信息安全管理體系審核與信息系統(tǒng)安全等級保護測評的整合實施初探

胡娟（公安部第三研究所） 謝宗曉（南開大學(xué)商學(xué)院）

信息安全管理體系審核與信息系統(tǒng)安全等級保護測評的整合實施初探

胡娟（公安部第三研究所） 謝宗曉（南開大學(xué)商學(xué)院）

專欄

信息安全管理系列之三

在信息安全合規(guī)性的實施路線（信息安全管理系列之一）中，我們提出最常見兩條途徑，即部署信息安全管理體系或信息系統(tǒng)安全等級保護，兩者雖各有側(cè)重，但許多單位兩者可能都需要部署，于是對審核/測評機構(gòu)而言，也要面臨整合問題。本文拋開政策性要求，從技術(shù)角度探討了信息安全管理體系審核和信息系統(tǒng)安全等級保護測評的可能性及其實施路徑。

謝宗曉（特約編輯）

在信息安全實踐中，許多企業(yè)既需要實施信息系統(tǒng)安全等級保護，又需要部署信息安全管理體系，這兩者在諸多方面存在一致之處。本文對信息安全管理體系審核與信息系統(tǒng)安全等級保護測評從過程到控制措施的整合進(jìn)行了初步的探討，以最大化地降低兩者的重復(fù)成本，提高組織的信息安全工作效率。

體系審核 等級測評 信息安全

審核是為獲得審核證據(jù)并對其進(jìn)行客觀評價，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨立的并形成文件的過程。測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)定、規(guī)范和技術(shù)標(biāo)準(zhǔn)，對不涉及國家秘密的信息系統(tǒng)安全等級保護狀況進(jìn)行檢測評估的活動。

信息安全管理體系（Information Security Management System, ISMS）審核與信息系統(tǒng)安全等級測評在實施中雖然存在諸多異同，但總體上來說是以提高信息安全管理水平、降低信息安全風(fēng)險為目標(biāo)，因此存在整合的可能和必要。本文在實踐的基礎(chǔ)上初步探討兩者整合實施的思路。

1 審核與測評的依據(jù)

1.1 信息安全管理體系審核依據(jù)的標(biāo)準(zhǔn)

信息安全管理體系審核依據(jù)GB/T 28450—2012《信息安全技術(shù) 信息安全管理體系審核指南》，該標(biāo)準(zhǔn)提供了ISMS審核方案、實施審核以及ISMS審核員應(yīng)具有能力方面的指南，該標(biāo)準(zhǔn)為有認(rèn)證資格的組織按照GB/T 22080—2008/ISO/IEC 27001: 2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》來審核企業(yè)的信息安全管理體系，適用于那些需要了解或?qū)嵤﹥?nèi)部或外部審核的人員。

ISO/IEC 27001: 2005是ISO/IEC 27000族標(biāo)準(zhǔn)的基礎(chǔ)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實施、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，標(biāo)準(zhǔn)正文描述了建立ISMS框架的過程，規(guī)范性附錄A給出了控制措施要求。

1.2 信息系統(tǒng)安全等級保護測評依據(jù)的標(biāo)準(zhǔn)

GB/T 28449—2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》規(guī)定了信息系統(tǒng)安全等級保護測評工作的測評過程，既適用于測評機構(gòu)、信息系統(tǒng)的主管部門及運營使用單位對信息系統(tǒng)安全等級保護狀況進(jìn)行的安全測試評價，也適用于信息系統(tǒng)的運營使用單位在信息系統(tǒng)定級工作完成之后，對信息系統(tǒng)的安全保護現(xiàn)狀進(jìn)行的測試評價，獲取信息系統(tǒng)的全面保護需求。

GB/T 28448—2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》針對信息系統(tǒng)中的單項安全措施和多個安全措施的綜合防范，對應(yīng)地提出單元測評和整體測評的技術(shù)要求，用以指導(dǎo)測評人員從信息安全等級保護的角度對信息系統(tǒng)進(jìn)行測試評估。

GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護等級信息系統(tǒng)的最低保護要求，即基本安全要求，包括基本技術(shù)要求和基本管理要求，該標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護等級信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。

2 整合實施的思路

2.1 審核與測評的過程整合

整合是為了在組織內(nèi)部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統(tǒng)安全等級保護的管理要求，并給組織帶來收益，避免不必要的沖突和資源浪費。

根據(jù)對審核和測評的過程分析得知審核從表面上執(zhí)行了測評的管理內(nèi)容，但從整個審核和測評活動可得出，兩者的活動內(nèi)容和組織方式非常相似，因此具備很強的整合條件，兩者的具體活動如表1所示。

表1 審核與評價活動對照

2.2 審核與測評的控制措施整合

整合GB/T 22239—2008中的控制措施部分與GB/T 22080—2008的附錄A完全可行，且整合后可避免多余、重復(fù)的管理資源。如GB/T 22239—2008三級信息系統(tǒng)對資產(chǎn)管理的要求和GB/T 22080—2008中的“A.7 資產(chǎn)管理”基本保持了一致，具體標(biāo)準(zhǔn)條款映射如表2 所示。

若組織內(nèi)存在等級保護三級或三級以上的信息系統(tǒng)，則該組織應(yīng)建立信息安全管理制度體系，這與組織單位建立ISMS所達(dá)到的目標(biāo)基本一樣。從整合的角度來看，通過實施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

表3 資產(chǎn)管理的整合檢查表示例

3 結(jié)語

信息系統(tǒng)安全等級保護測評和信息安全管理體系審核，都是為實現(xiàn)和強化信息安全管理，做到分清責(zé)任機構(gòu)，確認(rèn)安全制度，預(yù)防和應(yīng)對可能發(fā)生或者已經(jīng)發(fā)生的信息系統(tǒng)管理問題。因此隨著信息化工作的不斷發(fā)展，信息安全管理體系審核和信息系統(tǒng)安全等級保護測評必將走上一條能夠融合的道路。

[1] GB/T 28450—2012 信息安全技術(shù) 信息安全管理體系審核指南

[2] GB/T 28449—2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南

[3] 謝宗曉.《政府部門信息安全管理基本要求》理解與實施[M]. 北京：中國標(biāo)準(zhǔn)出版社，2014.

[4] 魏軍，謝宗曉. 信息安全管理體系審核指南[M]. 北京：中國標(biāo)準(zhǔn)出版社，2012.

[5] GB/T 22080—2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求

[6] GB/T 22239—2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求

[7] GB/T 28448—2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求

Discussion of Integrating Management System Auditing and Classifi ed Protection Evaluation

Hu Juan ( The Third Research Institute of Ministry of Public Security )
Xie Zongxiao ( Business School, Nankai University )

There have a lot in common between Information Security Management System (ISMS) and Classified Protection of Information System (CPIS). We proposed a feasible way to combine management system auditing with classifi ed protection evaluation.

information security, Information Security Management System (ISMS), Classifi ed Protection of Information System (CPIS)