重視網(wǎng)絡(luò)與信息安全管理標(biāo)準(zhǔn)建設(shè)，提升我國(guó)網(wǎng)絡(luò)安全管理水平

（中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院上官曉麗）

一、引言

2003年，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（2003[27]號(hào)）中第一次把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定、保障國(guó)家安全、加強(qiáng)精神文明建設(shè)的高度，提出了“管理與技術(shù)并重”的指導(dǎo)思想，明確了安全管理在網(wǎng)絡(luò)與信息安全領(lǐng)域中的重要地位�！秶�(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)[2012]23號(hào)）中更是多次強(qiáng)調(diào)加強(qiáng)安全管理工作的重要性，如嚴(yán)格重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)安全管理；加強(qiáng)政府信息系統(tǒng)安全管理；嚴(yán)格政府信息技術(shù)服務(wù)外包的安全管理；制定政府信息安全管理辦法等要求。這些國(guó)家宏觀政策文件為加強(qiáng)和提升我國(guó)網(wǎng)絡(luò)與信息安全管理工作能力和水平提出了明確的要求。

標(biāo)準(zhǔn)作為國(guó)家網(wǎng)絡(luò)安全保障體系建設(shè)的技術(shù)支撐，是維護(hù)國(guó)家利益和保障國(guó)家安全的一種重要工具。2002年4月，全國(guó)信息安全技術(shù)標(biāo)準(zhǔn)化委員會(huì)成立，設(shè)立了信息安全管理工作組（WG7），主要負(fù)責(zé)信息安全管理領(lǐng)域的標(biāo)準(zhǔn)工作，具體工作范圍包括：1）跟蹤研究國(guó)內(nèi)外信息安全管理標(biāo)準(zhǔn)動(dòng)態(tài)；2）調(diào)研國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)需求、研究提出信息安全管理標(biāo)準(zhǔn)體系；3）研究制定信息安全管理相關(guān)標(biāo)準(zhǔn)。這一目標(biāo)下，我國(guó)的信息安全管理標(biāo)準(zhǔn)化工作堅(jiān)持采用國(guó)際標(biāo)準(zhǔn)與自主研制并重的工作思路，陸續(xù)制定發(fā)布了信息安全管理體系系列標(biāo)準(zhǔn)、信息安全風(fēng)險(xiǎn)管理、信息安全災(zāi)備應(yīng)急與事件管理、信息安全服務(wù)與控制、政府監(jiān)管或行業(yè)信息安全管理、個(gè)人信息保護(hù)等方面的標(biāo)準(zhǔn)，初步建立了較為完善的信息安全管理標(biāo)準(zhǔn)體系框架，為我國(guó)各項(xiàng)信息安全保障工作提供了參考和技術(shù)支撐，為國(guó)家各部門(mén)網(wǎng)絡(luò)與信息安全管理工作提供了技術(shù)和理論依據(jù)。

二、我國(guó)網(wǎng)絡(luò)與信息安全管理標(biāo)準(zhǔn)概況

我國(guó)的信息安全管理標(biāo)準(zhǔn)研制工作是從跟蹤研究國(guó)際標(biāo)準(zhǔn)起步的。我國(guó)最早發(fā)布的信息安全管理標(biāo)準(zhǔn)是GB/T 19716:2005《信息技術(shù) 信息安全管理實(shí)用規(guī)則》，該標(biāo)準(zhǔn)等同采用當(dāng)時(shí)的國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799:2000，以及GB/T 19715.1-2005 《信息技術(shù) 信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型》（等同采用ISO/IEC TR13335-1:1996）和GB/T 19715.2-2005 《信息技術(shù) 信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全》（等同采用ISO/IEC TR13335-1:1996）。隨著2005年國(guó)際信息安全管理體系標(biāo)準(zhǔn)族研制計(jì)劃的正式啟動(dòng)，我們堅(jiān)持跟蹤研究該系列標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)，及時(shí)組織轉(zhuǎn)化了其中的基礎(chǔ)和核心標(biāo)準(zhǔn)，為我國(guó)信息安全管理工作提供了借鑒和參考。

隨著我國(guó)信息安全保障體系建設(shè)進(jìn)入了全面規(guī)劃、統(tǒng)籌發(fā)展的新時(shí)期，與國(guó)家各項(xiàng)信息安全保障重要工作相適應(yīng)，我國(guó)的信息安全管理標(biāo)準(zhǔn)化工作也有了較大的發(fā)展，取得了較為顯著的成果。截至2013年底，我國(guó)正式發(fā)布信息安全管理相關(guān)國(guó)家標(biāo)準(zhǔn)29項(xiàng)，正在制定過(guò)程中的管理標(biāo)準(zhǔn)23項(xiàng)，其中已發(fā)布標(biāo)準(zhǔn)中采用或參考國(guó)際信息安全管理標(biāo)準(zhǔn)13項(xiàng)。這些標(biāo)準(zhǔn)化成果主要覆蓋了以下領(lǐng)域或方面：

