基于CIL的信息安全合規(guī)性路徑探討

陳磊（內(nèi)蒙古公安廳）

謝宗曉（中國金融認(rèn)證中心）

本刊特約

基于CIL的信息安全合規(guī)性路徑探討

陳磊（內(nèi)蒙古公安廳）

謝宗曉（中國金融認(rèn)證中心）

本文提出了一種控制索引目錄（CIL）的信息安全合規(guī)性滿足方法，同時，對于合規(guī)性、合法性和符合性等幾個詞匯進行了辨析。

控制索引目錄 信息安全 合規(guī)性

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之三十三

政府監(jiān)管機構(gòu)對于各類組織的信息安全存在著諸多監(jiān)管，因此組織面臨了滿足合規(guī)性的壓力。在之前的討論中，我們指出信息安全等級保護和信息安全管理體系是國內(nèi)組織采納最多的兩種實踐，采納哪一種是“組織的一項戰(zhàn)略性決策”1）GB/T 22080—2016 / ISO/IEC 27001：2013，引言中指出：采用信息安全管理體系是組織的一項戰(zhàn)略性決策（The adoption of an information security management system is a strategic decision for an organization）。，但是如何采納（并部署），則是另一個層次的問題。下文中討論的就是具體部署方法。

謝宗曉（特約編輯）

1 合規(guī)性及其相似的幾個詞匯

合規(guī)性、合法性和符合性這幾個詞匯既存在相似之處，又具有一定的差別。

合規(guī)性在信息安全實踐中常被稱為“內(nèi)外合規(guī)”。一般認(rèn)為，內(nèi)外合規(guī)是中文的習(xí)慣用法，應(yīng)該是“合乎法律法規(guī)”的縮略語，從這個意義上講，接近于legality（合乎法律性），大約legality是一個法律術(shù)語，更要強調(diào)的是給定司法權(quán)（a given jurisdiction）框架內(nèi)的判斷[1]。至少我們閱讀的組織研究文獻中，幾乎沒有發(fā)現(xiàn)legality這個詞匯出現(xiàn)。

在討論組織問題的時候，多用compliance，例如，GB/T 22080—2008/ISO/IEC 27001：2005中，“重要提示：……符合標(biāo)準(zhǔn)本身并不獲得法律責(zé)任的豁免（compliance with an International Standard does not in itself confer immunity from legal obligations）?！眂ompliance更強調(diào)客體的表現(xiàn)。在個體行為方面，compliance用得更多，例如，信息安全策略遵守（Information Security Policy Compliance，ISPC），ISPC是“行為信息安全研究（Behavioral InfoSec Research）”領(lǐng)域的重要研究方向。

合法性（legitimacy）是一個廣義詞匯，在翻譯的過程中，存在諸多歧義。legitimacy的原意是嫡傳的，在政治體系中，嫡傳就是最大的正當(dāng)性[1]。更準(zhǔn)確的翻譯，例如，劉毅將legality翻譯為“合法性”，legitimacy翻譯為“正當(dāng)性”[2]。更多的情況下，legality 更多地被翻譯為“合乎法律性”，可能是因為之前l(fā)egitimacy 被翻譯為“合法性”了。

符合性（conformity或conformance）詞匯經(jīng)常出現(xiàn)在信息安全認(rèn)證領(lǐng)域中，例如，GB/T 22080—2008/ISO/IEC 27001：2005，引言，本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性（符合性）評估（This International Standard can be used in order to assess conformance by interested internal and external parties）。又如，GB/T 22080—2008/ISO/IEC 27001：2005中1.2，聲稱符合本標(biāo)準(zhǔn)（claims of conformity to this International Standard）。

這幾個詞匯總結(jié)如表1所示。

表1 合規(guī)性及其相似詞匯

2 信息安全制度化的概念

Basie von Solms認(rèn)為制度浪潮（the institutional wave）是信息安全的一個發(fā)展階段[3]，在這個階段中，涌現(xiàn)出了以ISO/IEC 27000標(biāo)準(zhǔn)族（或信息安全管理體系）為代表的“最佳實踐”。嚴(yán)格意義上講，信息安全管理體系（Information Security Management System）是基于“控制目標(biāo)”，并不糾纏于具體的控制依靠技術(shù)還是管理實現(xiàn)。

但是鑒于ISO/IEC 27002：2005標(biāo)題中指明該標(biāo)準(zhǔn)的類型是Code of practice for…2）GB/T 1.1—2009中3.2 規(guī)程（code of practice），為設(shè)備、構(gòu)件或產(chǎn)品的設(shè)計、制造、安裝、維護或使用而推薦慣例或程序的文件[GB/T 20000.1—2002，定義2.3.5]。其中將code of practice 直接翻譯為規(guī)程，也就是說，ISO/IEC 27002：2005 Code of practice for information security controls本質(zhì)上還是關(guān)于文件化的，而不是關(guān)于技術(shù)產(chǎn)品的。如果按照GB/T 1.1—2009的翻譯的話，ISO/IEC 27002：2005中文標(biāo)題應(yīng)該為“信息安全控制規(guī)程”。，也就是說，還是偏重“規(guī)程”，即使是技術(shù)實現(xiàn)，也重點要考慮其中的策略（policy）。因此，這必須考慮制度化（institutionalization）。

