信息安全等級保護與信息安全管理體系的比較

李軍（內蒙古公安廳網絡安全保衛總隊）

謝宗曉（中國金融認證中心信息安全服務部）

本刊特約

信息安全等級保護與信息安全管理體系的比較

李軍（內蒙古公安廳網絡安全保衛總隊）

謝宗曉（中國金融認證中心信息安全服務部）

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文80多篇，出版專著近20本。

信息安全管理系列之三十一

在之前的系列文章[1]中,我們曾經指出國內企業信息安全合規性的實施路線主要包括部署信息安全等 級保護或者信息安全管理體系,有必要對兩者進行比較,以加強理解。

謝宗曉（特約編輯）

1 信息安全等級保護（CPIS）

信息安全等級保護，或者信息系統安全等級保護（簡稱等級保護），在公文中，一般是前者，但是在標準中，例如，最典型的 GB/T 22239—2008和 GB/T 22240—2008 用 的標題是后者。單就這 2 個標準而言的話，描述的對象卻是主要圍繞“信息系統安全”，而不是廣義的“信息安全”。當然，本質上來說，等級是針對“信息系統”劃分的，而不是針對“信息”劃分的。在實踐中，這兩者不需要刻意區分。等級保護具體的定義如下:

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信 息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息 安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

這個定義來自《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66 號1））在 http://xxzx.mca.gov.cn/article/zcwj/201212/20121200390103.shtml 可以查閱全文。）[2,3]。

注意信息系統的定義:

信息系統是指由計算機及其相關和配套的設備、設施構成的，按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡;信息是指在信息系統中存儲、傳輸、處理 的數字化信息。

信息系統的定義也來自《關于信息安全等級保護工作的實施意見》。更早的相關定義，應該來自GB 17859—1999， 其中的定義 3.1，定義了計算機信息系統（computer information system），具體為:

計算機信息系統是由計算機及其相關的和配套的設備、實施（含網絡）構成的，按照一 定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

這種人機系統的定義，在實踐中不容易理解，但是最接近學術中的最初理解，例如， Davis（2000）[4]認為信息系統包括信息技術設施、數據、應用系統和人員（information technology infrastructure， data，application systems， and personnel that employ IT to...）

2 信息安全管理體系（ISMS）

原則上說，信息安全管理體系（簡稱 ISMS）并不是一個專用術語，在較早版本的 標準中2）） 較早版本指的是還沒成為國際標準的時候，就有 ISMS 的定義了，當時為 BS 7799-2。對其進行了定義3））所有的定義后來被統一放到了 ISO/IEC 27000 中，最新版本為 2016 版，其中定義為:信息安全管理體系 （ISMS）基于業務風險方法，建立、實施、運行、監視、評審、保持和改進信息安全的體系，是一個組織 整個管理體系的一部分。，滿足其中描述條件的應該都是ISMS[5,6]。但實際情況是，由于這 個術語起源于 ISO/ IEC 27002 和 ISO/IEC 27001 的早期版本，屬于新生出來的一個詞匯，其 他文獻中，就很少見到。所以在實踐中，ISMS 幾乎成了一個專用術語。這如同，一提“質 量管理體系（QMS4））QMS，Quality Management System，質量管理體系。）”，大家就認為是 ISO 9000 標準族道理是一樣的。因為某種產品過于普 及，就成為某類行為的代名詞，這是很常見的現象。例如，你把快遞地址微信給我，或者， 回頭我把文件QQ給你。 由于ISO/IEC27000標準族在全球范圍內實施廣泛，在實踐中， 就會有此類對話，例如:我們在做 27001，意思是說，我們在部署 ISMS，或者說，我們在 根據 ISO/IEC 27001 部署信息安全。

換個說法， ISMS 是一整套的保障組織信息安全的方案(或方法)，是組織管理體系的 一部分，定義和指導ISMS的標準是ISO/IEC 27000標準族，而這其中，ISO/IEC 27002和 ISO/IEC 27001 是最重要也是出現最早的 2 個標準。由于這個原因，導致這一堆詞匯在實踐 中開始混用，而不必刻意地去區分。因此，在下文中，這幾個詞匯都認為是同義詞：

· 信息安全管理體系（ISMS）；

· ISO/IEC 27000標準族；

· ISO/IEC 27002或ISO/IEC27001視上下文，也可能是指代ISMS。

3 邏輯框架及實施流程的比較

等級保護是強制實施的，建立在一系列國家公文、一個強制性標準以及諸多推薦性標準的基礎之上。ISMS 則是建立在國際互認基礎上的推薦性的標準5），這導致兩者在框架上存在很 大的區別。兩者的框架對比，如圖1 所示。

或者說，對于 ISMS 來說，“組織（或企業）自己負責正確的應用6））這句來自 ISO/IEC 27001：2005，原文描述為 Users are responsible for its correct application，但是在 ISO/IEC 27001：2013 中已經被刪除了。”，目的是保護組織（或企業）自身的利益，（如果申請第三方認證）同時向其他人證明組織有良好的信息安全 管理水準。對于等級保護而言，則是國家監管機構負責企業（或組織）正確的應用，主要目 的是為了保護國家和公眾利益。

圖1 ISMS 與等級保護的邏輯框架及實施流程對比

4 對“控制措施”理解的比較

等級保護的相關支持文件主要包括政府公文和國家標準，也可以稱為“政策體系”和“標 準體系”[2]。以一系列的公文作為依據，是等級保護的一個特點，倒不是因為 ISMS 缺乏國 家監管，而是因為 ISMS 的監管與其他管理體系（例如，ISO 9000和 ISO 14000 等）基本一 致，整個的架構設計倒顯得沒那么重要。等級保護是一個全新的設計，因此整個管理架構就顯得非常重要，例如，《信息安全等級保護管理辦法》（公安部〔2007〕43 號）就是一個非常重要的公文，從國家層面確立了等級劃分與保護、等級保護實施與管理以及可能涉及的分級保護管理等整個管理架構。

