2014-11-30 16:47:09
一、引言
2003年,《國家信息化領導小組關于加強信息安全保障工作的意見》(2003[27]號)中第一次把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,提出了“管理與技術並重”的指導思想,明確了安全管理在網絡與信息安全領域中的重要地位。《國務院關于大力推進信息化發展和切實保障信息安全的若幹意見》(國發[2012]23號)中更是多次強調加強安全管理工作的重要性,如嚴格重要資訊係統和基礎資訊網絡安全管理;加強政府資訊係統安全管理;嚴格政府信息技術服務外包的安全管理;制定政府信息安全管理辦法等要求。這些國家宏觀政策文件為加強和提升我國網絡與信息安全管理工作能力和水準提出了明確的要求。
標準作為國家網絡安全保障體係建設的技術支撐,是維護國家利益和保障國家安全的一種重要工具。2002年4月,全國信息安全技術標準化委員會成立,設立了信息安全管理工作組(WG7),主要負責信息安全管理領域的標準工作,具體工作范圍包括:1)跟蹤研究國內外信息安全管理標準動態;2)調研國內信息安全管理標準需求、研究提出信息安全管理標準體係;3)研究制定信息安全管理相關標準。這一目標下,我國的信息安全管理標準化工作堅持採用國際標準與自主研制並重的工作思路,陸續制定發布了信息安全管理體系係列標準、信息安全風險管理、信息安全災備應急與事件管理、信息安全服務與控制、政府監管或行業信息安全管理、個人資訊保護等方面的標準,初步建立了較為完善的信息安全管理標準體係框架,為我國各項信息安全保障工作提供了參考和技術支撐,為國家各部門網絡與信息安全管理工作提供了技術和理論依據。
二、我國網絡與信息安全管理標準概況
我國的信息安全管理標準研制工作是從跟蹤研究國際標準起步的。我國最早發布的信息安全管理標準是GB/T 19716:2005《信息技術 信息安全管理實用規則》,該標準等同採用當時的國際標準ISO/IEC 17799:2000,以及GB/T 19715.1-2005 《信息技術 信息技術安全管理指南 第1部分:信息技術安全概念和模型》(等同採用ISO/IEC TR13335-1:1996)和GB/T 19715.2-2005 《信息技術 信息技術安全管理指南 第2部分:管理和規劃信息技術安全》(等同採用ISO/IEC TR13335-1:1996)。隨著2005年國際信息安全管理體系標準族研制計劃的正式啟動,我們堅持跟蹤研究該係列標準發展動態,及時組織轉化了其中的基礎和核心標準,為我國信息安全管理工作提供了借鑒和參考。
隨著我國信息安全保障體係建設進入了全面規劃、統籌發展的新時期,與國家各項信息安全保障重要工作相適應,我國的信息安全管理標準化工作也有了較大的發展,取得了較為顯著的成果。截至2013年底,我國正式發布信息安全管理相關國家標準29項,正在制定過程中的管理標準23項,其中已發布標準中採用或參考國際信息安全管理標準13項。這些標準化成果主要覆蓋了以下領域或方面:
1)等同或修改轉化了國際信息安全管理體系標準族(即ISO/IEC 27000係列標準)中基礎、核心標準;
2)支撐信息安全管理體系實施的信息安全控制有關的技術標準或指南;
3)支撐國家電子政務建設、信息安全等級保護、政府資訊係統檢查等重點信息安全保障工作的配套安全管理標準;
4)有關信息安全風險評估與管理、應急與事件管理、災備服務管理、外包管理、供應鏈風險管理、個人資訊保護等的標準或規范;
5)新技術新應用相關的信息安全管理標準,包括工業控制係統安全管理、雲計算安全管理等。
三、國際信息安全管理標準現狀
