李文兢

摘要：信息安全等級保護和ISO27000系列標(biāo)準(zhǔn)是目前國內(nèi)主流的兩個信息安全標(biāo)準(zhǔn)體系，在黨政機關(guān)及企事業(yè)單位運用非常廣泛。在建立單位內(nèi)部信息安全體系的時候往往會遇到需要同時滿足兩個標(biāo)準(zhǔn)體系要求的難題。該文先簡單介紹兩個體系的歷史及相關(guān)標(biāo)準(zhǔn)，然后對這兩個標(biāo)準(zhǔn)進行對比研究，從出發(fā)點、實施流程、安全分類標(biāo)準(zhǔn)及風(fēng)險處置方法等方面分析兩者之間的差異性及共性。

關(guān)鍵詞：信息安全等級保護；ISO27000；信息安全標(biāo)準(zhǔn)

中圖分類號：TP311文獻標(biāo)識碼：A文章編號：1009-3044(2012)20-4841-02

Integrated Application of The Classified Protection and ISO27000 Series

LI Wen-jing

(Guangzhou South China Information Technology Security Evaluation Center, Guangzhou 510050, China)

Abstract: The Classified Protection and ISO27000 series are the two current popular security standards in China, which are extensively ap plied by the Party and government departments , enterprises and institutions. Meeting the requirements of both standards is a usual problem in establishing internal security system. The essay introduces the history and relative standards of two system, and makes a comparative study of the two standards, analyses their differences and similarity in purpose, implementation process, security classification standard and risk handling and summaries the problems in implementing the two standards.

Key words: the classified protection; ISO27000; information security standard

從第一個信息安全評估標(biāo)準(zhǔn)(TCSEC)發(fā)布以來，信息安全相關(guān)標(biāo)準(zhǔn)經(jīng)過二十多年的發(fā)展，在體系建設(shè)與工程等方面都有不同的標(biāo)準(zhǔn)出現(xiàn)，促進了信息安全工作的規(guī)范化和發(fā)展。ISO27000系列標(biāo)準(zhǔn)作為國際知名的信息安全管理標(biāo)準(zhǔn)，己在全球多個國家應(yīng)用和實施。信息安全等級保護制度從1994年提出，從引進國外標(biāo)準(zhǔn)到提出符合國情的“分級保護”制度，標(biāo)準(zhǔn)體系越來越成熟，可行性也逐步加強。2006年6月公安部、國家保密局、國家密碼管理局和國信辦發(fā)布了《關(guān)于開展信息安全等級保護試點工作的通知》，試點單位包括北京、山西、上海等十三個省、市、自治區(qū)以及中聯(lián)部、中組部、航天科技集團等三個部門[1]。信息安全等級保護在保護國家安全、公共利益和社會秩序等方面扮演了至關(guān)重要的角色。信息安全工作者在實際工作中經(jīng)常需要同時按照兩種標(biāo)準(zhǔn)開展相關(guān)工作。下面筆者將從概念、出發(fā)點、分級標(biāo)準(zhǔn)及安全分類等角度來分析兩者的異同點。

1信息安全等級保護制度和ISO 27000系列標(biāo)準(zhǔn)的概念

1.1信息安全等級保護制度

我國于1999年發(fā)布了國家標(biāo)準(zhǔn)GB17859《計算機信息安全保護等級劃分準(zhǔn)則》，成為建立安全等級保護制度、實施安全等級管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。目前已發(fā)布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套標(biāo)準(zhǔn)10余個，涵蓋了定級指南、基本要求、實施指南、測評要求等方面。GB17859的核心思想是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度，保障重要信息資源和重要信息系統(tǒng)的安全[2]。

