信息安全合規(guī)性的實(shí)施路線探討

謝宗曉（南開大學(xué)商學(xué)院）

信息安全合規(guī)性的實(shí)施路線探討

謝宗曉（南開大學(xué)商學(xué)院）

本文在分析現(xiàn)有規(guī)范性文件的基礎(chǔ)上，探討了信息安全合規(guī)性的實(shí)施路線，主要給出了信息安全管理體系或/和信息系統(tǒng)安全等級(jí)保護(hù)兩條比較可行的思路。

信息安全 信息安全管理體系 信息系統(tǒng)安全等級(jí)保護(hù)

專欄

信息安全管理系列之一

內(nèi)外合規(guī)是組織在部署信息安全時(shí)須面對(duì)的問(wèn)題，如何既能滿足政府的監(jiān)管要求，又能切實(shí)有效的提升組織的管理能力？面對(duì)眾多的規(guī)范性文件，組織通常會(huì)陷入無(wú)所適從的境地，下文從應(yīng)用信息安全管理體系或/和信息系統(tǒng)安全等級(jí)保護(hù)的角度探討了合規(guī)性問(wèn)題。

謝宗曉（特約編輯）

原則上講，信息安全是信息化發(fā)展到一定階段的必然產(chǎn)物，是一種自然而然的需求。但是與個(gè)體需求理論不同之處在于，信息安全的部署主體與受害的客體往往是不一致的。這種情形廣泛的發(fā)生在諸多領(lǐng)域，例如，銀行泄露了用戶的隱私，直接損害的是用戶的利益，而不是銀行所有者，對(duì)銀行而言，保障安全需要付出額外的費(fèi)用，對(duì)于用戶而言，卻只能將隱私信息交給銀行，自身并沒(méi)有保護(hù)能力。一旦出現(xiàn)這種不對(duì)稱的情形，政府就需要對(duì)企業(yè)進(jìn)行監(jiān)管，這時(shí)政府代表的是公眾或弱勢(shì)群體的利益。有了政府的監(jiān)管，就出現(xiàn)了企業(yè)的信息安全合規(guī)性。

實(shí)際上，在國(guó)內(nèi)，政府監(jiān)管是信息安全的主要推動(dòng)力量之一，作為合法性的一部分，內(nèi)外合規(guī)成為組織須首要面對(duì)的問(wèn)題。如何既能滿足政府的監(jiān)管要求，又能切實(shí)有效的提升組織的管理能力？本文從信息安全管理體系或/和信息系統(tǒng)安全等級(jí)保護(hù)這兩個(gè)標(biāo)準(zhǔn)族的角度探討了這一問(wèn)題。

一、合規(guī)性、合法性和有效性

（一）合規(guī)性與合法性

早期的制度學(xué)家已經(jīng)指出，組織之所以能夠長(zhǎng)期生存，最重要的就是要獲取合法性。合法性是個(gè)很廣泛的概念，不但包括了法律、法規(guī)等正式制度，也包括社會(huì)習(xí)俗等隱性制度。合規(guī)性的概念則要狹窄很多，一般更關(guān)注正式制度的符合性，在國(guó)內(nèi)也常被稱為“內(nèi)外合規(guī)”。

我們將合規(guī)性一般定義為兩個(gè)層次：

1）外部合規(guī)，外部合規(guī)是指企業(yè)的內(nèi)部制度與外部監(jiān)管制度的符合程度，可以認(rèn)為是制度對(duì)制度的映射。企業(yè)作為一個(gè)實(shí)體，本身是有制度的，這些制度首先要保證與外部監(jiān)管制度保持一致性，不能有沖突。這個(gè)邏輯只是將法律體系延伸至更微觀的領(lǐng)域，各個(gè)省/自治區(qū)也有地方立法權(quán)，但是這些法律不能與國(guó)家立法沖突。

