從標準營銷角度重新審視信息安全管理體系

王麗華（機械工業(yè)信息研究院）謝宗曉（中國金融認證中心）

本刊特約

從標準營銷角度重新審視信息安全管理體系

王麗華（機械工業(yè)信息研究院）謝宗曉（中國金融認證中心）

論文結合ISO/IEC 27000標準族的發(fā)展過程，從標準營銷的角度總結了3個信息安全管理體系從諸多標準中脫穎而出的原因。

信息安全 信息安全管理體系

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之三十二

信息安全管理體系（ISO/IEC 27000標準族）不但是全球范圍內應用最廣泛的標準，也是目前國際標準化組織（ISO）發(fā)布的規(guī)模最龐大的標準族之一。關于這個標準族的技術細節(jié)介紹，可以參考《“十二五”國家重點圖書出版規(guī)劃 信息安全管理體系叢書》，在這里，我們重點探討一個問題，在如此多的類似標準中，ISO/IEC 27000標準族為什么能夠脫穎而出？

謝宗曉（特約編輯）

1 市場為什么選擇了ISMS

國際標準化組織（ISO）發(fā)布的標準并不必然成功，有很多規(guī)模龐大且設計良好的標準都沒有能夠得到市場認可，例如，業(yè)界公認OSI七層模型設計精巧，邏輯清晰，但是結果我們都知道了，最終占據(jù)市場的是TCP/IP協(xié)議[1]。

ISO/IEC 27000標準族起源于“最佳實踐”，作為流程類（或方法類）標準，盈利模式就是很大的困難。例如，為產品付費，用戶大多都已經習以為常。某種方法，或者某個流程，到現(xiàn)在為止，盈利依然很困難。ISMS盈利的模式恰恰就是“賣手藝”，更通俗地講，就是告訴企業(yè)如何一步一步地做信息安全。

在本文中，我們從標準營銷的角度分析ISO/IEC 27000標準族在諸多標準中脫穎而出的原因。

2 積極與OECD指南相結合

經濟合作與發(fā)展組織（OECD1））OECD，the Organisation for Economic Co-operation and Development，經濟合作與發(fā)展組織。目前OECD有35個成員國，總部設在巴黎。OECD發(fā)布各種各樣的文檔，例如《G20/OECD治理原則》就是一個極具前瞻性的指導文件，絕大部分都是免費的，下載地址為：http://www.oecd.org。）在1992年11月26日年發(fā)布了《OECD信息系統(tǒng)安全指南》2））OECD Guidelines for the Security of Information Systems [R]. 1992，OECD信息系統(tǒng)安全指南。。2002年，改版為《OECD信息系統(tǒng)與網(wǎng)絡安全準則——發(fā)展安全文化》3））OECD Guidelines for the Security of Information Systems and Networks: Towards a culture of security [R]. 概要的免費下載地址：http://www.oecd.org/sti/ ieconomy/15582284.pdf。。

從發(fā)布時間來看，談不上ISO/IEC 27000標準族借鑒了OECD的指導原則，我們之所以在這里單獨拿出來講，是想強調ISO/IEC 27000標準族在推廣過程中所做的第一個努力，即盡量與更牛的人混在一起，顯得自己也是牛人[2,3]。在ISO/IEC 27001：2005的引言中，有這樣一段話：

采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡安全的OECD指南（2002版）中所設置的原則。本標準為實施OECD指南中規(guī)定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個強健的模型。

這段話聽起來有點拗口，整體上很謙虛地表達了一個邏輯，就是ISO/IEC 27001：2005能夠滿足OECD指南的原則，如果OECD指南是戰(zhàn)略層，那么我們在戰(zhàn)術層面進行了落實。在ISO/IEC 27001：2005的附錄中，還就標準條款與OECD提出的原則進行了映射。但是，最新版的ISO/IEC 27001：2013已經把上一段描述刪除了，以現(xiàn)在ISMS的推廣程度，刻意地“攀這種親戚”意義也不大了。

3 快速以免費的方式推向市場

信息安全“最佳實踐”指的是目前在用的ISO/ IEC 27002，開發(fā)過程只用了6個月，其中3個月完成第一版草案，另外3個月完成最終草案。在完成初稿后，工作組在版權問題上產生一定的分歧，是免費獲取還是收取一定的費用？這里就要講到ISMS在推廣過程中所做的第二項努力，為了使文檔能夠被最快地獲得，工作組決定以“實用規(guī)則”的形式發(fā)布，而不是英國標準的形式，這就避免了繁雜的過程，更重要的是文檔可以免費獲取，因此文檔迅速流行，并得到實踐領域的高度評價。

在互聯(lián)網(wǎng)時代，尤其是中國的互聯(lián)網(wǎng)服務，免費幾乎是標配。回過頭看，好像在當時這是一個很容易做的選擇，事實上在20世紀90年代，這是一個很有遠見的決定。在后續(xù)的15年內，英國的標準機構（BSI4））BSI集團是一個商業(yè)機構，但同時承擔著英國國家標準協(xié)會的功能。因此，BSI同時參與到標準的開發(fā)、認證、咨詢和培訓等整個產業(yè)鏈。在英國這是可以的，在國內，中國國家認證認可監(jiān)督管理委員會（CNCA）規(guī)定不能同時進行咨詢和認證業(yè)務。）成為市場占有率最高的咨詢和培訓機構之一。這種情形，一直到最近幾年，限于政策等因素5））例如，《關于加強信息安全管理體系認證安全管理的通知》（工信部聯(lián)協(xié)〔2010〕394號）和《政府部門信息技術外包服務機構申請信息安全管理體系認證安全審查程序》（工信部2011年第21號公告）等公文都對外企從事信息安全認證做了一定的限制。，國內市場占有率才有所改變。

