政务试点27001标准,助力等级保护制度建设
文/林强
摘要:
本文主要是讨论根据现阶段公安部推行的信息安全等级保护制度标准和工信部标准化工作组引进的国际标准ISO/IEC27001标准(等同国内GB/T22080:2008标准)之间特征差异点,解读在政务中试点27001国际标准,助力等级保护制度建设。
1 简介
信息安全等级保护制度在国内最早从1994年提出《中华人民共和国计算机信息系统安全保护条例 》,早在2003年就明确要求抓紧建立信息安全等级保护制度见《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);2004年,公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》(66号文件);2006年1-10月份,在全国范围内对试点单位进行实行等级保护;2007年由公安部、国家保密局、国家密码管理局、国务院信息化办公室发布了公通字43号文,印发了《信息安全等级保护管理办法》通知。随着信息网络应用加深、IT业务在单位内的比重越来越大、同时引发的安全事件暴涨式的增多,企业和政府都面临着越来越多信息安全的问题。这个阶段公安部加紧等保建设,在等级保护实施流程方面出台有《定级指南》、《基本要求》、《实施指南》、《测评指南》等标准,并在09年随着等级保护测评机构得到各地公安厅许可下纷纷建立。到此,等级保护建设有了明确的规范化标准化。
在国内,作为资产的所有者企业因为竞争的环境加剧、社会的信息化程度越来越高,不再等待政策化的等级保护标准落地,在信息安全方面已经首先走出了信息安全管理的第一步。目前相当多的企业在进行信息安全实施的过程中主要依照的是2005年发布的ISO/IEC 27001:2005国际信息安全管理体系标准(前身源于1995年英国标准协会发布的BS7799)。目前,在国内许多的重点企业已经通过了信息安全管理体系标准ISO/IEC 27001:2005(等同国家标准《GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求》。发布日期2008年11月)。
等级保护制度经过了十多年的推行,从引进国外标准到提出符合国情的以分级保护原则的制度,具体实施详细过程见(附录1),以典型单位试点推广使得等级保护的思想及方法应用越来越成熟,从分级保护的《定级指南》到《测评准则》等相继出台,建立了以公安部主管的信息安全测评机构,操作上的可行性也逐步加强,这种方法已得到了企业的普遍认可。
我们在国际的信息安全标准与国家的信息安全政策之间,如何协调两者的关系,在企业不做重复投资情况下,如果能够“一箭双雕”,既引进了国际标准,又满足了国家安全政策,需要政府和企事业单位在实施标准及履行国家政策上进行统筹安排、合理规划,在2009年国内多家重点政务单位已建立起ISO/IEC 27001:2005标准为主的信息安全管理体系,助力促进等保制度完整落实。
2 信息安全等级保护制度和ISO/IEC 27001标准的概念介绍
2.1 什么是信息安全等级保护制度?
信息安全等级保护制度对信息系统主要采用等级化保护和等级化管理。根据信息系统应用业务系统的重要程度及其实际情况进行分级定级、风险需求、分类、分阶段形式实施保护,保障信息系统在等保基础上持续地安全运行,从而维护了国家利益、公共利益和社会稳定。等级保护制度的核心是对信息系统特别是对业务应用系统安全施行分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作主要通过政策法令和技术规范形式逐级加强监管力度。同时由等级保护测评机构通过及公安部网监部门监督,宏观角度保障重要信息资源和重要信息系统的安全。
具体内容可以参见等级保护标准《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等。
2.2 什么是ISO/IEC 27001标准?
信息安全管理体系国际标准ISO/IEC 27001起源于英国的BS7799标准系列,后形成国际标准ISO/IEC 17799:2005并同年10月转换成ISO/IEC 27001:2005。类似ISO9000体系,ISO/IEC27001也是由一套完整的协议族组成,其中部分标准号正在开发中,具体包括:(1)ISO/IEC 27000,基础和术语;(2) ISO/IEC 27001,信息安全管理体系要求;(3) ISO/IEC 27002,信息安全管理最佳实践;(4) ISO/IEC 27003,ISMS实施指南;(5) ISO/IEC 27004,信息安全管理度量和改进;(6)ISO/IEC 27005,信息安全风险管理指南;(7)ISO/IEC 27006,信息安全管理机构审核及认证管理要求。
我们企业主要关注的是ISO/IEC27001:2005标准主要由两大部分组成:(1)《ISO/IEC 27001信息安全管理体系要求》(Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,参考了“PDCA”(PLAN、DO、CHECK、ACTION)的“戴明环”管理思想,详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,是一个整体的信息安全管理框架,强调的是建立一个持续循环的长效管理机制;可用来指导相关人员应用ISO/IEC 27001附录A(ISO/IEC 17799),其最终目的是通过规范的过程,建立适合组织实际要求的信息安全管理体系;(2)附录A,直接引用于ISO17799即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施,是在ISO/IEC 27001整体框架指导下具体的信息安全细节。组织通过若干管理和技术措施,形成一个以体系文档为保证的控制流程,从而保证组织业务的连续性,并可以通过赛宝认证中心等第三方权威认证机构的严格审核,获得国际信息安全认证证书。
