淺析新版信息安全管理體系標(biāo)準(zhǔn)的變化

◆魏建清 / 文

淺析新版信息安全管理體系標(biāo)準(zhǔn)的變化

◆魏建清 / 文

中國合格評(píng)定國家認(rèn)可委員會(huì)（CNAS）于2014年6月20日頒布了《認(rèn)證機(jī)構(gòu)依據(jù)ISO/ IEC27001：2013實(shí)施信息安全管理體系認(rèn)證認(rèn)可轉(zhuǎn)換說明》。該文件在“背景”中說明：“國際標(biāo)準(zhǔn)化組織（IS0）于2013年10月1日發(fā)布了ISO/IEC27001《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（以下簡稱新版標(biāo)準(zhǔn)）。該標(biāo)準(zhǔn)代替了ISO/ IEC27001：2005。”并提出：“自ISO/ IEC27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》發(fā)布一年后（即2014年10月1日），所有新頒發(fā)的獲認(rèn)可的認(rèn)證證書均應(yīng)依據(jù)ISO/ IEC27001：2013?！?/p>

截至2015年12月31日，CNAS秘書處頒布的認(rèn)可年報(bào)顯示：按GB/T 22080-2008/ISO/ICE/27001：2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)（以下簡稱2005版標(biāo)準(zhǔn)）建立、實(shí)施和保持信息安全管理體系（ISMS），并通過認(rèn)證、現(xiàn)行有效的認(rèn)證證書共1352份；按所在地域統(tǒng)計(jì)：前五名分別為北京302份、江蘇224份、廣東171份、浙江116份、上海99份。

我們從以上信息中不難發(fā)現(xiàn)，ISMS換版認(rèn)證工作必須緊鑼密鼓地進(jìn)行，且應(yīng)給予組織通過ISMS認(rèn)證更多的獲得感。

由此可見，ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)的頒布和實(shí)施，順應(yīng)了“互聯(lián)網(wǎng)+”的潮流，將給組織在保護(hù)信息資產(chǎn)，即對(duì)組織有價(jià)值的知識(shí)和數(shù)據(jù)，包括但不限于財(cái)務(wù)信息、知識(shí)產(chǎn)權(quán)、員工與相關(guān)方信息等方面，帶來低投入、高回報(bào)的實(shí)實(shí)在在的益處。

新版標(biāo)準(zhǔn)術(shù)語和定義的變化

2005版標(biāo)準(zhǔn)在“3 術(shù)語和定義”中，僅列出了16個(gè)術(shù)語和定義，這對(duì)組織和審核員正確理解ISMS標(biāo)準(zhǔn)帶來了不少困難。為此，國際標(biāo)準(zhǔn)化組織于2009年正式頒布并實(shí)施的ISO/IEC 27000:2009《信息技術(shù) 信息安全管理體系 概述和詞匯》無疑對(duì)于理解新版標(biāo)準(zhǔn)，尤其是附錄A（規(guī)范性附錄）《控制目標(biāo)和控制措施》大有裨益。該標(biāo)準(zhǔn)與2005版標(biāo)準(zhǔn)相比，新增了“訪問控制”“可核查性”“攻擊”“鑒別”“信息安全事件管理”“信息安全風(fēng)險(xiǎn)”“抵賴性”“風(fēng)險(xiǎn)溝通”“風(fēng)險(xiǎn)準(zhǔn)則”“風(fēng)險(xiǎn)估算”“威脅”和“脆弱性”等30個(gè)術(shù)語和定義。

與此同時(shí)，新版標(biāo)準(zhǔn)對(duì)2005版標(biāo)準(zhǔn)的某些術(shù)語和定義作了一定的修改，例如“信息安全”這一術(shù)語和定義：“保持信息的保密性、完整性和可用性?！痹谛略黾拥淖⑨屩校蠼M織把信息的抗抵賴性和其他特性亦應(yīng)一并考慮其安全。可見，新版標(biāo)準(zhǔn)在考慮信息資產(chǎn)互聯(lián)互通環(huán)境下，已考慮到保障電子商務(wù)、電子簽名的信息安全了。

