基于CIL的信息安全合規性路徑探討

陳磊（內蒙古公安廳）

謝宗曉（中國金融認證中心）

本刊特約

基于CIL的信息安全合規性路徑探討

陳磊（內蒙古公安廳）

謝宗曉（中國金融認證中心）

本文提出了一種控制索引目錄（CIL）的信息安全合規性滿足方法，同時，對于合規性、合法性和符合性等幾個詞匯進行了辨析。

控制索引目錄 信息安全 合規性

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文80多篇，出版專著近20本。

信息安全管理系列之三十三

政府監管機構對于各類組織的信息安全存在著諸多監管，因此組織面臨了滿足合規性的壓力。在之前的討論中，我們指出信息安全等級保護和信息安全管理體系是國內組織采納最多的兩種實踐，采納哪一種是“組織的一項戰略性決策”1）GB/T 22080—2016 / ISO/IEC 27001：2013，引言中指出：采用信息安全管理體系是組織的一項戰略性決策（The adoption of an information security management system is a strategic decision for an organization）。，但是如何采納（并部署），則是另一個層次的問題。下文中討論的就是具體部署方法。

謝宗曉（特約編輯）

1 合規性及其相似的幾個詞匯

合規性、合法性和符合性這幾個詞匯既存在相似之處，又具有一定的差別。

合規性在信息安全實踐中常被稱為“內外合規”。一般認為，內外合規是中文的習慣用法，應該是“合乎法律法規”的縮略語，從這個意義上講，接近于legality（合乎法律性），大約legality是一個法律術語，更要強調的是給定司法權（a given jurisdiction）框架內的判斷[1]。至少我們閱讀的組織研究文獻中，幾乎沒有發現legality這個詞匯出現。

在討論組織問題的時候，多用compliance，例如，GB/T 22080—2008/ISO/IEC 27001：2005中，“重要提示：……符合標準本身并不獲得法律責任的豁免（compliance with an International Standard does not in itself confer immunity from legal obligations）。”compliance更強調客體的表現。在個體行為方面，compliance用得更多，例如，信息安全策略遵守（Information Security Policy Compliance，ISPC），ISPC是“行為信息安全研究（Behavioral InfoSec Research）”領域的重要研究方向。

合法性（legitimacy）是一個廣義詞匯，在翻譯的過程中，存在諸多歧義。legitimacy的原意是嫡傳的，在政治體系中，嫡傳就是最大的正當性[1]。更準確的翻譯，例如，劉毅將legality翻譯為“合法性”，legitimacy翻譯為“正當性”[2]。更多的情況下，legality 更多地被翻譯為“合乎法律性”，可能是因為之前legitimacy 被翻譯為“合法性”了。

符合性（conformity或conformance）詞匯經常出現在信息安全認證領域中，例如，GB/T 22080—2008/ISO/IEC 27001：2005，引言，本標準可被內部和外部相關方用于一致性（符合性）評估（This International Standard can be used in order to assess conformance by interested internal and external parties）。又如，GB/T 22080—2008/ISO/IEC 27001：2005中1.2，聲稱符合本標準（claims of conformity to this International Standard）。

這幾個詞匯總結如表1所示。

表1 合規性及其相似詞匯

2 信息安全制度化的概念

Basie von Solms認為制度浪潮（the institutional wave）是信息安全的一個發展階段[3]，在這個階段中，涌現出了以ISO/IEC 27000標準族（或信息安全管理體系）為代表的“最佳實踐”。嚴格意義上講，信息安全管理體系（Information Security Management System）是基于“控制目標”，并不糾纏于具體的控制依靠技術還是管理實現。

但是鑒于ISO/IEC 27002：2005標題中指明該標準的類型是Code of practice for…2）GB/T 1.1—2009中3.2 規程（code of practice），為設備、構件或產品的設計、制造、安裝、維護或使用而推薦慣例或程序的文件[GB/T 20000.1—2002，定義2.3.5]。其中將code of practice 直接翻譯為規程，也就是說，ISO/IEC 27002：2005 Code of practice for information security controls本質上還是關于文件化的，而不是關于技術產品的。如果按照GB/T 1.1—2009的翻譯的話，ISO/IEC 27002：2005中文標題應該為“信息安全控制規程”。，也就是說，還是偏重“規程”，即使是技術實現，也重點要考慮其中的策略（policy）。因此，這必須考慮制度化（institutionalization）。

