信息安全管理體系良好審核案例簡(jiǎn)析

魏為民, 楊衍宇, 張運(yùn)琴

(上海電力大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090)

ISO/IEC 27001信息安全管理體系(Information Security Management Systems,ISMS)是基于業(yè)務(wù)風(fēng)險(xiǎn)方法,建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系,是組織整體管理體系的一部分[1]。采用ISMS是組織的一項(xiàng)戰(zhàn)略性決策。

ISO/IEC 27001的前身為英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British Standards Institution,BSI)提出的BS 7799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)分為兩個(gè)部分:1995年發(fā)布的BS 7799-1《信息安全管理實(shí)施細(xì)則》和1998年發(fā)布的BS 7799-2《信息安全管理體系規(guī)范》。前者是由信息安全最佳慣例組成的實(shí)施規(guī)則,適用于大中小組織,供組織中負(fù)責(zé)啟動(dòng)、實(shí)施或維護(hù)安全的人員使用;后者規(guī)定信息安全管理體系要求和信息安全控制要求,可作為信息安全管理體系認(rèn)證方案的依據(jù)。1999年,結(jié)合信息處理技術(shù),特別是網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的快速發(fā)展,BS 7799-1與BS 7799-2修訂后重新發(fā)布。

2000年12月,國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)認(rèn)可BS 7799-1:1999,將其轉(zhuǎn)換為國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799:2000《信息技術(shù) 信息安全管理實(shí)施細(xì)則》。2004年9月,BS 7799-2:2002正式發(fā)布。2005年,BS 7799-2:2002被ISO組織采納,于同年10月推出ISO/IEC 27001:2005。2005年6月,ISO/IEC 17799:2000經(jīng)改版形成新的ISO/IEC 17799:2005,新版本在組織編排和內(nèi)容完整性上都有了很大輻度的增強(qiáng)和提升。2007年7月1日,ISO/IEC 17799:2005更新并正式發(fā)布為ISO/IEC 27002:2005,此次更新內(nèi)容沒(méi)有改變,僅變更標(biāo)準(zhǔn)號(hào)碼。2013年10月19日,ISO正式發(fā)布了新版的信息安全管理體系標(biāo)準(zhǔn)ISO/IEC 27001:2013。目前國(guó)際上普遍采用該標(biāo)準(zhǔn)對(duì)組織的能力是否滿足自身的信息安全要求進(jìn)行評(píng)估。該標(biāo)準(zhǔn)包括14個(gè)控制域。

信息安全管理體系適用于各種類型、規(guī)?；蛐再|(zhì)的組織(如商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織等),包括但不限于:銀行、證券、保險(xiǎn)等金融機(jī)構(gòu);交通、能源等大型國(guó)有企業(yè);互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center,IDC)服務(wù)提供商;軟件和信息技術(shù)服務(wù)企業(yè);公共管理、社會(huì)保障和社會(huì)組織等。

1 我國(guó)信息安全管理體系認(rèn)證發(fā)展歷程

2002年4月3日,中國(guó)國(guó)家認(rèn)證認(rèn)監(jiān)管理委員會(huì)與中華人民共和國(guó)新聞辦公室聯(lián)合召開(kāi)國(guó)家信息安全測(cè)評(píng)認(rèn)證體系工作組成立暨第一次工作會(huì)議,成立了國(guó)家信息安全認(rèn)證認(rèn)可體系政策協(xié)調(diào)小組、工作研究小組和秘書(shū)處。2004年10月18日,中國(guó)國(guó)家認(rèn)證認(rèn)監(jiān)管理委員會(huì)、公安部、國(guó)家安全部、信息產(chǎn)業(yè)部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)家質(zhì)檢總局、國(guó)務(wù)院信息化工作辦公室聯(lián)合印發(fā)《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》(國(guó)認(rèn)證聯(lián)[2004]57號(hào)),提出“從維護(hù)國(guó)家安全和經(jīng)濟(jì)利益的大局出發(fā),在統(tǒng)一監(jiān)督、管理和綜合協(xié)調(diào)的機(jī)制下,建立既符合國(guó)家利益的需要,又遵循國(guó)際通行規(guī)則的統(tǒng)一的國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系。為國(guó)家信息安全保障體系的有效實(shí)施提供強(qiáng)有力的技術(shù)支撐”;成立由國(guó)務(wù)院有關(guān)部門(mén)、生產(chǎn)方、用戶方、研究開(kāi)發(fā)以及標(biāo)準(zhǔn)等方面的代表共同組成的國(guó)家信息安全產(chǎn)品認(rèn)證管理委員會(huì)。

