胡娟（公安部第三研究所） 謝宗曉（南開大學商學院）

信息安全管理體系審核與信息系統(tǒng)安全等級保護測評的整合實施初探

胡娟（公安部第三研究所） 謝宗曉（南開大學商學院）

專欄

信息安全管理系列之三

在信息安全合規(guī)性的實施路線（信息安全管理系列之一）中，我們提出最常見兩條途徑，即部署信息安全管理體系或信息系統(tǒng)安全等級保護，兩者雖各有側(cè)重，但許多單位兩者可能都需要部署，于是對審核/測評機構(gòu)而言，也要面臨整合問題。本文拋開政策性要求，從技術(shù)角度探討了信息安全管理體系審核和信息系統(tǒng)安全等級保護測評的可能性及其實施路徑。

謝宗曉（特約編輯）

在信息安全實踐中，許多企業(yè)既需要實施信息系統(tǒng)安全等級保護，又需要部署信息安全管理體系，這兩者在諸多方面存在一致之處。本文對信息安全管理體系審核與信息系統(tǒng)安全等級保護測評從過程到控制措施的整合進行了初步的探討，以最大化地降低兩者的重復成本，提高組織的信息安全工作效率。

體系審核 等級測評 信息安全

審核是為獲得審核證據(jù)并對其進行客觀評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)定、規(guī)范和技術(shù)標準，對不涉及國家秘密的信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。

信息安全管理體系（Information Security Management System, ISMS）審核與信息系統(tǒng)安全等級測評在實施中雖然存在諸多異同，但總體上來說是以提高信息安全管理水平、降低信息安全風險為目標，因此存在整合的可能和必要。本文在實踐的基礎上初步探討兩者整合實施的思路。

1 審核與測評的依據(jù)

1.1 信息安全管理體系審核依據(jù)的標準

信息安全管理體系審核依據(jù)GB/T 28450—2012《信息安全技術(shù) 信息安全管理體系審核指南》，該標準提供了ISMS審核方案、實施審核以及ISMS審核員應具有能力方面的指南，該標準為有認證資格的組織按照GB/T 22080—2008/ISO/IEC 27001: 2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》來審核企業(yè)的信息安全管理體系，適用于那些需要了解或?qū)嵤﹥?nèi)部或外部審核的人員。

ISO/IEC 27001: 2005是ISO/IEC 27000族標準的基礎標準，該標準從組織的整體業(yè)務風險的角度，為建立、實施、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求，標準正文描述了建立ISMS框架的過程，規(guī)范性附錄A給出了控制措施要求。

1.2 信息系統(tǒng)安全等級保護測評依據(jù)的標準

GB/T 28449—2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》規(guī)定了信息系統(tǒng)安全等級保護測評工作的測評過程，既適用于測評機構(gòu)、信息系統(tǒng)的主管部門及運營使用單位對信息系統(tǒng)安全等級保護狀況進行的安全測試評價，也適用于信息系統(tǒng)的運營使用單位在信息系統(tǒng)定級工作完成之后，對信息系統(tǒng)的安全保護現(xiàn)狀進行的測試評價，獲取信息系統(tǒng)的全面保護需求。

GB/T 28448—2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》針對信息系統(tǒng)中的單項安全措施和多個安全措施的綜合防范，對應地提出單元測評和整體測評的技術(shù)要求，用以指導測評人員從信息安全等級保護的角度對信息系統(tǒng)進行測試評估。

GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護等級信息系統(tǒng)的最低保護要求，即基本安全要求，包括基本技術(shù)要求和基本管理要求，該標準適用于指導不同安全保護等級信息系統(tǒng)的安全建設和監(jiān)督管理。

2 整合實施的思路

2.1 審核與測評的過程整合

整合是為了在組織內(nèi)部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統(tǒng)安全等級保護的管理要求，并給組織帶來收益，避免不必要的沖突和資源浪費。

根據(jù)對審核和測評的過程分析得知審核從表面上執(zhí)行了測評的管理內(nèi)容，但從整個審核和測評活動可得出，兩者的活動內(nèi)容和組織方式非常相似，因此具備很強的整合條件，兩者的具體活動如表1所示。

表1 審核與評價活動對照

2.2 審核與測評的控制措施整合

整合GB/T 22239—2008中的控制措施部分與GB/T 22080—2008的附錄A完全可行，且整合后可避免多余、重復的管理資源。如GB/T 22239—2008三級信息系統(tǒng)對資產(chǎn)管理的要求和GB/T 22080—2008中的“A.7 資產(chǎn)管理”基本保持了一致，具體標準條款映射如表2 所示。

若組織內(nèi)存在等級保護三級或三級以上的信息系統(tǒng)，則該組織應建立信息安全管理制度體系，這與組織單位建立ISMS所達到的目標基本一樣。從整合的角度來看，通過實施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

表3 資產(chǎn)管理的整合檢查表示例

3 結(jié)語

信息系統(tǒng)安全等級保護測評和信息安全管理體系審核，都是為實現(xiàn)和強化信息安全管理，做到分清責任機構(gòu)，確認安全制度，預防和應對可能發(fā)生或者已經(jīng)發(fā)生的信息系統(tǒng)管理問題。因此隨著信息化工作的不斷發(fā)展，信息安全管理體系審核和信息系統(tǒng)安全等級保護測評必將走上一條能夠融合的道路。

[1] GB/T 28450—2012 信息安全技術(shù) 信息安全管理體系審核指南

[2] GB/T 28449—2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南

[3] 謝宗曉.《政府部門信息安全管理基本要求》理解與實施[M]. 北京：中國標準出版社，2014.

[4] 魏軍，謝宗曉. 信息安全管理體系審核指南[M]. 北京：中國標準出版社，2012.

[5] GB/T 22080—2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求

[6] GB/T 22239—2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求

[7] GB/T 28448—2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求

Discussion of Integrating Management System Auditing and Classifi ed Protection Evaluation

Hu Juan ( The Third Research Institute of Ministry of Public Security )
Xie Zongxiao ( Business School, Nankai University )

There have a lot in common between Information Security Management System (ISMS) and Classified Protection of Information System (CPIS). We proposed a feasible way to combine management system auditing with classifi ed protection evaluation.

information security, Information Security Management System (ISMS), Classifi ed Protection of Information System (CPIS)