新版標(biāo)準(zhǔn)這些術(shù)語和定義的變化，均是從PDCA和基于風(fēng)險(xiǎn)的思維，要求組織建立、實(shí)施和保持的ISMS能實(shí)現(xiàn)其預(yù)期結(jié)果。

新版標(biāo)準(zhǔn)總體框架遵從“導(dǎo)則”要求

制定導(dǎo)則ISO/IEC Directives 1，統(tǒng)一管理體系標(biāo)準(zhǔn)的格式，是國際標(biāo)準(zhǔn)化組織近十年來的重大舉措。

為了解決ISO 9001和ISO 27001兩個(gè)管理體系的兼容性，新版標(biāo)準(zhǔn)服從了聯(lián)合技術(shù)協(xié)調(diào)組（JTCG）于2010年發(fā)布的《管理體系兼容性導(dǎo)則》的相關(guān)規(guī)定。主要包括ISO新版標(biāo)準(zhǔn)總體框架遵從《導(dǎo)則》高層結(jié)構(gòu)（High Level Structure）的要求；新版標(biāo)準(zhǔn)中的共用術(shù)語和術(shù)語采用導(dǎo)則的術(shù)語和定義；新版標(biāo)準(zhǔn)中的共用條款采用導(dǎo)則規(guī)定的條款名稱和條款正文。

新版標(biāo)準(zhǔn)的框架結(jié)構(gòu)包括十大部分：范圍（Scope）；規(guī)范性引用文件（Normative references）；術(shù)語和定義（Terms and definitions）；組織環(huán)境（Context of the organization）；領(lǐng)導(dǎo)作用（Leadership）；策劃（Planning）；支持（Support）；運(yùn)行（Operations）；績效評(píng)價(jià)（Performance evaluation）；改進(jìn)（Improvement）。

從圖1中可以看到，新版標(biāo)準(zhǔn)的結(jié)構(gòu)與2005版標(biāo)準(zhǔn)相比，更加準(zhǔn)確地體現(xiàn)了PDCA的關(guān)系和其每一過程之間的作用。

增加了有關(guān)戰(zhàn)略信息安全管理的要求

當(dāng)今是信息和科技高速發(fā)達(dá)的網(wǎng)絡(luò)社會(huì)，互聯(lián)網(wǎng)已滲透到社會(huì)生活的各個(gè)方面，其對(duì)經(jīng)濟(jì)、政治、文化的發(fā)展產(chǎn)生了深刻影響。但不可否認(rèn)，信息安全隱患已危及到組織的生存和發(fā)展，故新版標(biāo)準(zhǔn)要求組織從戰(zhàn)略的高度，分析組織所處的內(nèi)外部環(huán)境與相關(guān)方的需求和期望，從而明確信息安全管理的任務(wù)和目標(biāo)，通過建立、實(shí)施和保持ISMS，來實(shí)現(xiàn)ISMS預(yù)期結(jié)果。

在新版標(biāo)準(zhǔn)的多個(gè)條款中，均提出了與戰(zhàn)略信息安全管理有關(guān)的要求。如4.1中規(guī)定：組織應(yīng)確定與其意圖相關(guān)的，且影響其實(shí)現(xiàn)ISMS預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)；5.1a）中規(guī)定:確保建立了信息安全策略和信息安全目的，并與組織戰(zhàn)略方向一致；6.1.1中規(guī)定：當(dāng)策劃ISMS時(shí)，組織應(yīng)考慮4.1中提到的事項(xiàng)和4.2中提到的要求；9.3b）中規(guī)定：與ISMS相關(guān)的外部和內(nèi)部事項(xiàng)的變化；管理評(píng)審的輸出應(yīng)包括：與持續(xù)改進(jìn)相關(guān)的決定以及變更ISMS的任何需求。

從以上要求可以看出，ISMS的建立、實(shí)施和保持，一定要考慮組織的內(nèi)部和外部因素，并實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。

