信息安全標準化介紹

劉 輝

計算機信息系統是當今社會各經濟領域發展的核心基礎設施，滲透到社會、政治、經濟的方方面面，同時，隨之而來的各類計算機犯罪及“黑客”攻擊網絡事件屢有發生，且攻擊技術越發復雜，往往導致被攻擊系統的正常、安全運營受到嚴重影響甚至癱瘓。特別是一些針對政府、國家重要經濟部門、企事業單位的網絡攻擊，已對國家主權、安全和社會穩定構成嚴重威脅。因此計算機網絡與信息安全已上升為一個事關國家政治穩定、社會安定、經濟有序運行的全局性問題。

1.信息安全國際標準化

近20年來，隨著信息安全技術與管理實踐的發展，信息安全相關的標準也越來越豐富。ISO／IEC聯合技術委員會JTC 1第27分技術委員會S27是專業開發信息安全領域標準的國際組織，到目前為止，S27成立了5個工作組，分別是：

WG 1：信息安全管理體系

WG 2：密碼技術與安全機制

WG 3：安全評估準則

WG 4：安全控制措施與服務

WG 5：鑒別與隱私技術

這些工作組的工作基本上覆蓋了當前信息安全研究的全部領域，到目前為止，已發布和／或更新的信息安全標準共有186項，正在開發的標準共計55項。

在這些標準中，因合格評定的普及性，最為社會公眾熟悉的即ISO／IEC 27000族標準。按照SC 7WG 1的設想，ISO／IEC 27000族標準的整體體系如圖1所示：

圖1 ISO／IEC 27000族標準構成示意圖

到目前為止，已發布的ISO／IEC 27000族標準包括：

ISO／IEC 27000：2009 信息技術 安全技術 信息安全管理體系 綜述和詞匯

ISO／IEC 27001：2005 信息技術 安全技術 信息安全管理體系 要求

ISO／IEC 27002：2005 信息技術 安全技術 信息安全管理實踐規則

ISO／IEC 27003：2010 信息技術 安全技術 信息安全管理體系 實施指南

ISO／IEC 27004：2009 信息技術 安全技術 信息安全管理體系 測量

ISO／IEC 27005：2011 信息技術 安全技術 信息安全風險管理

ISO／IEC 27006：2011 信息技術 安全技術 信息安全管理體系認證審核機構要求

ISO／IEC 27007：2011 信息技術 安全技術 信息安全管理體系審核指南

ISO／IEC TR 27008：2011 信息技術 安全技術 關于信息安全控制措施的審核員指南

ISO 27799：2008 健康信息學 保健業應用ISO／IEC 27002實施信息安全管理

ISO／IEC 27010：2012 信息技術 安全技術行業間和組織之間溝通的信息安全管理

ISO／IEC 27011：2008 信息技術 安全技術

通信業組織基于ISO／IEC 27002的信息安全管理指南

到目前為止正在開發或修訂中的標準包括：

ISO／IEC CD 27000 信息技術 安全技術信息安全管理體系 綜述和詞匯

ISO／IEC CD 27001 信息技術 安全技術信息安全管理體系 要求

ISO／IEC CD 27002 信息技術 安全技術信息安全管理體系 信息安全控制措施實踐規則

ISO／IEC DIS 27013 信息技術 安全技術ISO／IEC 27001和ISO／IEC 20000-1整合實施指南

ISO／IEC WD TS 27017 信息技術 安全技術 信息安全管理 基于ISO／IEC 27002的云計算服務信息安全控制措施指南

2.信息安全國內標準化情況

在國內，與信息安全領域相關的標準工作由國標委TC 260“全國信息安全標準化技術委員會”歸口負責，TC 260成立于2002年，下設7個工作組，分別是：

WG 1：信息安全標準體系與協調工作組

WG 2：涉密信息系統安全保密標準工作組

WG 3：密碼技術工作組

WG 4：鑒別與授權工作組

WG 5：信息安全評估工作組

WG 6：通信安全標準工作組

WG 7：信息安全管理工作組

TC 260負責組織開展國內信息安全有關的標準化技術工作，技術委員會主要工作范圍包括：安全技術、安全機制、安全服務、安全管理、安全評估等領域的標準化技術工作。至今，TC 260已制定和發布了國家標準87項，正在制定的標準20項。其中等同轉化的ISO／IEC 27000族標準包括：

GB／T 22080—2008 《信息技術 安全技術 信息安全管理體系 要求》，等同采用ISO／IEC 27001：2005

GB／T 22081—2008 《信息技術 安全技術 信息安全管理實用規則》，等同采用ISO／IEC 27002：2005

3.ISO／IEC 27000族標準概要介紹

ISO／IEC 27000：2009為信息安全管理體系標準族給出了一個總體概述，介紹了什么是信息安全管理體系，提出特定行業領域的ISMS應用指南，提出了ISMS的合格評定要求，簡要描述了PDCA過程在信息安全管理中的應用，規定了信息安全管理體系標準族中使用的所有術語。

