胡娟（公安部第三研究所） 谢宗晓（南开大学商学院）

信息安全管理体系审核与信息系统安全等级保护测评的整合实施初探

胡娟（公安部第三研究所） 谢宗晓（南开大学商学院）

专栏

信息安全管理系列之三

在信息安全合规性的实施路线（信息安全管理系列之一）中，我们提出最常见两条途径，即部署信息安全管理体系或信息系统安全等级保护，两者虽各有侧重，但许多单位两者可能都需要部署，于是对审核/测评机构而言，也要面临整合问题。本文抛开政策性要求，从技术角度探讨了信息安全管理体系审核和信息系统安全等级保护测评的可能性及其实施路径。

谢宗晓（特约编辑）

在信息安全实践中，许多企业既需要实施信息系统安全等级保护，又需要部署信息安全管理体系，这两者在诸多方面存在一致之处。本文对信息安全管理体系审核与信息系统安全等级保护测评从过程到控制措施的整合进行了初步的探讨，以最大化地降低两者的重复成本，提高组织的信息安全工作效率。

体系审核 等级测评 信息安全

审核是为获得审核证据并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规定、规范和技术标准，对不涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。

信息安全管理体系（Information Security Management System, ISMS）审核与信息系统安全等级测评在实施中虽然存在诸多异同，但总体上来说是以提高信息安全管理水平、降低信息安全风险为目标，因此存在整合的可能和必要。本文在实践的基础上初步探讨两者整合实施的思路。

1 审核与测评的依据

1.1 信息安全管理体系审核依据的标准

信息安全管理体系审核依据GB/T 28450—2012《信息安全技术 信息安全管理体系审核指南》，该标准提供了ISMS审核方案、实施审核以及ISMS审核员应具有能力方面的指南，该标准为有认证资格的组织按照GB/T 22080—2008/ISO/IEC 27001: 2005《信息技术 安全技术 信息安全管理体系 要求》来审核企业的信息安全管理体系，适用于那些需要了解或实施内部或外部审核的人员。

ISO/IEC 27001: 2005是ISO/IEC 27000族标准的基础标准，该标准从组织的整体业务风险的角度，为建立、实施、监视、评审、保持和改进文件化的ISMS规定了要求，标准正文描述了建立ISMS框架的过程，规范性附录A给出了控制措施要求。

1.2 信息系统安全等级保护测评依据的标准

GB/T 28449—2012《信息安全技术 信息系统安全等级保护测评过程指南》规定了信息系统安全等级保护测评工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

GB/T 28448—2012《信息安全技术 信息系统安全等级保护测评要求》针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。

GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求，包括基本技术要求和基本管理要求，该标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。

2 整合实施的思路

2.1 审核与测评的过程整合

整合是为了在组织内部建立一套信息安全管理体系及制度，而且该制度既符合信息安全管理体系又符合信息系统安全等级保护的管理要求，并给组织带来收益，避免不必要的冲突和资源浪费。

根据对审核和测评的过程分析得知审核从表面上执行了测评的管理内容，但从整个审核和测评活动可得出，两者的活动内容和组织方式非常相似，因此具备很强的整合条件，两者的具体活动如表1所示。

表1 审核与评价活动对照

2.2 审核与测评的控制措施整合

整合GB/T 22239—2008中的控制措施部分与GB/T 22080—2008的附录A完全可行，且整合后可避免多余、重复的管理资源。如GB/T 22239—2008三级信息系统对资产管理的要求和GB/T 22080—2008中的“A.7 资产管理”基本保持了一致，具体标准条款映射如表2 所示。

若组织内存在等级保护三级或三级以上的信息系统，则该组织应建立信息安全管理制度体系，这与组织单位建立ISMS所达到的目标基本一样。从整合的角度来看，通过实施整合，可以取得“一举两得”的效果。具体的整合检查表如表3所示。

表3 资产管理的整合检查表示例

3 结语

信息系统安全等级保护测评和信息安全管理体系审核，都是为实现和强化信息安全管理，做到分清责任机构，确认安全制度，预防和应对可能发生或者已经发生的信息系统管理问题。因此随着信息化工作的不断发展，信息安全管理体系审核和信息系统安全等级保护测评必将走上一条能够融合的道路。

[1] GB/T 28450—2012 信息安全技术 信息安全管理体系审核指南

[2] GB/T 28449—2012 信息安全技术 信息系统安全等级保护测评过程指南

[3] 谢宗晓.《政府部门信息安全管理基本要求》理解与实施[M]. 北京：中国标准出版社，2014.

[4] 魏军，谢宗晓. 信息安全管理体系审核指南[M]. 北京：中国标准出版社，2012.

[5] GB/T 22080—2008 信息技术 安全技术 信息安全管理体系 要求

[6] GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求

[7] GB/T 28448—2012 信息安全技术 信息系统安全等级保护测评要求

Discussion of Integrating Management System Auditing and Classifi ed Protection Evaluation

Hu Juan ( The Third Research Institute of Ministry of Public Security )
Xie Zongxiao ( Business School, Nankai University )

There have a lot in common between Information Security Management System (ISMS) and Classified Protection of Information System (CPIS). We proposed a feasible way to combine management system auditing with classifi ed protection evaluation.

information security, Information Security Management System (ISMS), Classifi ed Protection of Information System (CPIS)