1)等同或修改轉(zhuǎn)化了國(guó)際信息安全管理體系標(biāo)準(zhǔn)族（即ISO/IEC 27000系列標(biāo)準(zhǔn)）中基礎(chǔ)、核心標(biāo)準(zhǔn)；

2)支撐信息安全管理體系實(shí)施的信息安全控制有關(guān)的技術(shù)標(biāo)準(zhǔn)或指南；

3)支撐國(guó)家電子政務(wù)建設(shè)、信息安全等級(jí)保護(hù)、政府信息系統(tǒng)檢查等重點(diǎn)信息安全保障工作的配套安全管理標(biāo)準(zhǔn)；

4)有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估與管理、應(yīng)急與事件管理、災(zāi)備服務(wù)管理、外包管理、供應(yīng)鏈風(fēng)險(xiǎn)管理、個(gè)人信息保護(hù)等的標(biāo)準(zhǔn)或規(guī)范；

5)新技術(shù)新應(yīng)用相關(guān)的信息安全管理標(biāo)準(zhǔn)，包括工業(yè)控制系統(tǒng)安全管理、云計(jì)算安全管理等。

三、國(guó)際信息安全管理標(biāo)準(zhǔn)現(xiàn)狀

ISO/IEC JTC1/SC27是國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）的聯(lián)合技術(shù)委員會(huì)JTC1（專門(mén)負(fù)責(zé)信息技術(shù)領(lǐng)域標(biāo)準(zhǔn)化工作）下專門(mén)負(fù)責(zé)信息安全領(lǐng)域標(biāo)準(zhǔn)化工作的分技術(shù)委員會(huì)。信息安全管理標(biāo)準(zhǔn)化工作占據(jù)著其中非常重要的地位，無(wú)論是從標(biāo)準(zhǔn)數(shù)量還是標(biāo)準(zhǔn)族的整體規(guī)劃和部署來(lái)講，都得以充分體現(xiàn)。國(guó)際上主推的信息安全管理標(biāo)準(zhǔn)族主要是信息安全管理體系標(biāo)準(zhǔn)族，國(guó)際標(biāo)準(zhǔn)編號(hào)ISO/IEC 27000，目前由ISO/IEC JTC1/SC27的兩個(gè)工作組來(lái)具體負(fù)責(zé)這方面標(biāo)準(zhǔn)的研究和制定工作。其中，WG1（信息安全管理體系）主要負(fù)責(zé)ISO/IEC 27000 系列標(biāo)準(zhǔn)的維護(hù)和開(kāi)發(fā)，識(shí)別未來(lái)信息安全管理體系標(biāo)準(zhǔn)與指南的需求，維護(hù)WG1標(biāo)準(zhǔn)路線圖，與SC27 其他工作組進(jìn)行協(xié)作，特別是就標(biāo)準(zhǔn)ISO/IEC 27001中控制措施和控制目標(biāo)實(shí)施的相關(guān)內(nèi)容與WG4 進(jìn)行協(xié)作；WG4（安全控制和服務(wù)）則主要負(fù)責(zé)開(kāi)發(fā)和維護(hù)信息安全控制和服務(wù)相關(guān)標(biāo)準(zhǔn)，旨在為組織按照ISO/IEC 27000建立和實(shí)施信息安全管理體系提供技術(shù)支撐。為確保WG1和WG4制定的信息安全管理體系相關(guān)標(biāo)準(zhǔn)的易識(shí)別和完整性，SC27預(yù)留了信息安全管理標(biāo)準(zhǔn)號(hào)段：WG1涉及信息安全管理體系相關(guān)標(biāo)準(zhǔn)編號(hào)段為27000～27019，WG4涉及安全服務(wù)和控制相關(guān)標(biāo)準(zhǔn)編號(hào)段為27031～27049。

