信息安全合規(guī)性的實施路線范文
本站小編為你精心準(zhǔn)備了信息安全合規(guī)性的實施路線參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
《中國標(biāo)準(zhǔn)導(dǎo)報雜志》2015年第四期
一、合規(guī)性與有效性
內(nèi)部合規(guī)的程度(即制度的落地)不太容易判斷,但是外部合規(guī)的程度(即內(nèi)外制度一致性)卻可以一目了然,因此,監(jiān)管部門也會產(chǎn)生“判斷捷徑”,于是和個體行為的邏輯一致,組織也會選擇更省事的合規(guī)性部署方式,重外部合規(guī),輕內(nèi)部合規(guī)。這樣的部署方式會嚴(yán)重的損害文件的有效性,在現(xiàn)行的監(jiān)管制度中已經(jīng)表現(xiàn)的非常明顯。在所有的制度設(shè)計中,前提都應(yīng)該是人是自利的。如果失去這個前提,制度就完全沒有存在的必要了。所以有效性不能依靠執(zhí)行者的自覺,而應(yīng)該靠體系化的手段去解決。在這個層面講,有效性是合規(guī)性的更高要求。但是,有效性如同人的能力一樣,很難直接測量,沒人有覺得自己能力低下,如果沒有客觀的判斷依據(jù),“要讓有能力的人脫穎而出”其實是一句空話。
截至2014年9月,我國已經(jīng)正式公布了216項信息安全國家標(biāo)準(zhǔn)(包含1項強制標(biāo)準(zhǔn)),12項行政法規(guī),17項部門規(guī)章,30項其他國家部委公文。面對這么多的規(guī)范性文件,組織的信息安全合規(guī)性也變得越來越復(fù)雜。經(jīng)過梳理,這其中真正獨成體系的信息安全實施路線實際就有兩個標(biāo)準(zhǔn)族:1)信息安全管理體系(InformationSecurityManagementSystem,ISMS)標(biāo)準(zhǔn)族,其中標(biāo)準(zhǔn)多等同或修改采用ISO/IEC27000標(biāo)準(zhǔn)族;2)信息系統(tǒng)安全等級保護標(biāo)準(zhǔn)族。
(一)信息安全管理體系(ISMS)ISMS包括了ISO/IEC27000至ISO/IEC27059的60個標(biāo)準(zhǔn),不但給出了“建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的”“基于業(yè)務(wù)風(fēng)險(的)方法”,而且還給出了要求、實用規(guī)則、第三方認(rèn)證審核指南以及相關(guān)安全域的具體指南等,第三方認(rèn)證機構(gòu)的存在為信息安全管理有效性提供了客觀的評價數(shù)據(jù)。新版的ISO/IEC27001:2013雖然不再借用Plan-Do-Check-Act框架,但是修改后的框架本質(zhì)還是PDCA。此外,ISO/IEC27003:2010《信息技術(shù)安全技術(shù)信息安全管理體系應(yīng)用指南》,有比較詳盡的部署過程描述。目前已經(jīng)的相關(guān)國家標(biāo)準(zhǔn)主要包括:GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》(ISO/IEC27000:2009,IDT)GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》(ISO/IEC27001:2005,IDT)GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》(ISO/IEC27002:2005,IDT)GB/T25067—2010《信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機構(gòu)的要求》(ISO/IEC27006,MOD)GB/T28450—2012《信息安全技術(shù)信息安全管理體系審核指南》(ISO/IEC27007,MOD)
(二)信息系統(tǒng)安全等級保護信息系統(tǒng)安全等級保護是以GB17859—199(9強制標(biāo)準(zhǔn))為基礎(chǔ)的一系列標(biāo)準(zhǔn)族,《關(guān)于信息安全等級保護工作的實施意見》公通字[2004]66描述其應(yīng)用范圍主要為國家重點保護涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng),主要包括:國家事務(wù)處理信息系統(tǒng)(黨政機關(guān)辦公系統(tǒng));財政、金融、稅務(wù)、海關(guān)、審計、工商、社會保障、能源、交通運輸、國防工業(yè)等關(guān)系到國計民生的信息系統(tǒng);教育、國家科研等單位的信息系統(tǒng);公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信息系統(tǒng);網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。ISMS的安全需求是組織自己識別的,然后按照相關(guān)的標(biāo)準(zhǔn)去部署,審核主要是為了確認(rèn)組織自圓其說的ISMS。等級保護雖然也是自主定級,但是須經(jīng)主管部門確認(rèn),實施和測評都是根據(jù)定級進行的。目前已經(jīng)的信息系統(tǒng)安全等級保護標(biāo)準(zhǔn)特別多,最相關(guān)的有:GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GB/T22240—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》GB/T25058—2010《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》GB/T28448—2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》GB/T28449—2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》
(三)ISMS與等級保護的整合實施許多組織可能同時要滿足ISMS和信息系統(tǒng)安全等級保護的要求,或者更多的監(jiān)管文件,這意味著需要整合實施。首先,如果將所有的控制措施拆散,ISMS與信息系統(tǒng)安全等級保護并無本質(zhì)的區(qū)別,這意味著在控制措施級別的整合是無障礙的。其次,對框架來說,ISMS的框架更為經(jīng)典,建議在實施的過程中采用PDCA循環(huán)。
三、結(jié)語
無論是采用信息安全安全管理體系(ISMS)還是信息系統(tǒng)安全等級保護,或者整合實施,都能夠滿足絕大部分的信息安全監(jiān)管要求。通過滿足信息安全的合規(guī)性,真正達到信息安全管理的有效性,這才是最重要的目的。此外,除這兩個標(biāo)準(zhǔn)族,我們也推薦考慮NIST(NationalInstituteofStandardandTechnology,NIST)的RMF(RiskManagementFramework,RMF)框架,雖然這超出了合規(guī)性本身的含義,但是就其體系設(shè)計的有效性而言,具有很大的借鑒意義。
作者:謝宗曉 單位:南開大學(xué)商學(xué)院
