謝宗曉（南開大學商學院）

信息安全合規(guī)性的實施路線探討

謝宗曉（南開大學商學院）

本文在分析現(xiàn)有規(guī)范性文件的基礎上，探討了信息安全合規(guī)性的實施路線，主要給出了信息安全管理體系或/和信息系統(tǒng)安全等級保護兩條比較可行的思路。

信息安全 信息安全管理體系 信息系統(tǒng)安全等級保護

專欄

信息安全管理系列之一

內(nèi)外合規(guī)是組織在部署信息安全時須面對的問題，如何既能滿足政府的監(jiān)管要求，又能切實有效的提升組織的管理能力？面對眾多的規(guī)范性文件，組織通常會陷入無所適從的境地，下文從應用信息安全管理體系或/和信息系統(tǒng)安全等級保護的角度探討了合規(guī)性問題。

謝宗曉（特約編輯）

原則上講，信息安全是信息化發(fā)展到一定階段的必然產(chǎn)物，是一種自然而然的需求。但是與個體需求理論不同之處在于，信息安全的部署主體與受害的客體往往是不一致的。這種情形廣泛的發(fā)生在諸多領域，例如，銀行泄露了用戶的隱私，直接損害的是用戶的利益，而不是銀行所有者，對銀行而言，保障安全需要付出額外的費用，對于用戶而言，卻只能將隱私信息交給銀行，自身并沒有保護能力。一旦出現(xiàn)這種不對稱的情形，政府就需要對企業(yè)進行監(jiān)管，這時政府代表的是公眾或弱勢群體的利益。有了政府的監(jiān)管，就出現(xiàn)了企業(yè)的信息安全合規(guī)性。

實際上，在國內(nèi)，政府監(jiān)管是信息安全的主要推動力量之一，作為合法性的一部分，內(nèi)外合規(guī)成為組織須首要面對的問題。如何既能滿足政府的監(jiān)管要求，又能切實有效的提升組織的管理能力？本文從信息安全管理體系或/和信息系統(tǒng)安全等級保護這兩個標準族的角度探討了這一問題。

一、合規(guī)性、合法性和有效性

（一）合規(guī)性與合法性

早期的制度學家已經(jīng)指出，組織之所以能夠長期生存，最重要的就是要獲取合法性。合法性是個很廣泛的概念，不但包括了法律、法規(guī)等正式制度，也包括社會習俗等隱性制度。合規(guī)性的概念則要狹窄很多，一般更關注正式制度的符合性，在國內(nèi)也常被稱為“內(nèi)外合規(guī)”。

我們將合規(guī)性一般定義為兩個層次：

1）外部合規(guī)，外部合規(guī)是指企業(yè)的內(nèi)部制度與外部監(jiān)管制度的符合程度，可以認為是制度對制度的映射。企業(yè)作為一個實體，本身是有制度的，這些制度首先要保證與外部監(jiān)管制度保持一致性，不能有沖突。這個邏輯只是將法律體系延伸至更微觀的領域，各個省/自治區(qū)也有地方立法權，但是這些法律不能與國家立法沖突。

2）內(nèi)部合規(guī)，內(nèi)部合規(guī)是指企業(yè)內(nèi)部制度的執(zhí)行情況，關注的是行為，而不再停留在制度層面。與外部合規(guī)相對應的是，內(nèi)部合規(guī)是制度到具體行為的映射。

顯然，內(nèi)外合規(guī)的定義與管理體系的兩階段審核是一一對應的，如表1所示。

表1 內(nèi)外合規(guī)與管理體系審核的對應

（二）合規(guī)性與有效性

內(nèi)部合規(guī)的程度（即制度的落地）不太容易判斷，但是外部合規(guī)的程度（即內(nèi)外制度一致性）卻可以一目了然，因此，監(jiān)管部門也會產(chǎn)生“判斷捷徑”，于是和個體行為的邏輯一致，組織也會選擇更省事的合規(guī)性部署方式，重外部合規(guī)，輕內(nèi)部合規(guī)。這樣的部署方式會嚴重的損害文件的有效性，在現(xiàn)行的監(jiān)管制度中已經(jīng)表現(xiàn)的非常明顯。

在所有的制度設計中，前提都應該是人是自利的。如果失去這個前提，制度就完全沒有存在的必要了。所以有效性不能依靠執(zhí)行者的自覺，而應該靠體系化的手段去解決。在這個層面講，有效性是合規(guī)性的更高要求。但是，有效性如同人的能力一樣，很難直接測量，沒人有覺得自己能力低下，如果沒有客觀的判斷依據(jù)，“要讓有能力的人脫穎而出”其實是一句空話。

二、合規(guī)性的實施路線

截至2014年9月，我國已經(jīng)正式公布了216項信息安全國家標準（包含1項強制標準），12項行政法規(guī)，17項部門規(guī)章，30項其他國家部委公文。面對這么多的規(guī)范性文件，組織的信息安全合規(guī)性也變得越來越復雜。