3 信息安全等级保护制度与ISO/IEC 27001标准特征差异点
通过详细研究两大标准的内容来看,存在的重要差异点有:
3.1角度目的不同。
就全国范围来看,信息安全等级保护制度的出发点建立是以国家安全、社会秩序和公共利益,通过国家公安部的行政法规手段宏观调控全国的信息安全工作,目的是在体系建立后保障了国家整体的信息安全,提高政务单位的信息安全水平。而国际化ISO/IEC 27001标准的出发点是以保证组织业务连续性,减少业务风险,加强国际间信息安全互通,从而最大化企业投资收益,目的是保证组织的业务连续性,降低运作风险,现主要由工业和信息化部认监委认可的第三方中立的权威信息安全认证机构审核认证,适合于业务信息化程度较高或在业务战略上有需要的政府机构及企事业单位使用。
3.2分级形式不同。
等级保护在实施前提条件是分等级,是根据业务系统重要程度划分不同等级(1-5级),从而提出不同等级的安全要求;ISO/IEC 27001标准的实施基础是风险评估,是根据经营业务范围中的资产价值和所面临的风险划分,针对不同的风险程度(高、中、低)选择相应的风险处置措施。虽然都是通过安全等级方法,但是在划分等级方法则是完完全全不同。等级保护的分级主要考虑以下方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,因此等级保护的分级以组织外部影响为依据,整体的给业务系统划分在某一个等级,例如:OA系统定级为3级,则所有涉及的都需要按3级的实施要求进行,形成在资金方面可能需要很大投入。而ISO/IEC 27001标准的分级是根据风险评估每个资产威胁、脆弱点、影响、风险等各个因素之间的关系,采取定量或者定性的方法进行分类,分别采取何种风险处置措施,组织可以根据自己对风险的接受程度而决定,分点控制的方式可以很大的保证资金合理调配在适当的风险控制点。
3.3划分类别不同。
等级保护标准和ISO/IEC 27001国际标准都考虑了从技术和管理两个方面提出了对信息安全的具体要求。等级保护标准要求中有10个方面,技术方面有:物理安全、网络安全、主机系统安全、应用安全、数据安全。管理方面有:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。在ISO/IEC 27001标准则有11个方面,分别是:安全策略方针、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项。从技术角度来讲,等级保护要求体现技术方面会更精细,适合IT化安全运作;从管理角度来讲,ISO/IEC 27001标准覆盖面更广,通过管理方法把控风险点,适合公司范围宏观考虑。
3.4 要求点/要求项不同。
在等级保护标准中,根据要求点/要求项,某部分举例如图1所示,前面一项为要求点,后面为对应的要求项。如在技术要求的物理安全中,定级为一级的物理要求点为7个,相对应要求项为9个。
图1 定义的各级要求点/要求项
等级保护要求总分布如图2所示:
图2 《基本要求》控制点的分布
如图2所示,在二级与一级之间,三级与二级之间要求项的增加比较显著,尤其是三、二级之间,尽管控制点的增加不多,但在具体的控制点上增加了要求项,故整体的级差增强较显著。在要求点强度上也是逐级增强。例如:一级对主机系统安全的“安全审计”,二级只要求“审计范围应覆盖到服务器上的每个操作系统用户和数据库用户”;而三级则在对象的范围上发生了变化,为“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户”。覆盖范围不再仅指服务器,而是扩大到服务器和重要客户终端了,表明了该要求项强度的增强。
在ISO/IEC27001标准,主要由11个控制域,39个控制目标和133种控制措施组成。 133个控制措施可根据企业适用性声明文件进行删减。标准实施可操作性强,要求点无级别递增。见如下图3(具体见ISO/IEC 27001:2005)。
图3 ISO/IEC 27001的要求
4 信息安全等级保护制度与ISO/IEC 27001标准共同特征
尽管两者在很多内容上都存在着较大差异,但是两者也有很多共同之处:
4.1互为相辅相成。
信息系统都是分布应用在组织内部,组织内部的信息安全也是国家整体信息安全的基础,开放共享的互联网络,假如一个组织内部的信息系统遇到风险业务中断,就可能导致一系列的信息安全事件,乃至涉及国家安全,例如:09年5月由一个节点DNS引发的六省断网事件,对我国的骨干网提出了严峻的考验。在信息化建设很成熟的同时,我们的信息安全也亟需及时跟上节奏,因为国家整体的信息安全水平是需要体现在每个组织的信息安全能力上,只有通过健全每个组织内外部网络的安全网络,方能构架国家级网络安全。
4.2风险处理考虑一致。
