王丽华（机械工业信息研究院）谢宗晓（中国金融认证中心）

本刊特约

从标准营销角度重新审视信息安全管理体系

王丽华（机械工业信息研究院）谢宗晓（中国金融认证中心）

论文结合ISO/IEC 27000标准族的发展过程，从标准营销的角度总结了3个信息安全管理体系从诸多标准中脱颖而出的原因。

信息安全 信息安全管理体系

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文80多篇，出版专著近20本。

信息安全管理系列之三十二

信息安全管理体系（ISO/IEC 27000标准族）不但是全球范围内应用最广泛的标准，也是目前国际标准化组织（ISO）发布的规模最庞大的标准族之一。关于这个标准族的技术细节介绍，可以参考《“十二五”国家重点图书出版规划 信息安全管理体系丛书》，在这里，我们重点探讨一个问题，在如此多的类似标准中，ISO/IEC 27000标准族为什么能够脱颖而出？

谢宗晓（特约编辑）

1 市场为什么选择了ISMS

国际标准化组织（ISO）发布的标准并不必然成功，有很多规模庞大且设计良好的标准都没有能够得到市场认可，例如，业界公认OSI七层模型设计精巧，逻辑清晰，但是结果我们都知道了，最终占据市场的是TCP/IP协议[1]。

ISO/IEC 27000标准族起源于“最佳实践”，作为流程类（或方法类）标准，盈利模式就是很大的困难。例如，为产品付费，用户大多都已经习以为常。某种方法，或者某个流程，到现在为止，盈利依然很困难。ISMS盈利的模式恰恰就是“卖手艺”，更通俗地讲，就是告诉企业如何一步一步地做信息安全。

在本文中，我们从标准营销的角度分析ISO/IEC 27000标准族在诸多标准中脱颖而出的原因。

2 积极与OECD指南相结合

经济合作与发展组织（OECD1））OECD，the Organisation for Economic Co-operation and Development，经济合作与发展组织。目前OECD有35个成员国，总部设在巴黎。OECD发布各种各样的文档，例如《G20/OECD治理原则》就是一个极具前瞻性的指导文件，绝大部分都是免费的，下载地址为：http://www.oecd.org。）在1992年11月26日年发布了《OECD信息系统安全指南》2））OECD Guidelines for the Security of Information Systems [R]. 1992，OECD信息系统安全指南。。2002年，改版为《OECD信息系统与网络安全准则——发展安全文化》3））OECD Guidelines for the Security of Information Systems and Networks: Towards a culture of security [R]. 概要的免费下载地址：http://www.oecd.org/sti/ ieconomy/15582284.pdf。。

从发布时间来看，谈不上ISO/IEC 27000标准族借鉴了OECD的指导原则，我们之所以在这里单独拿出来讲，是想强调ISO/IEC 27000标准族在推广过程中所做的第一个努力，即尽量与更牛的人混在一起，显得自己也是牛人[2,3]。在ISO/IEC 27001：2005的引言中，有这样一段话：

采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。

这段话听起来有点拗口，整体上很谦虚地表达了一个逻辑，就是ISO/IEC 27001：2005能够满足OECD指南的原则，如果OECD指南是战略层，那么我们在战术层面进行了落实。在ISO/IEC 27001：2005的附录中，还就标准条款与OECD提出的原则进行了映射。但是，最新版的ISO/IEC 27001：2013已经把上一段描述删除了，以现在ISMS的推广程度，刻意地“攀这种亲戚”意义也不大了。

3 快速以免费的方式推向市场

信息安全“最佳实践”指的是目前在用的ISO/ IEC 27002，开发过程只用了6个月，其中3个月完成第一版草案，另外3个月完成最终草案。在完成初稿后，工作组在版权问题上产生一定的分歧，是免费获取还是收取一定的费用？这里就要讲到ISMS在推广过程中所做的第二项努力，为了使文档能够被最快地获得，工作组决定以“实用规则”的形式发布，而不是英国标准的形式，这就避免了繁杂的过程，更重要的是文档可以免费获取，因此文档迅速流行，并得到实践领域的高度评价。

在互联网时代，尤其是中国的互联网服务，免费几乎是标配。回过头看，好像在当时这是一个很容易做的选择，事实上在20世纪90年代，这是一个很有远见的决定。在后续的15年内，英国的标准机构（BSI4））BSI集团是一个商业机构，但同时承担着英国国家标准协会的功能。因此，BSI同时参与到标准的开发、认证、咨询和培训等整个产业链。在英国这是可以的，在国内，中国国家认证认可监督管理委员会（CNCA）规定不能同时进行咨询和认证业务。）成为市场占有率最高的咨询和培训机构之一。这种情形，一直到最近几年，限于政策等因素5））例如，《关于加强信息安全管理体系认证安全管理的通知》（工信部联协〔2010〕394号）和《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序》（工信部2011年第21号公告）等公文都对外企从事信息安全认证做了一定的限制。，国内市场占有率才有所改变。