2006年6月20日,中央機(jī)構(gòu)編制委員會(huì)批復(fù)設(shè)立中國(guó)信息安全認(rèn)證中心(中央編辦復(fù)字[2006]70號(hào))。2007年1月29日,中國(guó)信息安全認(rèn)證中心獲中國(guó)國(guó)家認(rèn)證認(rèn)監(jiān)管理委員會(huì)頒發(fā)的《認(rèn)證機(jī)構(gòu)批準(zhǔn)書(shū)》(批準(zhǔn)號(hào):CNCA-R-2007-138,No.0000150),取得開(kāi)展信息安全管理體系認(rèn)證、信息安全產(chǎn)品認(rèn)證工作資格[2]。自此,我國(guó)建立了統(tǒng)一的信息安全產(chǎn)品認(rèn)證認(rèn)可體系。這是我國(guó)信息安全認(rèn)證踏出的重要的一步,也是信息安全認(rèn)證歷史上一個(gè)重要的里程碑[3]。

2007年10月22日,中國(guó)信息安全認(rèn)證中心向中國(guó)信達(dá)資產(chǎn)管理公司頒發(fā)了全國(guó)第1張信息安全管理體系認(rèn)證證書(shū)[4]。中國(guó)信達(dá)資產(chǎn)管理公司于1999年4月成立,是經(jīng)國(guó)務(wù)院批準(zhǔn)成立的首家金融資產(chǎn)管理公司。2010年6月,整體改制為中國(guó)信達(dá)資產(chǎn)管理股份有限公司[5]。

2008年6月19日,國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布GB/T 22080—2008/ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T 22081—2008/ISO/IEC 27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》,標(biāo)準(zhǔn)等同采用相應(yīng)國(guó)際標(biāo)準(zhǔn),僅有編輯性修改,于2008年11月1日起實(shí)施。

2010年5月1日,統(tǒng)一的信息安全產(chǎn)品認(rèn)證制度落地執(zhí)行,防火墻、網(wǎng)絡(luò)安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數(shù)據(jù)備份與恢復(fù)、安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)系統(tǒng)、反垃圾郵件、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)脆弱性描述、安全審計(jì)、網(wǎng)站恢復(fù)等13種產(chǎn)品,只有獲得國(guó)家信息安全認(rèn)證證書(shū)的產(chǎn)品,才能進(jìn)入政府采購(gòu)范圍。

2016年8月29日,國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布GB/T 22080—2016/ISO/IEC 27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》,代替GB/T 22080—2008,于2017年3月1日實(shí)施。