強(qiáng)化了領(lǐng)導(dǎo)作用

新版標(biāo)準(zhǔn)根據(jù)ISO/IEC導(dǎo)則的要求，增加了“領(lǐng)導(dǎo)”等章節(jié)，包括領(lǐng)導(dǎo)和承諾、方針，以及組織的角色，責(zé)任和權(quán)限等，以體現(xiàn)領(lǐng)導(dǎo)作用在ISMS管理中的核心地位。

新版標(biāo)準(zhǔn)所增加的這方面要求，除了建立信息安全方針，提供資源和分配職責(zé)之外，還增加了許多新的要求。例如，5.1中規(guī)定：最高管理者應(yīng)通過相關(guān)活動(dòng)，證實(shí)對(duì)ISMS的領(lǐng)導(dǎo)和承諾；確保將ISMS要求整合到組織過程之中；確保ISMS達(dá)到預(yù)期結(jié)果。

值得一提的是，新版標(biāo)準(zhǔn)進(jìn)一步明確了組織最高管理層，應(yīng)確保與信息安全相關(guān)角色的責(zé)任和權(quán)限，得到分配和溝通的要求。

圖1

組織的最高管理者要實(shí)現(xiàn)上述結(jié)果，必須依靠各層領(lǐng)導(dǎo)建立統(tǒng)一的宗旨和方向，并且創(chuàng)造全員參與的條件，以不折不扣地執(zhí)行ISMS新版標(biāo)準(zhǔn)的各項(xiàng)要求，才能確保實(shí)現(xiàn)組織的ISMS預(yù)期結(jié)果，才能確保ISMS的有效性。

“風(fēng)險(xiǎn)控制”已貫穿過程管理的始終

根據(jù)導(dǎo)則要求，新版標(biāo)準(zhǔn)更加明確了“風(fēng)險(xiǎn)控制”的要求。這里所指的“風(fēng)險(xiǎn)控制”主要應(yīng)體現(xiàn)在三個(gè)層面，即:一是應(yīng)確保相關(guān)方的信息安全；二是確保組織自身的信息安全；三是確保組織應(yīng)履行的企業(yè)的信息安全社會(huì)責(zé)任。據(jù)此，新版標(biāo)準(zhǔn)提出了一系列要求。其中，4.2規(guī)定：理解相關(guān)方的需求和期望（注：相關(guān)方的要求可包括法律、法規(guī)要求和合同義務(wù)）；6.1.1規(guī)定：當(dāng)策劃ISMS時(shí)，組織……，并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)遇；組織應(yīng)策劃應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的措施；8.1規(guī)定：為了滿足信息安全要求以及實(shí)現(xiàn)6.1中確定的措施，組織應(yīng)策劃、實(shí)施和控制所需要的過程。組織還應(yīng)實(shí)現(xiàn)為達(dá)到6.2中確定的信息安全目的的一系列計(jì)劃；9.1a）規(guī)定：組織應(yīng)確定需要被監(jiān)視和測量的內(nèi)容，包括信息安全過程和控制；10.2規(guī)定：組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。

組織在建立、實(shí)施和保持ISMS中，應(yīng)根據(jù)標(biāo)準(zhǔn)的相關(guān)要求，充分識(shí)別信息資產(chǎn)。小到一張門禁卡，大到一套計(jì)算機(jī)集成系統(tǒng)內(nèi)外環(huán)境所存在的威脅、自身存在的脆弱性所形成的風(fēng)險(xiǎn)，并在有效控制和防范上面，不斷夯實(shí)管理基礎(chǔ)，以應(yīng)對(duì)組織內(nèi)外環(huán)境變化的風(fēng)險(xiǎn)。

關(guān)注組織信息資產(chǎn)

