從標(biāo)準(zhǔn)營銷角度重新審視信息安全管理體系

王麗華（機(jī)械工業(yè)信息研究院）謝宗曉（中國金融認(rèn)證中心）

本刊特約

從標(biāo)準(zhǔn)營銷角度重新審視信息安全管理體系

王麗華（機(jī)械工業(yè)信息研究院）謝宗曉（中國金融認(rèn)證中心）

論文結(jié)合ISO/IEC 27000標(biāo)準(zhǔn)族的發(fā)展過程，從標(biāo)準(zhǔn)營銷的角度總結(jié)了3個信息安全管理體系從諸多標(biāo)準(zhǔn)中脫穎而出的原因。

信息安全 信息安全管理體系

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之三十二

信息安全管理體系（ISO/IEC 27000標(biāo)準(zhǔn)族）不但是全球范圍內(nèi)應(yīng)用最廣泛的標(biāo)準(zhǔn)，也是目前國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的規(guī)模最龐大的標(biāo)準(zhǔn)族之一。關(guān)于這個標(biāo)準(zhǔn)族的技術(shù)細(xì)節(jié)介紹，可以參考《“十二五”國家重點圖書出版規(guī)劃 信息安全管理體系叢書》，在這里，我們重點探討一個問題，在如此多的類似標(biāo)準(zhǔn)中，ISO/IEC 27000標(biāo)準(zhǔn)族為什么能夠脫穎而出？

謝宗曉（特約編輯）

1 市場為什么選擇了ISMS

國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的標(biāo)準(zhǔn)并不必然成功，有很多規(guī)模龐大且設(shè)計良好的標(biāo)準(zhǔn)都沒有能夠得到市場認(rèn)可，例如，業(yè)界公認(rèn)OSI七層模型設(shè)計精巧，邏輯清晰，但是結(jié)果我們都知道了，最終占據(jù)市場的是TCP/IP協(xié)議[1]。

ISO/IEC 27000標(biāo)準(zhǔn)族起源于“最佳實踐”，作為流程類（或方法類）標(biāo)準(zhǔn)，盈利模式就是很大的困難。例如，為產(chǎn)品付費，用戶大多都已經(jīng)習(xí)以為常。某種方法，或者某個流程，到現(xiàn)在為止，盈利依然很困難。ISMS盈利的模式恰恰就是“賣手藝”，更通俗地講，就是告訴企業(yè)如何一步一步地做信息安全。

在本文中，我們從標(biāo)準(zhǔn)營銷的角度分析ISO/IEC 27000標(biāo)準(zhǔn)族在諸多標(biāo)準(zhǔn)中脫穎而出的原因。

2 積極與OECD指南相結(jié)合

經(jīng)濟(jì)合作與發(fā)展組織（OECD1））OECD，the Organisation for Economic Co-operation and Development，經(jīng)濟(jì)合作與發(fā)展組織。目前OECD有35個成員國，總部設(shè)在巴黎。OECD發(fā)布各種各樣的文檔，例如《G20/OECD治理原則》就是一個極具前瞻性的指導(dǎo)文件，絕大部分都是免費的，下載地址為：http://www.oecd.org。）在1992年11月26日年發(fā)布了《OECD信息系統(tǒng)安全指南》2））OECD Guidelines for the Security of Information Systems [R]. 1992，OECD信息系統(tǒng)安全指南。。2002年，改版為《OECD信息系統(tǒng)與網(wǎng)絡(luò)安全準(zhǔn)則——發(fā)展安全文化》3））OECD Guidelines for the Security of Information Systems and Networks: Towards a culture of security [R]. 概要的免費下載地址：http://www.oecd.org/sti/ ieconomy/15582284.pdf。。

從發(fā)布時間來看，談不上ISO/IEC 27000標(biāo)準(zhǔn)族借鑒了OECD的指導(dǎo)原則，我們之所以在這里單獨拿出來講，是想強(qiáng)調(diào)ISO/IEC 27000標(biāo)準(zhǔn)族在推廣過程中所做的第一個努力，即盡量與更牛的人混在一起，顯得自己也是牛人[2,3]。在ISO/IEC 27001：2005的引言中，有這樣一段話：

采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002版）中所設(shè)置的原則。本標(biāo)準(zhǔn)為實施OECD指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實施、安全管理和再評估的原則提供了一個強(qiáng)健的模型。

