信息安全管理是目前信息安全領(lǐng)域里最熱門的話題之一，而作為指導和規(guī)范信息安全管理的標準更是重中之重，因為得標準者得“天下”。在信息安全管理領(lǐng)域里，由于標準眾多，對于標準的爭論從未停息過。本文介紹了安全管理中的“熱門”標準。

        信息安全管理是目前信息安全領(lǐng)域里最熱門的話題之一，而作為指導和規(guī)范信息安全管理的標準更是重中之重，因為得標準者得“天下”。

        在信息安全管理領(lǐng)域里，由于標準眾多，對于標準的爭論從未停息過。

         國際上，有ISO/IEC的國際標準17799、13335;西方國家，有美國國家標準和技術(shù)委員會(NIST)的特別出版物系列、英國標準協(xié)會(BSI)的7799系列;在我國，有風險管理、災難恢復的國家政策。

        同信息安全管理交叉的ITIL、同信息系統(tǒng)審計相關(guān)的薩班斯404條款與控制目標(CoBIT)，以及信息安全管理系統(tǒng)、風險管理、業(yè)務持續(xù)性和災難恢復等方面的國際、國家、組織機構(gòu)和企業(yè)的信息安全管理標準，都已經(jīng)成為信息安全界耳熟能詳?shù)臒衢T詞匯。

        安全管理中的“熱門”標準

       近年來，國際ISO/IEC和西方一些國家開始發(fā)布和改版一系列信息安全管理標準，使安全標準進入了一個繁忙的改版期。

        這表明，信息安全管理標準已經(jīng)從零星的、隨意的、指南性標準，逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。

         要了解信息安全管理標準和發(fā)展，首先我們需了解主要“門派”、影響和使用認可范圍。

         國際標準ISO/IEC

         首先需要介紹的是國際上最權(quán)威的由國際標準化組織(ISO)和國際電工委員會(IEC)所制定的國際標準。

         ISO和IEC是世界范圍的標準化組織，它由各個國家和地區(qū)的成員組成，各國的相關(guān)標準化組織都是其成員，他們通過各技術(shù)委員會，參與相關(guān)標準的制定。

        為了更好的協(xié)作和共同規(guī)范信息技術(shù)領(lǐng)域，ISO和國際電工委員會(ITU)成立了聯(lián)合技術(shù)委員會，即ISO/IEC JTC1，負責信息技術(shù)領(lǐng)域的標準化工作。其中的子委員會27專門負責IT安全技術(shù)領(lǐng)域的標準化工作。

        ISO/IEC聯(lián)合技術(shù)委員會1子委員會27(ISO/IEC JTC1 SC27)是信息安全領(lǐng)域最權(quán)威和國際認可的標準化組織，它已經(jīng)為信息安全保障領(lǐng)域發(fā)布了一系列的國際標準和技術(shù)報告，為信息安全領(lǐng)域的標準化工作做出了巨大貢獻。

        在ISO/IEC JTC1 SC 27所發(fā)布的標準和技術(shù)報告中，目前最主要的標準是ISO/IEC 13335、ISO/IEC 17799等。

        另外，ISO/IEC JTC1 SC27正在對信息安全管理系統(tǒng)(ISMS)國際標準族進行開發(fā)，此標準族將采用27000系列號碼作為編號方案，并將綜合信息安全管理系統(tǒng)要求、風險管理、度量和測量以及實施指南等一系列國際標準。

        隨著ISO/IEC 27000系列標準的規(guī)劃和發(fā)布，ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。

       2005年，ISO/IEC在信息安全管理標準的主要發(fā)展趨勢是:改版ISO/IEC 17799，并正式發(fā)布ISO/IEC 17799:2005。ISO/IEC 17799建立了組織機構(gòu)內(nèi)啟動、實施、維護和改進信息安全管理的指導方針和通用原則。

       此外，ISO/IEC 13335將從原先的技術(shù)報告變?yōu)檎降膰H標準。ISO/IEC 13335是ISO/IEC JTC1 SC27中關(guān)于風險管理、IT安全管理的一個重要的標準系列。

        ISO/IEC 13335另一個重要的變動是從原先包含五部分的技術(shù)報告，變動為現(xiàn)在重新立項的包含兩部分的國際標準，即信息和通信技術(shù)安全管理標準。

        還有，ISO/IEC將采用27000系列號碼作為編號方案，將原先所有的信息安全管理標準進行綜合，并進行進一步的開發(fā)，形成一整套包括ISMS要求、風險管理、度量和測量以及實施指南等在內(nèi)的信息安全管理體系。

         西方國家的信息安全管理標準

         信息安全是一項涉及國家安全的領(lǐng)域，在西方發(fā)達國家信息安全管理的實踐中，制定了一些自有的標準，并形成一整套自有的、完整的信息安全管理體系。

        美國信息安全管理標準體系

        2002年，美國通過了一部聯(lián)邦信息安全管理法案(FISMA)。根據(jù)它，美國國家標準和技術(shù)委員會(NIST)負責為美國政府和商業(yè)機構(gòu)提供信息安 全管理相關(guān)的標準規(guī)范。因此，NIST的一系列FIPS標準和NIST 特別出版物800系列(NIST SP 800系列)成為了指導美國信息安全管理建設(shè)的主要標準和參考資料。

         在NIST的標準系列文件中，雖然NIST SP并不作為正式法定標準，但在實際工作中，已經(jīng)成為美國和國際安全界得到廣泛認可的事實標準和權(quán)威指南。

        目前，NIST SP 800系列已經(jīng)出版了近90本同信息安全相關(guān)的正式文件，形成了從計劃、風險管理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系。