經(jīng)過(guò)10余年的發(fā)展,我國(guó)信息安全領(lǐng)域認(rèn)證業(yè)務(wù)體系不斷擴(kuò)大,基本建立了完整的認(rèn)證業(yè)務(wù)體系,涵蓋了ISMS認(rèn)證、信息技術(shù)服務(wù)管理體系(Service Management System,SMS)認(rèn)證、業(yè)務(wù)連續(xù)性管理體系(Business Continuity Management Systems,BCMS)認(rèn)證、信息安全服務(wù)資質(zhì)認(rèn)證(包含信息安全風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)安全集成、信息安全應(yīng)急處理、信息系統(tǒng)災(zāi)難備份與恢復(fù)、軟件安全開(kāi)發(fā)、信息系統(tǒng)安全運(yùn)維、網(wǎng)絡(luò)安全審計(jì)、工業(yè)控制系統(tǒng)安全服務(wù)等)。截至2019年6月[6-7],全國(guó)共有有效認(rèn)證證書(shū)數(shù)214萬(wàn)張,獲證企業(yè)67萬(wàn)個(gè),其中管理體系認(rèn)證證書(shū)數(shù)1 086 251張,組織數(shù)572 936個(gè)。信息安全管理體系認(rèn)證證書(shū)10 393張,獲證組織9 996個(gè),在管理體系認(rèn)證證書(shū)數(shù)和獲證組織數(shù)上分別占比0.96%和1.74%。

2 ISMS良好認(rèn)證審核案例同行評(píng)議活動(dòng)

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)(Chinese Certification and Accreditation Association,CCAA)從2008年開(kāi)始策劃到2010年7月止,完成了2009—2010年良好認(rèn)證審核、認(rèn)證咨詢案例同行評(píng)議交流活動(dòng)[8],協(xié)會(huì)從參加此次活動(dòng)的100多個(gè)案例中選編了30個(gè)案例,但其中沒(méi)有ISMS良好案例入選。2011年度的同行評(píng)議活動(dòng)選編了34個(gè)良好案例,與首次活動(dòng)類似,入選的主要為質(zhì)量管理體系(Quality Management System,QMS)、環(huán)境管理體系(Environmental Management System,EMS)和個(gè)別職業(yè)健康安全管理體系(Occupational Health and Safety Management Systems,OHSMS)案例,同樣沒(méi)有ISMS良好案例入選。

在2012年5月底中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)舉辦的第3次良好認(rèn)證審核案例評(píng)議交流活動(dòng)中,ISMS良好案例終于有了零的突破。由中國(guó)信息安全認(rèn)證中心路津?qū)徍藛T撰寫(xiě)的《××研究院ISMS認(rèn)證審核案例》作為第一個(gè)信息安全管理體系良好審核良好案例入選。

此后,每年度的良好認(rèn)證審核案例同行評(píng)議交流活動(dòng)中均有ISMS良好案例入選。2018年5月,中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)開(kāi)展了“2018年度良好認(rèn)證案例同行評(píng)議交流系列活動(dòng)暨第一屆認(rèn)證技術(shù)交流研討會(huì)”,共收到各認(rèn)證機(jī)構(gòu)推薦的交流案例404個(gè),經(jīng)過(guò)協(xié)會(huì)組織初審,共有131個(gè)案例參加了現(xiàn)場(chǎng)評(píng)議交流活動(dòng)。通過(guò)現(xiàn)場(chǎng)評(píng)議,最終確定42個(gè)案例為2018年良好認(rèn)證案例。根據(jù)中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)網(wǎng)站公布的2018年度良好認(rèn)證案例材料匯編[8],其中至少有2個(gè)ISMS案例入選。

根據(jù)CCAA網(wǎng)站公布的良好案例材料,截至2019年度良好審核案例現(xiàn)場(chǎng)評(píng)議交流系列活動(dòng)暨第二屆認(rèn)證技術(shù)交流研討會(huì),共入選案例365個(gè),其中信息安全管理體系良好案例共16個(gè),在全部案例中占比為4.38%,具體如表1所示。

表1 良好認(rèn)證審核案例匯總(2009—2019年)

