信息安全管理是目前信息安全領(lǐng)域里最熱門的話題之一，而作為指導(dǎo)和規(guī)范信息安全管理的標(biāo)準(zhǔn)更是重中之重，因?yàn)榈脴?biāo)準(zhǔn)者得“天下”。在信息安全管理領(lǐng)域里，由于標(biāo)準(zhǔn)眾多，對于標(biāo)準(zhǔn)的爭論從未停息過。本文介紹了安全管理中的“熱門”標(biāo)準(zhǔn)。

        信息安全管理是目前信息安全領(lǐng)域里最熱門的話題之一，而作為指導(dǎo)和規(guī)范信息安全管理的標(biāo)準(zhǔn)更是重中之重，因?yàn)榈脴?biāo)準(zhǔn)者得“天下”。

        在信息安全管理領(lǐng)域里，由于標(biāo)準(zhǔn)眾多，對于標(biāo)準(zhǔn)的爭論從未停息過。

         國際上，有ISO/IEC的國際標(biāo)準(zhǔn)17799、13335;西方國家，有美國國家標(biāo)準(zhǔn)和技術(shù)委員會(NIST)的特別出版物系列、英國標(biāo)準(zhǔn)協(xié)會(BSI)的7799系列;在我國，有風(fēng)險(xiǎn)管理、災(zāi)難恢復(fù)的國家政策。

        同信息安全管理交叉的ITIL、同信息系統(tǒng)審計(jì)相關(guān)的薩班斯404條款與控制目標(biāo)(CoBIT)，以及信息安全管理系統(tǒng)、風(fēng)險(xiǎn)管理、業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)等方面的國際、國家、組織機(jī)構(gòu)和企業(yè)的信息安全管理標(biāo)準(zhǔn)，都已經(jīng)成為信息安全界耳熟能詳?shù)臒衢T詞匯。

        安全管理中的“熱門”標(biāo)準(zhǔn)

       近年來，國際ISO/IEC和西方一些國家開始發(fā)布和改版一系列信息安全管理標(biāo)準(zhǔn)，使安全標(biāo)準(zhǔn)進(jìn)入了一個繁忙的改版期。

        這表明，信息安全管理標(biāo)準(zhǔn)已經(jīng)從零星的、隨意的、指南性標(biāo)準(zhǔn)，逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。

         要了解信息安全管理標(biāo)準(zhǔn)和發(fā)展，首先我們需了解主要“門派”、影響和使用認(rèn)可范圍。

         國際標(biāo)準(zhǔn)ISO/IEC

         首先需要介紹的是國際上最權(quán)威的由國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)所制定的國際標(biāo)準(zhǔn)。

         ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織，它由各個國家和地區(qū)的成員組成，各國的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過各技術(shù)委員會，參與相關(guān)標(biāo)準(zhǔn)的制定。

        為了更好的協(xié)作和共同規(guī)范信息技術(shù)領(lǐng)域，ISO和國際電工委員會(ITU)成立了聯(lián)合技術(shù)委員會，即ISO/IEC JTC1，負(fù)責(zé)信息技術(shù)領(lǐng)域的標(biāo)準(zhǔn)化工作。其中的子委員會27專門負(fù)責(zé)IT安全技術(shù)領(lǐng)域的標(biāo)準(zhǔn)化工作。

        ISO/IEC聯(lián)合技術(shù)委員會1子委員會27(ISO/IEC JTC1 SC27)是信息安全領(lǐng)域最權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織，它已經(jīng)為信息安全保障領(lǐng)域發(fā)布了一系列的國際標(biāo)準(zhǔn)和技術(shù)報(bào)告，為信息安全領(lǐng)域的標(biāo)準(zhǔn)化工作做出了巨大貢獻(xiàn)。

        在ISO/IEC JTC1 SC 27所發(fā)布的標(biāo)準(zhǔn)和技術(shù)報(bào)告中，目前最主要的標(biāo)準(zhǔn)是ISO/IEC 13335、ISO/IEC 17799等。

        另外，ISO/IEC JTC1 SC27正在對信息安全管理系統(tǒng)(ISMS)國際標(biāo)準(zhǔn)族進(jìn)行開發(fā)，此標(biāo)準(zhǔn)族將采用27000系列號碼作為編號方案，并將綜合信息安全管理系統(tǒng)要求、風(fēng)險(xiǎn)管理、度量和測量以及實(shí)施指南等一系列國際標(biāo)準(zhǔn)。

        隨著ISO/IEC 27000系列標(biāo)準(zhǔn)的規(guī)劃和發(fā)布，ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。

       2005年，ISO/IEC在信息安全管理標(biāo)準(zhǔn)的主要發(fā)展趨勢是:改版ISO/IEC 17799，并正式發(fā)布ISO/IEC 17799:2005。ISO/IEC 17799建立了組織機(jī)構(gòu)內(nèi)啟動、實(shí)施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則。