        2005年，NIST SP 800系列最主要的的發(fā)展是配合FISMA 2002年的法案，建立以800-53等標準為核心的一系列認證和認可的標準指南。

       英國信息安全管理標準體系

        同美國NIST相對應，英國標準協(xié)會(BSI)是英國負責信息安全管理標準的機構(gòu)。在信息安全管理和相關(guān)領(lǐng)域，BSI做了大量的工作，其成果已得到國際社會的廣泛認可。

         最讓人關(guān)注的是BS 7799的第一部分，它已成為國際ISO/IEC 17799國際標準。另外，其BS 15000系列標準。也成為指導ITIL的公認標準。

        現(xiàn)在，隨著BS 7799被廣泛接受，BSI準備進一步將它推向全世界，為各個國家的組織機構(gòu)提供BS 7799的認證服務。

        國內(nèi)信息安全管理標準

        相比國外，國內(nèi)的信息安全領(lǐng)域的標準起步較晚，但隨著2002年全國信息安全標準化技術(shù)委員會(簡稱信息安全標委會)的成立，信息安全相關(guān)標準的建設(shè)工作開始走向了規(guī)范化管理和發(fā)展的快車道。

        從20世紀80年代開始，在信息安全標委會和各部門各界的努力下，本著積極采用國際標準的原則，轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標準，為我國信息安全技術(shù)的發(fā)展做出了一定貢獻。

        同時，公安部、國家安全部、國家保密局、國家密碼管理委員會等相繼制定和頒布了一批信息安全的行業(yè)標準，為推動信息安全技術(shù)在各行業(yè)的應用和普及，發(fā)揮了積極的作用。

         現(xiàn)在，在信息安全標委會中，成立了信息安全標準體系與協(xié)調(diào)工作組(WG1)、鑒別與授權(quán)工作組(WG4)、信息安全評估工作組(WG5)和信息安全管理工作組(WG7)四個工作組，它們在對我國信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展方面，起到了積極作用。

        從信息安全管理的建設(shè)和評估角度看，信息安全管理和信息安全評估分別建設(shè)和規(guī)范了信息安全管理的相關(guān)標準。

        近年來(特別是2005年)，信息安全管理標準化工作中主要的研究熱點包括:信息安全國際標準的轉(zhuǎn)化(主要是國際ISO/IEC 17799和ISO/IEC 13335的采標工作);風險管理指南的標準化工作(主要是風險評估和風險管理指南的標準化工作);以及信息系統(tǒng)評估的標準制定工作(主要是信息系統(tǒng)安全 保障評估框架標準的編制工作等)。

        這些工作將在近兩年內(nèi)完成，其標準化的流程將成為正式的國家標準，指導和規(guī)范我國的信息安全管理工作。

       信息安全是一個綜合的交叉學科，信息安全管理領(lǐng)域的很多內(nèi)容同信息技術(shù)服務、信息系統(tǒng)審計等有著非常密切的聯(lián)系。

        在此，我們希望向用戶傳達這樣一個思想，信息安全管理不應該成為一個孤立的、為安全管理而管理的學科，信息安全管理應同IT服務、信息系統(tǒng)審計等建立密切的聯(lián)系，更好地服務于用戶應用。

        “天下”且須這樣得

         一套完善的信息安全管理體系，應該包括規(guī)范化的信息安全管理內(nèi)容、以風險和策略為核心的建設(shè)方法、定性和定量的度量信息安全管理。

        同時，信息安全管理體系應該能夠?qū)⑿畔踩芾硗畔⑾到y(tǒng)審計、信息系統(tǒng)內(nèi)控體系、信息技術(shù)服務體系相互結(jié)合，形成有安全保障的信息系統(tǒng)運維管理體系，以真正達到保護組織機構(gòu)信息和信息資產(chǎn)的安全，保護業(yè)務持續(xù)性。

        制定標準是用來規(guī)范企業(yè)行為，在應用標準時，我們需要把握如下一些要點。

        要點一:使用信息安全管理標準，規(guī)范信息安全管理的內(nèi)容。

        隨著信息安全標準的發(fā)展(特別是2005年)，信息安全標準的主要特征已從原先形勢隨意的最佳實踐方式，發(fā)展到層次結(jié)構(gòu)化的安全管理控制集合，形成了信息安全管理標準的一個主流趨勢。

       信 息安全管理相關(guān)人員可以使用這些標準中規(guī)范化的安全管理控制措施，規(guī)范其信息安全管理的內(nèi)容和范圍。

        信息安全管理標準中所提供的管理控制措施有如下幾項。

         ISO/IEC 17799:2005年第2版的改版中，最主要的變動是以層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通 信和運行管理、訪問控制、信息系統(tǒng)采購、開發(fā)和維護、信息安全事故管理、業(yè)務持續(xù)性管理、符合性這11個安全控制章節(jié)，還有39個主要安全類和133個具 體控制措施，以規(guī)范化組織機構(gòu)信息安全管理建設(shè)的內(nèi)容。

        美國NIST SP 800-53聯(lián)邦信息系統(tǒng)推薦安全控制:提供了安全控制的層次化、結(jié)構(gòu)化的安全控制措施要求，意識和培訓，認證、認可和安全評估，配置管理，持續(xù)性規(guī)劃， 事件響應，維護，介質(zhì)保護，物理和環(huán)境保護，規(guī)劃，人員安全，風險評估，系統(tǒng)和服務采購，系統(tǒng)和信息完整性這13個安全管理和運營控制族以及106個具體 控制措施。

         Cobit:提供了規(guī)劃和組織、采購和實施、交付和支持以及監(jiān)控4個域，還有34個表達IT過程的高層控制流程以及多達318個控制目標。

         通過解決這34個高層控制目標，組織機構(gòu)可以確保已為其IT環(huán)境提供了一個充分的控制系統(tǒng)。