李文兢

摘要：信息安全等級(jí)保護(hù)和ISO27000系列標(biāo)準(zhǔn)是目前國內(nèi)主流的兩個(gè)信息安全標(biāo)準(zhǔn)體系，在黨政機(jī)關(guān)及企事業(yè)單位運(yùn)用非常廣泛。在建立單位內(nèi)部信息安全體系的時(shí)候往往會(huì)遇到需要同時(shí)滿足兩個(gè)標(biāo)準(zhǔn)體系要求的難題。該文先簡(jiǎn)單介紹兩個(gè)體系的歷史及相關(guān)標(biāo)準(zhǔn)，然后對(duì)這兩個(gè)標(biāo)準(zhǔn)進(jìn)行對(duì)比研究，從出發(fā)點(diǎn)、實(shí)施流程、安全分類標(biāo)準(zhǔn)及風(fēng)險(xiǎn)處置方法等方面分析兩者之間的差異性及共性。

關(guān)鍵詞：信息安全等級(jí)保護(hù)；ISO27000；信息安全標(biāo)準(zhǔn)

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)20-4841-02

Integrated Application of The Classified Protection and ISO27000 Series

LI Wen-jing

(Guangzhou South China Information Technology Security Evaluation Center, Guangzhou 510050, China)

Abstract: The Classified Protection and ISO27000 series are the two current popular security standards in China, which are extensively ap plied by the Party and government departments , enterprises and institutions. Meeting the requirements of both standards is a usual problem in establishing internal security system. The essay introduces the history and relative standards of two system, and makes a comparative study of the two standards, analyses their differences and similarity in purpose, implementation process, security classification standard and risk handling and summaries the problems in implementing the two standards.

Key words: the classified protection; ISO27000; information security standard

從第一個(gè)信息安全評(píng)估標(biāo)準(zhǔn)(TCSEC)發(fā)布以來，信息安全相關(guān)標(biāo)準(zhǔn)經(jīng)過二十多年的發(fā)展，在體系建設(shè)與工程等方面都有不同的標(biāo)準(zhǔn)出現(xiàn)，促進(jìn)了信息安全工作的規(guī)范化和發(fā)展。ISO27000系列標(biāo)準(zhǔn)作為國際知名的信息安全管理標(biāo)準(zhǔn)，己在全球多個(gè)國家應(yīng)用和實(shí)施。信息安全等級(jí)保護(hù)制度從1994年提出，從引進(jìn)國外標(biāo)準(zhǔn)到提出符合國情的“分級(jí)保護(hù)”制度，標(biāo)準(zhǔn)體系越來越成熟，可行性也逐步加強(qiáng)。2006年6月公安部、國家保密局、國家密碼管理局和國信辦發(fā)布了《關(guān)于開展信息安全等級(jí)保護(hù)試點(diǎn)工作的通知》，試點(diǎn)單位包括北京、山西、上海等十三個(gè)省、市、自治區(qū)以及中聯(lián)部、中組部、航天科技集團(tuán)等三個(gè)部門[1]。信息安全等級(jí)保護(hù)在保護(hù)國家安全、公共利益和社會(huì)秩序等方面扮演了至關(guān)重要的角色。信息安全工作者在實(shí)際工作中經(jīng)常需要同時(shí)按照兩種標(biāo)準(zhǔn)開展相關(guān)工作。下面筆者將從概念、出發(fā)點(diǎn)、分級(jí)標(biāo)準(zhǔn)及安全分類等角度來分析兩者的異同點(diǎn)。

1信息安全等級(jí)保護(hù)制度和ISO 27000系列標(biāo)準(zhǔn)的概念

1.1信息安全等級(jí)保護(hù)制度

我國于1999年發(fā)布了國家標(biāo)準(zhǔn)GB17859《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》，成為建立安全等級(jí)保護(hù)制度、實(shí)施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。目前已發(fā)布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套標(biāo)準(zhǔn)10余個(gè)，涵蓋了定級(jí)指南、基本要求、實(shí)施指南、測(cè)評(píng)要求等方面。GB17859的核心思想是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度，保障重要信息資源和重要信息系統(tǒng)的安全[2]。

1.2 ISO 27000系列標(biāo)準(zhǔn)

ISO 27000起源于英國的BS 7799標(biāo)準(zhǔn)系列，其中ISO 27001是“信息安全管理體系要求”（Specification for Information Security Management Systems），是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細(xì)說明了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的模型和要求，可用來指導(dǎo)相關(guān)人員應(yīng)用ISO 27002，其最終目的，通過規(guī)范的過程，建立適合組織實(shí)際要求的信息安全管理體系[3]。ISO 27002提出了在組織內(nèi)部啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理的指南和一般原則，包括11個(gè)要素，39個(gè)控制目標(biāo)和133種控制措施[4]；

