◆魏建清 / 文

浅析新版信息安全管理体系标准的变化

◆魏建清 / 文

中国合格评定国家认可委员会（CNAS）于2014年6月20日颁布了《认证机构依据ISO/ IEC27001：2013实施信息安全管理体系认证认可转换说明》。该文件在“背景”中说明：“国际标准化组织（IS0）于2013年10月1日发布了ISO/IEC27001《信息技术 安全技术 信息安全管理体系 要求》（以下简称新版标准）。该标准代替了ISO/ IEC27001：2005。”并提出：“自ISO/ IEC27001：2013《信息技术 安全技术 信息安全管理体系 要求》发布一年后（即2014年10月1日），所有新颁发的获认可的认证证书均应依据ISO/ IEC27001：2013。”

截至2015年12月31日，CNAS秘书处颁布的认可年报显示：按GB/T 22080-2008/ISO/ICE/27001：2005《信息技术 安全技术 信息安全管理体系 要求》标准（以下简称2005版标准）建立、实施和保持信息安全管理体系（ISMS），并通过认证、现行有效的认证证书共1352份；按所在地域统计：前五名分别为北京302份、江苏224份、广东171份、浙江116份、上海99份。

我们从以上信息中不难发现，ISMS换版认证工作必须紧锣密鼓地进行，且应给予组织通过ISMS认证更多的获得感。

由此可见，ISO/IEC 27001：2013《信息技术 安全技术 信息安全管理体系 要求》标准的颁布和实施，顺应了“互联网+”的潮流，将给组织在保护信息资产，即对组织有价值的知识和数据，包括但不限于财务信息、知识产权、员工与相关方信息等方面，带来低投入、高回报的实实在在的益处。

新版标准术语和定义的变化

2005版标准在“3 术语和定义”中，仅列出了16个术语和定义，这对组织和审核员正确理解ISMS标准带来了不少困难。为此，国际标准化组织于2009年正式颁布并实施的ISO/IEC 27000:2009《信息技术 信息安全管理体系 概述和词汇》无疑对于理解新版标准，尤其是附录A（规范性附录）《控制目标和控制措施》大有裨益。该标准与2005版标准相比，新增了“访问控制”“可核查性”“攻击”“鉴别”“信息安全事件管理”“信息安全风险”“抵赖性”“风险沟通”“风险准则”“风险估算”“威胁”和“脆弱性”等30个术语和定义。

与此同时，新版标准对2005版标准的某些术语和定义作了一定的修改，例如“信息安全”这一术语和定义：“保持信息的保密性、完整性和可用性。”在新增加的注释中，要求组织把信息的抗抵赖性和其他特性亦应一并考虑其安全。可见，新版标准在考虑信息资产互联互通环境下，已考虑到保障电子商务、电子签名的信息安全了。

新版标准这些术语和定义的变化，均是从PDCA和基于风险的思维，要求组织建立、实施和保持的ISMS能实现其预期结果。

新版标准总体框架遵从“导则”要求

制定导则ISO/IEC Directives 1，统一管理体系标准的格式，是国际标准化组织近十年来的重大举措。

为了解决ISO 9001和ISO 27001两个管理体系的兼容性，新版标准服从了联合技术协调组（JTCG）于2010年发布的《管理体系兼容性导则》的相关规定。主要包括ISO新版标准总体框架遵从《导则》高层结构（High Level Structure）的要求；新版标准中的共用术语和术语采用导则的术语和定义；新版标准中的共用条款采用导则规定的条款名称和条款正文。

新版标准的框架结构包括十大部分：范围（Scope）；规范性引用文件（Normative references）；术语和定义（Terms and definitions）；组织环境（Context of the organization）；领导作用（Leadership）；策划（Planning）；支持（Support）；运行（Operations）；绩效评价（Performance evaluation）；改进（Improvement）。

从图1中可以看到，新版标准的结构与2005版标准相比，更加准确地体现了PDCA的关系和其每一过程之间的作用。

增加了有关战略信息安全管理的要求

当今是信息和科技高速发达的网络社会，互联网已渗透到社会生活的各个方面，其对经济、政治、文化的发展产生了深刻影响。但不可否认，信息安全隐患已危及到组织的生存和发展，故新版标准要求组织从战略的高度，分析组织所处的内外部环境与相关方的需求和期望，从而明确信息安全管理的任务和目标，通过建立、实施和保持ISMS，来实现ISMS预期结果。

在新版标准的多个条款中，均提出了与战略信息安全管理有关的要求。如4.1中规定：组织应确定与其意图相关的，且影响其实现ISMS预期结果能力的外部和内部事项；5.1a）中规定:确保建立了信息安全策略和信息安全目的，并与组织战略方向一致；6.1.1中规定：当策划ISMS时，组织应考虑4.1中提到的事项和4.2中提到的要求；9.3b）中规定：与ISMS相关的外部和内部事项的变化；管理评审的输出应包括：与持续改进相关的决定以及变更ISMS的任何需求。