2）內(nèi)部合規(guī)，內(nèi)部合規(guī)是指企業(yè)內(nèi)部制度的執(zhí)行情況，關(guān)注的是行為，而不再停留在制度層面。與外部合規(guī)相對(duì)應(yīng)的是，內(nèi)部合規(guī)是制度到具體行為的映射。

顯然，內(nèi)外合規(guī)的定義與管理體系的兩階段審核是一一對(duì)應(yīng)的，如表1所示。

表1 內(nèi)外合規(guī)與管理體系審核的對(duì)應(yīng)

（二）合規(guī)性與有效性

內(nèi)部合規(guī)的程度（即制度的落地）不太容易判斷，但是外部合規(guī)的程度（即內(nèi)外制度一致性）卻可以一目了然，因此，監(jiān)管部門也會(huì)產(chǎn)生“判斷捷徑”，于是和個(gè)體行為的邏輯一致，組織也會(huì)選擇更省事的合規(guī)性部署方式，重外部合規(guī)，輕內(nèi)部合規(guī)。這樣的部署方式會(huì)嚴(yán)重的損害文件的有效性，在現(xiàn)行的監(jiān)管制度中已經(jīng)表現(xiàn)的非常明顯。

在所有的制度設(shè)計(jì)中，前提都應(yīng)該是人是自利的。如果失去這個(gè)前提，制度就完全沒(méi)有存在的必要了。所以有效性不能依靠執(zhí)行者的自覺(jué)，而應(yīng)該靠體系化的手段去解決。在這個(gè)層面講，有效性是合規(guī)性的更高要求。但是，有效性如同人的能力一樣，很難直接測(cè)量，沒(méi)人有覺(jué)得自己能力低下，如果沒(méi)有客觀的判斷依據(jù)，“要讓有能力的人脫穎而出”其實(shí)是一句空話。

二、合規(guī)性的實(shí)施路線

截至2014年9月，我國(guó)已經(jīng)正式公布了216項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)（包含1項(xiàng)強(qiáng)制標(biāo)準(zhǔn)），12項(xiàng)行政法規(guī)，17項(xiàng)部門規(guī)章，30項(xiàng)其他國(guó)家部委公文。面對(duì)這么多的規(guī)范性文件，組織的信息安全合規(guī)性也變得越來(lái)越復(fù)雜。

經(jīng)過(guò)梳理，這其中真正獨(dú)成體系的信息安全實(shí)施路線實(shí)際就有兩個(gè)標(biāo)準(zhǔn)族：1）信息安全管理體系（Information Security Management System, ISMS）標(biāo)準(zhǔn)族，其中標(biāo)準(zhǔn)多等同或修改采用ISO/IEC27000標(biāo)準(zhǔn)族；2）信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)族。

（一）信息安全管理體系（ISMS）

ISMS包括了ISO/IEC 27000至ISO/IEC 27059的60個(gè)標(biāo)準(zhǔn)，不但給出了“建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的”“基于業(yè)務(wù)風(fēng)險(xiǎn)（的）方法”，而且還給出了要求、實(shí)用規(guī)則、第三方認(rèn)證審核指南以及相關(guān)安全域的具體指南等，第三方認(rèn)證機(jī)構(gòu)的存在為信息安全管理有效性提供了客觀的評(píng)價(jià)數(shù)據(jù)。

新版的ISO/IEC 27001:2013雖然不再借用Plan-Do-Check-Act框架，但是修改后的框架本質(zhì)還是PDCA。此外，ISO/IEC 27003:2010《信息技術(shù)安全技術(shù) 信息安全管理體系 應(yīng)用指南》，有比較詳盡的部署過(guò)程描述。

目前已經(jīng)發(fā)布的相關(guān)國(guó)家標(biāo)準(zhǔn)主要包括：

● GB/T 29246—2012《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》（ISO/IEC 27000: 2009，IDT）

● GB/T 22080—2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（ISO/IEC 27001: 2005，IDT）

● GB/T 22081—2008《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》（ISO/IEC 27002: 2005，IDT）

