信息安全管理系列之四十二

通用準則（CC）與信息安全管理體系（ISMS）是信息安全領域最常見的兩大體系，兩者建立在不同的方法論基礎之上，也針對不同的應用場景。但是在實踐中，雖然大部分讀者能了解CC是針對產品的，ISMS是針對組織的，但是兩者的區別與聯系依然難于清晰，下文對CC和ISMS進行了比較分析。

謝宗曉（特約編輯）

通用準則（CC）與信息安全管理體系（ISMS）的比較分析

謝宗曉（中國金融認證中心）

李寬（中國農業銀行）

通用準則（Common Criteria，CC）和信息安全管理體系（Information Security Management System，ISMS）是目前兩組應用最廣泛的信息安全國際標準族。CC所依據的標準主要為ISO/IEC15408，由ISO/IEC JTC 1/SC 27/WG 31）發布，ISMS所依據的主要標準為ISO/IEC 27000標準族，由ISO/IEC JTC 1/SC 27/WG 12）發布。

CC和ISMS在標準的起源和架構方面存在諸多相似之處，在應用場景方面又存在較大的差異。下文中，我們結合其發展過程對兩者的異同進行初步的分析。

1 CC與ISMS的發展過程比較

CC最早來源于TCSEC（Trusted Computer System Evaluation Criteria）。

TCSEC常被稱為“桔皮書”或DoDD 5200.28-STD，1985年，作為彩虹系列（Rainbow Series）出版物的一部分，以美國國防部（Department of Defense，DoD）標準的形式發布。實際上，之前在1983年，TCSEC已經由美國國家安全署（National Security Agency，NSA）的分支機構國家計算機安全中心（National Computer Security Center，NCSC）發布，1985年的桔皮書是改版后的正式標準，其全稱應該為DoD TCSEC。

ITSEC（Information Technology Security Evaluation Criteria）發布于1990年，是英國、法國、德國和荷蘭四國共同開發的標準，大量參考了TCSEC。ITSEC與TCSEC相比較，有兩個很大的進步：1）將功能要求與保證措施分開，從而最大化地隔離開了安全要求和安全實現；2）從主要關注機密性，轉至關注機密性、完整性和可用性[1-4]。

之后各國都開始陸續開發此類標準，例如，1993年，加拿大發布了CTCPEC（Canadian Trusted Computer Product Evaluation Criteria）。直到1996年，以上國家或機構聯合在一起，開發了一個共同的標準，命名為：信息技術安全評估3）通用準則（Common Criteria for Information Technology Security Evaluation），這就是最早版本的CC v1.0。

ISMS則主要起源于TCSEC與ITSEC的公布。

對于產品標準而言，CC的主要作用在于“評估結果可以幫助客戶確定該IT產品或系統對他們的預期應用是否足夠安全以及使用該IT產品或系統帶來的固有安全風險是否可容忍”，可見，CC關注的是產品“預期應用”和“固有安全風險”，也就是說，CC最重要的關注點并不是應用中的安全。

問題是，再安全的產品，最終也需要落地，需要考慮應用場景。因此，ISMS的產生是自然而言的選擇，即一系列的產品或制度如何在應用場景中保障安全。1993年，由James Backhouse4）等學者在一些自愿參與的公司的基礎上組成了一個項目組，開始開發這樣一個“實踐指南”。最早，項目的發包方英國商務部（Department of Trade and Industry，DTI）的商業計算機安全中心（Commercial Computer Security Centre，CCSC）期望這樣的指南能夠與ITSEC整合在一起，但工作組認為“ITSEC并不是實踐化，于是委婉地避開了CCSC的要求，堅持保持BS 7799面向實踐”[5]。

該項目的成果在1993年以“實用規則（A Code of Practice）”的形式發布，即DISC PD003，也就是后來的BS 7799。2000年，成為國際標準ISO/IEC 17799。2005年，重新編號成為ISO/IEC 27002。更詳細的演化過程，請參考文獻[6]。

需要指出的是，和CC不同，ISMS原則上并不是一個專用術語，在較早版本的標準中對其進行了定義，滿足其中描述條件的應該都是。但實際情況是，由于這個術語起源于ISO/IEC 27002和ISO/IEC 27001的早期版本，屬于新生出來的一個詞匯，其他文獻中，就很少見到。所以在實踐中，ISMS幾乎成了一個專用術語。這如同，一提“質量管理體系（Quality Management System，QMS）”，大家就認為是ISO 9000標準族道理是一樣的。