       此外，ISO/IEC 13335將從原先的技術(shù)報(bào)告變?yōu)檎降膰H標(biāo)準(zhǔn)。ISO/IEC 13335是ISO/IEC JTC1 SC27中關(guān)于風(fēng)險(xiǎn)管理、IT安全管理的一個重要的標(biāo)準(zhǔn)系列。

        ISO/IEC 13335另一個重要的變動是從原先包含五部分的技術(shù)報(bào)告，變動為現(xiàn)在重新立項(xiàng)的包含兩部分的國際標(biāo)準(zhǔn)，即信息和通信技術(shù)安全管理標(biāo)準(zhǔn)。

        還有，ISO/IEC將采用27000系列號碼作為編號方案，將原先所有的信息安全管理標(biāo)準(zhǔn)進(jìn)行綜合，并進(jìn)行進(jìn)一步的開發(fā)，形成一整套包括ISMS要求、風(fēng)險(xiǎn)管理、度量和測量以及實(shí)施指南等在內(nèi)的信息安全管理體系。

         西方國家的信息安全管理標(biāo)準(zhǔn)

         信息安全是一項(xiàng)涉及國家安全的領(lǐng)域，在西方發(fā)達(dá)國家信息安全管理的實(shí)踐中，制定了一些自有的標(biāo)準(zhǔn)，并形成一整套自有的、完整的信息安全管理體系。

        美國信息安全管理標(biāo)準(zhǔn)體系

        2002年，美國通過了一部聯(lián)邦信息安全管理法案(FISMA)。根據(jù)它，美國國家標(biāo)準(zhǔn)和技術(shù)委員會(NIST)負(fù)責(zé)為美國政府和商業(yè)機(jī)構(gòu)提供信息安 全管理相關(guān)的標(biāo)準(zhǔn)規(guī)范。因此，NIST的一系列FIPS標(biāo)準(zhǔn)和NIST 特別出版物800系列(NIST SP 800系列)成為了指導(dǎo)美國信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。

         在NIST的標(biāo)準(zhǔn)系列文件中，雖然NIST SP并不作為正式法定標(biāo)準(zhǔn)，但在實(shí)際工作中，已經(jīng)成為美國和國際安全界得到廣泛認(rèn)可的事實(shí)標(biāo)準(zhǔn)和權(quán)威指南。

        目前，NIST SP 800系列已經(jīng)出版了近90本同信息安全相關(guān)的正式文件，形成了從計(jì)劃、風(fēng)險(xiǎn)管理、安全意識培訓(xùn)和教育以及安全控制措施的一整套信息安全管理體系。

        2005年，NIST SP 800系列最主要的的發(fā)展是配合FISMA 2002年的法案，建立以800-53等標(biāo)準(zhǔn)為核心的一系列認(rèn)證和認(rèn)可的標(biāo)準(zhǔn)指南。

       英國信息安全管理標(biāo)準(zhǔn)體系

        同美國NIST相對應(yīng)，英國標(biāo)準(zhǔn)協(xié)會(BSI)是英國負(fù)責(zé)信息安全管理標(biāo)準(zhǔn)的機(jī)構(gòu)。在信息安全管理和相關(guān)領(lǐng)域，BSI做了大量的工作，其成果已得到國際社會的廣泛認(rèn)可。

         最讓人關(guān)注的是BS 7799的第一部分，它已成為國際ISO/IEC 17799國際標(biāo)準(zhǔn)。另外，其BS 15000系列標(biāo)準(zhǔn)。也成為指導(dǎo)ITIL的公認(rèn)標(biāo)準(zhǔn)。

        現(xiàn)在，隨著BS 7799被廣泛接受，BSI準(zhǔn)備進(jìn)一步將它推向全世界，為各個國家的組織機(jī)構(gòu)提供BS 7799的認(rèn)證服務(wù)。

        國內(nèi)信息安全管理標(biāo)準(zhǔn)

        相比國外，國內(nèi)的信息安全領(lǐng)域的標(biāo)準(zhǔn)起步較晚，但隨著2002年全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(簡稱信息安全標(biāo)委會)的成立，信息安全相關(guān)標(biāo)準(zhǔn)的建設(shè)工作開始走向了規(guī)范化管理和發(fā)展的快車道。

        從20世紀(jì)80年代開始，在信息安全標(biāo)委會和各部門各界的努力下，本著積極采用國際標(biāo)準(zhǔn)的原則，轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)，為我國信息安全技術(shù)的發(fā)展做出了一定貢獻(xiàn)。

        同時，公安部、國家安全部、國家保密局、國家密碼管理委員會等相繼制定和頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn)，為推動信息安全技術(shù)在各行業(yè)的應(yīng)用和普及，發(fā)揮了積極的作用。

         現(xiàn)在，在信息安全標(biāo)委會中，成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、鑒別與授權(quán)工作組(WG4)、信息安全評估工作組(WG5)和信息安全管理工作組(WG7)四個工作組，它們在對我國信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展方面，起到了積極作用。

