信息安全管理體系審核與信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的整合實(shí)施初探

胡娟（公安部第三研究所） 謝宗曉（南開(kāi)大學(xué)商學(xué)院）

信息安全管理體系審核與信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的整合實(shí)施初探

胡娟（公安部第三研究所） 謝宗曉（南開(kāi)大學(xué)商學(xué)院）

專(zhuān)欄

信息安全管理系列之三

在信息安全合規(guī)性的實(shí)施路線（信息安全管理系列之一）中，我們提出最常見(jiàn)兩條途徑，即部署信息安全管理體系或信息系統(tǒng)安全等級(jí)保護(hù)，兩者雖各有側(cè)重，但許多單位兩者可能都需要部署，于是對(duì)審核/測(cè)評(píng)機(jī)構(gòu)而言，也要面臨整合問(wèn)題。本文拋開(kāi)政策性要求，從技術(shù)角度探討了信息安全管理體系審核和信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的可能性及其實(shí)施路徑。

謝宗曉（特約編輯）

在信息安全實(shí)踐中，許多企業(yè)既需要實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)，又需要部署信息安全管理體系，這兩者在諸多方面存在一致之處。本文對(duì)信息安全管理體系審核與信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)從過(guò)程到控制措施的整合進(jìn)行了初步的探討，以最大化地降低兩者的重復(fù)成本，提高組織的信息安全工作效率。

體系審核 等級(jí)測(cè)評(píng) 信息安全

審核是為獲得審核證據(jù)并對(duì)其進(jìn)行客觀評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)定、規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)不涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

信息安全管理體系（Information Security Management System, ISMS）審核與信息系統(tǒng)安全等級(jí)測(cè)評(píng)在實(shí)施中雖然存在諸多異同，但總體上來(lái)說(shuō)是以提高信息安全管理水平、降低信息安全風(fēng)險(xiǎn)為目標(biāo)，因此存在整合的可能和必要。本文在實(shí)踐的基礎(chǔ)上初步探討兩者整合實(shí)施的思路。

1 審核與測(cè)評(píng)的依據(jù)

1.1 信息安全管理體系審核依據(jù)的標(biāo)準(zhǔn)

信息安全管理體系審核依據(jù)GB/T 28450—2012《信息安全技術(shù) 信息安全管理體系審核指南》，該標(biāo)準(zhǔn)提供了ISMS審核方案、實(shí)施審核以及ISMS審核員應(yīng)具有能力方面的指南，該標(biāo)準(zhǔn)為有認(rèn)證資格的組織按照GB/T 22080—2008/ISO/IEC 27001: 2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》來(lái)審核企業(yè)的信息安全管理體系，適用于那些需要了解或?qū)嵤﹥?nèi)部或外部審核的人員。

ISO/IEC 27001: 2005是ISO/IEC 27000族標(biāo)準(zhǔn)的基礎(chǔ)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，標(biāo)準(zhǔn)正文描述了建立ISMS框架的過(guò)程，規(guī)范性附錄A給出了控制措施要求。

1.2 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)依據(jù)的標(biāo)準(zhǔn)

GB/T 28449—2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作的測(cè)評(píng)過(guò)程，既適用于測(cè)評(píng)機(jī)構(gòu)、信息系統(tǒng)的主管部門(mén)及運(yùn)營(yíng)使用單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)價(jià)，也適用于信息系統(tǒng)的運(yùn)營(yíng)使用單位在信息系統(tǒng)定級(jí)工作完成之后，對(duì)信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行的測(cè)試評(píng)價(jià)，獲取信息系統(tǒng)的全面保護(hù)需求。

GB/T 28448—2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》針對(duì)信息系統(tǒng)中的單項(xiàng)安全措施和多個(gè)安全措施的綜合防范，對(duì)應(yīng)地提出單元測(cè)評(píng)和整體測(cè)評(píng)的技術(shù)要求，用以指導(dǎo)測(cè)評(píng)人員從信息安全等級(jí)保護(hù)的角度對(duì)信息系統(tǒng)進(jìn)行測(cè)試評(píng)估。

GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，即基本安全要求，包括基本技術(shù)要求和基本管理要求，該標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護(hù)等級(jí)信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。

2 整合實(shí)施的思路

2.1 審核與測(cè)評(píng)的過(guò)程整合

整合是為了在組織內(nèi)部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統(tǒng)安全等級(jí)保護(hù)的管理要求，并給組織帶來(lái)收益，避免不必要的沖突和資源浪費(fèi)。

根據(jù)對(duì)審核和測(cè)評(píng)的過(guò)程分析得知審核從表面上執(zhí)行了測(cè)評(píng)的管理內(nèi)容，但從整個(gè)審核和測(cè)評(píng)活動(dòng)可得出，兩者的活動(dòng)內(nèi)容和組織方式非常相似，因此具備很強(qiáng)的整合條件，兩者的具體活動(dòng)如表1所示。

表1 審核與評(píng)價(jià)活動(dòng)對(duì)照

2.2 審核與測(cè)評(píng)的控制措施整合

整合GB/T 22239—2008中的控制措施部分與GB/T 22080—2008的附錄A完全可行，且整合后可避免多余、重復(fù)的管理資源。如GB/T 22239—2008三級(jí)信息系統(tǒng)對(duì)資產(chǎn)管理的要求和GB/T 22080—2008中的“A.7 資產(chǎn)管理”基本保持了一致，具體標(biāo)準(zhǔn)條款映射如表2 所示。

若組織內(nèi)存在等級(jí)保護(hù)三級(jí)或三級(jí)以上的信息系統(tǒng)，則該組織應(yīng)建立信息安全管理制度體系，這與組織單位建立ISMS所達(dá)到的目標(biāo)基本一樣。從整合的角度來(lái)看，通過(guò)實(shí)施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

表3 資產(chǎn)管理的整合檢查表示例

3 結(jié)語(yǔ)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)和信息安全管理體系審核，都是為實(shí)現(xiàn)和強(qiáng)化信息安全管理，做到分清責(zé)任機(jī)構(gòu)，確認(rèn)安全制度，預(yù)防和應(yīng)對(duì)可能發(fā)生或者已經(jīng)發(fā)生的信息系統(tǒng)管理問(wèn)題。因此隨著信息化工作的不斷發(fā)展，信息安全管理體系審核和信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)必將走上一條能夠融合的道路。

[1] GB/T 28450—2012 信息安全技術(shù) 信息安全管理體系審核指南

[2] GB/T 28449—2012 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

[3] 謝宗曉.《政府部門(mén)信息安全管理基本要求》理解與實(shí)施[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2014.

[4] 魏軍，謝宗曉. 信息安全管理體系審核指南[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

[5] GB/T 22080—2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求

[6] GB/T 22239—2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

[7] GB/T 28448—2012 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

Discussion of Integrating Management System Auditing and Classifi ed Protection Evaluation

Hu Juan ( The Third Research Institute of Ministry of Public Security )
Xie Zongxiao ( Business School, Nankai University )

There have a lot in common between Information Security Management System (ISMS) and Classified Protection of Information System (CPIS). We proposed a feasible way to combine management system auditing with classifi ed protection evaluation.

information security, Information Security Management System (ISMS), Classifi ed Protection of Information System (CPIS)