因為某種產品過于普及，就成為某類行為的代名詞，這是很常見的現象。例如，你把快遞地址微信給我，或者，回頭我把文件QQ給你。 由于ISO/IEC 27000標準族在全球范圍內實施廣泛，在實踐中，就會有此類對話，例如：我們在做27001，意思是說，我們在部署ISMS，或者說，我們在根據ISO/IEC 27001部署信息安全。

換個說法，ISMS是一整套的保障組織信息安全的方案（或方法），是組織管理體系的一部分，定義和指導ISMS的標準是ISO/IEC 27000標準族，而這其中，ISO/IEC 27002和ISO/IEC 27001是最重要也是出現最早的2個標準。由于這個原因，導致這一堆詞匯在實踐中開始混用，而不必刻意地去區分。因此，這幾個詞匯都認為是同義詞：

· 信息安全管理體系（ISMS）；

· ISO/IEC 27000標準族；

· ISO/IEC 27002或ISO/IEC 27001視上下文，也可能是指代ISMS。

2 CC與ISMS的現狀比較

目前，CC和ISMS在研發路徑上開始存在較大不同。

CC的開發狀況與ITIL（Information Technology Infrastructure Library）類似，存在比較統一的開發聯盟5），隨著版本的更新，將其中的一部分采納為國際標準，這種模式與ITIL和ISO/IEC 20000之間的關系基本是一致的。本質而言，這是“事實標準”的推進途徑，即某方法或某技術路線在事實上已經廣為采納，成為國際標準是一個順理成章的過程。ISMS則缺乏常駐的開發聯盟，在成為英國國家標準之后，基本沿襲了標準開發的工作流程，如上文所述，ISO/IEC JTC 1/SC 27/WG 1目前已經成為專門開發和推廣ISMS的機構。

所以，CC存在版本與標準之間的映射關系，ISMS則只存在標準版本的更新。CC在1999年被采納為國際標準ISO/IEC 15408，之后被等同采用為國家標準GB/T 18336，期間的版本關系如表1所示。

表1 CC版本與標準采用情況

CC的版本發布 國際標準采用情況 國家標準采用情況

CC v2.1 ISO/IEC 15408：1999 GB/T 18336—2001

CC v2.3 ISO/IEC 15408：2005 GB/T 18336—2008

CC v3.1 ISO/IEC 15408：2012 GB/T 18336—2015

在這期間，CC也發布了諸多中間版本。但整體而言，框架并未做太大改變，最新版的國家標準采用情況為：

· GB/T 18336.1—2015 / ISO/IEC 15408-1：2009《信息技術 安全技術 信息技術安全評估準則 第1部分：簡介和一般模型》；

· GB/T 18336.2—2015 / ISO/IEC 15408-2：2008《信息技術 安全技術 信息技術安全評估準則 第2部分：安全功能組件》；

· GB/T 18336.3—2015 / ISO/IEC 15408-3：2008《信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障組件》。

· ISMS所依據的標準ISO/IEC 27000標準族，標準數量更豐富，我們下文中描述其架構，標準族中最主要的兩個標準的國家標準采用情況如下：

· GB/T 22080—2016 / ISO/IEC 27001：2013《信息技術 安全技術 信息安全管理體系 要求》；

· GB/T 22081—2016 / ISO/IEC 27002：2013《信息技術 安全技術 信息安全控制實踐指南》。

3 CC與ISMS的風險模型比較

ISMS和CC都是為了控制風險，因此兩者用到的風險模型沒有本質的區別。不同的是CC針對“固有安全風險”，ISMS考慮的則是“情境（context）中的安全風險”。兩者的大致區別如圖1所示。

CC為客戶、開發者和評估者提供一個“獨立于實現的結構，即保護輪廓（Protection Profile，PP）”，其中對特定類型的產品面臨的安全問題、評估目標（Target of Evaluation，ToE）和安全技術要求進行了規定[1]。評估具體的產品時，開發者需要編寫安全目標（Security Target，ST）文檔，根據產品的具體實現情況，細化PP中的要求，并通過明確陳述其安全和管理措施的辦法，來論述產品可以有效地抵抗威脅。

