GB／T 22080—2008《信息安全管理體系 要求》解析解析系列一：GB／T 22080—2008信息安全的起源、發(fā)展和內(nèi)容結(jié)構(gòu)

李艷杰

一、信息安全管理體系概述

自古以來信息就扮演著極為重要的角色，信息及信息的使用關(guān)乎國家、部族和組織的興衰。隨著世界文明進(jìn)入到全球信息社會，信息通過網(wǎng)絡(luò)和信息系統(tǒng)傳播到不同的領(lǐng)域和角落，信息的交流推動或制約著經(jīng)濟(jì)和社會的發(fā)展。

信息被認(rèn)為是當(dāng)今任何一個組織的生命之血脈，確保信息能為需要的人所獲取和使用的同時，又能得到保護(hù)其安全是現(xiàn)代業(yè)務(wù)運(yùn)行的基本要求。

信息是一種資產(chǎn)。如同其他重要的業(yè)務(wù)資產(chǎn)一樣，是組織業(yè)務(wù)運(yùn)行的基礎(chǔ)，需要加以保護(hù)。但它又不同于傳統(tǒng)觀念的資產(chǎn)。傳統(tǒng)類的組織資產(chǎn)通常以實(shí)體形式存在，如設(shè)備、建筑場所、文件、錢財(cái)?shù)?。其安全保護(hù)的考慮主要關(guān)注于物理設(shè)防，如警衛(wèi)、封閉的空間、器械等。隨著信息技術(shù)的快速發(fā)展，當(dāng)今的組織資產(chǎn)廣泛增加了各種基于電子媒體形式的資產(chǎn)，如虛擬資產(chǎn)、知識產(chǎn)權(quán)等。資產(chǎn)的交易、轉(zhuǎn)移更是可以借助電子和網(wǎng)絡(luò)，以數(shù)字傳輸?shù)姆绞綄?shí)現(xiàn)，組織的財(cái)富以大量的電子數(shù)據(jù)的形式存在。由于信息及信息的存儲、處理、傳輸和使用以及相關(guān)的設(shè)施和人員共同構(gòu)成了一個復(fù)雜的環(huán)境，保障信息安全已經(jīng)是一種系統(tǒng)性的工作，而不僅僅是針對信息的保護(hù)。在當(dāng)前信息技術(shù)如此迅速發(fā)展和廣泛應(yīng)用的環(huán)境下，一個組織如何才能有效率地實(shí)現(xiàn)信息安全，抵御組織內(nèi)部和外部對信息資產(chǎn)和信息處理設(shè)施的各種威脅，確保業(yè)務(wù)的成功運(yùn)行是各界普遍關(guān)注的焦點(diǎn)議題。

信息安全是一個很寬泛的概念，GB／T 22080標(biāo)準(zhǔn)所定義的信息安全為“保持信息的保密性、完整性、可用性；另外也可包括例如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等”。這種定義已經(jīng)得到廣泛認(rèn)同，其中保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）（簡稱 CIA）是信息安全的最重要的三個維度。信息安全包括采取和管理適當(dāng)?shù)目刂拼胧?，而所采取的控制措施是考慮了來源廣泛的威脅，其目的是保持組織業(yè)務(wù)的成功和連續(xù)性。

早期人們對保障信息安全的考慮往往著眼于技術(shù)手段，期望通過使用先進(jìn)的技術(shù)方法和工具來達(dá)到某種安全。然而在信息系統(tǒng)的設(shè)計(jì)和開發(fā)中對信息安全難以預(yù)測和全面解決。實(shí)踐證明單純采用技術(shù)手段來保護(hù)信息和信息系統(tǒng)安全的作用是有限的，在缺乏良好管理的支撐下，有些技術(shù)甚至是無效的。因此，保證組織信息安全的一個明智選擇應(yīng)該是實(shí)施信息安全管理體系（Information Security Management Systems簡稱ISMS），通過信息安全管理體系并結(jié)合各種適用的控制措施（包括管理、技術(shù)和運(yùn)行三方面）才是組織信息安全的真正保障。

