信息安全标准化介绍

2012-07-25刘辉

中国质量与标准导报 2012年8期

刘辉

计算机信息系统是当今社会各经济领域发展的核心基础设施，渗透到社会、政治、经济的方方面面，同时，随之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生，且攻击技术越发复杂，往往导致被攻击系统的正常、安全运营受到严重影响甚至瘫痪。特别是一些针对政府、国家重要经济部门、企事业单位的网络攻击，已对国家主权、安全和社会稳定构成严重威胁。因此计算机网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行的全局性问题。

1.信息安全国际标准化

近20年来，随着信息安全技术与管理实践的发展，信息安全相关的标准也越来越丰富。ISO／IEC联合技术委员会JTC 1第27分技术委员会S27是专业开发信息安全领域标准的国际组织，到目前为止，S27成立了5个工作组，分别是：

WG 1：信息安全管理体系

WG 2：密码技术与安全机制

WG 3：安全评估准则

WG 4：安全控制措施与服务

WG 5：鉴别与隐私技术

这些工作组的工作基本上覆盖了当前信息安全研究的全部领域，到目前为止，已发布和／或更新的信息安全标准共有186项，正在开发的标准共计55项。

在这些标准中，因合格评定的普及性，最为社会公众熟悉的即ISO／IEC 27000族标准。按照SC 7WG 1的设想，ISO／IEC 27000族标准的整体体系如图1所示：

图1 ISO／IEC 27000族标准构成示意图

到目前为止，已发布的ISO／IEC 27000族标准包括：

ISO／IEC 27000：2009 信息技术安全技术信息安全管理体系综述和词汇

ISO／IEC 27001：2005 信息技术安全技术信息安全管理体系要求

ISO／IEC 27002：2005 信息技术安全技术信息安全管理实践规则

ISO／IEC 27003：2010 信息技术安全技术信息安全管理体系实施指南

ISO／IEC 27004：2009 信息技术安全技术信息安全管理体系测量

ISO／IEC 27005：2011 信息技术安全技术信息安全风险管理

ISO／IEC 27006：2011 信息技术安全技术信息安全管理体系认证审核机构要求

ISO／IEC 27007：2011 信息技术安全技术信息安全管理体系审核指南

ISO／IEC TR 27008：2011 信息技术安全技术关于信息安全控制措施的审核员指南

ISO 27799：2008 健康信息学保健业应用ISO／IEC 27002实施信息安全管理

ISO／IEC 27010：2012 信息技术安全技术行业间和组织之间沟通的信息安全管理

ISO／IEC 27011：2008 信息技术安全技术

通信业组织基于ISO／IEC 27002的信息安全管理指南

到目前为止正在开发或修订中的标准包括：

ISO／IEC CD 27000 信息技术安全技术信息安全管理体系综述和词汇

ISO／IEC CD 27001 信息技术安全技术信息安全管理体系要求

ISO／IEC CD 27002 信息技术安全技术信息安全管理体系信息安全控制措施实践规则

ISO／IEC DIS 27013 信息技术安全技术ISO／IEC 27001和ISO／IEC 20000-1整合实施指南

ISO／IEC WD TS 27017 信息技术安全技术信息安全管理基于ISO／IEC 27002的云计算服务信息安全控制措施指南

2.信息安全国内标准化情况

在国内，与信息安全领域相关的标准工作由国标委TC 260“全国信息安全标准化技术委员会”归口负责，TC 260成立于2002年，下设7个工作组，分别是：

WG 1：信息安全标准体系与协调工作组

WG 2：涉密信息系统安全保密标准工作组

WG 3：密码技术工作组

WG 4：鉴别与授权工作组

WG 5：信息安全评估工作组

WG 6：通信安全标准工作组

WG 7：信息安全管理工作组

TC 260负责组织开展国内信息安全有关的标准化技术工作，技术委员会主要工作范围包括：安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。至今，TC 260已制定和发布了国家标准87项，正在制定的标准20项。其中等同转化的ISO／IEC 27000族标准包括：

GB／T 22080—2008 《信息技术安全技术信息安全管理体系要求》，等同采用ISO／IEC 27001：2005

GB／T 22081—2008 《信息技术安全技术信息安全管理实用规则》，等同采用ISO／IEC 27002：2005

3.ISO／IEC 27000族标准概要介绍

ISO／IEC 27000：2009为信息安全管理体系标准族给出了一个总体概述，介绍了什么是信息安全管理体系，提出特定行业领域的ISMS应用指南，提出了ISMS的合格评定要求，简要描述了PDCA过程在信息安全管理中的应用，规定了信息安全管理体系标准族中使用的所有术语。