大家都知道,网络没有百分之百的安全,每天都有新的安全漏洞会不断涌现,经常出现来不及或懒得去堵漏洞,也有人认为,内网网隔离,网络无风险,有漏洞不需要修补。殊不知,一个U盘就有可能把整个隔离的网络搞垮,具有这些想法的管理者理解都是错误的。从持续变化的外部环境来看,无论是等级保护还是ISO/IEC 27001标准都在实施之前强调风险的分级分类,只有通过分级方法找出了信息安全保护的关键,才能把有限的资源合理调配,做到统筹兼顾。
4.3安全分类共性。
等级保护制度和ISO/IEC 27001标准在安全措施分类方面虽然存在差异,但是很多措施分类都是共性的,如等级保护对“网络安全”的要求,就分别体现在ISO/IEC 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。无论是技术还是管理上的安全措施,两者在要求点上都或多或少的存在共性。
5 信息安全等级保护制度与ISO/IEC27001标准互用一致
通过上文的比较看,等级保护是一个宏观的信息安全政策,而ISO/IEC 27001标准是一个具体的信息安全管理体系标准。
ISO/IEC 27001的条款之一“法律法规符合性”规定了组织在实施信息安全过程中要与当地的法律法规相符合。等级保护制度作为国家层面的信息安全的基本国策,组织在实施信息安全管理时是必须要需要符合的。同样等级保护也可借鉴国际标准的先进管理思想,在实现整体的信息安全水平过程中,推进组织的信息安全能力,整合的信息安全文件也应能做为等级保护的测评以及ISO/IEC 27001标准认证审核依据。
通过对两个标准内容的比较,对于信息系统定位在三级以下的组织实施了ISO/IEC 27001标准,基本可以体现符合信息安全等级保护制度要求;但是对于承载国家安全、涉密信息项目的信息系统而言,仅实施ISO/IEC 27001标准又远达不到等级保护的要求。
5.1三级以下的组织可实施ISO/IEC 27001标准为主落实等级保护制度为辅。
等级保护工作关注的重点放在三、四级上,三级及以上的组织实施等级保护制度每年必须受当地监督机构审查,而定级三级以下的安全要求基本和ISO/IEC 27001标准内容匹配,所以两者还是可以互辅协同完成。定级三级以上信息系统的等级保护要求高于ISO/IEC 27001标准要求,仅仅实施ISO/IEC 27001标准还远远达不到等级保护标准的要求,所以在实施等级保护时可以适当借鉴ISO/IEC 27001标准的流程、框架、术语要求、通过运用PDCA方法,将等级保护的检查准则、实施要点和ISO/IEC 27001标准的实施指南结合起来,相互借鉴共同实施。
5.2获取ISO/IEC 27001国际承认信息安全体系证书(见附录2)
通过整篇文章分析,实施ISO/IEC27001可以为等级保护建立良好的安全管理基础,提供PDCA过程化改进方法,对于促进国家等级保护制度建设有很大的帮助。在实施ISO/IEC 27001的组织只有获取国际认证证书,表明组织的信息安全水平已经达到国际先进。信息安全体系运行时将涉及识别组织的整体的业务风险状况,作为政府单位,从国家层面信息安全角度考虑,建议向国内专业认证机构申请认证。
中国赛宝认证中心从2000年开始就开展了信息安全管理体系ISO27001/ BS7799的认证试点工作,是中国首批获得国家认监委批准开展ISMS认证的机构之一。为了满足客户更高的国际认可需求,并实践“公正、科学、服务、价值”的服务理念,赛宝认证中心于2009年正式获取ANAB(美国国家标准协会)认可。至此,赛宝认证中心是第一家获得ANAB ISMS认可的中国认证机构。
作者简介:林强,现任赛宝认证中心技术发展部技术经理。主要从事IT 治理、ISO/IEC 27001、ISO/IEC 20000等体系的研究和技术服务工作。 CISP国家注册信息安全人员、ISO/IEC27001审核员、ISO/IEC 20000审核员。
附录1: 流程化等级保护制度
1. 信息系统分类(依据<定级指南>给信息系统定级);
2. 选择控制措施保护信息系统(依据登等级保护<基本要求>对信息系统选择基线保护措施);
3. 对信息系统的保护措施选择合理的安全控制措施(根据<基本要求>对等级保护单位的实际情况进行合理的细分控制目标);
4. 对安全控制措施实施文档化(定级报告,风险评估报告,规划整改报告,系统调整报告,测试报告,发展规划报告等等);
5. 实施安全控制措施(对系统进行实施有效的安全控制措施);
6. 信息系统通过等保测评机构进行认证(对系统技术及管理安全措施进行完整性的评估);
7. 信息系统通过网络监督机构进行许可(公安网监部门颁发信息系统认证合格证书,允许系统上线运行);
8. 重要信息系统的持续运营须符合公共信息安全监察部门的年度监管要求。
附录2: 获取ISMS ISO/IEC 27001国际认证认证基本流程
1. 组织应建立符合ISO27001:2005标准要求的文件化信息安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系的有效、充分运行三个月以上;
2. 组织应向认证机构提供信息安全管理体系运行的充分信息,对于多现场应说明各现场认证范围、地址及人员分布等情况,认证机构将以抽样的方式对多现场进行审核;
3. 组织如要求,可向认证机构提出预审核的申请;
4. 认证分两个阶段进行:第一阶段文件审核,文件审核可在组织现场或非现场进行;第二阶段现场审核;
5. 获得认证后每年进行一次监督。