謝宗曉（中國金融認(rèn)證中心）

信息安全管理體系在國內(nèi)的發(fā)展及其產(chǎn)業(yè)鏈

謝宗曉（中國金融認(rèn)證中心）

謝宗曉（特約編輯）

首先分析了ISO/IEC 27000標(biāo)準(zhǔn)族的架構(gòu)及其進展，然后介紹了對應(yīng)的國家標(biāo)準(zhǔn)的開發(fā)進展，最后概述了對應(yīng)的管理體系產(chǎn)業(yè)鏈。

信息安全 信息安全管理體系 管理體系產(chǎn)業(yè)鏈

1 ISO/IEC 27000標(biāo)準(zhǔn)族概述

信息安全管理體系（ISMS）與ISO/IEC 27000標(biāo)準(zhǔn)族通常被用作同義詞[1,2]。

ISO/IEC 27000標(biāo)準(zhǔn)族，編號從ISO/IEC 27000開始直至ISO/IEC 27059，共包括了60項標(biāo)準(zhǔn)1）從ISO/IEC JTC 1/SC 27的架構(gòu)我們可以知道，這是廣義的ISMS，因為真正負(fù)責(zé)ISMS的是WG 1，其他幾個組各有側(cè)重，WG 1不可能解決所有的信息安全問題。，另外還有3項相關(guān)標(biāo)準(zhǔn)。ISO/IEC 27000標(biāo)準(zhǔn)族不是一開始就被精巧地設(shè)計，而是在發(fā)展過程中逐步清晰，中間差不多用了15年。當(dāng)然，之前并不是沒有成功案例，ISO 9000標(biāo)準(zhǔn)族雖然沒有這么體系龐大，至少在應(yīng)用中也能稱其為“族（family）”。之所以呈現(xiàn)了這樣的發(fā)展路徑，大約更多的還是市場考慮。如果一次性開發(fā)60項標(biāo)準(zhǔn)，然后等著市場接受，這不現(xiàn)實。

事實情況是，因為ISO/IEC 27002，包括緊隨其后的ISO/IEC 27001，都獲得了良好的市場認(rèn)可度，使得其他標(biāo)準(zhǔn)的開發(fā)變得現(xiàn)實起來，還有一種情況是，已有的標(biāo)準(zhǔn)，重新編號，也進入了這個系列。最典型的例如，ISO/IEC 27033和ISO/IEC 27035，這2個標(biāo)準(zhǔn)在之前就已經(jīng)有很廣泛的應(yīng)用了。

ISO/IEC 27000標(biāo)準(zhǔn)族大致可以分為3類[3,4]：

（1）ISO/IEC 27000至ISO/IEC 27008，這是純粹關(guān)于ISMS，或者說，從不同的方面定義了ISMS，其架構(gòu)如圖1所示。

（2）ISO/IEC 27009至ISO/IEC 27030，包括了分行業(yè)應(yīng)用，以及更外圍的方面，或者與其他體系的整合問題，其架構(gòu)如圖2所示。

（3）ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如，包括了信息安全事件管理和業(yè)務(wù)連續(xù)性管理等各個方面，其架構(gòu)如圖3所示。

2 ISMS在國內(nèi)的發(fā)展

國內(nèi)對ISMS相關(guān)標(biāo)準(zhǔn)的關(guān)注是比較早的，之前發(fā)布了GB/T 19716—2005（ISO/IEC 17799：2000，MOD），由于太早，信息安全意識遠(yuǎn)遠(yuǎn)不夠，沒有得到大規(guī)模的應(yīng)用。隨著ISO/IEC 27002：2005的發(fā)布，這個標(biāo)準(zhǔn)被GB/T 22081—2008/ISO/IEC 27002：2005替代，當(dāng)然同時發(fā)布的還有GB/T 22080—2008 / ISO/IEC 27001：2005。

成為國家標(biāo)準(zhǔn)的ISO/IEC 27001和ISO/IEC 27002，版本的變化如圖4所示。

如圖所示，成為國家標(biāo)準(zhǔn)的ISO/IEC 27001和ISO/IEC 27002，目前最新版本為：

· GB/T 22080—2016/ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》；

· GB/T 22081—2016/ISO/IEC 27002：2013《信息技術(shù) 安全技術(shù) 信息安全控制實踐指南》；

當(dāng)然，還有諸多ISO/IEC 27000標(biāo)準(zhǔn)族的標(biāo)準(zhǔn)也成為國家標(biāo)準(zhǔn)，例如：

圖1 ISO/IEC 27000至ISO/IEC 27008的架構(gòu)

圖2 ISO/IEC 27009至ISO/IEC 27030的架構(gòu)

· GB/T 29246—2012/ISO/IEC 27000：2009《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》；

· GB/T 31722—2015/ISO/IEC 27005：2008《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險管理》；

· GB/T 28450—2012（ISO/IEC 27007：2011，MOD）《信息安全技術(shù) 信息安全管理體系審核指南》。

圖3 ISO/IEC 27031至ISO/IEC 27059的架構(gòu)

