信息安全合規性的實施路線探討

謝宗曉（南開大學商學院）

信息安全合規性的實施路線探討

謝宗曉（南開大學商學院）

本文在分析現有規范性文件的基礎上，探討了信息安全合規性的實施路線，主要給出了信息安全管理體系或/和信息系統安全等級保護兩條比較可行的思路。

信息安全 信息安全管理體系 信息系統安全等級保護

專欄

信息安全管理系列之一

內外合規是組織在部署信息安全時須面對的問題，如何既能滿足政府的監管要求，又能切實有效的提升組織的管理能力？面對眾多的規范性文件，組織通常會陷入無所適從的境地，下文從應用信息安全管理體系或/和信息系統安全等級保護的角度探討了合規性問題。

謝宗曉（特約編輯）

原則上講，信息安全是信息化發展到一定階段的必然產物，是一種自然而然的需求。但是與個體需求理論不同之處在于，信息安全的部署主體與受害的客體往往是不一致的。這種情形廣泛的發生在諸多領域，例如，銀行泄露了用戶的隱私，直接損害的是用戶的利益，而不是銀行所有者，對銀行而言，保障安全需要付出額外的費用，對于用戶而言，卻只能將隱私信息交給銀行，自身并沒有保護能力。一旦出現這種不對稱的情形，政府就需要對企業進行監管，這時政府代表的是公眾或弱勢群體的利益。有了政府的監管，就出現了企業的信息安全合規性。

實際上，在國內，政府監管是信息安全的主要推動力量之一，作為合法性的一部分，內外合規成為組織須首要面對的問題。如何既能滿足政府的監管要求，又能切實有效的提升組織的管理能力？本文從信息安全管理體系或/和信息系統安全等級保護這兩個標準族的角度探討了這一問題。

一、合規性、合法性和有效性

（一）合規性與合法性

早期的制度學家已經指出，組織之所以能夠長期生存，最重要的就是要獲取合法性。合法性是個很廣泛的概念，不但包括了法律、法規等正式制度，也包括社會習俗等隱性制度。合規性的概念則要狹窄很多，一般更關注正式制度的符合性，在國內也常被稱為“內外合規”。

我們將合規性一般定義為兩個層次：

1）外部合規，外部合規是指企業的內部制度與外部監管制度的符合程度，可以認為是制度對制度的映射。企業作為一個實體，本身是有制度的，這些制度首先要保證與外部監管制度保持一致性，不能有沖突。這個邏輯只是將法律體系延伸至更微觀的領域，各個省/自治區也有地方立法權，但是這些法律不能與國家立法沖突。

2）內部合規，內部合規是指企業內部制度的執行情況，關注的是行為，而不再停留在制度層面。與外部合規相對應的是，內部合規是制度到具體行為的映射。

顯然，內外合規的定義與管理體系的兩階段審核是一一對應的，如表1所示。

表1 內外合規與管理體系審核的對應

（二）合規性與有效性

內部合規的程度（即制度的落地）不太容易判斷，但是外部合規的程度（即內外制度一致性）卻可以一目了然，因此，監管部門也會產生“判斷捷徑”，于是和個體行為的邏輯一致，組織也會選擇更省事的合規性部署方式，重外部合規，輕內部合規。這樣的部署方式會嚴重的損害文件的有效性，在現行的監管制度中已經表現的非常明顯。

在所有的制度設計中，前提都應該是人是自利的。如果失去這個前提，制度就完全沒有存在的必要了。所以有效性不能依靠執行者的自覺，而應該靠體系化的手段去解決。在這個層面講，有效性是合規性的更高要求。但是，有效性如同人的能力一樣，很難直接測量，沒人有覺得自己能力低下，如果沒有客觀的判斷依據，“要讓有能力的人脫穎而出”其實是一句空話。

二、合規性的實施路線

截至2014年9月，我國已經正式公布了216項信息安全國家標準（包含1項強制標準），12項行政法規，17項部門規章，30項其他國家部委公文。面對這么多的規范性文件，組織的信息安全合規性也變得越來越復雜。

經過梳理，這其中真正獨成體系的信息安全實施路線實際就有兩個標準族：1）信息安全管理體系（Information Security Management System, ISMS）標準族，其中標準多等同或修改采用ISO/IEC27000標準族；2）信息系統安全等級保護標準族。

