摘要:在分析信息系统安全等级保护和信息安全管理体系定义的基础上,从逻辑框架、实施流程和控制措施理解的角度对两者进行了对比。
关键词:信息安全等级保护信息安全管理体系
ComparisonofCPISandISMS
LiJun(InnerMongoliaAutonomousRegionPublicSecurity)
XieZongxiao(ChinaFinancialCertificationAuthority,CFCA)
Abstract:Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem(CPIS)andinformationsecuritymanagementsystem(ISMS),fromthelogicalframework,theimplementationofprocessesandcontrols,wecomparedboth.
Keywords:informationSecurity,CPIS,ISMS
1信息安全等级保护(CPIS)
信息安全等级保护,或者信息系统安全等级保护(简称等级保护),在公文中,一般是前者,但是在标准中,例如,最典型的GB/T22239—2008和GB/T22240—2008用的标题是后者。单就这2个标准而言的话,描述的对象却是主要围绕“信息系统安全”,而不是广义的“信息安全”。当然,本质上来说,等级是针对“信息系统”划分的,而不是针对“信息”划分的。在实践中,这两者不需要刻意区分。等级保护具体的定义如下:
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和8SeEVmi7me7sxRCjGkySNg==存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这个定义来自《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号1))[2,3]。
注意信息系统的定义:
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
信息系统的定义也来自《关于信息安全等级保护工作的实施意见》。更早的相关定义,应该来自GB17859—1999,其中的定义3.1,定义了计算机信息系统(computerinformationsystem),具体为:
计算机信息系统是由计算机及其相关的和配套的设备、实施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
这种人机系统的定义,在实践中不容易理解,但是最接近学术中的最初理解,例如,Davis(2000)[4]认为信息系统包括信息技术设施、数据、应用系统和人员(informationtechnologyinfrastructure,data,applicationsystems,andpersonnelthatemployITto...)
2信息安全管理体系(ISMS)
原则上说,信息安全管理体系(简称ISMS)并不是一个专用术语,在较早版本的标准中2)对其进行了定义3),满足其中描述条件的应该都是ISMS[5,6]。但實际情况是,由于这个术语起源于ISO/IEC27002和ISO/IEC27001的早期版本,属于新生出来的一个词汇,其他文献中,就很少见到。所以在实践中,ISMS几乎成了一个专用术语。这如同,一提“质量管理体系(QMS4))”,大家就认为是ISO9000标准族道理是一样的。因为某种产品过于普及,就成为某类行为的代名词,这是很常见的现象。例如,你把快递地址微信给我,或者,回头我把文件QQ给你。由于ISO/IEC27000标准族在全球范围内实施广泛,在实践中,就会有此类对话,例如:我们在做27001,意思是说,我们在部署ISMS,或者说,我们在根据ISO/IEC27001部署信息安全。
换个说法,ISMS是一整套的保障组织信息安全的方案(或方法),是组织管理体系的一部分,定义和指导ISMS的标准是ISO/IEC27000标准族,而这其中,ISO/IEC27002和ISO/IEC27001是最重要也是出现最早的2个标准。由于这个原因,导致这一堆词汇在实践中开始混用,而不必刻意地去区分。因此,在下文中,这几个词汇都认为是同义词:
·信息安全管理体系(ISMS);
·ISO/IEC27000标准族;
·ISO/IEC27002或ISO/IEC27001视上下文,也可能是指代ISMS。
3逻辑框架及实施流程的比较
等级保护是强制实施的,建立在一系列国家公文、一个强制性标准以及诸多推荐性标准的基础之上。ISMS则是建立在国际互认基础上的推荐性的标准5),这导致两者在框架上存在很大的区别。两者的框架对比,如图1所示。
或者说,对于ISMS来说,“组织(或企业)自己负责正确的应用6)”,目的是保护组织(或企业)自身的利益,(如果申请第三方认证)同时向其他人证明组织有良好的信息安全管理水准。对于等级保护而言,则是国家监管机构负责企业(或组织)正确的应用,主要目的是为了保护国家和公众利益。
4對“控制措施”理解的比较
等级保护的相关支持文件主要包括政府公文和国家标准,也可以称为“政策体系”和“标准体系”[2]。以一系列的公文作为依据,是等级保护的一个特点,倒不是因为ISMS缺乏国家监管,而是因为ISMS的监管与其他管理体系(例如,ISO9000和ISO14000等)基本一致,整个的架构设计倒显得没那么重要。等级保护是一个全新的设计,因此整个管理架构就显得非常重要,例如,《信息安全等级保护管理办法》(公安部〔2007〕43号)就是一个非常重要的公文,从国家层面确立了等级划分与保护、等级保护实施与管理以及可能涉及的分级保护管理等整个管理架构。
但是,就这两者的框架而言,还存在一个不同,即如何理解“控制措施”7)。简而言之,等级保护部署“控制措施”为中心,ISMS部署是以“控制目标”8)为中心。
这仅仅是一个描述方式的区别,严格讲,等级保护也是以控制目标为中心,虽然没有非常明确。因为所有的控制措施,最终还是为了实现安全目标。但这两者还是不同的,在等级保护中,一旦信息系统的等级被确定,控制措施都是确定的,同时也要注意,等级本身已经隐含了信息系统的控制目标。对于ISMS而言,由于是自愿部署,组织自己负责识别安全要求,自己设定控制目标,之后自愿部署控制措施。
通俗地讲,等级保护中,是组织和监管机构共同确定(是组织确定,之后提交监管机构确认)信息系统等级(其中隐含着控制目标),然后按要求部署。在ISMS中,是组织自己确定控制目标,然后按照要求部署,是一个自圆其说的逻辑。在下文中,我们讨论定级备案等过程,两者的区别就很清晰了。
当然,无论是等级保护还是ISMS,“控制”都是其核心内容之一,在等级保护中表现为GB/T22239—2008,在ISMS中表现为ISO/IEC27002:2013。
在GB/T22239—2008中,针对不同安全保护等级应该具有的基本安全保护能力,提出基本安全要求。标准的架构,如图2所示。
在基本要求的基础上,自上而下又分为:类、控制点和控制项[7]。在图2的10个大类中,每个大类下面分为一系列的关键控制点,控制点下又包括了具体的控制项。本文中不再讨论具体条款,具体可以见参考文献[8]。
在ISO/IEC27002:2013中,并不区分技术要求或管理要求,或者说,不关心实现途径。其中控制的描述结构,自上而下又分为:类、目标和控制。具体而言,就是包含了如表1所示,ISO/IEC27002:2013描述了14个大类,这些大类又细化为35个目标,接着由114项控制来实现相应的目标。
具体到每一个主要安全控制类和控制的描述结构,参考ISO/IEC27002:2013中的描述,如下所述:
每一个主要安全控制类别包括11):
a)一个控制目标,声明要实现什么;
b)一个或多个控制,可被用于实现该控制目标。
控制的描述结构如下:
控制
为满足控制目标,给出定义特定控制的陈述。
实现指南
为支持该控制的实现并满足控制目标,提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用,也可能不能满足组织的特定控制要求。
其他信息
提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的参考。如无其他信息,本项将不给出。
关于ISO/IEC27002:2013,可见参考文献[9]和[10]。
5小结
本文中重点从逻辑框架、部署流程和控制措施理解的角度对等级保护与ISMS进行了比较,当然,这两者还存在诸多其他区别,例如,等级保护的部署起点是“定级与备案”,ISMS的部署起点是“风险评估”。在后续的文章中,我们会陆续介绍。