陳磊（內(nèi)蒙古公安廳）

謝宗曉（中國(guó)金融認(rèn)證中心）

本刊特約

基于CIL的信息安全合規(guī)性路徑探討

陳磊（內(nèi)蒙古公安廳）

謝宗曉（中國(guó)金融認(rèn)證中心）

本文提出了一種控制索引目錄（CIL）的信息安全合規(guī)性滿足方法，同時(shí)，對(duì)于合規(guī)性、合法性和符合性等幾個(gè)詞匯進(jìn)行了辨析。

控制索引目錄 信息安全 合規(guī)性

謝宗曉 博士

“十二五”國(guó)家重點(diǎn)圖書(shū)出版規(guī)劃項(xiàng)目《信息安全管理體系叢書(shū)》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之三十三

政府監(jiān)管機(jī)構(gòu)對(duì)于各類組織的信息安全存在著諸多監(jiān)管，因此組織面臨了滿足合規(guī)性的壓力。在之前的討論中，我們指出信息安全等級(jí)保護(hù)和信息安全管理體系是國(guó)內(nèi)組織采納最多的兩種實(shí)踐，采納哪一種是“組織的一項(xiàng)戰(zhàn)略性決策”1）GB/T 22080—2016 / ISO/IEC 27001：2013，引言中指出：采用信息安全管理體系是組織的一項(xiàng)戰(zhàn)略性決策（The adoption of an information security management system is a strategic decision for an organization）。，但是如何采納（并部署），則是另一個(gè)層次的問(wèn)題。下文中討論的就是具體部署方法。

謝宗曉（特約編輯）

1 合規(guī)性及其相似的幾個(gè)詞匯

合規(guī)性、合法性和符合性這幾個(gè)詞匯既存在相似之處，又具有一定的差別。

合規(guī)性在信息安全實(shí)踐中常被稱為“內(nèi)外合規(guī)”。一般認(rèn)為，內(nèi)外合規(guī)是中文的習(xí)慣用法，應(yīng)該是“合乎法律法規(guī)”的縮略語(yǔ)，從這個(gè)意義上講，接近于legality（合乎法律性），大約legality是一個(gè)法律術(shù)語(yǔ)，更要強(qiáng)調(diào)的是給定司法權(quán)（a given jurisdiction）框架內(nèi)的判斷[1]。至少我們閱讀的組織研究文獻(xiàn)中，幾乎沒(méi)有發(fā)現(xiàn)legality這個(gè)詞匯出現(xiàn)。

在討論組織問(wèn)題的時(shí)候，多用compliance，例如，GB/T 22080—2008/ISO/IEC 27001：2005中，“重要提示：……符合標(biāo)準(zhǔn)本身并不獲得法律責(zé)任的豁免（compliance with an International Standard does not in itself confer immunity from legal obligations）。”compliance更強(qiáng)調(diào)客體的表現(xiàn)。在個(gè)體行為方面，compliance用得更多，例如，信息安全策略遵守（Information Security Policy Compliance，ISPC），ISPC是“行為信息安全研究（Behavioral InfoSec Research）”領(lǐng)域的重要研究方向。

合法性（legitimacy）是一個(gè)廣義詞匯，在翻譯的過(guò)程中，存在諸多歧義。legitimacy的原意是嫡傳的，在政治體系中，嫡傳就是最大的正當(dāng)性[1]。更準(zhǔn)確的翻譯，例如，劉毅將legality翻譯為“合法性”，legitimacy翻譯為“正當(dāng)性”[2]。更多的情況下，legality 更多地被翻譯為“合乎法律性”，可能是因?yàn)橹發(fā)egitimacy 被翻譯為“合法性”了。

符合性（conformity或conformance）詞匯經(jīng)常出現(xiàn)在信息安全認(rèn)證領(lǐng)域中，例如，GB/T 22080—2008/ISO/IEC 27001：2005，引言，本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性（符合性）評(píng)估（This International Standard can be used in order to assess conformance by interested internal and external parties）。又如，GB/T 22080—2008/ISO/IEC 27001：2005中1.2，聲稱符合本標(biāo)準(zhǔn)（claims of conformity to this International Standard）。

這幾個(gè)詞匯總結(jié)如表1所示。

表1 合規(guī)性及其相似詞匯

2 信息安全制度化的概念

Basie von Solms認(rèn)為制度浪潮（the institutional wave）是信息安全的一個(gè)發(fā)展階段[3]，在這個(gè)階段中，涌現(xiàn)出了以ISO/IEC 27000標(biāo)準(zhǔn)族（或信息安全管理體系）為代表的“最佳實(shí)踐”。嚴(yán)格意義上講，信息安全管理體系（Information Security Management System）是基于“控制目標(biāo)”，并不糾纏于具體的控制依靠技術(shù)還是管理實(shí)現(xiàn)。

但是鑒于ISO/IEC 27002：2005標(biāo)題中指明該標(biāo)準(zhǔn)的類型是Code of practice for…2）GB/T 1.1—2009中3.2 規(guī)程（code of practice），為設(shè)備、構(gòu)件或產(chǎn)品的設(shè)計(jì)、制造、安裝、維護(hù)或使用而推薦慣例或程序的文件[GB/T 20000.1—2002，定義2.3.5]。其中將code of practice 直接翻譯為規(guī)程，也就是說(shuō)，ISO/IEC 27002：2005 Code of practice for information security controls本質(zhì)上還是關(guān)于文件化的，而不是關(guān)于技術(shù)產(chǎn)品的。如果按照GB/T 1.1—2009的翻譯的話，ISO/IEC 27002：2005中文標(biāo)題應(yīng)該為“信息安全控制規(guī)程”。，也就是說(shuō)，還是偏重“規(guī)程”，即使是技術(shù)實(shí)現(xiàn)，也重點(diǎn)要考慮其中的策略（policy）。因此，這必須考慮制度化（institutionalization）。