（一）信息安全管理體系（ISMS）

ISMS包括了ISO/IEC 27000至ISO/IEC 27059的60個標準，不但給出了“建立、實施、運行、監視、評審、保持和改進信息安全的”“基于業務風險（的）方法”，而且還給出了要求、實用規則、第三方認證審核指南以及相關安全域的具體指南等，第三方認證機構的存在為信息安全管理有效性提供了客觀的評價數據。

新版的ISO/IEC 27001:2013雖然不再借用Plan-Do-Check-Act框架，但是修改后的框架本質還是PDCA。此外，ISO/IEC 27003:2010《信息技術安全技術 信息安全管理體系 應用指南》，有比較詳盡的部署過程描述。

目前已經發布的相關國家標準主要包括：

● GB/T 29246—2012《信息技術 安全技術 信息安全管理體系 概述和詞匯》（ISO/IEC 27000: 2009，IDT）

● GB/T 22080—2008《信息技術 安全技術 信息安全管理體系 要求》（ISO/IEC 27001: 2005，IDT）

● GB/T 22081—2008《信息技術 安全技術 信息安全管理實用規則》（ISO/IEC 27002: 2005，IDT）

● GB/T 25067—2010《信息技術 安全技術 信息安全管理體系審核認證機構的要求》（ISO/IEC 27006， MOD）

● GB/T 28450—2012《信息安全技術 信息安全管理體系審核指南》（ISO/IEC 27007，MOD）

（二）信息系統安全等級保護

信息系統安全等級保護是以GB 17859—1999（強制標準）為基礎的一系列標準族，《關于信息安全等級保護工作的實施意見》公通字[2004]66描述其應用范圍主要為國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統，主要包括：國家事務處理信息系統（黨政機關辦公系統）；財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關系到國計民生的信息系統；教育、國家科研等單位的信息系統；公用通信、廣播電視傳輸等基礎信息網絡中的信息系統；網絡管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。

ISMS的安全需求是組織自己識別的，然后按照相關的標準去部署，審核主要是為了確認組織自圓其說的ISMS。等級保護雖然也是自主定級，但是須經主管部門確認，實施和測評都是根據定級進行的。

目前已經發布的信息系統安全等級保護標準特別多，最相關的有：

● GB/T 22239—2008《信息安全技術 信息系統安全等級保護基本要求》

● GB/T 22240—2008 《信息安全技術 信息系統安全等級保護定級指南》

● GB/T 25058—2010《信息安全技術 信息系統安全等級保護實施指南》

● GB/T 28448—2012《信息安全技術 信息系統安全等級保護測評要求》

● GB/T 28449—2012《信息安全技術 信息系統安全等級保護 測評過程指南》

（三）ISMS與等級保護的整合實施

許多組織可能同時要滿足ISMS和信息系統安全等級保護的要求，或者更多的監管文件，這意味著需要整合實施。首先，如果將所有的控制措施拆散，ISMS與信息系統安全等級保護并無本質的區別，這意味著在控制措施級別的整合是無障礙的。其次，對框架來說，ISMS的框架更為經典，建議在實施的過程中采用PDCA循環，示例如圖1。

圖1 整合實施

三、結語

無論是采用信息安全安全管理體系（ISMS）還是信息系統安全等級保護，或者整合實施，都能夠滿足絕大部分的信息安全監管要求。通過滿足信息安全的合規性，真正達到信息安全管理的有效性，這才是最重要的目的。

此外，除這兩個標準族，我們也推薦考慮NIST（National Institute of Standard and Technology, NIST）的RMF（Risk Management Framework, RMF）框架，雖然這超出了合規性本身的含義，但是就其體系設計的有效性而言，具有很大的借鑒意義。

[1] 謝宗曉. 《政府部門信息安全管理基本要求》理解與實施[M]. 北京：中國標準出版社，2014.

[2] 林潤輝，等. 信息安全管理 理論與實踐[M]. 北京：中國標準出版社，2015.

[3] 謝宗曉，劉斌. ISO/IEC27001與等級保護的整合應用指南[M]. 北京：中國標準出版社，2015.

[4] http://csrc.nist.gov/，NIST 計算機安全資料中心.

Discuss of Information Security External and Internal Conformity

Xie Zong-xiao ( Business School, Nankai University )

Analyzed existing normative documents, this study discuss of information security external and internal conformity. We have mainly proposed two feasible way including Information Security Management System (ISMS) and/or Classif ed Protection of Information System (CPIS).

information security, Information Security Management System (ISMS), Classi f ed Protection of Information System (CPIS)