信息安全管理中国标准探路

　　从身边民情的反映到企业的登记注册，北京市海淀区的民众正逐渐把网上系统作为一个获得政府服务的主要渠道，“群众事务呼叫中心”、“网上全程办事代理”、城市信息化管理系统”等系统也为越来越多的民众所熟知。而随着多个重要业务系统在网上开展应用，海淀区政府对电子政务互联互通的需求也日渐明显。

　　这种对信息化依赖程度的提高也使信息安全问题日益凸显。北京市海淀区信息办副主任王晖说：“为了高效安全地进行电子政务，我们迫切需要搞好信息安全保障工作。”

　　不过，该如何做好信息安全保障工作，许多用户并不知该从何处着手。由于我国信息安全管理标准尚未出台，用户可以借鉴的大多是国外的信息安全标准，或是其他用户的经验。但很显然的是，这种行为无法兼顾适用性和合理性，最终也很难为用户带来期待中的安全保障。

　　随着信息化应用的不断深入，信息安全问题也得到了我国政府的高度重视，多次强调做好信息安全保障工作的重要性。国务院信息化工作办公室（国信办）继电子政务信息安全试点取得阶段性成功后，又于2006年3月启动了“信息安全管理标准应用（ISMS）试点”工作，这为推动信息安全管理标准的出台做好了准备工作。经过将近一年的试点工作，北京、上海、深圳、福建、武汉等地的试点单位探索出了哪些方法和值得借鉴的宝贵经验？国际标准能否兼顾我国具体应用中的适用性与合理性需求？将要出台的信息安全中国标准还应在哪些方面进一步完善？1月23日，国信办在深圳召开了信息安全管理标准应用（ISMS）试点总结会，对这些问题进行了深入的探讨和解答。

　　信息安全管理标准应用试点任务圆满完成

　　在此次“信息安全管理标准应用（ISMS）试点总结会”上，国信办对从2006年3月开始启动的“信息安全管理标准应用（ISMS）试点”工作进行了全面的总结。与会领导和专家一致认为，这次试点工作是继电子政务信息安全试点取得很大成功后的又一次非常及时、非常必要的信息安全工作，试点工作取得了圆满成功，相信这将为国家信息安全主管部门制定相关管理政策提供很重要的客观依据。

　　国务院信息化工作办公室安全组赵泽良副司长对于此次试点工作和各试点单位的工作都给予了充分的肯定:“此次信息安全管理体系试点是国信办为了更好地落实27号文件、更好地加强信息安全管理而开展的一项重要工作，这项工作在有关领导的关注下，在各试点单位领导的高度重视及有效组织下，在试点专家组的具体指导下，在全国信息安全标准化技术委员会的大力支持下，取得了圆满成功，试点的经验非常丰富，这些经验在信息安全管理以及整个信息安全保障工作中都有着非常重要的推广和借鉴作用。”

　　早在2003年7月22日召开的国家信息化领导小组第三次会议上，就讨论并通过了《关于加强信息安全保障工作的意见》（中办发[2003]27号文件）。27号文件的颁布标志着我国全面启动了信息安全保障体系的建设，并以中央文件的形式将信息安全工作提上到“保障”信息化发展的高度。

　　为了贯彻落实27号文件提出的在信息安全保障工作中坚持“管理与技术并重”的原则，抓紧制定急需的信息安全管理和技术标准，形成与国际标准相衔接的中国特色的信息安全标准体系，国务院信息化工作办公室协同全国信息安全标准化技术委员会组织了“信息安全管理标准应用（ISMS）试点”工作。

　　国信办安全组熊四皓处长表示：“要想形成与国际标准相衔接的中国特色的信息安全标准体系，就首先必须验证国际上通用的信息安全管理标准（ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》）在我国的适用性和合理性；其次还要了解和掌握构建信息安全管理体系的程序、步骤和方法；并探索信息安全管理体系建设与风险评估、等级保护等信息安全保障工作之间的关系。试点工作的重要作用就是在试点中发现并解决这些问题，这样才能够制定出适合我国需求的信息安全管理和技术标准。”

　　国信办信息安全管理标准应用试点工作专家组成员崔书昆在总结验收工作时也特别强调了试点工作对于探索和解决以上三方面的问题所起到的至关重要的作用，尤其是对于将来标准的出台更是意义重大。