經(jīng)過梳理，這其中真正獨成體系的信息安全實施路線實際就有兩個標準族：1）信息安全管理體系（Information Security Management System, ISMS）標準族，其中標準多等同或修改采用ISO/IEC27000標準族；2）信息系統(tǒng)安全等級保護標準族。

（一）信息安全管理體系（ISMS）

ISMS包括了ISO/IEC 27000至ISO/IEC 27059的60個標準，不但給出了“建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的”“基于業(yè)務風險（的）方法”，而且還給出了要求、實用規(guī)則、第三方認證審核指南以及相關安全域的具體指南等，第三方認證機構(gòu)的存在為信息安全管理有效性提供了客觀的評價數(shù)據(jù)。

新版的ISO/IEC 27001:2013雖然不再借用Plan-Do-Check-Act框架，但是修改后的框架本質(zhì)還是PDCA。此外，ISO/IEC 27003:2010《信息技術安全技術 信息安全管理體系 應用指南》，有比較詳盡的部署過程描述。

目前已經(jīng)發(fā)布的相關國家標準主要包括：

● GB/T 29246—2012《信息技術 安全技術 信息安全管理體系 概述和詞匯》（ISO/IEC 27000: 2009，IDT）

● GB/T 22080—2008《信息技術 安全技術 信息安全管理體系 要求》（ISO/IEC 27001: 2005，IDT）

● GB/T 22081—2008《信息技術 安全技術 信息安全管理實用規(guī)則》（ISO/IEC 27002: 2005，IDT）

● GB/T 25067—2010《信息技術 安全技術 信息安全管理體系審核認證機構(gòu)的要求》（ISO/IEC 27006， MOD）

● GB/T 28450—2012《信息安全技術 信息安全管理體系審核指南》（ISO/IEC 27007，MOD）

（二）信息系統(tǒng)安全等級保護

信息系統(tǒng)安全等級保護是以GB 17859—1999（強制標準）為基礎的一系列標準族，《關于信息安全等級保護工作的實施意見》公通字[2004]66描述其應用范圍主要為國家重點保護涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng)，主要包括：國家事務處理信息系統(tǒng)（黨政機關辦公系統(tǒng)）；財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業(yè)等關系到國計民生的信息系統(tǒng)；教育、國家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A信息網(wǎng)絡中的信息系統(tǒng)；網(wǎng)絡管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領域的重要信息系統(tǒng)。

ISMS的安全需求是組織自己識別的，然后按照相關的標準去部署，審核主要是為了確認組織自圓其說的ISMS。等級保護雖然也是自主定級，但是須經(jīng)主管部門確認，實施和測評都是根據(jù)定級進行的。

目前已經(jīng)發(fā)布的信息系統(tǒng)安全等級保護標準特別多，最相關的有：

● GB/T 22239—2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求》

● GB/T 22240—2008 《信息安全技術 信息系統(tǒng)安全等級保護定級指南》

● GB/T 25058—2010《信息安全技術 信息系統(tǒng)安全等級保護實施指南》

● GB/T 28448—2012《信息安全技術 信息系統(tǒng)安全等級保護測評要求》

● GB/T 28449—2012《信息安全技術 信息系統(tǒng)安全等級保護 測評過程指南》

（三）ISMS與等級保護的整合實施

許多組織可能同時要滿足ISMS和信息系統(tǒng)安全等級保護的要求，或者更多的監(jiān)管文件，這意味著需要整合實施。首先，如果將所有的控制措施拆散，ISMS與信息系統(tǒng)安全等級保護并無本質(zhì)的區(qū)別，這意味著在控制措施級別的整合是無障礙的。其次，對框架來說，ISMS的框架更為經(jīng)典，建議在實施的過程中采用PDCA循環(huán)，示例如圖1。

圖1 整合實施

三、結(jié)語

無論是采用信息安全安全管理體系（ISMS）還是信息系統(tǒng)安全等級保護，或者整合實施，都能夠滿足絕大部分的信息安全監(jiān)管要求。通過滿足信息安全的合規(guī)性，真正達到信息安全管理的有效性，這才是最重要的目的。

此外，除這兩個標準族，我們也推薦考慮NIST（National Institute of Standard and Technology, NIST）的RMF（Risk Management Framework, RMF）框架，雖然這超出了合規(guī)性本身的含義，但是就其體系設計的有效性而言，具有很大的借鑒意義。

[1] 謝宗曉. 《政府部門信息安全管理基本要求》理解與實施[M]. 北京：中國標準出版社，2014.

[2] 林潤輝，等. 信息安全管理 理論與實踐[M]. 北京：中國標準出版社，2015.

[3] 謝宗曉，劉斌. ISO/IEC27001與等級保護的整合應用指南[M]. 北京：中國標準出版社，2015.

[4] http://csrc.nist.gov/，NIST 計算機安全資料中心.

Discuss of Information Security External and Internal Conformity

Xie Zong-xiao ( Business School, Nankai University )

Analyzed existing normative documents, this study discuss of information security external and internal conformity. We have mainly proposed two feasible way including Information Security Management System (ISMS) and/or Classif ed Protection of Information System (CPIS).

information security, Information Security Management System (ISMS), Classi f ed Protection of Information System (CPIS)