ISO／IEC 27001：2005包含了適用于所有類型組織的信息安全管理體系要求，規定了建立、實施、運行、監視、評審、保持和改進一個文件化的信息安全管理體系的要求，旨在幫助組織在整體業務風險背景下管理信息安全風險。該標準可以用于內部或外部審核的依據，以證實組織管理其信息安全風險的能力。

ISO／IEC 27002為建立、實施、保持和改進信息安全管理體系提供了指南和通用原理。ISO／IEC 27002包含了與安全策略、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和運行管理、訪問控制、信息系統的獲取與開發維護、信息安全事件管理、業務連續性管理、符合性等相關的控制目標和控制措施方面的最佳實踐。

ISO／IEC 27003關注依據ISO／IEC 27001 成功設計和實施信息安全管理體系（ISMS）的關鍵要素，描述了規范和設計ISMS的過程，包括制定實施計劃、獲得管理層對實施ISMS的批準，標準將實施ISMS作為一個項目，提供了策劃和實施這個項目的指南。

ISO／IEC 27004為已實施了信息安全管理體系以及ISO／IEC 27001中規定的控制措施的組織，提供開發和應用度量手段以評估組織信息安全管理體系有效性的指南。ISO／IEC 27004適用于所有類型的組織。

ISO／IEC 27005為信息安全風險管理提供了指南。該標準采用ISO／IEC 27001中的概念，有助于更好地理解“基于風險管理方法的信息安全”的思想。理解ISO／IEC 27005，需要對ISO／IEC 27001和ISO／IEC 27002中的概念、模型、過程和術語有完整的理解。ISO／IEC 27005適用于所有類型的組織。

ISO／IEC 27006規定了信息安全管理體系認證審核機構的要求，這些要求疊加于ISO／IEC 17021和ISO／IEC 27001中的相關要求，主要目的在于支持對信息安全管理體系認證機構的認可。信息安全管理體系認證機構須按照ISO／IEC 27006證實其能力。ISO／IEC 27006中還包含了闡釋其要求的指南。

ISO／IEC 27007提供了管理信息安全管理體系審核方案的指南，指南中包括如何實施審核、如何評價信息安全管理體系審核員的能力，ISO／IEC 27007應與ISO 19011一起使用。ISO／IEC 27007適用于內部或外部信息安全管理體系審核，或審核方案的管理。

ISO／IEC TR 27008為評審控制措施的執行以及如何檢查信息系統控制措施符合性等提供了指南，這種評審應與組織建立的信息安全標準一致。ISO／IEC TR 27008適用于所有類型和規模的組織，包括公共團體或私營企業、政府機構以及實施信息安全評審和技術符合性檢查的非營利組織。但該標準不擬用于信息安全管理體系審核。

ISO／IEC 27010特別針對在信息共享環境下的信息安全管理提供了指南，特別適用于在組織間、行業間通信情形中建立、實施、保持和改進信息安全管理體系。ISO／IEC 27010適用于所有形式敏感信息的交換和共享，包括公共信息和私有信息，國際的或國內的、行業內、市場或行業間的信息交換與共享，特別適用于涉及組織或國家關鍵基礎設施的提供、維護和保護的信息交換與共享時的信息安全。

ISO／IEC 27011規定了支持通信業組織信息安全管理的指南，通信業組織采用該標準有助于其滿足信息安全管理的基線要求，即保密性、完整性、可用性和任何其他相關安全特性。

ISO 27799規定的指南闡述了ISO／IEC 27002在健康信息領域的實施，與ISO／IEC 27002是成對實施的標準。ISO 27799規定了一組詳細的管理健康信息安全的控制措施，為健康信息安全提供最佳實踐指南。通過實施ISO 27799，保健業組織以及其他健康信息保管方將可確保最低必要水平的安全，以適合于其組織的具體情況，并保持個人健康信息的保密性、完整性和可用性。ISO 27799適用于健康信息的各個方面，無論信息的形式（文字或數字，有聲記錄，圖畫，多媒體和醫療圖像），無論儲存信息的手段（紙介質印刷或書寫，或電子存儲），無論傳遞的手段（手工，傳真，計算機網絡，或郵政），信息都必須得到適當保護。

4.結語

隨著技術的發展，整個社會的運轉都越來越依賴計算機信息系統以及這些系統的互聯互通，信息安全也往往成為左右各類經濟實體生存的核心要素之一。我們期待著更多的信息安全標準得以制定和向社會各界推廣。