新版標(biāo)準(zhǔn)雖未明確提出生命周期管理要求，但筆者卻認(rèn)為，其已隱含在“6.1.2信息安全風(fēng)險(xiǎn)評(píng)估”條款要求之中，這是因?yàn)?.1.2中規(guī)定：“組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過程”，其適用于任何一個(gè)信息資產(chǎn)的信息安全管理。通常而言，信息資產(chǎn)生命周期可包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個(gè)過程。由于其每一過程預(yù)期結(jié)果的輸出完全不同，故需對(duì)其所處過程的信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別與評(píng)估，通過建立并維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則，控制每一個(gè)過程輸出的信息安全風(fēng)險(xiǎn)。這其中，實(shí)現(xiàn)規(guī)劃過程風(fēng)險(xiǎn)評(píng)估是為滿足識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求之目的；實(shí)施過程風(fēng)險(xiǎn)評(píng)估是為滿足對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別至目的；系統(tǒng)建成過程風(fēng)險(xiǎn)評(píng)估是為滿足系統(tǒng)安全功能得到有效驗(yàn)證之目的；運(yùn)維過程風(fēng)險(xiǎn)評(píng)估是為滿足了解和控制系統(tǒng)運(yùn)行過程中的安全風(fēng)險(xiǎn)之目的；廢棄過程風(fēng)險(xiǎn)評(píng)估是為滿足這些廢棄的信息資產(chǎn)對(duì)組織造成信息安全影響之目的。

需要指出的是，當(dāng)信息資產(chǎn)的業(yè)務(wù)目標(biāo)和需求、技術(shù)與管理水平以及組織內(nèi)外環(huán)境發(fā)生變化時(shí)，需要再次對(duì)上述五個(gè)過程進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確保信息資產(chǎn)生命周期信息安全管理的符合性和有效性。

明確控制目標(biāo)與控制措施

實(shí)踐表明，一個(gè)組織倘若能游刃有余地應(yīng)用新版ISMS標(biāo)準(zhǔn)要求中附錄A《控制目標(biāo)和控制措施》，就一定能把ISMS的功效發(fā)揮至理想水平。

可以這樣說，新版標(biāo)準(zhǔn)的附錄A，其是標(biāo)準(zhǔn)所有要求的精華。講得通俗一點(diǎn)，就是為企業(yè)達(dá)成目標(biāo)，規(guī)定了通用的路徑和方法。但在實(shí)際工作中，筆者發(fā)現(xiàn)一些組織，由于沒有認(rèn)真學(xué)習(xí)、深刻領(lǐng)會(huì)其實(shí)質(zhì)，雖然花了大錢，但信息安全管理未能實(shí)現(xiàn)預(yù)期結(jié)果，且信息安全事故連續(xù)發(fā)生。如：求大貪洋，購置國外所謂先進(jìn)的服務(wù)器；主營核心業(yè)務(wù)交由所謂的跨國公司管理；員工跳槽頻繁，帶走組織技術(shù)與管理機(jī)密而無法應(yīng)對(duì)；知識(shí)產(chǎn)權(quán)與專利管理缺乏章法；外包過程管理中對(duì)無形資產(chǎn)管理失控，導(dǎo)致市場拱讓給競爭對(duì)手；涉密場所的移動(dòng)介質(zhì)管理形同虛設(shè)，給不法分子有機(jī)可乘；網(wǎng)絡(luò)服務(wù)安全未能根據(jù)安全特性、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理要求，確定管控措施，導(dǎo)致以偏概全或殺雞用牛刀，管理成本大幅增加而沒有達(dá)到管理功效，以及組織在與客戶所簽訂的相關(guān)技術(shù)服務(wù)協(xié)議中沒有明確信息安全雙方的合規(guī)義務(wù)而產(chǎn)生紛爭等。

以上列舉的種種事件，新版標(biāo)準(zhǔn)在附錄A中，均明確提出了控制目標(biāo)和控制措施。申請/獲證組織應(yīng)結(jié)合自身實(shí)際，度身定做，且持之以恒地執(zhí)行適合自身的管理要求。