信息安全管理體系是一個組織為保護(hù)信息資產(chǎn)、實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)而建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)的管理架構(gòu)，包括針對信息安全管理的組織結(jié)構(gòu)、方針、規(guī)劃、職責(zé)、過程、規(guī)程和資源等各方面。管理體系的運(yùn)作下，通過持續(xù)的評估安全風(fēng)險(xiǎn)以及對信息資產(chǎn)保護(hù)要求的分析來了解風(fēng)險(xiǎn)是否處于組織可接受的水平、確保安全控制措施的適用性和有效性，并在必要時有針對性地提升或更新安全措施，進(jìn)而形成一個對信息資產(chǎn)持續(xù)保護(hù)的環(huán)境。

組織建立、實(shí)施與保持信息安全管理體系將為組織帶來如下益處，包括：

1）強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；

2）對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)地保護(hù)，保持競爭優(yōu)勢；

3）在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低；

4）使組織的業(yè)務(wù)合作伙伴和客戶對組織充滿信心。

信息安全管理體系的實(shí)施并非是一項(xiàng)簡單易行的工作，ISMS的成功需要應(yīng)獲得組織管理層的支持，特別要關(guān)注以下基本原則：

1）對信息安全需要的認(rèn)知；

2）指派信息安全職責(zé)；

3）協(xié)調(diào)管理承諾和利益相關(guān)方的利害關(guān)系；

4）增加社會價(jià)值；

5）通過風(fēng)險(xiǎn)評估來確定適當(dāng)?shù)目刂拼胧癸L(fēng)險(xiǎn)達(dá)到可接受的水平；

6）將安全作為一項(xiàng)基本要素融入信息網(wǎng)絡(luò)和系統(tǒng)；

7）對信息安全事件的積極防范和檢測；

8）確保對信息安全管理采用綜合性的方法；

9）對信息安全持續(xù)的再評估，并在適當(dāng)時加以調(diào)整。

建立并保持一個有效的信息安全管理體系，應(yīng)采用信息安全管理的相關(guān)標(biāo)準(zhǔn)作為指南。信息安全管理標(biāo)準(zhǔn)來源于信息安全領(lǐng)域全球接受的良好實(shí)踐，通過標(biāo)準(zhǔn)可全面了解信息安全管理方面行之有效的原則、方法和實(shí)踐，為組織基于自身環(huán)境確立其實(shí)現(xiàn)信息安全的路線、方針和具體運(yùn)作提供了指南。信息安全管理標(biāo)準(zhǔn)族是一種得到廣泛接受和認(rèn)可的參照基準(zhǔn)，可用于組織評估提升安全管理水平。此外，標(biāo)準(zhǔn)形成了信息安全領(lǐng)域的一種共同語言和概念基礎(chǔ)，便于各方的交流。

二、信息安全管理國際標(biāo)準(zhǔn)的產(chǎn)生和發(fā)展

ISO／IEC 27001標(biāo)準(zhǔn)于1993年由英國貿(mào)易工業(yè)部立項(xiàng)，于1995年英國首次出版BS 7799-1：1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織。

1998年英國公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它可以作為一個正式認(rèn)證方案的根據(jù)。ISO／IEC 27000-1 與 ISO／IEC 27000-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。

2000年12月，ISO／IEC 27000-1：1999《信息安全管理實(shí)施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)ISO／IEC 17799-1：2000《信息安全管理實(shí)施細(xì)則》。2002年9月5日，ISO／IEC 27000-2：2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn)，同時ISO 27000-2：1999被廢止?，F(xiàn)在，ISO／IEC 27000：2005標(biāo)準(zhǔn)已得到了很多國家的認(rèn)可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。

2008年6月19日，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等同采用ISO／IEC 27001：2005《信息安全管理體系 要求》，僅有編輯性修改，成為國家推薦性標(biāo)準(zhǔn)GB／T 22080—2008《信息安全管理體系要求》。