4 利用成熟的标准开发团队

经过一个阶段的公开征求意见，这个关于“最佳实践”的文档成为BS 7799：1995，该文档与最初的草案几乎一致。BS 7799：1995发布后，许多顾问和会计公司对认证的想法产生了兴趣，因为在1995年左右，ISO 9000的质量管理体系认证已经比较深入人心。

1996年夏，BS 7799提交考虑成为国际标准，但是被驳回。为了促进国际化，1997年建立ISMS国际用户联盟（IUG）6））ISMS International User Group （IUG）Ltd 建立于1997年，和其他安全组织一样，这个组织为成员讨论与分享部署BS 7799的经验提供了一个平台。。同年9月，英国工业与贸易部（DTI）建立BS 7799认可认证指导委员会。1998年2月，加入BS 7799-2。1999年4月，第一次修订后的BS 7799：1999发布。之上描述的过程如图1所示。

图1 成为英国国家标准的过程

加入认证框架是ISMS在推广过程中所做的第三个努力，这使得该标准成为一个完整的产业链。这一过程的产生跟英国标准协会（BSI）的成功经验很有关系，他们在之前成功地推广了质量管理体系（QMS）。

在成为国际标准之前，澳大利亚和新西兰最早接受该标准为AS/NZS 4444，之后又被斯堪的纳维亚与中东国家所接受，当然最重要的是，成功说服了主要经济体的接受，例如，美国、日本和德国等国家认可BS 7799的认证，就是BS 7799-2。

2000年，BS 7799-1成为国际标准，并编号为ISO/IEC 17799：2000，由于ISO的标准最长5年需要重新评审，2005年，在内容没有太大变化的情况下，改版为ISO/IEC 17799：2005。

图1描述的主要是ISO/IEC 27001和ISO/IEC 27002发展过程，图2中重点描述了成为国际标准之后的版本演化过程。

图2 成为国际标准后的版本变化

2005年年底，随着BS 7799-2成为国际标准，ISO 27000标准族产生，在内容没有任何改变的情况下，ISO/IEC 17799：2005重新发布为ISO/IEC 27002：2005。这之后，ISO 27000标准族进入了快速发展时期。

5 小结

综上所述，我们从标准营销的角度讨论了信息安全管理体系（ISO/IEC 27000标准族）的产生与兴起过程，将其能够成功占领市场的原因归结为以下3点：

（1）在合适的时间推出的合适标准。最早版本的“最佳实践”，即ISO/IEC 27002的前身，发布于1993年，在当时，信息安全问题刚刚凸显，并没有太多的经验可以借鉴。尤其是对于最佳实践这类标准，经常是“怎么说，怎么对”。

（2）积极运用了恰当的营销方式。首先，文本本身是免费的，盈利主要依靠其他手段；其次，与OECD指南等结合，积极地拓展了标准的应用范围；最后，加入了管理体系产业链，而这个产业链已经运转有序，且已经存在大量专门从业人员。

（3）利用了推广团队已有的经验。由于起源于英国标准，之前已经有很成功的质量管理体系（ISO 9000标准族）的开发和推广经验，信息安全管理体系成为国际标准的过程相对比较顺利。

最近几年是ISO/IEC 27000标准族的开发和改版的高峰时期，但整体而言，定义和描述信息安全管理体系的，最基本的ISO/IEC 27000至ISO/IEC 27008，基本已经定稿。接下来关注的重点是分行业的应用，以及分领域的控制。最新的ISO/IEC 27000标准族进展情况，请参见参考文献[4]和[5]。

（注：本文仅做学术探讨，与作者所在单位观点无关）

[1]特南鲍姆&韦瑟罗尔. 计算机网络[M]. 严伟，潘爱民，译. 5版. 北京：清华大学出版社，2012.

[2]谢宗晓，甄杰，董坤祥，等，网络空间安全管理[M]. 北京：中国质检出版社/中国标准出版社，2017.

[3]谢宗晓. 信息安全管理体系实施指南（第二版）[M]. 北京：中国质检出版社/中国标准出版社，2017.

[4]谢宗，董坤祥. 截至2016年底ISO/IEC 27000标准族的进展（上）[J]. 中国质量与标准导报，2017（1）：36-40.

[5]谢宗晓，甄杰. 截至2016年底ISO/IEC 27000标准族的进展（下）[J]. 中国质量与标准导报，2017（2）：34-38，41.

From a Marketing Perspective on ISMS

Wang Lihua ( Institute of Mechanical Industry Information ) Xie Zongxiao ( China Financial Certifi cation Authority )

Based on the ISO/IEC 27000 family of standards development process, from the perspective of standard marketing summarize three reasons that information security management system (ISMS) stand out from the many standards.

Information Security, Information Security Management System (ISMS);