信息安全制度化就是關于信息安全方面的策略設計與實現。在某種程度上而言，制度化與合法化是同義詞[4]，例如按照ISO/IEC 27001的要求部署過程，本身就滿足了該標準的合規性，而在這個過程當中，同時也強調符合性。

3 控制索引目錄（CIL）

在GB/T 22080—2008/ISO/IEC 27001：2005中規定了一個規范性描述文件，適用性聲明（Statement of Applicability，SoA），SoA實際是一個GB/T 22080—2008/ISO/IEC 27001：2005與組織信息安全控制的索引表格，如圖1所示。

圖1 SoA示意圖

這個問題的解決，借鑒FDCC（Federal Desktop Core Configuration，美國聯邦政府桌面核心配置）的 思 想[5]。FDCC 是 基 于 SCAP（Security Content Automation Protocol，安全內容自動化協議）的一項實際應用。SCAP是標準化安全軟件產品缺陷與安全信息配置信息的格式與命名的一套規范。

根據FDCC/SCAP的思想，通俗地講，按照既定的格式和命名規則，對現有的信息安全控制措施進行編號、命名，做成統一的控制索引目錄（Control Index List，CIL），然后對監管要求文件做同樣的工作，最后與監管要求文件進行映射，產生完整的SoA。圖1在加入上述過程后，如圖2所示。

圖2 信息安全合規性部署過程示意圖

無論采納形如信息安全等級保護還是信息安全管理體系的“最佳實踐”，一旦到具體的信息安全控制，差異并不大，例如，ISO/IEC 27002：2013，GB/T 22239—2008 或 NIST SP800-53 Rev. 4[6，7]。

CIL的基本原理就是基于信息安全控制的同質性，類似于堆積木一樣。

CIL的具體步驟如下：（1）識別組織已經部署的信息安全控制，并按照既定的規則做成組織的信息安全控制目錄；（2）識別組織的合規性要求，這其中可能包括了諸多政府的規制文件，以及各種相關的標準，按照同樣的邏輯對其進行分解；（3）將現有的安全控制進行目錄與特定監管文件或標準的控制目錄進行比對，從而確定現有的不足。一旦形成基本的CIL，再有新的監管要求，一般不會區別太大，從而使組織的部署最大化地避免重復性勞動。

4 小結

本文首先對于合規性及其幾個詞匯進行了辨析，其中包括合法性、合乎法律性、符合性和一致性等，然后給出了基于控制索引目錄（CIL）的合規性方法，使用CIL方法的主要目的是降低組織滿足信息安全合規性的工作量。

[1]趙孟營. 組織合法性:在組織理性與事實的社會組織之間[J]. 北京師范大學學報（社會科學版），2005（02）：119–125.

[2]大衛·戴岑豪斯. 合法性與正當性:魏瑪時代的施米特、凱爾森與海勒[M]. 劉毅，譯. 北京：商務印書館，2013.

[3]Basie von Solms. Information security—the third wave?[J] Computer& Security，2000（19）：615-620.

[4]謝宗曉，林潤輝. 信息安全制度化3I模型[J]. 中國標準導報，2016（06）：30-33.

[5]謝宗曉. 政府部門信息安全管理基本要求理解與實施[M].北京：中國質檢出版社/中國標準出版社，2014.

[6]謝宗曉. 信息安全管理體系實施指南（第二版）[M].北京：中國質檢出版社/中國標準出版社，2017.

[7]謝宗曉，甄杰，董坤祥，等. 網絡空間安全管理[M].北京：中國質檢出版社/中國標準出版社，2017.

（注：本文僅做學術探討，與作者所在單位觀點無關）

Information Security Compliance Based on CIL

Chen Lei ( Inner Mongolia Autonomous Region Public Security Department )
Xie Zongxiao ( China Financial Certi fi cation Authority )

We propose a deployment method named Control Index List (CIL) to meet information security compliance,and analysis of several words, including compliance, legitimacy and conformity/conformance etc.

Control Index List (CIL), information security, compliance