圖4 成為國家標(biāo)準(zhǔn)的ISO/IEC 27001和ISO/IEC 27002版本變化

3 國內(nèi)管理體系產(chǎn)業(yè)鏈

與質(zhì)量管理體系（ISO 9001）類似，ISMS已經(jīng)形成完整的產(chǎn)業(yè)鏈[5]。如圖5所示。

目前，關(guān)于管理體系產(chǎn)業(yè)鏈的國內(nèi)主要管理結(jié)構(gòu)如圖6所示。

中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會（CNCA，http://www.cnca.gov.cn）成立于2001年3月，是國務(wù)院決定組建并授權(quán)，履行行政管理職能，統(tǒng)一管理、監(jiān)督和綜合協(xié)調(diào)全國認(rèn)證認(rèn)可工作的主管機構(gòu)。

中國合格評定國家認(rèn)可委員會（CNAS，http://www.cnas.org.cn）是根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》的規(guī)定，由中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)設(shè)立并授權(quán)的國家認(rèn)可機構(gòu)，統(tǒng)一負(fù)責(zé)對認(rèn)證機構(gòu)、實驗室和檢查機構(gòu)等相關(guān)機構(gòu)的認(rèn)可工作。中國合格評定國家認(rèn)可委員會于2006年3月正式成立，是在原中國認(rèn)證機構(gòu)國家認(rèn)可委員會（CNAB）和原中國實驗室國家認(rèn)可委員會（CNAL）基礎(chǔ)上整合而成的。

中國認(rèn)證認(rèn)可協(xié)會（CCAA，http://www.ccaa.org.cn/）成立于2005年9月，是由認(rèn)證認(rèn)可行業(yè)的認(rèn)可機構(gòu)、認(rèn)證機構(gòu)、認(rèn)證培訓(xùn)機構(gòu)、認(rèn)證咨詢機構(gòu)、實驗室、檢測機構(gòu)和部分獲得認(rèn)證的組織等單位會員和個人會員組成的非營利性、全國性的行業(yè)組織。依法接受業(yè)務(wù)主管單位國家質(zhì)量監(jiān)督檢驗檢疫總局、登記管理機關(guān)民政部的業(yè)務(wù)指導(dǎo)和監(jiān)督管理。

圖5 管理體系產(chǎn)業(yè)鏈

圖6 管理體系產(chǎn)業(yè)鏈的國內(nèi)管理結(jié)構(gòu)

中國國家標(biāo)準(zhǔn)化管理委員會（SAC，http://www.sac.gov.cn/）是國務(wù)院授權(quán)的履行行政管理職能，統(tǒng)一管理全國標(biāo)準(zhǔn)化工作的主管機構(gòu)。此外，在其官網(wǎng)上，可以查詢所有的標(biāo)準(zhǔn)目錄、標(biāo)準(zhǔn)計劃以及強制性標(biāo)準(zhǔn)全文，當(dāng)然，也可以查詢各種各樣的技術(shù)委員會的工作進展，例如TC 2602）TC 260負(fù)責(zé)專業(yè)范圍為國內(nèi)信息安全，秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究院。。

4 小結(jié)

總體而言，（1）國內(nèi)對于ISO/IEC 27000標(biāo)準(zhǔn)族雖然關(guān)注得比較早，但是對應(yīng)國家標(biāo)準(zhǔn)的開發(fā)速度遠(yuǎn)遠(yuǎn)低于國際標(biāo)準(zhǔn)的開發(fā)速度；（2）產(chǎn)業(yè)鏈發(fā)展比較成熟，但這主要是得益于已有的QMS等管理體系的既有成果。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）

[1]謝宗曉，甄杰，董坤祥，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

[2]謝宗曉. 信息安全管理體系實施指南（第二版）[M]. 北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

[3]謝宗曉，董坤祥. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進展(上)[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（01）：36-40.

[4]謝宗曉，甄杰. 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進展(下)[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（02）：34-38，41.

[5]謝宗曉. 信息安全管理體系實施案例（第二版）[M]. 北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

ISMS and Its Industry Chain in China

Xie Zongxiao ( China Financial Certi fi cation Authority )

This paper analyzes the schema of the ISO/IEC 27000 standards and progress, then introduced the corresponding development of Chinese standards, outlined the corresponding management system industry chain.

Information Security, Information Security Management System (ISMS), management system industry chain

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之三十四

在本系列中，2017年第1期與第2期，介紹了ISO/IEC 27000標(biāo)準(zhǔn)族的最新進展。實際上ISO/IEC 27000標(biāo)準(zhǔn)族，尤其ISO/IEC 27001和ISO/IEC 27002，所對應(yīng)的國家標(biāo)準(zhǔn)也已經(jīng)經(jīng)過了數(shù)次版本變化，并且形成了較為完善的管理體系產(chǎn)業(yè)鏈，了解這個過程對于組織部署信息安全管理體系很有幫助。本文中介紹了與信息安全管理體系相關(guān)的國家標(biāo)準(zhǔn)以及對應(yīng)的產(chǎn)業(yè)鏈。