信息安全管理體系在國內的發展及其產業鏈

謝宗曉（中國金融認證中心）

信息安全管理體系在國內的發展及其產業鏈

謝宗曉（中國金融認證中心）

謝宗曉（特約編輯）

首先分析了ISO/IEC 27000標準族的架構及其進展，然后介紹了對應的國家標準的開發進展，最后概述了對應的管理體系產業鏈。

信息安全 信息安全管理體系 管理體系產業鏈

1 ISO/IEC 27000標準族概述

信息安全管理體系（ISMS）與ISO/IEC 27000標準族通常被用作同義詞[1,2]。

ISO/IEC 27000標準族，編號從ISO/IEC 27000開始直至ISO/IEC 27059，共包括了60項標準1）從ISO/IEC JTC 1/SC 27的架構我們可以知道，這是廣義的ISMS，因為真正負責ISMS的是WG 1，其他幾個組各有側重，WG 1不可能解決所有的信息安全問題。，另外還有3項相關標準。ISO/IEC 27000標準族不是一開始就被精巧地設計，而是在發展過程中逐步清晰，中間差不多用了15年。當然，之前并不是沒有成功案例，ISO 9000標準族雖然沒有這么體系龐大，至少在應用中也能稱其為“族（family）”。之所以呈現了這樣的發展路徑，大約更多的還是市場考慮。如果一次性開發60項標準，然后等著市場接受，這不現實。

事實情況是，因為ISO/IEC 27002，包括緊隨其后的ISO/IEC 27001，都獲得了良好的市場認可度，使得其他標準的開發變得現實起來，還有一種情況是，已有的標準，重新編號，也進入了這個系列。最典型的例如，ISO/IEC 27033和ISO/IEC 27035，這2個標準在之前就已經有很廣泛的應用了。

ISO/IEC 27000標準族大致可以分為3類[3,4]：

（1）ISO/IEC 27000至ISO/IEC 27008，這是純粹關于ISMS，或者說，從不同的方面定義了ISMS，其架構如圖1所示。

（2）ISO/IEC 27009至ISO/IEC 27030，包括了分行業應用，以及更外圍的方面，或者與其他體系的整合問題，其架構如圖2所示。

（3）ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如，包括了信息安全事件管理和業務連續性管理等各個方面，其架構如圖3所示。

2 ISMS在國內的發展

國內對ISMS相關標準的關注是比較早的，之前發布了GB/T 19716—2005（ISO/IEC 17799：2000，MOD），由于太早，信息安全意識遠遠不夠，沒有得到大規模的應用。隨著ISO/IEC 27002：2005的發布，這個標準被GB/T 22081—2008/ISO/IEC 27002：2005替代，當然同時發布的還有GB/T 22080—2008 / ISO/IEC 27001：2005。

成為國家標準的ISO/IEC 27001和ISO/IEC 27002，版本的變化如圖4所示。

如圖所示，成為國家標準的ISO/IEC 27001和ISO/IEC 27002，目前最新版本為：

· GB/T 22080—2016/ISO/IEC 27001：2013《信息技術 安全技術 信息安全管理體系 要求》；

· GB/T 22081—2016/ISO/IEC 27002：2013《信息技術 安全技術 信息安全控制實踐指南》；

當然，還有諸多ISO/IEC 27000標準族的標準也成為國家標準，例如：

圖1 ISO/IEC 27000至ISO/IEC 27008的架構

圖2 ISO/IEC 27009至ISO/IEC 27030的架構

· GB/T 29246—2012/ISO/IEC 27000：2009《信息技術 安全技術 信息安全管理體系 概述和詞匯》；

· GB/T 31722—2015/ISO/IEC 27005：2008《信息技術 安全技術 信息安全風險管理》；

· GB/T 28450—2012（ISO/IEC 27007：2011，MOD）《信息安全技術 信息安全管理體系審核指南》。

圖3 ISO/IEC 27031至ISO/IEC 27059的架構

圖4 成為國家標準的ISO/IEC 27001和ISO/IEC 27002版本變化

3 國內管理體系產業鏈

與質量管理體系（ISO 9001）類似，ISMS已經形成完整的產業鏈[5]。如圖5所示。

目前，關于管理體系產業鏈的國內主要管理結構如圖6所示。

中國國家認證認可監督管理委員會（CNCA，http://www.cnca.gov.cn）成立于2001年3月，是國務院決定組建并授權，履行行政管理職能，統一管理、監督和綜合協調全國認證認可工作的主管機構。