● GB/T 25067—2010《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》（ISO/IEC 27006， MOD）

● GB/T 28450—2012《信息安全技術(shù) 信息安全管理體系審核指南》（ISO/IEC 27007，MOD）

（二）信息系統(tǒng)安全等級(jí)保護(hù)

信息系統(tǒng)安全等級(jí)保護(hù)是以GB 17859—1999（強(qiáng)制標(biāo)準(zhǔn)）為基礎(chǔ)的一系列標(biāo)準(zhǔn)族，《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字[2004]66描述其應(yīng)用范圍主要為國(guó)家重點(diǎn)保護(hù)涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，主要包括：國(guó)家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；財(cái)政、金融、稅務(wù)、海關(guān)、審計(jì)、工商、社會(huì)保障、能源、交通運(yùn)輸、國(guó)防工業(yè)等關(guān)系到國(guó)計(jì)民生的信息系統(tǒng)；教育、國(guó)家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。

ISMS的安全需求是組織自己識(shí)別的，然后按照相關(guān)的標(biāo)準(zhǔn)去部署，審核主要是為了確認(rèn)組織自圓其說(shuō)的ISMS。等級(jí)保護(hù)雖然也是自主定級(jí)，但是須經(jīng)主管部門確認(rèn)，實(shí)施和測(cè)評(píng)都是根據(jù)定級(jí)進(jìn)行的。

目前已經(jīng)發(fā)布的信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)特別多，最相關(guān)的有：

● GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

● GB/T 22240—2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》

● GB/T 25058—2010《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

● GB/T 28448—2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》

● GB/T 28449—2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù) 測(cè)評(píng)過(guò)程指南》

（三）ISMS與等級(jí)保護(hù)的整合實(shí)施

許多組織可能同時(shí)要滿足ISMS和信息系統(tǒng)安全等級(jí)保護(hù)的要求，或者更多的監(jiān)管文件，這意味著需要整合實(shí)施。首先，如果將所有的控制措施拆散，ISMS與信息系統(tǒng)安全等級(jí)保護(hù)并無(wú)本質(zhì)的區(qū)別，這意味著在控制措施級(jí)別的整合是無(wú)障礙的。其次，對(duì)框架來(lái)說(shuō)，ISMS的框架更為經(jīng)典，建議在實(shí)施的過(guò)程中采用PDCA循環(huán)，示例如圖1。

圖1 整合實(shí)施

三、結(jié)語(yǔ)

無(wú)論是采用信息安全安全管理體系（ISMS）還是信息系統(tǒng)安全等級(jí)保護(hù)，或者整合實(shí)施，都能夠滿足絕大部分的信息安全監(jiān)管要求。通過(guò)滿足信息安全的合規(guī)性，真正達(dá)到信息安全管理的有效性，這才是最重要的目的。

此外，除這兩個(gè)標(biāo)準(zhǔn)族，我們也推薦考慮NIST（National Institute of Standard and Technology, NIST）的RMF（Risk Management Framework, RMF）框架，雖然這超出了合規(guī)性本身的含義，但是就其體系設(shè)計(jì)的有效性而言，具有很大的借鑒意義。

[1] 謝宗曉. 《政府部門信息安全管理基本要求》理解與實(shí)施[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2014.

[2] 林潤(rùn)輝，等. 信息安全管理 理論與實(shí)踐[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2015.

[3] 謝宗曉，劉斌. ISO/IEC27001與等級(jí)保護(hù)的整合應(yīng)用指南[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2015.

[4] http://csrc.nist.gov/，NIST 計(jì)算機(jī)安全資料中心.

Discuss of Information Security External and Internal Conformity

Xie Zong-xiao ( Business School, Nankai University )

Analyzed existing normative documents, this study discuss of information security external and internal conformity. We have mainly proposed two feasible way including Information Security Management System (ISMS) and/or Classif ed Protection of Information System (CPIS).

information security, Information Security Management System (ISMS), Classi f ed Protection of Information System (CPIS)