政策解读丨循标守法，企业网络安全管理体系的建设思路

当前，在世界各国激烈角逐“制网权”的网络空间新格局下，网络安全在保障数字社会建设、保障高质量可持续发展中的基础性和战略性地位日益突出。近年来，网络空间已逐渐成为继陆、海、空、天之后的第五大主权领域空间，也是国际战略在网络社会领域的映射，我国的网络安全正面临着日趋复杂和严峻的挑战。

为有效应对此形势，2020年7月，公安部研究制定了《贯彻落实网络安全等保制度和关保制度的指导意见》，该指导意见明确要求重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，健全完善国家网络安全综合防控体系，并具体提出了“三化六防”新举措。以下图1描述了“三化六防”的具体内容及其与所需安全能力的对应关系。

图1：安全能力需求与“三化六防”的对应关系

然而在网络安全领域，无论是国家关键信息基础设施还是其它行业信息系统的运营者（责任方），都必须面对如何加强和提升网络安全管理能力，以应对各类安全威胁和挑战这一重要问题。本文将针对此问题进行初步探讨，并提出相应建议。

一、如何加强和提升网络安全管理能力

1、建立和实施相对完备的信息安全管理体系

保障网络安全不能仅靠安全产品和服务的堆叠，更重要的是要建立和实施一套行之有效的信息安全管理体系。ISO27000系列标准族经过多年的实践和优化改进，已成为全球业界一致公认的指导性、通用型信息安全管理领域国际标准体系，在金融、制造业、航空运输、互联网等多个行业都有良好的最佳实践成功案例。组织机构或企业，可以参考此系列标准构建符合组织自身环境和需求的信息安全管理体系。

其中ISO 27001《信息安全管理体系要求》规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求，还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求；ISO 27002《信息安全控制实践指南》则为组织的信息安全标准和信息安全管理实践提供了指南，包括考虑了组织信息安全风险环境的控制的选择、实现和管理；ISO 27003《信息安全管理体系实施指南》关注设计和实施一个成功的信息安全管理体系（ISMS）所需的各个关键方面，并描述了从开始到产生实施计划的ISMS设计全过程。

2、确保信息安全管理体系的有效性，并使之持续改进

已建立的信息安全管理体系还须被评价或测量，以验证其是否按照实施计划得到了落实。此外，信息安全管理体系也不能一成不变，而是应持续改进以适应组织内部、外部安全环境的不断变化。为了评估按照ISO 27001建立和实施的信息安全管理体系（ISMS）和控制措施或控制措施组的有效性，ISO 27004《信息安全管理 测量》标准提供了如何编制测度和测量方案的方法及其使用指南。

在对ISMS进行持续改进方面，ISO 27001标准在其10.2章节明确提出了“组织应持续改进信息安全管理体系的适宜性、充分性和有效性”的要求；ISO 27003标准也在“9.4.1管理评审的计划”小节提出“宜制定一个计划，以确保管理者参与ISMS运行和持续改进的评审……”；ISO 27004标准也指出：“通过有效地实施信息安全测量方案，将提高利益相关者对测量结果的信任，并能使其利用这些测度实现对信息安全和ISMS的持续改进。累积的测量结果将允许把一段时间内实现信息安全目标的进展当作组织的ISMS持续改进过程的一部分。”

3、利用攻防演练等技术手段不断减少信息系统脆弱性

在技术层面，网络安全问题的本质就是攻防对抗。近几年，网络攻击的技术、手段和战术、理论都在快速发展，2020年曝光的MITRE ATT&CK框架即是一个明显的事例。而作为“防御”的一方，只有通过攻防演练等技术手段持续检测和修补信息系统的脆弱性，才能最大限度地降低系统面临的安全风险。为了更加有效地应对国家关键信息基础设施可能遭受的网络安全攻击，正在制定中的国家标准《关键信息基础设施安全保护要求》特别在最新送审稿中增加了“技术对抗”环节（如图2所示），并在第9章“技术对抗”的 “9.2 攻防对抗”一节还提出了“开展实战攻防演练和推演，重点防范关键人员社会工程学攻击，针对发现的问题和潜在的威胁源，制定相应对策”等具体要求。

图2：关键信息基础设施安全保护各环节关系图

在企业（组织）层面，ISO 27001标准在其“附录A 参考控制目标和控制”中明确提出了技术方面脆弱性的管理要求，并设定了“应及时获取在用的信息系统的技术方面的脆弱性信息，评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险”的控制目标；为落实该项要求和控制目标，ISO 27002标准则在其“12.6 技术方面的脆弱性管理”章节给出了“防止对技术方面脆弱性的利用”的具体措施和实施指南。

二、可借鉴的相关标准

如前文所述，建立、实施、持续改进信息安全管理体系并对其有效性进行测量可参照表1所示的ISO/IEC 27000系列标准中的4个标准（均已被等同采用为我国国家标准）。

表1：ISO/IEC 27000系列标准族中的部分主要标准

此外，我国的GB/T 22239《网络安全等级保护基本要求》及其配套GB/T 28448《网络安全等级保护测评要求》两个标准也从安全管理制度、机构、人员及安全建设管理、安全运维管理共5个方面对安全管理体系提出了较为全面的要求和评价方法。信息系统的运营者（责任方）可根据自身所属行业合规要求及安全环境等因素选择可借鉴和参考的标准。

三、总结

综上所述，加强网络安全管理（治理）需要全社会的共同努力，在国家层面，制定和完善网络安全方面的法律法规和政策，是实现网络环境的安全治理的必要途径。而在企业（组织）层面，建立并实施一个切实有效的信息安全管理体系并使之持续改进，且将信息系统的脆弱性保持在尽可能少的状态对于加强和提升网络安全管理能力来说则至关重要。

在信息安全管理体系相关标准方面，我国的网络安全等级保护标准提出了5个层面的管理要求，与5个技术层面要求完全分开，更加便于责任分工与落实；制定中的《关键信息基础设施安全保护要求》则是以等级保护标准为基础，并在“识别—防护—检测—监测—处置”模型的基础上增加了“技术对抗”环节；而ISO27000信息安全管理体系相关国际标准则更加强调安全从本质上来说是管理问题，而非技术问题，但部分安全控制目标必须借助技术手段来实现。

这些标准所体现的思想和理念从表面上来看似乎截然不同，但如果从风险管理在网络安全领域的应用实践角度来分析，它们的实质却是相同的，即任何信息系统的运营者（责任方）都必须以其应当并能够承担的成本和代价确保其信息系统面临尽可能低的安全风险。

相关内容推荐：

• ISO27001信息安全管理体系标准详解！

• ISO27000信息安全管理认证标准族有多少个标准?

• 2020年国内最重要的网络安全政策