威脅是獨立于資產存在的，或者說，對于資產而言，威脅是外部因素。脆弱性不同，脆弱性是資產設計或部署不當所導致的，是內部因素，因此對策（countermeasure）6）主要用于減少脆弱性。資產所有者“允許將其資產暴露給特定的威脅之前”，就已經意識到這可能存在風險，但是“所有者自己可能沒有能力對對策的所有方面加以判斷”，于是尋求對對策進行評估（evaluation），這個評估的輸出就是保證所達到程度的一個陳述。

CC評估的需求正源于此，簡單來說，通過評估及其他技術提供保證，通過保證為客戶提供信心。但是，如上文中強調，CC評估的本意是評價（evaluation），而不是評估（assessment）。在ISMS中，對良好實踐（Good Practice）的需求來源也是信息安全風險，由于已經在應用場景中，因此在部署過程中，用到了完整的風險評估流程。其中應該注意一點，無論是CC還是ISMS都只是利用了風險模型，對于風險評估方法等并無實質性的貢獻。

4 CC與ISMS的框架設計比較

雖然CC和ISMS的需求本質上都是起源于信息安全風險管理，但是由于兩者存在完全不同的目標，因此在框架設計上肯定也大相徑庭。CC評估的對象是產品或系統，ISMS應用的對象是組織，該體系基本沿襲了ISO 9000標準族的框架。

CC關注的核心是IT產品或系統，ISMS關注的核心是組織業務。通過CC評估的產品或系統，在假設的安全環境中，可以提供相應等級的安全保證。這些產品或系統一旦部署到應用場景，客戶關注點就轉至支撐業務的資產或系統，或者說關注的資產價值體現為其對業務的重要程度。到此時，ISMS才開始起作用。那么假設的安全環境應該什么樣子或者如何實現？ISMS被證明是良好實踐之一，至少是提供了一條可行的路徑。

CC的核心思想是安全工程學，即通過對信息安全產品的開發、評價、使用全過程的各個環節實施安全工程來確保產品的安全性[3]。ISMS的核心思想是“最佳實踐”，該詞匯現在一般表述為“良好實踐”，實際上就是一系列實踐經驗的集合，最有代表性的是全面質量管理（Total Quality Management，TQM）。

在認證框架方面，CC與ISMS也存在區別。信息技術評估通用方法（Common Methodology for Information Technology Security Evaluation，CEM）是與CC配套的標準，應用CEM是為了確保評估結果的可重復性和客觀性，這與ISMS中的風險評估過程類似。在此基礎上還需要一個獨立的認證過程，之后才能獲得證書。ISMS中雖然對風險評估有強制性要求，但是并不指定是否必須第三方實施。對ISMS整體符合性的評估過程稱為“審核（audit）”，通過審核的組織，即可以獲得證書。

5 小結

在本文中，首先對于CC和ISMS的起源和發展過程進行了比較，然后通過對比其開發過程的不同，給出了現有的支撐標準，接著通過分析風險模型得出其需求起源，最后分析了CC和ISMS兩者框架設計的異同及原因。由于本文討論的重點是CC和ISMS的整體邏輯或者核心思想，因此，沒有涉及CC中很重要的概念PP和ST等，在后續討論中，我們再對比其中細節的不同。

參考文獻

石竑松，高金萍，賈煒，等. CC標準中安全架構與策略模型的分析方法[J]. 清華大學學報（自然科學版），2016，56（05）：493-498.

譚良，佘堃，周明天. 信息安全評估標準研究[J].小型微型計算機系統，2006（04）：634-637.

劉偉，張玉清，馮登國. 通用準則評估綜述[J].計算機工程，2006（01）：171-173.

黃元飛，陳曉樺. 國家標準GB/T 18336介紹（一）[J].信息安全與通信保密，2001（06）：70-71.

James Backhouse， Carol W Hsu， Leiser Silva. Circuits of Power in Creating de jure Standards：

Shaping an International Information Systems Security Standard[J]. MIS Quarterly， 2006（30）： 143-438.

謝宗曉，王靜漪. ISO/IEC 27001與ISO/IEC 27002標準的演變[J]. 中國標準導報，2015（07）：48-52.