重视网络与信息安全管理标准建设 提升我国网络安全管理水平
一、引言
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(2003[27]号)中第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,提出了“管理与技术并重”的指导思想,明确了安全管理在网络与信息安全领域中的重要地位。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)中更是多次强调加强安全管理工作的重要性,如严格重要信息系统和基础信息网络安全管理;加强政府信息系统安全管理;严格政府信息技术服务外包的安全管理;制定政府信息安全管理办法等要求。这些国家宏观政策文件为加强和提升我国网络与信息安全管理工作能力和水平提出了明确的要求。
标准作为国家网络安全保障体系建设的技术支撑,是维护国家利益和保障国家安全的一种重要工具。2002年4月,全国信息安全技术标准化委员会成立,设立了信息安全管理工作组(WG7),主要负责信息安全管理领域的标准工作,具体工作范围包括:1)跟踪研究国内外信息安全管理标准动态;2)调研国内信息安全管理标准需求、研究提出信息安全管理标准体系;3)研究制定信息安全管理相关标准。这一目标下,我国的信息安全管理标准化工作坚持采用国际标准与自主研制并重的工作思路,陆续制定发布了信息安全管理体系系列标准、信息安全风险管理、信息安全灾备应急与事件管理、信息安全服务与控制、政府监管或行业信息安全管理、个人信息保护等方面的标准,初步建立了较为完善的信息安全管理标准体系框架,为我国各项信息安全保障工作提供了参考和技术支撑,为国家各部门网络与信息安全管理工作提供了技术和理论依据。
二、我国网络与信息安全管理标准概况
我国的信息安全管理标准研制工作是从跟踪研究国际标准起步的。我国最早发布的信息安全管理标准是GB/T 19716:2005《信息技术 信息安全管理实用规则》,该标准等同采用当时的国际标准ISO/IEC 17799:2000,以及GB/T 19715.1-2005 《信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型》(等同采用ISO/IEC TR13335-1:1996)和GB/T 19715.2-2005 《信息技术 信息技术安全管理指南 第2部分:管理和规划信息技术安全》(等同采用ISO/IEC TR13335-1:1996)。随着2005年国际信息安全管理体系标准族研制计划的正式启动,我们坚持跟踪研究该系列标准发展动态,及时组织转化了其中的基础和核心标准,为我国信息安全管理工作提供了借鉴和参考。
随着我国信息安全保障体系建设进入了全面规划、统筹发展的新时期,与国家各项信息安全保障重要工作相适应,我国的信息安全管理标准化工作也有了较大的发展,取得了较为显著的成果。截至2013年底,我国正式发布信息安全管理相关国家标准29项,正在制定过程中的管理标准23项,其中已发布标准中采用或参考国际信息安全管理标准13项。这些标准化成果主要覆盖了以下领域或方面:
1) 等同或修改转化了国际信息安全管理体系标准族(即ISO/IEC 27000系列标准)中基础、核心标准;
2) 支撑信息安全管理体系实施的信息安全控制有关的技术标准或指南;
3) 支撑国家电子政务建设、信息安全等级保护、政府信息系统检查等重点信息安全保障工作的配套安全管理标准;
4) 有关信息安全风险评估与管理、应急与事件管理、灾备服务管理、外包管理、供应链风险管理、个人信息保护等的标准或规范;
5) 新技术新应用相关的信息安全管理标准,包括工业控制系统安全管理、云计算安全管理等。
三、国际信息安全管理标准现状
ISO/IEC JTC1/SC27是国际标准化组织(ISO)和国际电工委员会(IEC)的联合技术委员会JTC1(专门负责信息技术领域标准化工作)下专门负责信息安全领域标准化工作的分技术委员会。信息安全管理标准化工作占据着其中非常重要的地位,无论是从标准数量还是标准族的整体规划和部署来讲,都得以充分体现。国际上主推的信息安全管理标准族主要是信息安全管理体系标准族,国际标准编号ISO/IEC 27000,目前由ISO/IEC JTC1/SC27的两个工作组来具体负责这方面标准的研究和制定工作。其中,WG1(信息安全管理体系)主要负责ISO/IEC 27000 系列标准的维护和开发,识别未来信息安全管理体系标准与指南的需求,维护WG1标准路线图,与SC27 其他工作组进行协作,特别是就标准ISO/IEC 27001中控制措施和控制目标实施的相关内容与WG4 进行协作;WG4(安全控制和服务)则主要负责开发和维护信息安全控制和服务相关标准,旨在为组织按照ISO/IEC 27000建立和实施信息安全管理体系提供技术支撑。为确保WG1和WG4制定的信息安全管理体系相关标准的易识别和完整性,SC27预留了信息安全管理标准号段:WG1涉及信息安全管理体系相关标准编号段为27000~27019,WG4涉及安全服务和控制相关标准编号段为27031~27049。
自2005年SC27启动信息安全管理体系(ISMS)标准族研制工作以来,截至目前,SC27/WG1制定和维护的信息安全管理体系标准族项目共有20项。WG4制定的有关信息安全控制和服务标准近50项,主要满足以下三类需求:(1)对潜在的和新出现的信息安全问题(包括威胁和脆弱性)进行准备和响应的需求;(2)对已知安全问题的发生进行管理和预防的需求;(3)针对已发生的信息安全违规和损害进行管理的需求,包括保护、发现、响应、探讨信息安全问题或由信息安全系统或资产灾害导致的安全事件。
近几年,有关信息安全管理体系专业人员能力、能源行业信息安全管理、供应链安全、安全事件调查和证据、云计算安全与隐私等是国际标准化领域的研究热点主题,持续跟踪、及时参与和发声,对于将我国优势特色技术制定为国际标准、争取国际标准话语权等具有重要的意义。
四、下一步标准研制思路与建议
在当今我国网络安全形势越来越严峻和复杂的情况下,日新月异的信息技术发展迅速,信息技术产品和服务形式越来越多样化,继续重视网络安全管理标准建设工作,明确国家网络安全保障工作重点,及时研究制定相应的网络安全管理标准变得十分迫切,这也将为我国全面提升网络安全管理能力和水平奠定理论和和技术基础。
(一)继续完善信息安全管理体系标准族
信息安全管理体系目前世界上应用最为广泛的一套安全管理标准,是国内外信息安全管理体系认证工作的主要技术依据和参考,我国亦不例外,在国内目前广泛开展的市场化信息安全管理体系认证工作中,明确要求将GB/T 22080《信息技术 安全技术 信息安全管理体系 要求》作为认证工作的依据。同时从国际标准ISO/IEC 27000标准族不断改进和完善的情况来看,下一步我国信息安全管理体系标准族也应该根据国际发展动态,及时修订完善现有标准,制定新标准,形成完整的信息安全管理体系标准族,为国内具有信息安全管理体系使用需求的相关用户和意在提高自身信息安全管理水平的用户提供参考。
(二)配合信息安全政府监管工作,制定相关标准
配合国家各主管部门网络安全保障工作需要,诸如网络安全审查、等级保护等,从提升安全管理能力和水平出发,研究制定相应的安全管理标准和指南。
(三)信息安全应急与灾备有关标准
研究和制修订信息安全风险评估与管理、事件分级分类管理、信息安全事件处理、应急响应计划指南、灾难恢复与备份等标准。
(四)信息安全服务管理标准
信息安全服务是保障信息系统安全的有效支撑手段,相关服务的质量保证、人员保证、产业管理标准,市场需求迫切,主要开展信息安全服务规范、服务管理规范、信息安全服务分类标准、各类信息安全服务评价等标准的研究制定。(中国电子技术标准化研究院 上官晓丽)