从以上要求可以看出，ISMS的建立、实施和保持，一定要考虑组织的内部和外部因素，并实现组织的战略目标。

强化了领导作用

新版标准根据ISO/IEC导则的要求，增加了“领导”等章节，包括领导和承诺、方针，以及组织的角色，责任和权限等，以体现领导作用在ISMS管理中的核心地位。

新版标准所增加的这方面要求，除了建立信息安全方针，提供资源和分配职责之外，还增加了许多新的要求。例如，5.1中规定：最高管理者应通过相关活动，证实对ISMS的领导和承诺；确保将ISMS要求整合到组织过程之中；确保ISMS达到预期结果。

值得一提的是，新版标准进一步明确了组织最高管理层，应确保与信息安全相关角色的责任和权限，得到分配和沟通的要求。

图1

组织的最高管理者要实现上述结果，必须依靠各层领导建立统一的宗旨和方向，并且创造全员参与的条件，以不折不扣地执行ISMS新版标准的各项要求，才能确保实现组织的ISMS预期结果，才能确保ISMS的有效性。

“风险控制”已贯穿过程管理的始终

根据导则要求，新版标准更加明确了“风险控制”的要求。这里所指的“风险控制”主要应体现在三个层面，即:一是应确保相关方的信息安全；二是确保组织自身的信息安全；三是确保组织应履行的企业的信息安全社会责任。据此，新版标准提出了一系列要求。其中，4.2规定：理解相关方的需求和期望（注：相关方的要求可包括法律、法规要求和合同义务）；6.1.1规定：当策划ISMS时，组织……，并确定需要应对的风险和机遇；组织应策划应对这些风险和机遇的措施；8.1规定：为了满足信息安全要求以及实现6.1中确定的措施，组织应策划、实施和控制所需要的过程。组织还应实现为达到6.2中确定的信息安全目的的一系列计划；9.1a）规定：组织应确定需要被监视和测量的内容，包括信息安全过程和控制；10.2规定：组织应持续改进信息安全管理体系的适宜性、充分性和有效性。

组织在建立、实施和保持ISMS中，应根据标准的相关要求，充分识别信息资产。小到一张门禁卡，大到一套计算机集成系统内外环境所存在的威胁、自身存在的脆弱性所形成的风险，并在有效控制和防范上面，不断夯实管理基础，以应对组织内外环境变化的风险。

关注组织信息资产

新版标准虽未明确提出生命周期管理要求，但笔者却认为，其已隐含在“6.1.2信息安全风险评估”条款要求之中，这是因为6.1.2中规定：“组织应定义并应用信息安全风险评估过程”，其适用于任何一个信息资产的信息安全管理。通常而言，信息资产生命周期可包括规划、设计、实施、运维和废弃五个过程。由于其每一过程预期结果的输出完全不同，故需对其所处过程的信息安全风险进行识别与评估，通过建立并维护信息安全风险准则，控制每一个过程输出的信息安全风险。这其中，实现规划过程风险评估是为满足识别系统的业务战略，以支撑系统安全需求之目的；实施过程风险评估是为满足对系统开发、实施过程进行风险识别至目的；系统建成过程风险评估是为满足系统安全功能得到有效验证之目的；运维过程风险评估是为满足了解和控制系统运行过程中的安全风险之目的；废弃过程风险评估是为满足这些废弃的信息资产对组织造成信息安全影响之目的。

需要指出的是，当信息资产的业务目标和需求、技术与管理水平以及组织内外环境发生变化时，需要再次对上述五个过程进行风险评估，以确保信息资产生命周期信息安全管理的符合性和有效性。

明确控制目标与控制措施

实践表明，一个组织倘若能游刃有余地应用新版ISMS标准要求中附录A《控制目标和控制措施》，就一定能把ISMS的功效发挥至理想水平。

可以这样说，新版标准的附录A，其是标准所有要求的精华。讲得通俗一点，就是为企业达成目标，规定了通用的路径和方法。但在实际工作中，笔者发现一些组织，由于没有认真学习、深刻领会其实质，虽然花了大钱，但信息安全管理未能实现预期结果，且信息安全事故连续发生。如：求大贪洋，购置国外所谓先进的服务器；主营核心业务交由所谓的跨国公司管理；员工跳槽频繁，带走组织技术与管理机密而无法应对；知识产权与专利管理缺乏章法；外包过程管理中对无形资产管理失控，导致市场拱让给竞争对手；涉密场所的移动介质管理形同虚设，给不法分子有机可乘；网络服务安全未能根据安全特性、服务级别以及所有网络服务的管理要求，确定管控措施，导致以偏概全或杀鸡用牛刀，管理成本大幅增加而没有达到管理功效，以及组织在与客户所签订的相关技术服务协议中没有明确信息安全双方的合规义务而产生纷争等。

