信息安全管理是目前信息安全领域里最热门的话题之一,而作为指导和规范信息安全管理的标准更是重中之重,因为得标准者得“天下”。
在信息安全管理领域里,由于标准众多,对于标准的争论从未停息过。
国际上,有ISO/IEC的国际标准17799、13335;西方国家,有美国国家标准和技术委员会(NIST)的特别出版物系列、英国标准协会(BSI)的7799系列;在我国,有风险管理、灾难恢复的国家政策。
同信息安全管理交叉的ITIL、同信息系统审计相关的萨班斯404条款与控制目标(CoBIT),以及信息安全管理系统、风险管理、业务持续性和灾难恢复等方面的国际、国家、组织机构和企业的信息安全管理标准,都已经成为信息安全界耳熟能详的热门词汇。
安全管理中的“热门”标准
近年来,国际ISO/IEC和西方一些国家开始发布和改版一系列信息安全管理标准,使安全标准进入了一个繁忙的改版期。
这表明,信息安全管理标准已经从零星的、随意的、指南性标准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。
要了解信息安全管理标准和发展,首先我们需了解主要“门派”、影响和使用认可范围。
国际标准ISO/IEC
首先需要介绍的是国际上最权威的由国际标准化组织(ISO)和国际电工委员会(IEC)所制定的国际标准。
ISO和IEC是世界范围的标准化组织,它由各个国家和地区的成员组成,各国的相关标准化组织都是其成员,他们通过各技术委员会,参与相关标准的制定。
为了更好的协作和共同规范信息技术领域,ISO和国际电工委员会(ITU)成立了联合技术委员会,即ISO/IEC JTC1,负责信息技术领域的标准化工作。其中的子委员会27专门负责IT安全技术领域的标准化工作。
ISO/IEC联合技术委员会1子委员会27(ISO/IEC JTC1 SC27)是信息安全领域最权威和国际认可的标准化组织,它已经为信息安全保障领域发布了一系列的国际标准和技术报告,为信息安全领域的标准化工作做出了巨大贡献。
在ISO/IEC JTC1 SC 27所发布的标准和技术报告中,目前最主要的标准是ISO/IEC 13335、ISO/IEC 17799等。
另外,ISO/IEC JTC1 SC27正在对信息安全管理系统(ISMS)国际标准族进行开发,此标准族将采用27000系列号码作为编号方案,并将综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准。
随着ISO/IEC 27000系列标准的规划和发布,ISO/IEC已形成了以ISMS为核心的一整套信息安全管理体系。
2005年,ISO/IEC在信息安全管理标准的主要发展趋势是:改版ISO/IEC 17799,并正式发布ISO/IEC 17799:2005。ISO/IEC 17799建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则。
此外,ISO/IEC 13335将从原先的技术报告变为正式的国际标准。ISO/IEC 13335是ISO/IEC JTC1 SC27中关于风险管理、IT安全管理的一个重要的标准系列。
ISO/IEC 13335另一个重要的变动是从原先包含五部分的技术报告,变动为现在重新立项的包含两部分的国际标准,即信息和通信技术安全管理标准。
还有,ISO/IEC将采用27000系列号码作为编号方案,将原先所有的信息安全管理标准进行综合,并进行进一步的开发,形成一整套包括ISMS要求、风险管理、度量和测量以及实施指南等在内的信息安全管理体系。
西方国家的信息安全管理标准
信息安全是一项涉及国家安全的领域,在西方发达国家信息安全管理的实践中,制定了一些自有的标准,并形成一整套自有的、完整的信息安全管理体系。
美国信息安全管理标准体系
2002年,美国通过了一部联邦信息安全管理法案(FISMA)。根据它,美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全管理相关的标准规范。因此, NIST的一系列FIPS标准和NIST 特别出版物800系列(NIST SP 800系列)成为了指导美国信息安全管理建设的主要标准和参考资料。
在NIST的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。
目前,NIST SP 800系列已经出版了近90本同信息安全相关的正式文件,形成了从计划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。