　　正是为了更深入和全面地探索、解决这些问题，此次试点选择了税务、证券等重要信息系统部门（行业）以及北京市、上海市、武汉钢铁集团等5个单位共7个系统开展工作。对于此次试点工作，国信办以及接到试点工作任务的各单位信息办领导都高度重视，国信办专家组先后多次到试点地区进行调研和总结，最终保证了试点目标的圆满完成。

　　验证适用性与合理性

　　国际上通用的信息安全管理标准ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》是否适合我国的具体情况、在不同的行业是否具有适用性和合理性，是此次试点工作探索的首要问题。

　　国信办安全组赵泽良副司长强调说:“在信息安全管理标准工作中，我们第一方面就是要验证国际标准的适用性问题。在这方面，各试点单位在探索适用性的基础上都有所扩展，在验证标准适用性的同时，也验证了合理性和可操作性的问题，同时探索了构建信息安全管理体系的具体方法、思路和工作流程。”

　　在各试点单位中，深交所、北京海淀、北京公积金、上海宝山、上海医保和武钢等六家单位认为ISMS标准是“适用的”或“总体上是适用的”；而福建地税认为“并不完全适合我们国内的实际情况，引进时特别要注意本地化工作”。相信这些经验都会为ISMS国家标准的制定奠定坚实的基础。

　　“我们认为ISO/IEC 27001:2005是一个基于企业信息安全管理的通用标准，并不完全适合我们国内的实际情况，特别是税务系统这样的政府机关部门，引进时要进行本地化工作。”福建地税相关负责人陶晶表示，“我们的试点工作就是为了总结出与税务系统行业特征相适宜的信息安全管理规范和办法。而通过此次试点的工作，我们进一步优化、改进和加强了现有信息安全管理运行体系的有效性和适用性。我们相信只有适合的才是最好的。”

　　武钢相关负责人在总结时也提出：“通过试点，我们认为IS0/IEC 27001:2005和ISO/IEC 17799:2005这两个ISMS标准在武钢总体上是适用的。但ISO/IEC 17799:2005中的‘数据保护和个人信息的隐私’、‘密码控制’、‘职责和程序’等条款应考虑与我国实际情况相结合。”

　　这些在试点中出现的问题和争论正是我们希望看到的，试点并不是我们的最终目的，在试点中探索出适合我国的信息安全管理标准才是我们的任务。就好像试点工作促进了各试点单位建立高层管理者参与和负责的信息安全组织机制一样，这个机制不仅是为试点工作而建的，更应该成为试点单位今后信息安全工作的一个长效组织机制，为试点单位的信息安全工作提供组织保障。

　　而在探索适用性问题的同时，了解和掌握构建ISMS的程序、步骤和方法也是此次试点的重要目标。各试点单位都按照PDCA的方法，通过建立组织机构，编制了ISMS体系文件，并结合所在行业和系统的特点构建了本单位的ISMS。这些工作将会为政府机关、税务系统、大型制造企业、证券交易系统、医疗保险系统、住房公积金管理等行业和系统建立实施ISMS提供宝贵的经验和借鉴。

　　“试点工作已经使‘文件化’的原则深入人心，各试点单位都建立了符合ISO/IEC 27001:2005要求的、文件化的ISMS，并编制了大量的体系文件。”国信办信息安全管理标准应用试点工作专家组成员崔书昆说，“在信息安全方面规定应该做什么并形成文件，然后按照文件规定的去做，最后检查所做的是否符合文件规定和是否需要改进，这一PDCA的有效方法已经被各试点单位所普遍认识和接受。”

　　探索风险评估与等级保护

　　风险评估和等级保护都是在信息安全建设中的重要环节，当然在信息安全管理体系的建设中更是至关重要的先决条件。此次，各试点单位对ISMS与风险评估和等级保护等其他工作的关系也进行了深入的探索和研究。
　　
　　“这次，另外一个重要的目标就是要讨论我们的信息安全管理体系和其他各项工作的关系，比如说与等级保护的关系，与风险评估的关系，我们的目标非常明确。我觉得更值得肯定的是我们几家试点单位在这个大的总体的目标下面，与试点目标实践相结合，把它更加地具体化、本地化、本单位化。”国务院信息化工作办公室安全组赵泽良副司长说。
　　
　　全国信息安全标准化技术委员会副秘书长吴志刚也强调了风险评估的重要性：“作为ISMS建立和实施过程中一个重要的环节，风险评估和风险处理是必需的。通过这次试点，各试点单位都实施了一次全面的风险评估，这也间接促进了各试点单位风险评估工作的开展。”