信息安全制度化就是關(guān)于信息安全方面的策略設(shè)計與實現(xiàn)。在某種程度上而言，制度化與合法化是同義詞[4]，例如按照ISO/IEC 27001的要求部署過程，本身就滿足了該標(biāo)準(zhǔn)的合規(guī)性，而在這個過程當(dāng)中，同時也強調(diào)符合性。

3 控制索引目錄（CIL）

在GB/T 22080—2008/ISO/IEC 27001：2005中規(guī)定了一個規(guī)范性描述文件，適用性聲明（Statement of Applicability，SoA），SoA實際是一個GB/T 22080—2008/ISO/IEC 27001：2005與組織信息安全控制的索引表格，如圖1所示。

圖1 SoA示意圖

這個問題的解決，借鑒FDCC（Federal Desktop Core Configuration，美國聯(lián)邦政府桌面核心配置）的 思 想[5]。FDCC 是 基 于 SCAP（Security Content Automation Protocol，安全內(nèi)容自動化協(xié)議）的一項實際應(yīng)用。SCAP是標(biāo)準(zhǔn)化安全軟件產(chǎn)品缺陷與安全信息配置信息的格式與命名的一套規(guī)范。

根據(jù)FDCC/SCAP的思想，通俗地講，按照既定的格式和命名規(guī)則，對現(xiàn)有的信息安全控制措施進行編號、命名，做成統(tǒng)一的控制索引目錄（Control Index List，CIL），然后對監(jiān)管要求文件做同樣的工作，最后與監(jiān)管要求文件進行映射，產(chǎn)生完整的SoA。圖1在加入上述過程后，如圖2所示。

圖2 信息安全合規(guī)性部署過程示意圖

無論采納形如信息安全等級保護還是信息安全管理體系的“最佳實踐”，一旦到具體的信息安全控制，差異并不大，例如，ISO/IEC 27002：2013，GB/T 22239—2008 或 NIST SP800-53 Rev. 4[6，7]。

CIL的基本原理就是基于信息安全控制的同質(zhì)性，類似于堆積木一樣。

CIL的具體步驟如下：（1）識別組織已經(jīng)部署的信息安全控制，并按照既定的規(guī)則做成組織的信息安全控制目錄；（2）識別組織的合規(guī)性要求，這其中可能包括了諸多政府的規(guī)制文件，以及各種相關(guān)的標(biāo)準(zhǔn)，按照同樣的邏輯對其進行分解；（3）將現(xiàn)有的安全控制進行目錄與特定監(jiān)管文件或標(biāo)準(zhǔn)的控制目錄進行比對，從而確定現(xiàn)有的不足。一旦形成基本的CIL，再有新的監(jiān)管要求，一般不會區(qū)別太大，從而使組織的部署最大化地避免重復(fù)性勞動。

4 小結(jié)

本文首先對于合規(guī)性及其幾個詞匯進行了辨析，其中包括合法性、合乎法律性、符合性和一致性等，然后給出了基于控制索引目錄（CIL）的合規(guī)性方法，使用CIL方法的主要目的是降低組織滿足信息安全合規(guī)性的工作量。

[1]趙孟營. 組織合法性:在組織理性與事實的社會組織之間[J]. 北京師范大學(xué)學(xué)報（社會科學(xué)版），2005（02）：119–125.

[2]大衛(wèi)·戴岑豪斯. 合法性與正當(dāng)性:魏瑪時代的施米特、凱爾森與海勒[M]. 劉毅，譯. 北京：商務(wù)印書館，2013.

[3]Basie von Solms. Information security—the third wave?[J] Computer& Security，2000（19）：615-620.

[4]謝宗曉，林潤輝. 信息安全制度化3I模型[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2016（06）：30-33.

[5]謝宗曉. 政府部門信息安全管理基本要求理解與實施[M].北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2014.

[6]謝宗曉. 信息安全管理體系實施指南（第二版）[M].北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

[7]謝宗曉，甄杰，董坤祥，等. 網(wǎng)絡(luò)空間安全管理[M].北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）

Information Security Compliance Based on CIL

Chen Lei ( Inner Mongolia Autonomous Region Public Security Department )
Xie Zongxiao ( China Financial Certi fi cation Authority )

We propose a deployment method named Control Index List (CIL) to meet information security compliance,and analysis of several words, including compliance, legitimacy and conformity/conformance etc.

Control Index List (CIL), information security, compliance