通過新版標(biāo)準(zhǔn)與2005版標(biāo)準(zhǔn)附錄A比較發(fā)現(xiàn)，有不少新增的要求。例如，面對(duì)移動(dòng)設(shè)備使用日益頻繁和遠(yuǎn)程工作應(yīng)用日趨廣泛，導(dǎo)致信息安全事件（事故）屢有發(fā)生的情況，對(duì)2005版相關(guān)要求做了修改，進(jìn)一步明確了“移動(dòng)設(shè)備策略”應(yīng)采用相應(yīng)的策略及其支持性的安全措施，以管理由于使用移動(dòng)設(shè)備所帶來的風(fēng)險(xiǎn)；進(jìn)一步明確了“遠(yuǎn)程工作”應(yīng)實(shí)現(xiàn)相應(yīng)的策略及其支持性的安全措施，以保護(hù)在遠(yuǎn)程工作地點(diǎn)上所訪問的、處理的或存儲(chǔ)的信息。又如，面對(duì)“互聯(lián)網(wǎng)+”技術(shù)的應(yīng)用與普及，導(dǎo)致信息資產(chǎn)被竊取、被篡改、被惡意使用的事件（事故）頻發(fā)，新版標(biāo)準(zhǔn)結(jié)合當(dāng)今技術(shù)最新的互聯(lián)網(wǎng)信息技術(shù)，確定了確保網(wǎng)絡(luò)中的信息及其支持性的信息處理設(shè)施得到保護(hù)以及保持在組織內(nèi)外實(shí)體間傳輸信息的安全要求，主要包括：網(wǎng)絡(luò)控制、網(wǎng)絡(luò)服務(wù)的安全、網(wǎng)絡(luò)隔離以及信息傳輸策略和規(guī)程、信息傳輸協(xié)議、電子消息發(fā)送和保密或不泄露協(xié)議等，旨在規(guī)范組織內(nèi)員工和相關(guān)方的網(wǎng)絡(luò)操作/管理行為。

更加強(qiáng)調(diào)績效評(píng)價(jià)

當(dāng)組織的最高管理層決定要按新版標(biāo)準(zhǔn)要求，建立、實(shí)施和保持ISMS時(shí)，自然會(huì)考慮投入與收益。據(jù)此，新版標(biāo)準(zhǔn)在引言中就開宗明義地指出：采用ISMS是組織的一項(xiàng)戰(zhàn)略性決策?？梢姡掳鏄?biāo)準(zhǔn)已經(jīng)充分注意到組織為何需要ISMS，如何建設(shè)ISMS，以及建成后的ISMS，通過何種標(biāo)準(zhǔn)來評(píng)價(jià)。

針對(duì)這一系列問題，新版標(biāo)準(zhǔn)在第九章用了一章三節(jié)19個(gè)條款，明確了“績效評(píng)價(jià)”的要求。9.1 監(jiān)視、測量、分析和評(píng)價(jià)中規(guī)定：組織應(yīng)評(píng)價(jià)信息安全績效以及信息安全管理體系的有效性。并進(jìn)一步明確：a）需要被監(jiān)視和測量的內(nèi)容，包括信息安全過程和控制；b）適用的監(jiān)視、測量、分析和評(píng)價(jià)的方法，以確保得到有效的結(jié)果；c）何時(shí)應(yīng)執(zhí)行監(jiān)視和測量；d）誰應(yīng)監(jiān)視和測量；e）何時(shí)應(yīng)分析和評(píng)價(jià)監(jiān)視和測量的結(jié)果；f）誰應(yīng)分析和評(píng)價(jià)這些結(jié)果。

因此，組織不能為了績效評(píng)價(jià)而進(jìn)行虛無縹緲地評(píng)價(jià)所謂的績效。很實(shí)用的做法應(yīng)逐項(xiàng)對(duì)照本文中提出的附錄A《控制目標(biāo)與控制措施》的新要求，盡可能通過5W1H方法，讓原始的各種數(shù)據(jù)“開口”說話；盡可能應(yīng)用IT與數(shù)據(jù)庫等技術(shù)手段和方法，自動(dòng)形成覆蓋全天候、全網(wǎng)絡(luò)物理環(huán)境以及全部核心業(yè)務(wù)的一個(gè)完整的證據(jù)鏈，并通過環(huán)比、同比等成熟的數(shù)理統(tǒng)計(jì)手段和方法，把優(yōu)勢固化，并傳承和發(fā)展。