        從信息安全管理的建設(shè)和評估角度看，信息安全管理和信息安全評估分別建設(shè)和規(guī)范了信息安全管理的相關(guān)標(biāo)準(zhǔn)。

        近年來(特別是2005年)，信息安全管理標(biāo)準(zhǔn)化工作中主要的研究熱點(diǎn)包括:信息安全國際標(biāo)準(zhǔn)的轉(zhuǎn)化(主要是國際ISO/IEC 17799和ISO/IEC 13335的采標(biāo)工作);風(fēng)險(xiǎn)管理指南的標(biāo)準(zhǔn)化工作(主要是風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理指南的標(biāo)準(zhǔn)化工作);以及信息系統(tǒng)評估的標(biāo)準(zhǔn)制定工作(主要是信息系統(tǒng)安全 保障評估框架標(biāo)準(zhǔn)的編制工作等)。

        這些工作將在近兩年內(nèi)完成，其標(biāo)準(zhǔn)化的流程將成為正式的國家標(biāo)準(zhǔn)，指導(dǎo)和規(guī)范我國的信息安全管理工作。

       信息安全是一個綜合的交叉學(xué)科，信息安全管理領(lǐng)域的很多內(nèi)容同信息技術(shù)服務(wù)、信息系統(tǒng)審計(jì)等有著非常密切的聯(lián)系。

        在此，我們希望向用戶傳達(dá)這樣一個思想，信息安全管理不應(yīng)該成為一個孤立的、為安全管理而管理的學(xué)科，信息安全管理應(yīng)同IT服務(wù)、信息系統(tǒng)審計(jì)等建立密切的聯(lián)系，更好地服務(wù)于用戶應(yīng)用。

        “天下”且須這樣得

         一套完善的信息安全管理體系，應(yīng)該包括規(guī)范化的信息安全管理內(nèi)容、以風(fēng)險(xiǎn)和策略為核心的建設(shè)方法、定性和定量的度量信息安全管理。

        同時，信息安全管理體系應(yīng)該能夠?qū)⑿畔踩芾硗畔⑾到y(tǒng)審計(jì)、信息系統(tǒng)內(nèi)控體系、信息技術(shù)服務(wù)體系相互結(jié)合，形成有安全保障的信息系統(tǒng)運(yùn)維管理體系，以真正達(dá)到保護(hù)組織機(jī)構(gòu)信息和信息資產(chǎn)的安全，保護(hù)業(yè)務(wù)持續(xù)性。

        制定標(biāo)準(zhǔn)是用來規(guī)范企業(yè)行為，在應(yīng)用標(biāo)準(zhǔn)時，我們需要把握如下一些要點(diǎn)。

        要點(diǎn)一:使用信息安全管理標(biāo)準(zhǔn)，規(guī)范信息安全管理的內(nèi)容。

        隨著信息安全標(biāo)準(zhǔn)的發(fā)展(特別是2005年)，信息安全標(biāo)準(zhǔn)的主要特征已從原先形勢隨意的最佳實(shí)踐方式，發(fā)展到層次結(jié)構(gòu)化的安全管理控制集合，形成了信息安全管理標(biāo)準(zhǔn)的一個主流趨勢。

       信 息安全管理相關(guān)人員可以使用這些標(biāo)準(zhǔn)中規(guī)范化的安全管理控制措施，規(guī)范其信息安全管理的內(nèi)容和范圍。

        信息安全管理標(biāo)準(zhǔn)中所提供的管理控制措施有如下幾項(xiàng)。

         ISO/IEC 17799:2005年第2版的改版中，最主要的變動是以層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通 信和運(yùn)行管理、訪問控制、信息系統(tǒng)采購、開發(fā)和維護(hù)、信息安全事故管理、業(yè)務(wù)持續(xù)性管理、符合性這11個安全控制章節(jié)，還有39個主要安全類和133個具 體控制措施，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。

        美國NIST SP 800-53聯(lián)邦信息系統(tǒng)推薦安全控制:提供了安全控制的層次化、結(jié)構(gòu)化的安全控制措施要求，意識和培訓(xùn)，認(rèn)證、認(rèn)可和安全評估，配置管理，持續(xù)性規(guī)劃， 事件響應(yīng)，維護(hù)，介質(zhì)保護(hù)，物理和環(huán)境保護(hù)，規(guī)劃，人員安全，風(fēng)險(xiǎn)評估，系統(tǒng)和服務(wù)采購，系統(tǒng)和信息完整性這13個安全管理和運(yùn)營控制族以及106個具體 控制措施。

         Cobit:提供了規(guī)劃和組織、采購和實(shí)施、交付和支持以及監(jiān)控4個域，還有34個表達(dá)IT過程的高層控制流程以及多達(dá)318個控制目標(biāo)。

         通過解決這34個高層控制目標(biāo)，組織機(jī)構(gòu)可以確保已為其IT環(huán)境提供了一個充分的控制系統(tǒng)。