根據(jù)中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)2018年12月31日發(fā)布的各類認(rèn)證人員證書(shū)統(tǒng)計(jì)年報(bào),QMS,EMS,OHSMS,食品安全管理體系,危害分析與關(guān)鍵控制點(diǎn)認(rèn)證,ISMS,ITSMS,能源管理體系等管理體系審核員(含實(shí)習(xí)審核員、審核員、高級(jí)審核員)的有效注冊(cè)證書(shū)數(shù)量總計(jì)100 818張,其中信息安全管理體系895張,占比為0.89%。因此,從管理體系認(rèn)證證書(shū)數(shù)、組織數(shù)以及審核員有效注冊(cè)證書(shū)數(shù)來(lái)看,信息安全管理體系良好案例數(shù)量都明顯增加。這說(shuō)明ISMS重要性日益凸顯,ISMS審核員的工作得到了專家的高度肯定。

3 ISMS良好認(rèn)證審核案例匯總

匯總2009—2019年良好認(rèn)證審核案例材料,抽取其中關(guān)于ISMS良好審核案例,具體如表2所示。

表2 ISMS良好認(rèn)證審核ISMS案例匯總(2009—2019年)

除2017年《北京市首都公路發(fā)展集團(tuán)有限公司京開(kāi)高速公路管理分公司信息安全管理體系審核案例》和2018年《江蘇省郵電規(guī)劃設(shè)計(jì)院有限責(zé)任公司審核案例》中不符合項(xiàng)對(duì)應(yīng)標(biāo)準(zhǔn)條款分別涉及標(biāo)準(zhǔn)正文“8.2信息安全風(fēng)險(xiǎn)評(píng)估/8.3信息安全風(fēng)險(xiǎn)處置”外,其余案例均為標(biāo)準(zhǔn)附錄A?？紤]自2017年以來(lái)實(shí)施ISO/IEC 27001:2013新版標(biāo)準(zhǔn)審核案例,不符合項(xiàng)對(duì)應(yīng)標(biāo)準(zhǔn)附錄A的14個(gè)控制域分布情況如圖1所示。

由圖1可知,涉及控制域最多的是“A.12運(yùn)行安全”,值得特別關(guān)注的是“A.12.6.1技術(shù)方面脆弱性的管理”和“A.13.1.3網(wǎng)絡(luò)中的隔離”,分別出現(xiàn)在3個(gè)和2個(gè)案例中,應(yīng)重點(diǎn)對(duì)照舉一反三整改;其次是“A.11物理和環(huán)境安全”和“A.13通信安全”;另外,“A.6信息安全組織”“A.8資產(chǎn)管理”“A.9訪問(wèn)控制”“A.17業(yè)務(wù)連續(xù)性管理的信息安全方面”也有所涉及,比較真實(shí)地反映了實(shí)際的審核情況,從另一個(gè)側(cè)面也說(shuō)明,受審核組織應(yīng)在這些方面加強(qiáng)管理。

圖1 案例分布情況(2017—2019年度)

這些不符合項(xiàng)對(duì)應(yīng)的標(biāo)準(zhǔn)條款及內(nèi)容如下。

A.6.1.5 項(xiàng)目管理中的信息安全 應(yīng)關(guān)注項(xiàng)目管理中的信息安全問(wèn)題,無(wú)論何種類型的項(xiàng)目。

A.8.3.1 移動(dòng)介質(zhì)的管理 應(yīng)按照組織采用的分級(jí)方案,實(shí)現(xiàn)移動(dòng)介質(zhì)管理規(guī)程。

A.8.3.2 介質(zhì)的處置 應(yīng)使用正式的規(guī)程安全地處置不再需要的介質(zhì)。

A.9.2.6 訪問(wèn)權(quán)的移除或調(diào)整 所有員工和外部用戶對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)在任用、合同或協(xié)議終止時(shí),應(yīng)予以移除,或在變更時(shí)予以調(diào)整。

A.11.1.4 外部和環(huán)境威脅的安全防護(hù) 應(yīng)設(shè)計(jì)和應(yīng)用物理保護(hù)以防自然災(zāi)害、惡意攻擊和意外。