2005年,NIST SP 800系列最主要的的发展是配合FISMA 2002年的法案,建立以800-53等标准为核心的一系列认证和认可的标准指南。
英国信息安全管理标准体系
同美国NIST相对应,英国标准协会(BSI)是英国负责信息安全管理标准的机构。在信息安全管理和相关领域,BSI做了大量的工作,其成果已得到国际社会的广泛认可。
最让人关注的是BS 7799的第一部分,它已成为国际ISO/IEC 17799国际标准。另外,其BS 15000系列标准。也成为指导ITIL的公认标准。
现在,随着BS 7799被广泛接受,BSI准备进一步将它推向全世界,为各个国家的组织机构提供BS 7799的认证服务。
国内信息安全管理标准
相比国外,国内的信息安全领域的标准起步较晚,但随着2002年全国信息安全标准化技术委员会(简称信息安全标委会)的成立,信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。
从20世纪80年代开始,在信息安全标委会和各部门各界的努力下,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,为我国信息安全技术的发展做出了一定贡献。
同时,公安部、国家安全部、国家保密局、国家密码管理委员会等相继制定和颁布了一批信息安全的行业标准,为推动信息安全技术在各行业的应用和普及,发挥了积极的作用。
现在,在信息安全标委会中,成立了信息安全标准体系与协调工作组(WG1)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组,它们在对我国信息安全保障体系建设和信息安全产业的发展方面,起到了积极作用。
从信息安全管理的建设和评估角度看,信息安全管理和信息安全评估分别建设和规范了信息安全管理的相关标准。
近年来(特别是2005年),信息安全管理标准化工作中主要的研究热点包括:信息安全国际标准的转化(主要是国际ISO/IEC 17799和ISO/IEC 13335的采标工作);风险管理指南的标准化工作(主要是风险评估和风险管理指南的标准化工作);以及信息系统评估的标准制定工作(主要是信息系统安全保障评估框架标准的编制工作等)。
这些工作将在近两年内完成,其标准化的流程将成为正式的国家标准,指导和规范我国的信息安全管理工作。
信息安全是一个综合的交叉学科,信息安全管理领域的很多内容同信息技术服务、信息系统审计等有着非常密切的联系。
在此,我们希望向用户传达这样一个思想,信息安全管理不应该成为一个孤立的、为安全管理而管理的学科,信息安全管理应同IT服务、信息系统审计等建立密切的联系,更好地服务于用户应用。
“天下”且须这样得
一套完善的信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量的度量信息安全管理。
同时,信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合,形成有安全保障的信息系统运维管理体系,以真正达到保护组织机构信息和信息资产的安全,保护业务持续性。
制定标准是用来规范企业行为,在应用标准时,我们需要把握如下一些要点。
要点一:使用信息安全管理标准,规范信息安全管理的内容。
随着信息安全标准的发展(特别是2005年),信息安全标准的主要特征已从原先形势随意的最佳实践方式,发展到层次结构化的安全管理控制集合,形成了信息安全管理标准的一个主流趋势。
信息安全管理相关人员可以使用这些标准中规范化的安全管理控制措施,规范其信息安全管理的内容和范围。
信息安全管理标准中所提供的管理控制措施有如下几项。
ISO/IEC 17799:2005年第2版的改版中,最主要的变动是以层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节,还有39个主要安全类和133个具体控制措施,以规范化组织机构信息安全管理建设的内容。
美国NIST SP 800-53联邦信息系统推荐安全控制:提供了安全控制的层次化、结构化的安全控制措施要求,意识和培训,认证、认可和安全评估,配置管理,持续性规划,事件响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务采购,系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。
Cobit:提供了规划和组织、采购和实施、交付和支持以及监控4个域,还有34个表达IT过程的高层控制流程以及多达318个控制目标。