2008年6月19日，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等同采用ISO／IEC 27002：2005《信息安全管理實(shí)用規(guī)則》，成為國家推薦性標(biāo)準(zhǔn) GB／T 22081—2008《信息安全管理實(shí)用規(guī)則》。

三、GB／T 22080—2008《信息安全管理體系要求》的內(nèi)容結(jié)構(gòu)

GB／T 22080標(biāo)準(zhǔn)的目的是為建立和運(yùn)行信息安全管理體系提供規(guī)范性的要求；通過ISMS的運(yùn)行（包括所采用一系列控制措施），控制和降低與信息資產(chǎn)相關(guān)的風(fēng)險(xiǎn)。

GB／T 22080標(biāo)準(zhǔn)的核心是基于持續(xù)的風(fēng)險(xiǎn)評估建立和實(shí)施信息安全管理體系，并對體系的運(yùn)行進(jìn)行監(jiān)督、評審和改進(jìn)。為此標(biāo)準(zhǔn)采納了質(zhì)量管理體系標(biāo)準(zhǔn)所共知的運(yùn)行原則——戴明的規(guī)劃—實(shí)施—檢查—處置（PDCA）模型作為實(shí)施、運(yùn)行、監(jiān)視和改進(jìn)信息安全管理體系的過程方法，如圖1。這就使得GB／T 22080與其他管理體系標(biāo)準(zhǔn)（如GB／T 19000質(zhì)量管理體系和GB／T 24001環(huán)境管理體系等）保持協(xié)調(diào)，便于使信息安全管理體系的實(shí)施和運(yùn)行與一個組織內(nèi)的其他管理體系協(xié)調(diào)一致管理。

圖1 應(yīng)用于ISMS過程的PDCA模型

GB／T 22080—2008標(biāo)準(zhǔn)的內(nèi)容結(jié)構(gòu)為：

前言

引言

1 范圍

2 規(guī)范性引用文件

3 術(shù)語和定義

4 信息安全管理體系（ISMS）

5 管理職責(zé)

6 ISMS內(nèi)部審核

7 ISMS的管理評審

8 ISMS改進(jìn)

附錄A（規(guī)范性附錄） 控制目標(biāo)和控制措施

附錄B（資料性附錄） OECD原則和本標(biāo)準(zhǔn)

附錄C（資料性附錄） GB／T 19001—2000，GB／T 24001—2004和本標(biāo)準(zhǔn)之間的對照

標(biāo)準(zhǔn)第4章至第8章具體描述了一個組織在構(gòu)建和實(shí)施其信息安全管理體系中必須滿足的要求，涵蓋了管理體系的建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)。附錄A的內(nèi)容則直接來源于GB／T 22081第5章至第15章的目標(biāo)和控制措施，作為規(guī)范性的附錄組織應(yīng)從中選擇適用的控制目標(biāo)和措施并成為信息安全管理體系的組織部分。

信息安全管理體系為一個組織的管理者提供了管理和控制信息資產(chǎn)安全、降低業(yè)務(wù)風(fēng)險(xiǎn)的手段；通過信息安全管理體系的實(shí)施來保障組織的信息安全，并持續(xù)地履行顧客、法律法規(guī)和利益相關(guān)方對信息安全的要求。

GB／T 22080提出的對實(shí)施、運(yùn)行和改進(jìn)信息安全管理體系的要求，也是第三方認(rèn)證機(jī)構(gòu)對一個組織信息安全管理體系進(jìn)行認(rèn)證的依據(jù)。通過認(rèn)證可以證實(shí)一個組織通過業(yè)務(wù)風(fēng)險(xiǎn)分析建立并運(yùn)行了信息安全管理體系，實(shí)施有適當(dāng)?shù)目刂拼胧?，安全風(fēng)險(xiǎn)處于受控管理之下，從而使利益相關(guān)方建立安全信任。