　　其中，北京公积金管理中心重点研究了适合ISMS建设的风险评估方法，结合电子政务的等级保护工作，探索出了等级化的信息安全管理体系建立的流程和步骤。

　　“我们结合《信息安全风险评估指南》设计了一种适合于ISMS体系建设的风险评估方法。该方法运用层次分析的方式，通过构建评估风险的层次结构模型，并确定评估指标，对组织的安全状况进行了全面、科学地评价，该方法在试点应用中取得了较好的效果。”北京公积金管理中心主任王志军介绍说。

　　“另外，我们认为信息安全管理体系的建立过程应该要结合电子政务的等级保护工作来进行，一方面可以切实地建立适用于电子政务的信息安全管理体系，另一方面可以推动电子政务等级保护工作的实施，为此我们尝试着进行等级化信息安全管理体系的建立。”

　　为了分析通过信息安全管理体系来建设等级保护安全管理的可行性，北京公积金管理中心比较了ISO 17799控制措施和等级保护安全管理的要求。通过比较总结出，ISO 17799的控制措施包含了等级保护安全管理方面的绝大多数要求。而等级化信息安全管理体系实施流程的第五阶段“选择风险控制措施”，已经结合信息系统确定的安全等级的要求，从等级保护相关标准中补充选择ISO 17799之外的控制措施，所以完全满足等级保护安全管理的要求。

　　“关于ISMS与风险评估的关系，虽然现在有人认为在27001标准中已经把所有的控制点规定清楚了，所以没有必要再做风险评估了。可是我们认为在建立ISMS之前还是要先完成风险评估，只有通过风险评估才能盘点我们现有信息资产，不至于遗漏。特别是像我们税务系统这类采用垂直管理的，最好能建立一套统一的风险评估流程和技术手段，找到信息安全的共同点之后再建立ISMS。”福建地税在此次试点中也探索了适合在税务系统内推广的经验。

　　福建地税负责人强调说：“在ISMS的建立过程中，将等级保护工作加入其中是必要的。只有在信息资产安全等级确定的情况下，建立的ISMS才更具有有效性，技术手段才更具有针对性。”

　　而除了ISMS与风险评估和等级保护的关系，与其他已经实施的管理体系的整合也非常重要，比如ISMS与QMS（质量管理体系）的整合。此次，部分试点单位如上海医保、武钢、北京海淀等在试点工作前已经建立和实施了QMS并通过了QMS认证，试点工作中，他们注重研究ISMS与QMS等管理体系的整合，也为多个管理体系的整合做出了有益的探索。

　　各试点单位实施效果

　　深圳证券交易所

　　深圳证券交易所结合已经实施或正在实施的ITMS、BCP、CMMI等工作，历时6个月，ISMS自2006年11月开始试运行。

　　● 建立了符合ISO/IEC27001:2005要求的、文件化的ISMS，编制完成了四级体系文件（包括记录表单等）共计149份。

　　● 试点工作促进深交所建立了三年信息安全规划，推动了深交所“两网隔离工程”的实施，初步建立了实施ISMS软件的原型。

　　● 探索出一个在证券行业有效实施ISMS的方法－BHTP，即B－业务与策略、H人员与管理、T－技术与产品、P－流程与体系; 并从ISMS实施方式、实施范围、实施预算等各个方面对证券行业实施ISMS提出了具体建议。

　　● 验证了ISMS标准在证券行业的适用性，并分析了ISMS的标准的优势和缺陷。

　　北京公积金管理中心

　　北京公积金管理中心与技术支撑单位一起，结合北京公积金的实际情况，将试点工作目标细化为5项，历时8个月，ISMS自2006年11月开始运行，完成了试点工作。

　　● 通过试点工作，更准确、全面地把握了安全现状，在北京公积金建立了切合自身的、文件化的ISMS，形成了包括信息安全管理手册、程序文件以及记录文件在内的三级体系文件共计112份。

　　● 探索和研究了适合ISMS建设的风险评估方法，结合电子政务的等级保护工作，探索了等级化信息安全管理体系建立的流程和步骤。

　　● 通过试点，建立了信息安全管理的组织机构并明确了责任，任命了信息安全管理委员会主任、管理者代表和内审员。

　　北京市海淀信息办

　　北京海淀结合已经实施的ISO9000、等级保护、风险评估等工作，将试点工作目标细化为5项，历时8个月，ISMS自2006年11月开始试运行，完成了试点工作。

　　● 建立了符合ISO/IEC27001:2005要求的、文件化的ISMS，编制完成了三级体系文件（包括记录表单等）共计79份。

　　● 探索和研究了ISMS与风险评估和等级保护的关系。参考《电子政务信息安全等级保护实施指南》，先按照等级保护制度对其进行定级，然后将对应的等级要求体现到方针中；参考《信息安全风险评估指南》确定了ISMS要求的风险评估方法。