信息安全制度化就是關(guān)于信息安全方面的策略設(shè)計(jì)與實(shí)現(xiàn)。在某種程度上而言，制度化與合法化是同義詞[4]，例如按照ISO/IEC 27001的要求部署過(guò)程，本身就滿足了該標(biāo)準(zhǔn)的合規(guī)性，而在這個(gè)過(guò)程當(dāng)中，同時(shí)也強(qiáng)調(diào)符合性。

3 控制索引目錄（CIL）

在GB/T 22080—2008/ISO/IEC 27001：2005中規(guī)定了一個(gè)規(guī)范性描述文件，適用性聲明（Statement of Applicability，SoA），SoA實(shí)際是一個(gè)GB/T 22080—2008/ISO/IEC 27001：2005與組織信息安全控制的索引表格，如圖1所示。

圖1 SoA示意圖

這個(gè)問(wèn)題的解決，借鑒FDCC（Federal Desktop Core Configuration，美國(guó)聯(lián)邦政府桌面核心配置）的 思 想[5]。FDCC 是 基 于 SCAP（Security Content Automation Protocol，安全內(nèi)容自動(dòng)化協(xié)議）的一項(xiàng)實(shí)際應(yīng)用。SCAP是標(biāo)準(zhǔn)化安全軟件產(chǎn)品缺陷與安全信息配置信息的格式與命名的一套規(guī)范。

根據(jù)FDCC/SCAP的思想，通俗地講，按照既定的格式和命名規(guī)則，對(duì)現(xiàn)有的信息安全控制措施進(jìn)行編號(hào)、命名，做成統(tǒng)一的控制索引目錄（Control Index List，CIL），然后對(duì)監(jiān)管要求文件做同樣的工作，最后與監(jiān)管要求文件進(jìn)行映射，產(chǎn)生完整的SoA。圖1在加入上述過(guò)程后，如圖2所示。

圖2 信息安全合規(guī)性部署過(guò)程示意圖

無(wú)論采納形如信息安全等級(jí)保護(hù)還是信息安全管理體系的“最佳實(shí)踐”，一旦到具體的信息安全控制，差異并不大，例如，ISO/IEC 27002：2013，GB/T 22239—2008 或 NIST SP800-53 Rev. 4[6，7]。

CIL的基本原理就是基于信息安全控制的同質(zhì)性，類似于堆積木一樣。

CIL的具體步驟如下：（1）識(shí)別組織已經(jīng)部署的信息安全控制，并按照既定的規(guī)則做成組織的信息安全控制目錄；（2）識(shí)別組織的合規(guī)性要求，這其中可能包括了諸多政府的規(guī)制文件，以及各種相關(guān)的標(biāo)準(zhǔn)，按照同樣的邏輯對(duì)其進(jìn)行分解；（3）將現(xiàn)有的安全控制進(jìn)行目錄與特定監(jiān)管文件或標(biāo)準(zhǔn)的控制目錄進(jìn)行比對(duì)，從而確定現(xiàn)有的不足。一旦形成基本的CIL，再有新的監(jiān)管要求，一般不會(huì)區(qū)別太大，從而使組織的部署最大化地避免重復(fù)性勞動(dòng)。

4 小結(jié)

本文首先對(duì)于合規(guī)性及其幾個(gè)詞匯進(jìn)行了辨析，其中包括合法性、合乎法律性、符合性和一致性等，然后給出了基于控制索引目錄（CIL）的合規(guī)性方法，使用CIL方法的主要目的是降低組織滿足信息安全合規(guī)性的工作量。

[1]趙孟營(yíng). 組織合法性:在組織理性與事實(shí)的社會(huì)組織之間[J]. 北京師范大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2005（02）：119–125.

[2]大衛(wèi)·戴岑豪斯. 合法性與正當(dāng)性:魏瑪時(shí)代的施米特、凱爾森與海勒[M]. 劉毅，譯. 北京：商務(wù)印書(shū)館，2013.

[3]Basie von Solms. Information security—the third wave?[J] Computer& Security，2000（19）：615-620.

[4]謝宗曉，林潤(rùn)輝. 信息安全制度化3I模型[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（06）：30-33.

[5]謝宗曉. 政府部門信息安全管理基本要求理解與實(shí)施[M].北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社，2014.

[6]謝宗曉. 信息安全管理體系實(shí)施指南（第二版）[M].北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社，2017.

[7]謝宗曉，甄杰，董坤祥，等. 網(wǎng)絡(luò)空間安全管理[M].北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社，2017.

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

Information Security Compliance Based on CIL

Chen Lei ( Inner Mongolia Autonomous Region Public Security Department )
Xie Zongxiao ( China Financial Certi fi cation Authority )

We propose a deployment method named Control Index List (CIL) to meet information security compliance,and analysis of several words, including compliance, legitimacy and conformity/conformance etc.

Control Index List (CIL), information security, compliance