ISO/IEC JTC1/SC27是國際標準化組織(ISO)和國際電工委員會(IEC)的聯合技術委員會JTC1(專門負責信息技術領域標準化工作)下專門負責信息安全領域標準化工作的分技術委員會。信息安全管理標準化工作佔據著其中非常重要的地位,無論是從標準數量還是標準族的整體規劃和部署來講,都得以充分體現。國際上主推的信息安全管理標準族主要是信息安全管理體系標準族,國際標準編號ISO/IEC 27000,目前由ISO/IEC JTC1/SC27的兩個工作組來具體負責這方面標準的研究和制定工作。其中,WG1(信息安全管理體系)主要負責ISO/IEC 27000 係列標準的維護和開發,識別未來信息安全管理體系標準與指南的需求,維護WG1標準路線圖,與SC27 其他工作組進行協作,特別是就標準ISO/IEC 27001中控制措施和控制目標實施的相關內容與WG4 進行協作;WG4(安全控制和服務)則主要負責開發和維護信息安全控制和服務相關標準,旨在為組織按照ISO/IEC 27000建立和實施信息安全管理體系提供技術支撐。為確保WG1和WG4制定的信息安全管理體系相關標準的易識別和完整性,SC27預留了信息安全管理標準號段:WG1涉及信息安全管理體系相關標準編號段為27000~27019,WG4涉及安全服務和控制相關標準編號段為27031~27049。
自2005年SC27啟動信息安全管理體系(ISMS)標準族研制工作以來,截至目前,SC27/WG1制定和維護的信息安全管理體系標準族項目共有20項。WG4制定的有關信息安全控制和服務標準近50項,主要滿足以下三類需求:(1)對潛在的和新出現的信息安全問題(包括威脅和脆弱性)進行準備和響應的需求;(2)對已知安全問題的發生進行管理和預防的需求;(3)針對已發生的信息安全違規和損害進行管理的需求,包括保護、發現、響應、探討信息安全問題或由信息安全係統或資産災害導致的安全事件。
近幾年,有關信息安全管理體系專業人員能力、能源行業信息安全管理、供應鏈安全、安全事件調查和證據、雲計算安全與隱私等是國際標準化領域的研究熱點主題,持續跟蹤、及時參與和發聲,對于將我國優勢特色技術制定為國際標準、爭取國際標準話語權等具有重要的意義。
四、下一步標準研制思路與建議
在當今我國網絡安全形勢越來越嚴峻和復雜的情況下,日新月異的信息技術發展迅速,信息技術産品和服務形式越來越多樣化,繼續重視網絡安全管理標準建設工作,明確國家網絡安全保障工作重點,及時研究制定相應的網絡安全管理標準變得十分迫切,這也將為我國全面提升網絡安全管理能力和水準奠定理論和和技術基礎。
(一)繼續完善信息安全管理體系標準族
信息安全管理體系目前世界上應用最為廣泛的一套安全管理標準,是國內外信息安全管理體系認證工作的主要技術依據和參考,我國亦不例外,在國內目前廣泛開展的市場化信息安全管理體系認證工作中,明確要求將GB/T 22080《信息技術 安全技術 信息安全管理體系 要求》作為認證工作的依據。同時從國際標準ISO/IEC 27000標準族不斷改進和完善的情況來看,下一步我國信息安全管理體系標準族也應該根據國際發展動態,及時修訂完善現有標準,制定新標準,形成完整的信息安全管理體系標準族,為國內具有信息安全管理體系使用需求的相關用戶和意在提高自身信息安全管理水準的用戶提供參考。
(二)配合信息安全政府監管工作,制定相關標準
配合國家各主管部門網絡安全保障工作需要,諸如網絡安全審查、等級保護等,從提升安全管理能力和水準出發,研究制定相應的安全管理標準和指南。
(三)信息安全應急與災備有關標準
研究和制修訂信息安全風險評估與管理、事件分級分類管理、信息安全事件處理、應急響應計劃指南、災難恢復與備份等標準。
(四)信息安全服務管理標準
信息安全服務是保障資訊係統安全的有效支撐手段,相關服務的品質保證、人員保證、産業管理標準,市場需求迫切,主要開展信息安全服務規范、服務管理規范、信息安全服務分類標準、各類信息安全服務評價等標準的研究制定。(中國電子技術標準化研究院 上官曉麗)