A.11.2.7 設(shè)備的安全處置或再利用 包含儲(chǔ)存介質(zhì)的設(shè)備的所有部分應(yīng)進(jìn)行核查,以確保在處置或再利用之前,任何敏感信息和注冊(cè)軟件已被刪除或安全的重寫(xiě)。

A.11.2.9 清除桌面和清屏策略 應(yīng)針對(duì)紙質(zhì)和可移動(dòng)存儲(chǔ)介質(zhì),采取清理桌面策略;應(yīng)針對(duì)信息處理設(shè)施,采用清理屏幕策略。

A.12.3.1 信息備份 應(yīng)按照既定的備份策略,對(duì)信息、軟件和系統(tǒng)鏡像進(jìn)行備份,并定期測(cè)試。

A.12.4.3 管理員和操作員日志 系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志,并對(duì)日志進(jìn)行保護(hù)和定期評(píng)審。

A.12.4.4 時(shí)鐘同步 一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘,應(yīng)與單一一個(gè)基準(zhǔn)的時(shí)間源同步。

A.12.6.1 技術(shù)方面脆弱性的管理 應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息,評(píng)價(jià)組織對(duì)這些脆弱性的暴露狀況并采取適當(dāng)?shù)拇胧?yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。

A.13.1.3 網(wǎng)絡(luò)中的隔離 組織應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。

A.13.2.3 電子消息發(fā)送 應(yīng)適當(dāng)保護(hù)包含在電子消息發(fā)送中的信息。

A.17.1.3 驗(yàn)證、評(píng)審和評(píng)價(jià)信息安全連續(xù)性 組織應(yīng)定期驗(yàn)證已建立和實(shí)現(xiàn)的信息安全連續(xù)性控制,以確保這些控制在不利情況下是正當(dāng)和有效的。

4 結(jié) 語(yǔ)

ISMS能否有效落地,很大程度上決定了信息安全管理水平。如何建立相對(duì)可落地的ISMS,是貫穿安全管理崗工作的核心問(wèn)題。

建立并實(shí)施一個(gè)滿足標(biāo)準(zhǔn)要求的管理體系是受審核方的責(zé)任。認(rèn)證機(jī)構(gòu)的責(zé)任在于客觀、真實(shí)地評(píng)價(jià)管理體系滿足標(biāo)準(zhǔn)要求的程度,確保認(rèn)證結(jié)論的可靠性。受審核方應(yīng)當(dāng)按照ISMS標(biāo)準(zhǔn)中信息安全目標(biāo)、監(jiān)視、測(cè)量、分析和評(píng)價(jià),以及內(nèi)部審核和管理評(píng)審、改進(jìn)等標(biāo)準(zhǔn)條款,發(fā)現(xiàn)問(wèn)題并解決問(wèn)題,采取有效的措施避免問(wèn)題的再次發(fā)生。同時(shí),認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)經(jīng)常組織審核員交流審核體會(huì),總結(jié)推廣審核經(jīng)驗(yàn),規(guī)范審核流程,定期分析認(rèn)證中多年出現(xiàn)的不符合項(xiàng),從而提高認(rèn)證機(jī)構(gòu)審核員隊(duì)伍水平,統(tǒng)一審核要求,避免審核的“系統(tǒng)誤差”。另外,作為審核員,可以跟蹤前期審核過(guò)的組織,關(guān)注隨后審核出現(xiàn)的不符合項(xiàng),分析產(chǎn)生的原因。良好認(rèn)證審核案例評(píng)議交流活動(dòng)是基于實(shí)事求是、客觀、可信、可追溯的基本原則進(jìn)行的推薦和評(píng)選的過(guò)程,可以促進(jìn)認(rèn)證機(jī)構(gòu)之間的交流,促進(jìn)認(rèn)證機(jī)構(gòu)和審核員提高現(xiàn)場(chǎng)工作質(zhì)量,激勵(lì)他們持續(xù)提高認(rèn)證有效性,向社會(huì)宣傳、展示認(rèn)證審核活動(dòng)的良好例證。