2等級(jí)保護(hù)系列標(biāo)準(zhǔn)與ISO/IEC27000系列標(biāo)準(zhǔn)的對(duì)比分析

從信息安全等級(jí)保護(hù)制度和ISO 27001系列標(biāo)準(zhǔn)的內(nèi)容來看，兩者既有相同的地方又有不同之處，下面就分別分析兩者之間的

差異性及共性。

2.1兩者的差異性

2.1.1兩者的出發(fā)點(diǎn)不同

信息安全等級(jí)保護(hù)制度是以國家安全、社會(huì)秩序和公共利益為出發(fā)點(diǎn)，從宏觀上指導(dǎo)全國的信息安全工作，目的是構(gòu)建國家整體的信息安全保障體系，ISO 27000系列標(biāo)準(zhǔn)是以保證組織業(yè)務(wù)的連續(xù)性，縮減業(yè)務(wù)風(fēng)險(xiǎn)，最大化投資收益為目的，目的是保證組織的業(yè)務(wù)安全。

2.1.2兩者的分級(jí)標(biāo)準(zhǔn)的差異

等級(jí)保護(hù)實(shí)施首先是定級(jí)問題，針對(duì)不同的級(jí)別，提出了不同的等級(jí)安全要求；ISO 27000系列標(biāo)準(zhǔn)的第一步是風(fēng)險(xiǎn)評(píng)估，根據(jù)資產(chǎn)的價(jià)值和所面臨的風(fēng)險(xiǎn)進(jìn)行分類，然后針對(duì)不同的風(fēng)險(xiǎn)選擇相應(yīng)的風(fēng)險(xiǎn)處置措施。雖然都是從分級(jí)或分類入手，但是兩者的分級(jí)標(biāo)準(zhǔn)不同。等級(jí)保護(hù)的分級(jí)主要考慮四個(gè)方面的風(fēng)險(xiǎn)，即信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益所造成的影響，按照影響程度大小分為五級(jí)，等級(jí)保護(hù)的分級(jí)以組織外部影響為依據(jù)。而ISO 27000系列標(biāo)準(zhǔn)的分級(jí)是根據(jù)資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險(xiǎn)等各個(gè)因素之間的關(guān)系，采取定量或者定性的方法進(jìn)行分級(jí)分類，采取何種風(fēng)險(xiǎn)處置措施，也是組織根據(jù)自己對(duì)風(fēng)險(xiǎn)的接受程度而決定。ISO 27000標(biāo)準(zhǔn)以組織內(nèi)部業(yè)務(wù)影響為依據(jù)。

2.1.3兩者的安全分類的差異

等級(jí)保護(hù)和ISO 27000系列標(biāo)準(zhǔn)都從技術(shù)和管理兩個(gè)方面提出了信息安全的要求。等級(jí)保護(hù)有10個(gè)方面的要求，技術(shù)方面有：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全，管理方面有：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理；而ISO 27001標(biāo)準(zhǔn)有11個(gè)方面，分別是：安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護(hù)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。而且兩者在各個(gè)大分類下面又規(guī)定了若干的小項(xiàng)目。

2.1.4兩者實(shí)施流程的差異

等級(jí)保護(hù)首先對(duì)信息系統(tǒng)進(jìn)行定級(jí)，定級(jí)之后再結(jié)合不同等級(jí)的安全要求進(jìn)行安全需求分析。在定級(jí)之前，首先要對(duì)信息系統(tǒng)進(jìn)行描述，主要包括系統(tǒng)邊界、網(wǎng)絡(luò)拓補(bǔ)、設(shè)備部署等，對(duì)于大型的信息系統(tǒng)要在綜合分析的基礎(chǔ)上進(jìn)行劃分，確定可作為定級(jí)對(duì)象的信息系統(tǒng)個(gè)數(shù)。信息系統(tǒng)的定級(jí)由受侵害客體和對(duì)客體的侵害程度兩個(gè)因素決定，通過綜合判定客體的受侵害程度來確定系統(tǒng)的安全保護(hù)等級(jí)。安全等級(jí)確定之后，從信息系統(tǒng)安全等級(jí)保護(hù)基本要求中選擇相應(yīng)的等級(jí)評(píng)價(jià)指標(biāo)，通過現(xiàn)場(chǎng)觀察、詢問、檢查、測(cè)試等方式進(jìn)行評(píng)估，確定信息系統(tǒng)安全保護(hù)的基本需求。對(duì)于有特殊保護(hù)要求的信息系統(tǒng)重要資產(chǎn)，其安全需求分析則采用風(fēng)險(xiǎn)評(píng)估的方法來進(jìn)行。

