信息安全合規性的實施路線范文

本站小編為你精心準備了信息安全合規性的實施路線參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《中國標準導報雜志》2015年第四期

一、合規性與有效性

內部合規的程度（即制度的落地）不太容易判斷，但是外部合規的程度（即內外制度一致性）卻可以一目了然，因此，監管部門也會產生“判斷捷徑”，于是和個體行為的邏輯一致，組織也會選擇更省事的合規性部署方式，重外部合規，輕內部合規。這樣的部署方式會嚴重的損害文件的有效性，在現行的監管制度中已經表現的非常明顯。在所有的制度設計中，前提都應該是人是自利的。如果失去這個前提，制度就完全沒有存在的必要了。所以有效性不能依靠執行者的自覺，而應該靠體系化的手段去解決。在這個層面講，有效性是合規性的更高要求。但是，有效性如同人的能力一樣，很難直接測量，沒人有覺得自己能力低下，如果沒有客觀的判斷依據，“要讓有能力的人脫穎而出”其實是一句空話。

二、合規性的實施路線

截至2014年9月，我國已經正式公布了216項信息安全國家標準（包含1項強制標準），12項行政法規，17項部門規章，30項其他國家部委公文。面對這么多的規范性文件，組織的信息安全合規性也變得越來越復雜。經過梳理，這其中真正獨成體系的信息安全實施路線實際就有兩個標準族：1）信息安全管理體系（InformationSecurityManagementSystem,ISMS）標準族，其中標準多等同或修改采用ISO/IEC27000標準族；2）信息系統安全等級保護標準族。

（一）信息安全管理體系（ISMS）ISMS包括了ISO/IEC27000至ISO/IEC27059的60個標準，不但給出了“建立、實施、運行、監視、評審、保持和改進信息安全的”“基于業務風險（的）方法”，而且還給出了要求、實用規則、第三方認證審核指南以及相關安全域的具體指南等，第三方認證機構的存在為信息安全管理有效性提供了客觀的評價數據。新版的ISO/IEC27001:2013雖然不再借用Plan-Do-Check-Act框架，但是修改后的框架本質還是PDCA。此外，ISO/IEC27003:2010《信息技術安全技術信息安全管理體系應用指南》，有比較詳盡的部署過程描述。目前已經的相關國家標準主要包括：GB/T29246—2012《信息技術安全技術信息安全管理體系概述和詞匯》（ISO/IEC27000:2009，IDT）GB/T22080—2008《信息技術安全技術信息安全管理體系要求》（ISO/IEC27001:2005，IDT）GB/T22081—2008《信息技術安全技術信息安全管理實用規則》（ISO/IEC27002:2005，IDT）GB/T25067—2010《信息技術安全技術信息安全管理體系審核認證機構的要求》（ISO/IEC27006，MOD）GB/T28450—2012《信息安全技術信息安全管理體系審核指南》（ISO/IEC27007，MOD）

（二）信息系統安全等級保護信息系統安全等級保護是以GB17859—199（9強制標準）為基礎的一系列標準族，《關于信息安全等級保護工作的實施意見》公通字[2004]66描述其應用范圍主要為國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統，主要包括：國家事務處理信息系統（黨政機關辦公系統）；財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關系到國計民生的信息系統；教育、國家科研等單位的信息系統；公用通信、廣播電視傳輸等基礎信息網絡中的信息系統；網絡管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。ISMS的安全需求是組織自己識別的，然后按照相關的標準去部署，審核主要是為了確認組織自圓其說的ISMS。等級保護雖然也是自主定級，但是須經主管部門確認，實施和測評都是根據定級進行的。目前已經的信息系統安全等級保護標準特別多，最相關的有：GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》GB/T22240—2008《信息安全技術信息系統安全等級保護定級指南》GB/T25058—2010《信息安全技術信息系統安全等級保護實施指南》GB/T28448—2012《信息安全技術信息系統安全等級保護測評要求》GB/T28449—2012《信息安全技術信息系統安全等級保護測評過程指南》

（三）ISMS與等級保護的整合實施許多組織可能同時要滿足ISMS和信息系統安全等級保護的要求，或者更多的監管文件，這意味著需要整合實施。首先，如果將所有的控制措施拆散，ISMS與信息系統安全等級保護并無本質的區別，這意味著在控制措施級別的整合是無障礙的。其次，對框架來說，ISMS的框架更為經典，建議在實施的過程中采用PDCA循環。

三、結語

無論是采用信息安全安全管理體系（ISMS）還是信息系統安全等級保護，或者整合實施，都能夠滿足絕大部分的信息安全監管要求。通過滿足信息安全的合規性，真正達到信息安全管理的有效性，這才是最重要的目的。此外，除這兩個標準族，我們也推薦考慮NIST（NationalInstituteofStandardandTechnology,NIST）的RMF（RiskManagementFramework,RMF）框架，雖然這超出了合規性本身的含義，但是就其體系設計的有效性而言，具有很大的借鑒意義。

作者：謝宗曉 單位：南開大學商學院