中國合格評定國家認可委員會（CNAS，http://www.cnas.org.cn）是根據《中華人民共和國認證認可條例》的規定，由中國國家認證認可監督管理委員會批準設立并授權的國家認可機構，統一負責對認證機構、實驗室和檢查機構等相關機構的認可工作。中國合格評定國家認可委員會于2006年3月正式成立，是在原中國認證機構國家認可委員會（CNAB）和原中國實驗室國家認可委員會（CNAL）基礎上整合而成的。

中國認證認可協會（CCAA，http://www.ccaa.org.cn/）成立于2005年9月，是由認證認可行業的認可機構、認證機構、認證培訓機構、認證咨詢機構、實驗室、檢測機構和部分獲得認證的組織等單位會員和個人會員組成的非營利性、全國性的行業組織。依法接受業務主管單位國家質量監督檢驗檢疫總局、登記管理機關民政部的業務指導和監督管理。

圖5 管理體系產業鏈

圖6 管理體系產業鏈的國內管理結構

中國國家標準化管理委員會（SAC，http://www.sac.gov.cn/）是國務院授權的履行行政管理職能，統一管理全國標準化工作的主管機構。此外，在其官網上，可以查詢所有的標準目錄、標準計劃以及強制性標準全文，當然，也可以查詢各種各樣的技術委員會的工作進展，例如TC 2602）TC 260負責專業范圍為國內信息安全，秘書處設在中國電子技術標準化研究院。。

4 小結

總體而言，（1）國內對于ISO/IEC 27000標準族雖然關注得比較早，但是對應國家標準的開發速度遠遠低于國際標準的開發速度；（2）產業鏈發展比較成熟，但這主要是得益于已有的QMS等管理體系的既有成果。

（注：本文僅做學術探討，與作者所在單位觀點無關）

[1]謝宗曉，甄杰，董坤祥，等. 網絡空間安全管理[M]. 北京：中國質檢出版社/中國標準出版社，2017.

[2]謝宗曉. 信息安全管理體系實施指南（第二版）[M]. 北京：中國質檢出版社/中國標準出版社，2017.

[3]謝宗曉，董坤祥. 截至2016年底ISO/IEC 27000標準族的進展(上)[J]. 中國質量與標準導報，2017（01）：36-40.

[4]謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標準族的進展(下)[J]. 中國質量與標準導報，2017（02）：34-38，41.

[5]謝宗曉. 信息安全管理體系實施案例（第二版）[M]. 北京：中國質檢出版社/中國標準出版社，2017.

ISMS and Its Industry Chain in China

Xie Zongxiao ( China Financial Certi fi cation Authority )

This paper analyzes the schema of the ISO/IEC 27000 standards and progress, then introduced the corresponding development of Chinese standards, outlined the corresponding management system industry chain.

Information Security, Information Security Management System (ISMS), management system industry chain

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文80多篇，出版專著近20本。

信息安全管理系列之三十四

在本系列中，2017年第1期與第2期，介紹了ISO/IEC 27000標準族的最新進展。實際上ISO/IEC 27000標準族，尤其ISO/IEC 27001和ISO/IEC 27002，所對應的國家標準也已經經過了數次版本變化，并且形成了較為完善的管理體系產業鏈，了解這個過程對于組織部署信息安全管理體系很有幫助。本文中介紹了與信息安全管理體系相關的國家標準以及對應的產業鏈。