ISO27000系列標(biāo)準(zhǔn)通過風(fēng)險(xiǎn)評(píng)估來識(shí)別風(fēng)險(xiǎn)和威脅，進(jìn)而確定組織的信息安全需求，選擇風(fēng)險(xiǎn)控制措施。在風(fēng)險(xiǎn)評(píng)估之前首先根據(jù)組織業(yè)務(wù)特征、資產(chǎn)和技術(shù)來確定ISMS范圍和ISMS方針，然后選擇使用于組織的風(fēng)險(xiǎn)評(píng)估方法，識(shí)別ISMS范圍內(nèi)的資產(chǎn)、資產(chǎn)所有者、資產(chǎn)的威脅、可能被資產(chǎn)利用的脆弱點(diǎn)、資產(chǎn)損失可能造成的影響，對(duì)風(fēng)險(xiǎn)進(jìn)行分析和評(píng)價(jià)，評(píng)估安全失效可能造成的影響及后果、威脅和脆弱性發(fā)生的可能性，進(jìn)而確定風(fēng)險(xiǎn)的等級(jí)。整個(gè)風(fēng)險(xiǎn)評(píng)估的過程就是對(duì)組織信息安全需求分析的過程。

2.2兩者的共性

盡管兩者在很多內(nèi)容上都存在著差異，但是兩者也有很多共同之處。

2.2.1兩者風(fēng)險(xiǎn)處理思想相同

信息安全沒有百分之百的安全，所以無論是等級(jí)保護(hù)還是ISO 27001標(biāo)準(zhǔn)都在實(shí)施之前強(qiáng)調(diào)分級(jí)分類，只有找出信息安全保護(hù)的重點(diǎn)，才能把有限的資源投入到信息安全的關(guān)鍵部位，做到統(tǒng)籌安排，而不是“眉毛胡子一把抓”。

2.2.2兩者在安全分類上的共同點(diǎn)

雖然等級(jí)保護(hù)和ISO 27001標(biāo)準(zhǔn)在安全措施分類上存在差別，但是很多項(xiàng)目都是共通的，如等級(jí)保護(hù)對(duì)“網(wǎng)絡(luò)安全”的要求，就分別體現(xiàn)在ISO 27001標(biāo)準(zhǔn)的“訪問控制”、“通信和操作管理”、“信息安全事件管理”等各個(gè)項(xiàng)目中。無論是技術(shù)還是管理上的安全措施，兩者都或多或少的存在共性。

2.2.3兩者是宏觀與微觀，相輔相成的關(guān)系

信息系統(tǒng)都是分布于各個(gè)組織內(nèi)部，組織內(nèi)部的信息安全是國家整體信息安全的基礎(chǔ)，網(wǎng)絡(luò)的互聯(lián)和信息的共享，一個(gè)組織內(nèi)部的信息系統(tǒng)遇到風(fēng)險(xiǎn)業(yè)務(wù)中斷，就可能導(dǎo)致一系列的信息安全連鎖反應(yīng)，國家整體的信息安全水平體現(xiàn)在每個(gè)組織的信息安全能力上。同樣組織的信息安全也受到整體外部信息網(wǎng)絡(luò)環(huán)境的影響，組織的風(fēng)險(xiǎn)來自內(nèi)部也來自外部，一個(gè)組織要和外界互聯(lián)共享就必然面臨風(fēng)險(xiǎn)，很難想象一個(gè)組織能夠在一個(gè)不安全的信息網(wǎng)絡(luò)環(huán)境中安然無恙。

3結(jié)論

該文通過等級(jí)保護(hù)與ISO27000系列標(biāo)準(zhǔn)兩個(gè)信息安全標(biāo)準(zhǔn)體系的對(duì)比，詳細(xì)描述了兩者在出發(fā)點(diǎn)、分級(jí)標(biāo)準(zhǔn)、安全分類標(biāo)準(zhǔn)、實(shí)施流程及風(fēng)險(xiǎn)處理思想方面的共性與差異。筆者在長(zhǎng)期的信息安全工作實(shí)踐中根據(jù)該文的思路進(jìn)行相關(guān)機(jī)構(gòu)單位的信息安全體系建設(shè)工作，并取得良好的效果。

參考文獻(xiàn)：

[1]郭啟全.我國信息安全等級(jí)保護(hù)工作全面開展[J].信息技術(shù)與標(biāo)準(zhǔn)化,2007.9:4-7.

[2] GB17859-1999,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].

[3] International Organization for Standardization.Information technology Security techniques Information security management systems-Re quirements ISO/IEC27001[S].2005.10.

[4] International Organization for Standardization.Information technology Security techniques Code of practice for Information security man agement ISO/IEC 17799:2005[S].2005.6.