需要指出的是：一些組織為了滿足標(biāo)準(zhǔn)要求，制定了一些與組織產(chǎn)品和服務(wù)實(shí)現(xiàn)不相關(guān)或很難實(shí)現(xiàn)的信息安全目標(biāo)。新版標(biāo)準(zhǔn)已考慮到讓組織采用合適的控制措施來滿足控制目標(biāo)的要求。因此，組織應(yīng)善于應(yīng)用新版標(biāo)準(zhǔn)附錄A的相關(guān)要求，不斷補(bǔ)充、完善和提高信息安全的績效評(píng)價(jià)所對(duì)應(yīng)的目標(biāo)。

其他主要變化

一是應(yīng)用了ISO/IEC合并導(dǎo)則附錄SL中定義的高層結(jié)構(gòu)、相同條款標(biāo)題、相同文本、通用術(shù)語和核心定義，保持了其與其他采用附錄SL的管理體系的標(biāo)準(zhǔn)具有兼容性。附錄SL中定義的通用途徑對(duì)于選擇運(yùn)行單一管理體系來滿足兩個(gè)或更多管理體系標(biāo)準(zhǔn)要求的組織是有用的。二是本文中提及的ISO/IEC 27000:2009《信息技術(shù) 信息安全管理體系 概述和詞匯》，其引用了ISMS標(biāo)準(zhǔn)族（包括ISO/IEC 27003［2］、ISO/IEC 27003［3］、ISO/IEC 27003［4］），以及相關(guān)術(shù)語和定義。三是內(nèi)部審核不再強(qiáng)調(diào)審核員不應(yīng)審核自己的工作，但明確選擇審核員并實(shí)施審核，確保審核過程的客觀性和公正性，以彰顯審核活動(dòng)的客觀、務(wù)實(shí)、公正、高效和靈活的審核作風(fēng)。四是用文件化信息替代了2005版標(biāo)準(zhǔn)的程序、文件、記錄。五是雖然未提出“預(yù)防措施”要求，但新版標(biāo)準(zhǔn)預(yù)防為主的思想體現(xiàn)在縱橫交錯(cuò)的各個(gè)方面?？梢赃@樣說，標(biāo)準(zhǔn)的結(jié)構(gòu)框圖、PDCA過程與過程之間的接口，以及每一個(gè)條款的大小循環(huán)中，“預(yù)防措施”要求，其已在標(biāo)準(zhǔn)中體現(xiàn)得淋漓盡致、入木三分。六是更加強(qiáng)調(diào)了信息資產(chǎn)更新管理的要求。新版標(biāo)準(zhǔn)8.2中規(guī)定：組織應(yīng)考慮6.1.2a）所建立的準(zhǔn)則，按計(jì)劃的時(shí)間間隔，或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。七是把“改進(jìn)”過程分解為兩個(gè)子過程，即“不符合及糾正措施”與“持續(xù)改進(jìn)”。這有利于組織從近期、中長期角度出發(fā)，對(duì)標(biāo)管理、施以對(duì)策，實(shí)現(xiàn)組織在不同階段所需的目標(biāo)要求。

總之，新版標(biāo)準(zhǔn)已融入很多新版質(zhì)量、環(huán)境管理體系要求的元素，組織完全可以借鑒建立、實(shí)施和保持多位一體的結(jié)合型管理體系，花較小的代價(jià)，能盡快彌補(bǔ)在信息安全管理上的“短板”，并通過有效應(yīng)用風(fēng)險(xiǎn)管理的途徑和方法，確保信息的機(jī)密性、完整性和可用性，為相關(guān)方樹立風(fēng)險(xiǎn)得到充分管理的信心，從而為營造更多價(jià)值創(chuàng)造的機(jī)會(huì)。

（作者單位：上海質(zhì)量體系審核中心）