自2005年SC27啟動(dòng)信息安全管理體系(ISMS)標(biāo)準(zhǔn)族研制工作以來(lái)，截至目前，SC27/WG1制定和維護(hù)的信息安全管理體系標(biāo)準(zhǔn)族項(xiàng)目共有20項(xiàng)。WG4制定的有關(guān)信息安全控制和服務(wù)標(biāo)準(zhǔn)近50項(xiàng)，主要滿足以下三類需求：（1）對(duì)潛在的和新出現(xiàn)的信息安全問(wèn)題（包括威脅和脆弱性）進(jìn)行準(zhǔn)備和響應(yīng)的需求；（2）對(duì)已知安全問(wèn)題的發(fā)生進(jìn)行管理和預(yù)防的需求；（3）針對(duì)已發(fā)生的信息安全違規(guī)和損害進(jìn)行管理的需求，包括保護(hù)、發(fā)現(xiàn)、響應(yīng)、探討信息安全問(wèn)題或由信息安全系統(tǒng)或資產(chǎn)災(zāi)害導(dǎo)致的安全事件。

近幾年，有關(guān)信息安全管理體系專業(yè)人員能力、能源行業(yè)信息安全管理、供應(yīng)鏈安全、安全事件調(diào)查和證據(jù)、云計(jì)算安全與隱私等是國(guó)際標(biāo)準(zhǔn)化領(lǐng)域的研究熱點(diǎn)主題，持續(xù)跟蹤、及時(shí)參與和發(fā)聲，對(duì)于將我國(guó)優(yōu)勢(shì)特色技術(shù)制定為國(guó)際標(biāo)準(zhǔn)、爭(zhēng)取國(guó)際標(biāo)準(zhǔn)話語(yǔ)權(quán)等具有重要的意義。

四、下一步標(biāo)準(zhǔn)研制思路與建議

在當(dāng)今我國(guó)網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻和復(fù)雜的情況下，日新月異的信息技術(shù)發(fā)展迅速，信息技術(shù)產(chǎn)品和服務(wù)形式越來(lái)越多樣化，繼續(xù)重視網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)建設(shè)工作，明確國(guó)家網(wǎng)絡(luò)安全保障工作重點(diǎn)，及時(shí)研究制定相應(yīng)的網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)變得十分迫切，這也將為我國(guó)全面提升網(wǎng)絡(luò)安全管理能力和水平奠定理論和和技術(shù)基礎(chǔ)。

（一）繼續(xù)完善信息安全管理體系標(biāo)準(zhǔn)族

信息安全管理體系目前世界上應(yīng)用最為廣泛的一套安全管理標(biāo)準(zhǔn)，是國(guó)內(nèi)外信息安全管理體系認(rèn)證工作的主要技術(shù)依據(jù)和參考，我國(guó)亦不例外，在國(guó)內(nèi)目前廣泛開(kāi)展的市場(chǎng)化信息安全管理體系認(rèn)證工作中，明確要求將GB/T 22080《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》作為認(rèn)證工作的依據(jù)。同時(shí)從國(guó)際標(biāo)準(zhǔn)ISO/IEC 27000標(biāo)準(zhǔn)族不斷改進(jìn)和完善的情況來(lái)看，下一步我國(guó)信息安全管理體系標(biāo)準(zhǔn)族也應(yīng)該根據(jù)國(guó)際發(fā)展動(dòng)態(tài)，及時(shí)修訂完善現(xiàn)有標(biāo)準(zhǔn)，制定新標(biāo)準(zhǔn)，形成完整的信息安全管理體系標(biāo)準(zhǔn)族，為國(guó)內(nèi)具有信息安全管理體系使用需求的相關(guān)用戶和意在提高自身信息安全管理水平的用戶提供參考。

（二）配合信息安全政府監(jiān)管工作，制定相關(guān)標(biāo)準(zhǔn)

配合國(guó)家各主管部門(mén)網(wǎng)絡(luò)安全保障工作需要，諸如網(wǎng)絡(luò)安全審查、等級(jí)保護(hù)等，從提升安全管理能力和水平出發(fā)，研究制定相應(yīng)的安全管理標(biāo)準(zhǔn)和指南。

（三）信息安全應(yīng)急與災(zāi)備有關(guān)標(biāo)準(zhǔn)

研究和制修訂信息安全風(fēng)險(xiǎn)評(píng)估與管理、事件分級(jí)分類管理、信息安全事件處理、應(yīng)急響應(yīng)計(jì)劃指南、災(zāi)難恢復(fù)與備份等標(biāo)準(zhǔn)。

（四）信息安全服務(wù)管理標(biāo)準(zhǔn)

信息安全服務(wù)是保障信息系統(tǒng)安全的有效支撐手段，相關(guān)服務(wù)的質(zhì)量保證、人員保證、產(chǎn)業(yè)管理標(biāo)準(zhǔn)，市場(chǎng)需求迫切，主要開(kāi)展信息安全服務(wù)規(guī)范、服務(wù)管理規(guī)范、信息安全服務(wù)分類標(biāo)準(zhǔn)、各類信息安全服務(wù)評(píng)價(jià)等標(biāo)準(zhǔn)的研究制定。