以上列举的种种事件，新版标准在附录A中，均明确提出了控制目标和控制措施。申请/获证组织应结合自身实际，度身定做，且持之以恒地执行适合自身的管理要求。

通过新版标准与2005版标准附录A比较发现，有不少新增的要求。例如，面对移动设备使用日益频繁和远程工作应用日趋广泛，导致信息安全事件（事故）屡有发生的情况，对2005版相关要求做了修改，进一步明确了“移动设备策略”应采用相应的策略及其支持性的安全措施，以管理由于使用移动设备所带来的风险；进一步明确了“远程工作”应实现相应的策略及其支持性的安全措施，以保护在远程工作地点上所访问的、处理的或存储的信息。又如，面对“互联网+”技术的应用与普及，导致信息资产被窃取、被篡改、被恶意使用的事件（事故）频发，新版标准结合当今技术最新的互联网信息技术，确定了确保网络中的信息及其支持性的信息处理设施得到保护以及保持在组织内外实体间传输信息的安全要求，主要包括：网络控制、网络服务的安全、网络隔离以及信息传输策略和规程、信息传输协议、电子消息发送和保密或不泄露协议等，旨在规范组织内员工和相关方的网络操作/管理行为。

更加强调绩效评价

当组织的最高管理层决定要按新版标准要求，建立、实施和保持ISMS时，自然会考虑投入与收益。据此，新版标准在引言中就开宗明义地指出：采用ISMS是组织的一项战略性决策。可见，新版标准已经充分注意到组织为何需要ISMS，如何建设ISMS，以及建成后的ISMS，通过何种标准来评价。

针对这一系列问题，新版标准在第九章用了一章三节19个条款，明确了“绩效评价”的要求。9.1 监视、测量、分析和评价中规定：组织应评价信息安全绩效以及信息安全管理体系的有效性。并进一步明确：a）需要被监视和测量的内容，包括信息安全过程和控制；b）适用的监视、测量、分析和评价的方法，以确保得到有效的结果；c）何时应执行监视和测量；d）谁应监视和测量；e）何时应分析和评价监视和测量的结果；f）谁应分析和评价这些结果。

因此，组织不能为了绩效评价而进行虚无缥缈地评价所谓的绩效。很实用的做法应逐项对照本文中提出的附录A《控制目标与控制措施》的新要求，尽可能通过5W1H方法，让原始的各种数据“开口”说话；尽可能应用IT与数据库等技术手段和方法，自动形成覆盖全天候、全网络物理环境以及全部核心业务的一个完整的证据链，并通过环比、同比等成熟的数理统计手段和方法，把优势固化，并传承和发展。

需要指出的是：一些组织为了满足标准要求，制定了一些与组织产品和服务实现不相关或很难实现的信息安全目标。新版标准已考虑到让组织采用合适的控制措施来满足控制目标的要求。因此，组织应善于应用新版标准附录A的相关要求，不断补充、完善和提高信息安全的绩效评价所对应的目标。

其他主要变化

一是应用了ISO/IEC合并导则附录SL中定义的高层结构、相同条款标题、相同文本、通用术语和核心定义，保持了其与其他采用附录SL的管理体系的标准具有兼容性。附录SL中定义的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组织是有用的。二是本文中提及的ISO/IEC 27000:2009《信息技术 信息安全管理体系 概述和词汇》，其引用了ISMS标准族（包括ISO/IEC 27003［2］、ISO/IEC 27003［3］、ISO/IEC 27003［4］），以及相关术语和定义。三是内部审核不再强调审核员不应审核自己的工作，但明确选择审核员并实施审核，确保审核过程的客观性和公正性，以彰显审核活动的客观、务实、公正、高效和灵活的审核作风。四是用文件化信息替代了2005版标准的程序、文件、记录。五是虽然未提出“预防措施”要求，但新版标准预防为主的思想体现在纵横交错的各个方面。可以这样说，标准的结构框图、PDCA过程与过程之间的接口，以及每一个条款的大小循环中，“预防措施”要求，其已在标准中体现得淋漓尽致、入木三分。六是更加强调了信息资产更新管理的要求。新版标准8.2中规定：组织应考虑6.1.2a）所建立的准则，按计划的时间间隔，或当重大变更提出或发生时，执行信息安全风险评估。七是把“改进”过程分解为两个子过程，即“不符合及纠正措施”与“持续改进”。这有利于组织从近期、中长期角度出发，对标管理、施以对策，实现组织在不同阶段所需的目标要求。

总之，新版标准已融入很多新版质量、环境管理体系要求的元素，组织完全可以借鉴建立、实施和保持多位一体的结合型管理体系，花较小的代价，能尽快弥补在信息安全管理上的“短板”，并通过有效应用风险管理的途径和方法，确保信息的机密性、完整性和可用性，为相关方树立风险得到充分管理的信心，从而为营造更多价值创造的机会。

（作者单位：上海质量体系审核中心）