但是，就這兩者的框架而言，還存在一個不同，即如何理解“控制措施”7））控制措施，在此處指 control，該詞匯在 GB/T 22080—2016/ISO/IEC 27001：2013中被翻譯為“控制”，“控制措施”是 GB/T 22080—2008/ISO/ IEC 27001：2005 中的翻譯。。簡而言之，等級保護部署“控制措施”為中心, ISMS 部署是以“控制目標”8））控制目標，指的是 objective。這兩個詞匯我們標識了英文，是為了將等級保護與 ISMS 進行對比。為中心。

這僅僅是一個描述方式的區別，嚴格講，等級保護也是以控制目標為中心，雖然沒有非 常明確。因為所有的控制措施，最終還是為了實現安全目標。但這兩者還是不同的，在等級 保護中，一旦信息系統的等級被確定，控制措施都是確定的，同時也要注意，等級本身已經 隱含了信息系統的控制目標。對于 ISMS 而言，由于是自愿部署，組織自己負責識別安全要 求，自己設定控制目標，之后自愿部署控制措施。

通俗地講，等級保護中，是組織和監管機構共同確定（是組織確定，之后提交監管機構確認）信息系統等級（其中隱含著控制目標），然后按要求部署。在 ISMS 中，是組織自己確定控制目標，然后按照要求部署，是一個自圓其說的邏輯。在下文中，我們討論定級備案 等過程，兩者的區別就很清晰了。

當然，無論是等級保護還是 ISMS，“控制”都是其核心內容之一，在等級保護中表現為 GB/T 22239—2008，在 ISMS 中表現為 ISO/IEC 27002：2013。

在 GB/T 22239—2008 中，針對不同安全保護等級應該具有的基本安全保護能力，提出基 本安全要求。標準的架構，如圖2 所示。

圖2 GB/T 22239—2008的架構

在基本要求的基礎上，自上而下又分為：類、控制點和控制項[7]。在圖2 的 10 個大類中，每個大類下面分為一系列的關鍵控制點，控制點下又包括了具體的控制項。本文中不再討論具體條款，具體可以見參考文獻[8]。

在 ISO/IEC 27002：2013 中，并不區分技術要求或管理要求，或者說，不關心實現途徑。 其中控制的描述結構，自上而下又分為：類、目標和控制。具體而言，就是包含了如表1 所示，ISO/IEC 27002：2013 描述了14 個大類，這些大類又細化為35 個目標，接著由114 項 控制來實現相應的目標。

表1 ISO/IEC 27002：2013 中控制的描述結構

具體到每一個主要安全控制類和控制的描述結構，參考 ISO/IEC 27002:2013 中的描述， 如下所述:

每一個主要安全控制類別包括11））引用自GB/T 22081—2016/ISO/IEC 27002：2013中的4.2。：

a）一個控制目標，聲明要實現什么;

b）一個或多個控制，可被用于實現該控制目標。

控制的描述結構如下：

控制

為滿足控制目標，給出定義特定控制的陳述。實現指南

為支持該控制的實現并滿足控制目標，提供更詳細的信息。該指南可能不能完全適用或不足以在所有情況下適用，也可能不能滿足組織的特定控制要求。

其他信息

提供需要考慮的進一步的信息，例如法律方面的考慮和對其他標準的參考。如無其他信 息，本項將不給出。

關于 ISO/IEC 27002：2013，可見參考文獻[9]和[10]。

5 小結

本文中重點從邏輯框架、部署流程和控制措施理解的角度對等級保護與 ISMS 進行了比 較，當然，這兩者還存在諸多其他區別，例如，等級保護的部署起點是“定級與備案”，ISMS 的部署起點是“風險評估”。在后續的文章中，我們會陸續介紹。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1]謝宗曉. 信息安全合規性的實施路線探討[J]. 中國標準導報，2015（02）：24-26.

[2]郭啟全，等. 信息安全等級保護政策培訓教程(2016版) [M]. 北京：電子工業出版社，2016.

[3]林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015.

[4]Davis G B. Information Systems Conceptual Foundations: Looking Backward and Forward [C] // Organizational and Social Perspectives on Information Technology, Boston: Springer, 2000：61-82.

[5]ISO/IEC 27000：2016 Information technology—Security techniques—Information security management systems—Overview and vocabulary [S].

[6]謝宗曉，王靜漪. ISO/IEC 27001與ISO/IEC 27002標準的演變[J]. 中國標準導報，2015（07）：48-52.

[7]陸寶華. 信息安全等級保護等級基本要求培訓教程[M] .北京：電子工業出版社，2010.

[8]謝宗曉. 政府部門信息安全管理基本要求理解與實施[M].北京：中國標準出版社，2014.

[9]謝宗曉. 信息安全管理體系實施指南（第2版）[M]. 北京：中國標準出版社，2017.

[10]謝宗曉. 信息安全管理體系實施案例（第2版）[M]. 北京：中國標準出版社，2017.

Comparison of CPIS and ISMS

Li Jun ( Inner Mongolia Autonomous Region Public Security )
Xie Zongxiao ( China Financial Certification Authority, CFCA )

在分析信息系統安全等級保護和信息安全管理體系定義的基礎上，從邏輯框 架、實施流程和控制措施理解的角度對兩者進行了對比。

信息安全 等級保護 信息安全管理體系

Based on the analysis of definition of classified protection of information system (CPIS) and information security management system (ISMS), from the logical framework, the implementation of processes and controls, we compared both.

information Security, CPIS, ISMS