通过解决这34个高层控制目标,组织机构可以确保已为其IT环境提供了一个充分的控制系统。
要点二:使用信息安全管理,建立以风险和策略的核心的信息安全管理系统的建设方法。
在通过信息安全管理标准,规范化信息安全管理内容后,我们可以进一步使用这些信息安全管理标准,学习、理解建设信息安全管理体系的方法。
在这些管理标准中,已经建立了以风险管理和策略为核心的信息安全管理系统的建设方法,信息安全管理的相关人员可结合具体要求和环境,综合使用这些方法和工具。
ISO/IEC 13335:它提供了安全管理的基本概念、模型以及风险管理实践等内容,它可以用于指导如何实现IT安全管理。
BS 7799-2 信息安全管理系统规范:在BS 7799-2中,其2002版较原先的1999年版有较大改动,主要是引入了同ISO 9001:2000和ISO 14001:1996相符合的PDCA过程模型。它们可以用于指导以PDCA过程为模型实现的信息安全管理系统。
此外,在其他一些相关标准中,也提供了很多具体的建设方法。
要点三:逐步完善信息安全管理的度量和测量。
信息安全管理的度量和测量是信息安全管理领域的一个仍在不断探索的领域。信息安全管理的度量和测量可以用于评估信息安全管理的有效性和高效性等,并且其评估结果也将为组织机构内部和外部的相关人员提供信息安全管理的信心。
作为组织机构,应结合自己的实际情况,建立符合自身要求的指标体系等信息安全管理度量和测量系统。
要点四:将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相综合,形成综合的有安全保障的信息系统运维管理体系。
信息安全管理并不是一个孤立的学科,它同信息系统审计、信息系统内控体系、信息技术服务体系密切相关。
组织机构在建设信息安全管理系统时,应将信息安全管理同审计、内控和服务相结合和综合,以方便组织机构能同时符合例如美国萨班斯404条款(SOX-404)内控体系的要求等,避免不必要的资源重复投资。
ITIL框架是IT服务一个广泛可接受的框架,为IT服务提供和IT服务管理提供了规范、指南和最佳实践。
ITIL提供了以服务支持和服务提供为核心的、包括规划实施服务管理、业务视野、ICT基础设施管理、安全管理和应用管理7个模块在内的规范化信息技术服务。
在ITIL框架中,安全管理作为组织机构IT服务的一个组成部分专门进行了讨论,因此,信息安全管理是ITIL框架的一个有机组成部分,它对规范化信息技术服务、保障信息技术服务有重要的意义。
从更广义的范围来看,信息安全是信息技术的一部分,信息安全管理的一个更深刻的目的是:帮助组织机构建设和完善信息技术治理体系和组织机构治理体系。
从这个意义来看,信息安全管理人员不应仅仅只关注信息安全管理本身,还应该进一步将信息安全管理放在一个更大的范畴—信息技术治理和组织机构治理的领域里来考虑。
在信息技术审计、内控和治理领域中,美国ISACA协会的CoBIT模型是一个比较完整的IT审计和治理的框架,它为建立完善的信息系统控制和审计体系,提供了详细的控制目标、实施工作和审计指南等。
CoBIT模型建立了业务和技术沟通的桥梁,提供覆盖组织机构信息技术管理和审计的300多个详细的控制目标,以及信息技术审计指南、实现工具集等,帮助组织机构构建IT系统的内控体系。
这个内控体系,也是满足美国萨班斯404条款(SOX-404)对信息技术内控体系要求的一种实现方法。
在具体实践中,我们应进一步将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相综合,形成综合的、有安全保障的信息系统运维管理体系。
从信息安全管理开始,进而形成和综合组织机构有安全保障的信息系统运维管理体系,是目前信息系统领域里研究的一个方向和热点。
在这个领域的研究和实践中,中国信息安全产品测评认证中心所提出的信息安全保障管理体系和信息安全保障体系,即中国信息安全产品测评认证中心所编制的“信息系统安全保障评估框架”国家标准(目前正处于国标报批稿,预计今年年底前将正式发布),是中国信息安全产品测评认证中心对信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相综合的研究成果。它对信息安全保障的建设和评估工作提供了一个整体框架性的指导,可帮助我们更全面的理解和实践信息安全管理和信息系统的建设和评估工作。
从信息安全管理标准,到信息安全管理,到信息安全保障,到有安全保障的信息系统运维管理体系,这些并不是本文短短篇幅所都能讨论和涉及到的,本文仅仅是抛砖引玉,希望能同大家进一步探讨学习。