　　● 探索和研究了ISMS与QMS（质量管理体系）整合的方法，充分考虑了已经实施并通过了认证的QMS，在组织机构、内部审核、管理评审、文件控制、预防和纠正措施控制等方面，使两个管理体系实现了有机的整合。

　　上海市医疗保险信息中心

　　上海市医疗保险信息中心与其技术支撑单位上海市信息安全测评认证中心一起于2006年12月，完成了试点工作方案确定的目标。

　　● 通过试点工作，依据ISO/IEC27001:2005建立了相对完整的信息安全管理体系。

　　● 对ISMS标准实施与单位具体情况相结合方面做出了积极的实践并积累了经验，包括ISMS与医保信息系统状况融合和ISMS与已经实施的QMS（质量管理体系）的融合。

　　● 检验了ISMS标准的适用性。试点工作证明ISO/IEC27001:2005是适用的，并对ISO/IEC17799:2005一些具体控制措施也做出了适用性分析。

　　上海市宝山区信息委

　　上海市宝山区信息委与其技术支撑单位上海市信息安全测评中心经过7个多月的共同努力，完成了试点工作方案确定的目标。

　　● 建立了体系化的管理规范。从宝山区电子政务平台、接入单位和信息委三个不同层面，分别建立了《上海宝山电子政务平台信息安全管理规范》文件7份、《宝山电子政务平台接入单位信息安全管理规范》文件10份和《上海宝山信息委信息安全管理规范》文件18份。

　　● 改善了宝山区系统安全状况。区信息委对在试点过程中发现的安全风险，已立项并投入大量资金，实施“改进”措施，从而大大提升了宝山电子政务系统的安全性。

　　● 对ISMS与风险评估和等级保护工作的关系进行了研究和探索，对政府部门建立ISMS提出了建议。

　　福建地方税务局

　　福建地方税务局与技术支撑单位中国信息安全测评认证中心一起，周密计划、认真组织，完成了试点工作。

　　● 通过试点，对福建地税与惠普公司合作根据BS7799(ISO/IEC17799:2000)完成的19份安全策略及其实施文档，对照ISO/IEC27001:2005，进行了全面整理，并新编制体系文件11份，建立了ISMS。

　　● 加强了ISMS的推广与实施，计划以正式文件的形式下发ISMS体系文档，并根据税务系统的实际岗位需要制定了《办税服务厅工作人员安全手册》等四类工作人员的安全手册。

　　● 根据ISMS体系文件中机房安全管理守则、外部访问安全策略、内部访问安全策略等文件的规定，规范了ISMS的运行记录。

　　● 对ISMS标准的适用性进行了分析，福建地税认为ISO/IEC2700:2005是一个基于企业信息安全管理的通用标准，并不完全适合我们国内的实际情况，特别是税务系统这样的政府机关部门，引进时要进行本地化工作。另外，也对ISMS与风险评估、等级保护的关系进行了研究和探索。

　　武汉钢铁（集团）公司

　　武汉钢铁（集团）公司与技术支撑单位上海三零卫士信息安全有限公司一起，对试点工作进行周密计划、精心组织，将武钢的试点工作目标细化分解为九项，历时8个月完成了试点工作。

　　● 编制了31份信息安全管理体系文件，按照ISO/IEC27001:2005建立了武钢信息安全管理体系，为下一步通过ISMS认证奠定了基础。

　　● 实施了风险评估和风险处理。通过试点工作，对武钢包括应用系统、主干网、接入单位在内的关键信息资产进行了量化风险评估，分析了存在的安全风险，并编制和实施了风险处理计划付诸实施。

　　● 对信息安全管理标准应用进行了探索。通过试点，武钢认为IS0/IEC27001:2005和ISO/IEC17799:2005这两个ISMS标准总体上是适用的，但一些条款应考虑与我国实际情况相结合。

　　● 对同类系统建立和实施ISMS提供了建议，包括明确ISMS的实施范围，以信息系统可用性保障作为实施重点，注重质量管理体系与ISMS体系的融合等。