ISO／IEC 27001：2005包含了适用于所有类型组织的信息安全管理体系要求，规定了建立、实施、运行、监视、评审、保持和改进一个文件化的信息安全管理体系的要求，旨在帮助组织在整体业务风险背景下管理信息安全风险。该标准可以用于内部或外部审核的依据，以证实组织管理其信息安全风险的能力。

ISO／IEC 27002为建立、实施、保持和改进信息安全管理体系提供了指南和通用原理。ISO／IEC 27002包含了与安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统的获取与开发维护、信息安全事件管理、业务连续性管理、符合性等相关的控制目标和控制措施方面的最佳实践。

ISO／IEC 27003关注依据ISO／IEC 27001 成功设计和实施信息安全管理体系（ISMS）的关键要素，描述了规范和设计ISMS的过程，包括制定实施计划、获得管理层对实施ISMS的批准，标准将实施ISMS作为一个项目，提供了策划和实施这个项目的指南。

ISO／IEC 27004为已实施了信息安全管理体系以及ISO／IEC 27001中规定的控制措施的组织，提供开发和应用度量手段以评估组织信息安全管理体系有效性的指南。ISO／IEC 27004适用于所有类型的组织。

ISO／IEC 27005为信息安全风险管理提供了指南。该标准采用ISO／IEC 27001中的概念，有助于更好地理解“基于风险管理方法的信息安全”的思想。理解ISO／IEC 27005，需要对ISO／IEC 27001和ISO／IEC 27002中的概念、模型、过程和术语有完整的理解。ISO／IEC 27005适用于所有类型的组织。

ISO／IEC 27006规定了信息安全管理体系认证审核机构的要求，这些要求叠加于ISO／IEC 17021和ISO／IEC 27001中的相关要求，主要目的在于支持对信息安全管理体系认证机构的认可。信息安全管理体系认证机构须按照ISO／IEC 27006证实其能力。ISO／IEC 27006中还包含了阐释其要求的指南。

ISO／IEC 27007提供了管理信息安全管理体系审核方案的指南，指南中包括如何实施审核、如何评价信息安全管理体系审核员的能力，ISO／IEC 27007应与ISO 19011一起使用。ISO／IEC 27007适用于内部或外部信息安全管理体系审核，或审核方案的管理。

ISO／IEC TR 27008为评审控制措施的执行以及如何检查信息系统控制措施符合性等提供了指南，这种评审应与组织建立的信息安全标准一致。ISO／IEC TR 27008适用于所有类型和规模的组织，包括公共团体或私营企业、政府机构以及实施信息安全评审和技术符合性检查的非营利组织。但该标准不拟用于信息安全管理体系审核。

ISO／IEC 27010特别针对在信息共享环境下的信息安全管理提供了指南，特别适用于在组织间、行业间通信情形中建立、实施、保持和改进信息安全管理体系。ISO／IEC 27010适用于所有形式敏感信息的交换和共享，包括公共信息和私有信息，国际的或国内的、行业内、市场或行业间的信息交换与共享，特别适用于涉及组织或国家关键基础设施的提供、维护和保护的信息交换与共享时的信息安全。

ISO／IEC 27011规定了支持通信业组织信息安全管理的指南，通信业组织采用该标准有助于其满足信息安全管理的基线要求，即保密性、完整性、可用性和任何其他相关安全特性。

ISO 27799规定的指南阐述了ISO／IEC 27002在健康信息领域的实施，与ISO／IEC 27002是成对实施的标准。ISO 27799规定了一组详细的管理健康信息安全的控制措施，为健康信息安全提供最佳实践指南。通过实施ISO 27799，保健业组织以及其他健康信息保管方将可确保最低必要水平的安全，以适合于其组织的具体情况，并保持个人健康信息的保密性、完整性和可用性。ISO 27799适用于健康信息的各个方面，无论信息的形式（文字或数字，有声记录，图画，多媒体和医疗图像），无论储存信息的手段（纸介质印刷或书写，或电子存储），无论传递的手段（手工，传真，计算机网络，或邮政），信息都必须得到适当保护。