1.2 ISO 27000系列標(biāo)準(zhǔn)

ISO 27000起源于英國的BS 7799標(biāo)準(zhǔn)系列，其中ISO 27001是“信息安全管理體系要求”（Specification for Information Security Management Systems），是在組織內(nèi)部建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系的模型和要求，可用來指導(dǎo)相關(guān)人員應(yīng)用ISO 27002，其最終目的，通過規(guī)范的過程，建立適合組織實際要求的信息安全管理體系[3]。ISO 27002提出了在組織內(nèi)部啟動、實施、保持和改進信息安全管理的指南和一般原則，包括11個要素，39個控制目標(biāo)和133種控制措施[4]；

2等級保護系列標(biāo)準(zhǔn)與ISO/IEC27000系列標(biāo)準(zhǔn)的對比分析

從信息安全等級保護制度和ISO 27001系列標(biāo)準(zhǔn)的內(nèi)容來看，兩者既有相同的地方又有不同之處，下面就分別分析兩者之間的

差異性及共性。

2.1兩者的差異性

2.1.1兩者的出發(fā)點不同

信息安全等級保護制度是以國家安全、社會秩序和公共利益為出發(fā)點，從宏觀上指導(dǎo)全國的信息安全工作，目的是構(gòu)建國家整體的信息安全保障體系，ISO 27000系列標(biāo)準(zhǔn)是以保證組織業(yè)務(wù)的連續(xù)性，縮減業(yè)務(wù)風(fēng)險，最大化投資收益為目的，目的是保證組織的業(yè)務(wù)安全。

2.1.2兩者的分級標(biāo)準(zhǔn)的差異

等級保護實施首先是定級問題，針對不同的級別，提出了不同的等級安全要求；ISO 27000系列標(biāo)準(zhǔn)的第一步是風(fēng)險評估，根據(jù)資產(chǎn)的價值和所面臨的風(fēng)險進行分類，然后針對不同的風(fēng)險選擇相應(yīng)的風(fēng)險處置措施。雖然都是從分級或分類入手，但是兩者的分級標(biāo)準(zhǔn)不同。等級保護的分級主要考慮四個方面的風(fēng)險，即信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益所造成的影響，按照影響程度大小分為五級，等級保護的分級以組織外部影響為依據(jù)。而ISO 27000系列標(biāo)準(zhǔn)的分級是根據(jù)資產(chǎn)、威脅、脆弱點、影響、風(fēng)險等各個因素之間的關(guān)系，采取定量或者定性的方法進行分級分類，采取何種風(fēng)險處置措施，也是組織根據(jù)自己對風(fēng)險的接受程度而決定。ISO 27000標(biāo)準(zhǔn)以組織內(nèi)部業(yè)務(wù)影響為依據(jù)。

2.1.3兩者的安全分類的差異

等級保護和ISO 27000系列標(biāo)準(zhǔn)都從技術(shù)和管理兩個方面提出了信息安全的要求。等級保護有10個方面的要求，技術(shù)方面有：物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全，管理方面有：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理；而ISO 27001標(biāo)準(zhǔn)有11個方面，分別是：安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護、信息安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。而且兩者在各個大分類下面又規(guī)定了若干的小項目。

2.1.4兩者實施流程的差異

等級保護首先對信息系統(tǒng)進行定級，定級之后再結(jié)合不同等級的安全要求進行安全需求分析。在定級之前，首先要對信息系統(tǒng)進行描述，主要包括系統(tǒng)邊界、網(wǎng)絡(luò)拓補、設(shè)備部署等，對于大型的信息系統(tǒng)要在綜合分析的基礎(chǔ)上進行劃分，確定可作為定級對象的信息系統(tǒng)個數(shù)。信息系統(tǒng)的定級由受侵害客體和對客體的侵害程度兩個因素決定，通過綜合判定客體的受侵害程度來確定系統(tǒng)的安全保護等級。安全等級確定之后，從信息系統(tǒng)安全等級保護基本要求中選擇相應(yīng)的等級評價指標(biāo)，通過現(xiàn)場觀察、詢問、檢查、測試等方式進行評估，確定信息系統(tǒng)安全保護的基本需求。對于有特殊保護要求的信息系統(tǒng)重要資產(chǎn)，其安全需求分析則采用風(fēng)險評估的方法來進行。