這段話聽起來有點拗口，整體上很謙虛地表達(dá)了一個邏輯，就是ISO/IEC 27001：2005能夠滿足OECD指南的原則，如果OECD指南是戰(zhàn)略層，那么我們在戰(zhàn)術(shù)層面進(jìn)行了落實。在ISO/IEC 27001：2005的附錄中，還就標(biāo)準(zhǔn)條款與OECD提出的原則進(jìn)行了映射。但是，最新版的ISO/IEC 27001：2013已經(jīng)把上一段描述刪除了，以現(xiàn)在ISMS的推廣程度，刻意地“攀這種親戚”意義也不大了。

3 快速以免費的方式推向市場

信息安全“最佳實踐”指的是目前在用的ISO/ IEC 27002，開發(fā)過程只用了6個月，其中3個月完成第一版草案，另外3個月完成最終草案。在完成初稿后，工作組在版權(quán)問題上產(chǎn)生一定的分歧，是免費獲取還是收取一定的費用？這里就要講到ISMS在推廣過程中所做的第二項努力，為了使文檔能夠被最快地獲得，工作組決定以“實用規(guī)則”的形式發(fā)布，而不是英國標(biāo)準(zhǔn)的形式，這就避免了繁雜的過程，更重要的是文檔可以免費獲取，因此文檔迅速流行，并得到實踐領(lǐng)域的高度評價。

在互聯(lián)網(wǎng)時代，尤其是中國的互聯(lián)網(wǎng)服務(wù)，免費幾乎是標(biāo)配?；剡^頭看，好像在當(dāng)時這是一個很容易做的選擇，事實上在20世紀(jì)90年代，這是一個很有遠(yuǎn)見的決定。在后續(xù)的15年內(nèi)，英國的標(biāo)準(zhǔn)機(jī)構(gòu)（BSI4））BSI集團(tuán)是一個商業(yè)機(jī)構(gòu)，但同時承擔(dān)著英國國家標(biāo)準(zhǔn)協(xié)會的功能。因此，BSI同時參與到標(biāo)準(zhǔn)的開發(fā)、認(rèn)證、咨詢和培訓(xùn)等整個產(chǎn)業(yè)鏈。在英國這是可以的，在國內(nèi)，中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會（CNCA）規(guī)定不能同時進(jìn)行咨詢和認(rèn)證業(yè)務(wù)。）成為市場占有率最高的咨詢和培訓(xùn)機(jī)構(gòu)之一。這種情形，一直到最近幾年，限于政策等因素5））例如，《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》（工信部聯(lián)協(xié)〔2010〕394號）和《政府部門信息技術(shù)外包服務(wù)機(jī)構(gòu)申請信息安全管理體系認(rèn)證安全審查程序》（工信部2011年第21號公告）等公文都對外企從事信息安全認(rèn)證做了一定的限制。，國內(nèi)市場占有率才有所改變。

4 利用成熟的標(biāo)準(zhǔn)開發(fā)團(tuán)隊

經(jīng)過一個階段的公開征求意見，這個關(guān)于“最佳實踐”的文檔成為BS 7799：1995，該文檔與最初的草案幾乎一致。BS 7799：1995發(fā)布后，許多顧問和會計公司對認(rèn)證的想法產(chǎn)生了興趣，因為在1995年左右，ISO 9000的質(zhì)量管理體系認(rèn)證已經(jīng)比較深入人心。

1996年夏，BS 7799提交考慮成為國際標(biāo)準(zhǔn)，但是被駁回。為了促進(jìn)國際化，1997年建立ISMS國際用戶聯(lián)盟（IUG）6））ISMS International User Group （IUG）Ltd 建立于1997年，和其他安全組織一樣，這個組織為成員討論與分享部署B(yǎng)S 7799的經(jīng)驗提供了一個平臺。。同年9月，英國工業(yè)與貿(mào)易部（DTI）建立BS 7799認(rèn)可認(rèn)證指導(dǎo)委員會。1998年2月，加入BS 7799-2。1999年4月，第一次修訂后的BS 7799：1999發(fā)布。之上描述的過程如圖1所示。

圖1 成為英國國家標(biāo)準(zhǔn)的過程

加入認(rèn)證框架是ISMS在推廣過程中所做的第三個努力，這使得該標(biāo)準(zhǔn)成為一個完整的產(chǎn)業(yè)鏈。這一過程的產(chǎn)生跟英國標(biāo)準(zhǔn)協(xié)會（BSI）的成功經(jīng)驗很有關(guān)系，他們在之前成功地推廣了質(zhì)量管理體系（QMS）。

