信息安全等级保护制度从1994年提出,到现在也有10个年头了,为什么持续许久,“天时”未到。随着信息网络应用加深和安全事件的增多,企业和政府都面临着信息安全的问题,“天时”具备了。
作为资产的拥有者企业首先走出了信息安全管理的第一步。目前企业在进行信息安全实施的过程中主要依照的是ISO 27001国际信息安全管理体系标准,“地利”具备了。
等级保护制度“十年一剑”,从引进国外标准到提出符合国情的“分级保护”制度,思想也越来越成熟,从分级标准到检查准则都相继出台,可行性也逐步加强,得到了企业的普遍认可,“人和”的条件也具备了。
      但是一个是国际的信息安全标准,一个是国家的信息安全政策,如何协调两者的关系,做到“一箭双雕”,而不是重复投资,需要企业和政府在实施标准和履行政策上加一协调,统筹安排。下面作者将结合自己的实践和理解,提出对信息安全等级保护的个人看法。
一、信息安全等级保护制度和ISO 27001标准的概念
1.1 什么是信息安全等级保护制度?
信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。其核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
等级保护的主要内容有4点,(1)对信息系统按业务安全应用域和区实行分级保护。(2)对系统中使用的信息安全产品实行按分级许可管理。(3)对等级系统的安全服务资质分级许可管理。(4)对信息系统中发生的信息安全事件分等级响应、处置。
1.2 什么是ISO 27001标准?
信息安全管理体系国际标准起源于英国的BS 7799标准系列,后形成国际标准ISO/IEC 17799和ISO/IEC 27001。该标准主要由两大部分组成:ISO17799即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO/IEC 17799,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。
从标准的两个部分来理解,ISO 27001是一个总的指导思想,依据是“PDCA”(PLAN、DO、CHECK、ACTION)的“戴明环”管理思想,是一个整体的信息安全管理框架,强调的是建立一个持续循环的长效管理机制;而ISO 17799就是具体的信息安全管理流程,是在ISO 27001整体框架指导下具体的信息安全细节。组织通过若干管理和技术措施,形成一个以体系文档为保证的控制流程,从而保证组织业务的连续性,并可以通过国际认证机构的严格审核,获得国际信息安全认证证书。
二、信息安全等级保护制度与ISO 27001标准的差异
从信息安全等级保护制度和ISO 27001标准的内容来看,两者既有相同的地方又有不同之处:
2.1两者的出发点不同。
信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点,从宏观上指导全国的信息安全工作,目的是构建国家整体的信息安全保障体系,ISO 27001标准是以保证组织业务的连续性,缩减业务风险,最大化投资收益为出发点,目的是保证组织的业务连续性。
2.2两者的分级标准不同。
等级保护实施的前提是分级,针对不同的等级,提出了不同的安全要求;ISO 27001标准的第一步也是风险评估,根据资产的价值和所面临的风险进行分级,然后针对不同的风险选择相应的风险处置措施。虽然都是从分级入手,但是两者的分级标准不同。等级保护的分级主要考虑四个方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,等级保护的分级以组织外部影响为依据。而ISO 27001标准的分级是根据资产、威胁、脆弱点、影响、风险等各个因素之间的关系,采取定量或者定性的方法进行分级分类,采取何种风险处置措施,也是组织根据自己对风险的接受程度而决定。ISO 27001标准以组织内部业务影响为依据。
2.3两者的安全分类不同。
等级保护和ISO 27001标准都从技术和管理两个方面提出了信息安全的具体要求。等级保护有10个方面的要求,技术方面有:物理安全、网络安全、主机系统安全、应用安全、数据安全,管理方面有:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理;而ISO 27001标准有11个方面,分别是:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项目。
三、信息安全等级保护制度与ISO 27001标准的共性
尽管两者在很多内容上都存在着差异,但是两者也有很多共同之处:
3.1两者是相辅相成的。
信息系统都是分布于各个组织内部,组织内部的信息安全是国家整体信息安全的基础,网络的互联和信息的共享,一个组织内部的信息系统遇到风险业务中断,就可能导致一系列的信息安全连锁反应,国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响,组织的风险来自内部也来自外部,一个组织要和外界互联共享就必然面临风险,很难想象一个组织能够在一个不安全的信息网络环境中安然无恙。
3.2两者风险处理思想相同。
信息安全没有百分之百的安全,所以无论是等级保护还是ISO 27001标准都在实施之前强调分级分类,只有找出信息安全保护的重点,才能把有限的资源投入到信息安全的关键部位,做到统筹安排,而不是“眉毛胡子一把抓”。
3.3两者在安全分类上的共同点。
虽然等级保护和ISO 27001标准在安全措施分类上存在差别,但是很多项目都是共通的,如等级保护对“网络安全”的要求,就分别体现在ISO 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。无论是技术还是管理上的安全措施,两者都或多或少的存在共性。
四、信息安全等级保护是否可以与ISO 27001标准同步实施?
根据以上比较,信息安全等级保护制度和ISO 27001信息安全管理国际标准既存在着差异又有共性,等级保护是一个宏观的信息安全政策,而ISO 27001标准是一个具体的信息安全管理标准,两者是否可以同步实施呢?
ISO 17799标准的条款之一“法律法规符合性”规定了组织在实施信息安全过程中要与当地的法律法规相符合。等级保护作为我们国家的信息安全的基本国策,当然是组织实施信息安全管理需要符合的。同样等级保护也应该借鉴国际标准的先进管理思想,在实现整体的信息安全水平过程中,推进组织的信息安全能力,等级保护的测评记录也可作为实施ISO 27001标准的文档依据。
从两者的对照关系来看,三级以下的组织实施了ISO 27001标准,基本能够符合信息安全等级保护制度的要求;但是对于承载国家安全的信息系统而言,仅实施ISO 27001标准还远远达不到等级保护的要求,所以笔者认为:
4.1三级以下的组织以ISO 27001标准为主线落实等级保护制度。
等级保护的工作重点在二、三、四级上,而三级的安全要求也基本和ISO 27001标准内容匹配,所以两者还是可以协同完成的。等级保护检查准则基本和ISO 17799的条款类似,都从管理和技术两个方面入手,横向的IT系统的整个生命周期,纵向的分层次安全。等级保护的检查和ISO 27001的审查也比较类似。可以把等级保护看作组织实施信息安全管理的一个里程碑,而实施ISO 27001 标准的文档又可以是组织落实等级保护制度的依据。
4.2三级以上的组织以等级保护为主线借鉴ISO 27001标准。
三级以上的等级保护要求又超过了ISO 27001标准,仅仅实施ISO 27001标准还达不到等级保护的要求,所以必须以等级保护作为主线来推进组织的信息安全管理。在落实等级保护的过程中可以借鉴ISO 27001的标准的流程框架,将等级保护的检查准则和ISO 27001标准的实施指南结合起来,相互借鉴共同实施。