認ISCM治理政策和流程是否到位並實施。在1級風險管理中，評估可確認高管是否認識到管理資訊保安風險的重要性並建立了與ISCM相關的治理結構用以管理此類風險。組織級ISCM戰略涵蓋ISCM治理結構。

如果組織的治理結構分散（例如，由於任務/業務需求或運營環境分散），任務/業務流程領域（2級）在與組織級ISCM戰略保持一致的同時，可以完整或部分地制定本領域的ISCM政策和流程，特別是當它們與風險管理和資訊保安決策相關時。對於分散式治理模型，組織各級別共享ISCM資訊很重要，因為這些資訊與風險管理決策相關。

1.6 ISCM指標

ISCM確定的指標可揭示組織的整體安全態勢和各個系統的安全狀況，為風險管理流程提供輸入。有關ISCM指標的更多資訊，參見SP800-137。

ISCM專案評估涵蓋組織定義的指標。ISCM專案評估會檢查ISCM專案是否進行了指標的定義、開發、維護並確保指標具有持續性。ISCM專案評估還會檢查組織是否：（i）確定了指標資料的收集頻率；（ii）根據1、2、3級風險管理獲得的資料定義指標；以及（iii）根據需要將指標應用於基於風險的決策。此外，ISCM專案評估還會檢查ISCM指標是否已上報給各級指定官員審查。

1.7 持續授權

ISCM可促進OA，這對組織來說是一大益處。OA簡化了系統授權流程，支援更高的自動化能力，方便相關人員就是否繼續系統授權做出近乎實時的決策。根據定義，OA指根據組織的任務/業務要求和組織的風險承受能力，以商定頻率（有成文規定）進行的後續風險判斷和風險接受決策。從根本上說，OA與對安全風險的持續理解和接受有關，並且依賴於穩健的ISCM專案。

組織透過ISCM功能收集安全相關資訊，再基於此資訊對系統做出OA決策。穩健的ISCM專案會定義、建立和實施一個連續的過程，透過這個過程，使用手動、自動和程式工具來管控操作授權系統的風險。

ISCM專案評估會檢查是否有ISCM資訊可用於OA決策。ISCM專案評估具體檢查如下各項：

是否有組織級OA流程。OA流程關注的是系統如何過渡到OA狀態以及系統保持OA狀態所需的條件。

所進行的控制措施評估（根據NIST SP 800-53A）是否足以按既定頻率支援OA。

ISCM專案提供的指標是否足夠穩定、可靠，可以支撐OA決策。

ISCM專案是否能夠監控系統的安全狀況以及這些系統持續執行的環境，監控頻率是否合理，足以就是否繼續在組織內執行系統做出基於風險的持續決策。

是否將ISCM結果上報給有關領導進行授權決策。

下次連載將介紹ISCM專案評估的基礎和評估實施過程。

譯者宣告：

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。