4 利用成熟的標準開發(fā)團隊

經過一個階段的公開征求意見，這個關于“最佳實踐”的文檔成為BS 7799：1995，該文檔與最初的草案幾乎一致。BS 7799：1995發(fā)布后，許多顧問和會計公司對認證的想法產生了興趣，因為在1995年左右，ISO 9000的質量管理體系認證已經比較深入人心。

1996年夏，BS 7799提交考慮成為國際標準，但是被駁回。為了促進國際化，1997年建立ISMS國際用戶聯(lián)盟（IUG）6））ISMS International User Group （IUG）Ltd 建立于1997年，和其他安全組織一樣，這個組織為成員討論與分享部署B(yǎng)S 7799的經驗提供了一個平臺。。同年9月，英國工業(yè)與貿易部（DTI）建立BS 7799認可認證指導委員會。1998年2月，加入BS 7799-2。1999年4月，第一次修訂后的BS 7799：1999發(fā)布。之上描述的過程如圖1所示。

圖1 成為英國國家標準的過程

加入認證框架是ISMS在推廣過程中所做的第三個努力，這使得該標準成為一個完整的產業(yè)鏈。這一過程的產生跟英國標準協(xié)會（BSI）的成功經驗很有關系，他們在之前成功地推廣了質量管理體系（QMS）。

在成為國際標準之前，澳大利亞和新西蘭最早接受該標準為AS/NZS 4444，之后又被斯堪的納維亞與中東國家所接受，當然最重要的是，成功說服了主要經濟體的接受，例如，美國、日本和德國等國家認可BS 7799的認證，就是BS 7799-2。

2000年，BS 7799-1成為國際標準，并編號為ISO/IEC 17799：2000，由于ISO的標準最長5年需要重新評審，2005年，在內容沒有太大變化的情況下，改版為ISO/IEC 17799：2005。

圖1描述的主要是ISO/IEC 27001和ISO/IEC 27002發(fā)展過程，圖2中重點描述了成為國際標準之后的版本演化過程。

圖2 成為國際標準后的版本變化

2005年年底，隨著BS 7799-2成為國際標準，ISO 27000標準族產生，在內容沒有任何改變的情況下，ISO/IEC 17799：2005重新發(fā)布為ISO/IEC 27002：2005。這之后，ISO 27000標準族進入了快速發(fā)展時期。

5 小結

綜上所述，我們從標準營銷的角度討論了信息安全管理體系（ISO/IEC 27000標準族）的產生與興起過程，將其能夠成功占領市場的原因歸結為以下3點：

（1）在合適的時間推出的合適標準。最早版本的“最佳實踐”，即ISO/IEC 27002的前身，發(fā)布于1993年，在當時，信息安全問題剛剛凸顯，并沒有太多的經驗可以借鑒。尤其是對于最佳實踐這類標準，經常是“怎么說，怎么對”。

（2）積極運用了恰當?shù)臓I銷方式。首先，文本本身是免費的，盈利主要依靠其他手段；其次，與OECD指南等結合，積極地拓展了標準的應用范圍；最后，加入了管理體系產業(yè)鏈，而這個產業(yè)鏈已經運轉有序，且已經存在大量專門從業(yè)人員。

（3）利用了推廣團隊已有的經驗。由于起源于英國標準，之前已經有很成功的質量管理體系（ISO 9000標準族）的開發(fā)和推廣經驗，信息安全管理體系成為國際標準的過程相對比較順利。

最近幾年是ISO/IEC 27000標準族的開發(fā)和改版的高峰時期，但整體而言，定義和描述信息安全管理體系的，最基本的ISO/IEC 27000至ISO/IEC 27008，基本已經定稿。接下來關注的重點是分行業(yè)的應用，以及分領域的控制。最新的ISO/IEC 27000標準族進展情況，請參見參考文獻[4]和[5]。

（注：本文僅做學術探討，與作者所在單位觀點無關）

[1]特南鮑姆&韋瑟羅爾. 計算機網(wǎng)絡[M]. 嚴偉，潘愛民，譯. 5版. 北京：清華大學出版社，2012.

[2]謝宗曉，甄杰，董坤祥，等，網(wǎng)絡空間安全管理[M]. 北京：中國質檢出版社/中國標準出版社，2017.

[3]謝宗曉. 信息安全管理體系實施指南（第二版）[M]. 北京：中國質檢出版社/中國標準出版社，2017.

[4]謝宗，董坤祥. 截至2016年底ISO/IEC 27000標準族的進展（上）[J]. 中國質量與標準導報，2017（1）：36-40.

[5]謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標準族的進展（下）[J]. 中國質量與標準導報，2017（2）：34-38，41.

From a Marketing Perspective on ISMS

Wang Lihua ( Institute of Mechanical Industry Information ) Xie Zongxiao ( China Financial Certifi cation Authority )

Based on the ISO/IEC 27000 family of standards development process, from the perspective of standard marketing summarize three reasons that information security management system (ISMS) stand out from the many standards.

Information Security, Information Security Management System (ISMS);