在成為國際標(biāo)準(zhǔn)之前，澳大利亞和新西蘭最早接受該標(biāo)準(zhǔn)為AS/NZS 4444，之后又被斯堪的納維亞與中東國家所接受，當(dāng)然最重要的是，成功說服了主要經(jīng)濟(jì)體的接受，例如，美國、日本和德國等國家認(rèn)可BS 7799的認(rèn)證，就是BS 7799-2。

2000年，BS 7799-1成為國際標(biāo)準(zhǔn)，并編號為ISO/IEC 17799：2000，由于ISO的標(biāo)準(zhǔn)最長5年需要重新評審，2005年，在內(nèi)容沒有太大變化的情況下，改版為ISO/IEC 17799：2005。

圖1描述的主要是ISO/IEC 27001和ISO/IEC 27002發(fā)展過程，圖2中重點描述了成為國際標(biāo)準(zhǔn)之后的版本演化過程。

圖2 成為國際標(biāo)準(zhǔn)后的版本變化

2005年年底，隨著BS 7799-2成為國際標(biāo)準(zhǔn)，ISO 27000標(biāo)準(zhǔn)族產(chǎn)生，在內(nèi)容沒有任何改變的情況下，ISO/IEC 17799：2005重新發(fā)布為ISO/IEC 27002：2005。這之后，ISO 27000標(biāo)準(zhǔn)族進(jìn)入了快速發(fā)展時期。

5 小結(jié)

綜上所述，我們從標(biāo)準(zhǔn)營銷的角度討論了信息安全管理體系（ISO/IEC 27000標(biāo)準(zhǔn)族）的產(chǎn)生與興起過程，將其能夠成功占領(lǐng)市場的原因歸結(jié)為以下3點：

（1）在合適的時間推出的合適標(biāo)準(zhǔn)。最早版本的“最佳實踐”，即ISO/IEC 27002的前身，發(fā)布于1993年，在當(dāng)時，信息安全問題剛剛凸顯，并沒有太多的經(jīng)驗可以借鑒。尤其是對于最佳實踐這類標(biāo)準(zhǔn)，經(jīng)常是“怎么說，怎么對”。

（2）積極運用了恰當(dāng)?shù)臓I銷方式。首先，文本本身是免費的，盈利主要依靠其他手段；其次，與OECD指南等結(jié)合，積極地拓展了標(biāo)準(zhǔn)的應(yīng)用范圍；最后，加入了管理體系產(chǎn)業(yè)鏈，而這個產(chǎn)業(yè)鏈已經(jīng)運轉(zhuǎn)有序，且已經(jīng)存在大量專門從業(yè)人員。

（3）利用了推廣團(tuán)隊已有的經(jīng)驗。由于起源于英國標(biāo)準(zhǔn)，之前已經(jīng)有很成功的質(zhì)量管理體系（ISO 9000標(biāo)準(zhǔn)族）的開發(fā)和推廣經(jīng)驗，信息安全管理體系成為國際標(biāo)準(zhǔn)的過程相對比較順利。

最近幾年是ISO/IEC 27000標(biāo)準(zhǔn)族的開發(fā)和改版的高峰時期，但整體而言，定義和描述信息安全管理體系的，最基本的ISO/IEC 27000至ISO/IEC 27008，基本已經(jīng)定稿。接下來關(guān)注的重點是分行業(yè)的應(yīng)用，以及分領(lǐng)域的控制。最新的ISO/IEC 27000標(biāo)準(zhǔn)族進(jìn)展情況，請參見參考文獻(xiàn)[4]和[5]。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）

[1]特南鮑姆&韋瑟羅爾. 計算機(jī)網(wǎng)絡(luò)[M]. 嚴(yán)偉，潘愛民，譯. 5版. 北京：清華大學(xué)出版社，2012.

[2]謝宗曉，甄杰，董坤祥，等，網(wǎng)絡(luò)空間安全管理[M]. 北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

[3]謝宗曉. 信息安全管理體系實施指南（第二版）[M]. 北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

[4]謝宗，董坤祥. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展（上）[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（1）：36-40.

[5]謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進(jìn)展（下）[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（2）：34-38，41.

From a Marketing Perspective on ISMS

Wang Lihua ( Institute of Mechanical Industry Information ) Xie Zongxiao ( China Financial Certifi cation Authority )

Based on the ISO/IEC 27000 family of standards development process, from the perspective of standard marketing summarize three reasons that information security management system (ISMS) stand out from the many standards.

Information Security, Information Security Management System (ISMS);