ISO27000系列標(biāo)準(zhǔn)通過風(fēng)險評估來識別風(fēng)險和威脅，進而確定組織的信息安全需求，選擇風(fēng)險控制措施。在風(fēng)險評估之前首先根據(jù)組織業(yè)務(wù)特征、資產(chǎn)和技術(shù)來確定ISMS范圍和ISMS方針，然后選擇使用于組織的風(fēng)險評估方法，識別ISMS范圍內(nèi)的資產(chǎn)、資產(chǎn)所有者、資產(chǎn)的威脅、可能被資產(chǎn)利用的脆弱點、資產(chǎn)損失可能造成的影響，對風(fēng)險進行分析和評價，評估安全失效可能造成的影響及后果、威脅和脆弱性發(fā)生的可能性，進而確定風(fēng)險的等級。整個風(fēng)險評估的過程就是對組織信息安全需求分析的過程。

2.2兩者的共性

盡管兩者在很多內(nèi)容上都存在著差異，但是兩者也有很多共同之處。

2.2.1兩者風(fēng)險處理思想相同

信息安全沒有百分之百的安全，所以無論是等級保護還是ISO 27001標(biāo)準(zhǔn)都在實施之前強調(diào)分級分類，只有找出信息安全保護的重點，才能把有限的資源投入到信息安全的關(guān)鍵部位，做到統(tǒng)籌安排，而不是“眉毛胡子一把抓”。

2.2.2兩者在安全分類上的共同點

雖然等級保護和ISO 27001標(biāo)準(zhǔn)在安全措施分類上存在差別，但是很多項目都是共通的，如等級保護對“網(wǎng)絡(luò)安全”的要求，就分別體現(xiàn)在ISO 27001標(biāo)準(zhǔn)的“訪問控制”、“通信和操作管理”、“信息安全事件管理”等各個項目中。無論是技術(shù)還是管理上的安全措施，兩者都或多或少的存在共性。

2.2.3兩者是宏觀與微觀，相輔相成的關(guān)系

信息系統(tǒng)都是分布于各個組織內(nèi)部，組織內(nèi)部的信息安全是國家整體信息安全的基礎(chǔ)，網(wǎng)絡(luò)的互聯(lián)和信息的共享，一個組織內(nèi)部的信息系統(tǒng)遇到風(fēng)險業(yè)務(wù)中斷，就可能導(dǎo)致一系列的信息安全連鎖反應(yīng)，國家整體的信息安全水平體現(xiàn)在每個組織的信息安全能力上。同樣組織的信息安全也受到整體外部信息網(wǎng)絡(luò)環(huán)境的影響，組織的風(fēng)險來自內(nèi)部也來自外部，一個組織要和外界互聯(lián)共享就必然面臨風(fēng)險，很難想象一個組織能夠在一個不安全的信息網(wǎng)絡(luò)環(huán)境中安然無恙。

3結(jié)論

該文通過等級保護與ISO27000系列標(biāo)準(zhǔn)兩個信息安全標(biāo)準(zhǔn)體系的對比，詳細描述了兩者在出發(fā)點、分級標(biāo)準(zhǔn)、安全分類標(biāo)準(zhǔn)、實施流程及風(fēng)險處理思想方面的共性與差異。筆者在長期的信息安全工作實踐中根據(jù)該文的思路進行相關(guān)機構(gòu)單位的信息安全體系建設(shè)工作，并取得良好的效果。

參考文獻：

[1]郭啟全.我國信息安全等級保護工作全面開展[J].信息技術(shù)與標(biāo)準(zhǔn)化,2007.9:4-7.

[2] GB17859-1999,計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則[S].

[3] International Organization for Standardization.Information technology Security techniques Information security management systems-Re quirements ISO/IEC27001[S].2005.10.

[4] International Organization for Standardization.Information technology Security techniques Code of practice for Information security man agement ISO/IEC 17799:2005[S].2005.6.