信息安全合规性的实施路线范文

《中国标准导报杂志》2015年第四期

一、合规性与有效性

内部合规的程度（即制度的落地）不太容易判断，但是外部合规的程度（即内外制度一致性）却可以一目了然，因此，监管部门也会产生“判断捷径”，于是和个体行为的逻辑一致，组织也会选择更省事的合规性部署方式，重外部合规，轻内部合规。这样的部署方式会严重的损害文件的有效性，在现行的监管制度中已经表现的非常明显。在所有的制度设计中，前提都应该是人是自利的。如果失去这个前提，制度就完全没有存在的必要了。所以有效性不能依靠执行者的自觉，而应该靠体系化的手段去解决。在这个层面讲，有效性是合规性的更高要求。但是，有效性如同人的能力一样，很难直接测量，没人有觉得自己能力低下，如果没有客观的判断依据，“要让有能力的人脱颖而出”其实是一句空话。

二、合规性的实施路线

截至2014年9月，我国已经正式公布了216项信息安全国家标准（包含1项强制标准），12项行政法规，17项部门规章，30项其他国家部委公文。面对这么多的规范性文件，组织的信息安全合规性也变得越来越复杂。经过梳理，这其中真正独成体系的信息安全实施路线实际就有两个标准族：1）信息安全管理体系（InformationSecurityManagementSystem,ISMS）标准族，其中标准多等同或修改采用ISO/IEC27000标准族；2）信息系统安全等级保护标准族。

（一）信息安全管理体系（ISMS）ISMS包括了ISO/IEC27000至ISO/IEC27059的60个标准，不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险（的）方法”，而且还给出了要求、实用规则、第三方认证审核指南以及相关安全域的具体指南等，第三方认证机构的存在为信息安全管理有效性提供了客观的评价数据。新版的ISO/IEC27001:2013虽然不再借用Plan-Do-Check-Act框架，但是修改后的框架本质还是PDCA。此外，ISO/IEC27003:2010《信息技术安全技术信息安全管理体系应用指南》，有比较详尽的部署过程描述。目前已经的相关国家标准主要包括：GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》（ISO/IEC27000:2009，IDT）GB/T22080—2008《信息技术安全技术信息安全管理体系要求》（ISO/IEC27001:2005，IDT）GB/T22081—2008《信息技术安全技术信息安全管理实用规则》（ISO/IEC27002:2005，IDT）GB/T25067—2010《信息技术安全技术信息安全管理体系审核认证机构的要求》（ISO/IEC27006，MOD）GB/T28450—2012《信息安全技术信息安全管理体系审核指南》（ISO/IEC27007，MOD）

（二）信息系统安全等级保护信息系统安全等级保护是以GB17859—199（9强制标准）为基础的一系列标准族，《关于信息安全等级保护工作的实施意见》公通字[2004]66描述其应用范围主要为国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。ISMS的安全需求是组织自己识别的，然后按照相关的标准去部署，审核主要是为了确认组织自圆其说的ISMS。等级保护虽然也是自主定级，但是须经主管部门确认，实施和测评都是根据定级进行的。目前已经的信息系统安全等级保护标准特别多，最相关的有：GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》GB/T25058—2010《信息安全技术信息系统安全等级保护实施指南》GB/T28448—2012《信息安全技术信息系统安全等级保护测评要求》GB/T28449—2012《信息安全技术信息系统安全等级保护测评过程指南》

（三）ISMS与等级保护的整合实施许多组织可能同时要满足ISMS和信息系统安全等级保护的要求，或者更多的监管文件，这意味着需要整合实施。首先，如果将所有的控制措施拆散，ISMS与信息系统安全等级保护并无本质的区别，这意味着在控制措施级别的整合是无障碍的。其次，对框架来说，ISMS的框架更为经典，建议在实施的过程中采用PDCA循环。

三、结语

无论是采用信息安全安全管理体系（ISMS）还是信息系统安全等级保护，或者整合实施，都能够满足绝大部分的信息安全监管要求。通过满足信息安全的合规性，真正达到信息安全管理的有效性，这才是最重要的目的。此外，除这两个标准族，我们也推荐考虑NIST（NationalInstituteofStandardandTechnology,NIST）的RMF（RiskManagementFramework,RMF）框架，虽然这超出了合规性本身的含义，但是就其体系设计的有效性而言，具有很大的借鉴意义。

作者：谢宗晓 单位：南开大学商学院