“虽然我们这几年做了一系列基础性工作,包括:等级保护、风险评估、应急响应和灾难备份等等,但同时也不得不看到,我国在信息安全管理方面还没能形成一个完善的体系。”中国电子技术标准化研究所副秘书长吴志刚如是说。
国务院信息化工作办公室网络与信息安全组组长王渝次指出:“我国信息系统的最大特点就是‘大’,任何一个部门的管理系统都可以覆盖到全国30多个省、几千个县,这就要求我国的信息安全管理从粗放型转向精细化,要有一个更加科学有效的管理机制和防范机制。”但是,从最近对基础信息网络和重要信息系统进行的安全抽查情况来看,个别单位还存在一些问题。“如果信息安全管理仅仅落实在纸面上,仅仅流于形式的话,我们的信息安全保障体系就将千疮百孔。在这场没有硝烟的战场上,我们是输不起的。”王渝次说。
今年5月,国务院信息办开始着手在一些重要信息管理领域开展信息安全管理体系试点工作,同时充分吸收国外信息安全管理标准的先进之处,结合我国信息管理特点,探索一条适合我国国情的信息安全管理之路。
近日,在由国务院信息化工作办公室网络与信息安全组组织的信息安全管理标准应用试点中期交流会上,来自国信办安全组领导、国内信息安全专家、各试点单位以及试点支持单位代表们一致认为:就目前试点工作的情况来看,在信息安全体系的建设和信息安全标准的执行中还有一系列亟待解决的难题。
选择合适的试点难
由于我国尚无自己的信息安全管理标准,信息安全管理体系试点工作是采取体系建设与标准制定同步进行的原则,先按照源于英国标准协会的国际信息安全管理体系标准ISO/IEC 17799和ISO/IEC 27001开展的。
但是,在具体部署当中,选择合适的试点单位却成了一个不大不小的难题。上海市信息委副主任陈跃华说道:“我们当时选点很犯难,如果选择规模较大的单位,实施管理体系的难度就会比较大,影响试点的效果;如果单位选小了,则又失去了试点的意义。最后我们确定的选点原则是从163家重要信息系统中,选择具有代表性的、对上连接政务系统、对下也有广泛连接的单位。即使这样,163家单位中选谁不选谁,大家也争论了一阵。”
不过,最后选择的试点单位都是具有代表性的单位,起到了由点到面、以点带面的效果。比如武汉钢铁(集团)公司是我国制造业第10名、钢铁业第5名的国家骨干企业;上海医保管着老百姓的钱、保障老百姓的命;深交所则是股票交易的门户,企业发展的融资要道;北京住房公积金管理中心是北京地区百姓安居的基础;福建地税是国家和地方政府的钱口袋,纳税人的管家;北京海淀区和上海宝山区政府都是我国电子政务的先锋。
试点单位作为国家信息安全管理工作的探索先锋,必须要明确自己的责任。除了了解和掌握构建ISMS的程序、步骤和方法,各试点单位还要探索信息安全深层次的问题,探索标准的中国化问题。王渝次指出:各试点单位要结合国情,结合行业的情况、企业自身的情况,做好标准的中国化工作。要通过试点工作把标准验证好、调整好、修改好,进而为下一步标准的推广做好准备。“这是试点单位对国家信息安全工作的贡献,这个贡献怎么说都不过分。”
王渝次指出,这个阶段试点工作的主要任务,就是要对照着ISO/IEC 17799标准中133个控制点,一条一条地去研究,一个一个地去落实、去突破。
管理与标准执行难
把国际标准中国化并不是一件简单的事情,各试点单位面临着一系列难题需要解决。
1、标准的翻译与适应性难题
上海市信息安全测评认证中心主任郭松柏表示:目前我们的采纳的标准ISO/IEC 17799涵盖了信息系统日常安全管理方面的内容,部分安全控制项易于理解,具有可操作性,适合宝山区电子政务管理制度的制定。但是,ISO/IEC 17799标准描述的所有控制方式并非都适合于我们,在具体实施信息安全管理时,还要将这些原则性的建议与宝山区信息委自身的实际情况相结合。
宝山区根据工作需要分三个层次采用了该标准的:一般采用、重点采用和没有采用。比如对电子商务、终端时限和连接时间限制等标准就没有采用;上海市医疗保险信息中心也把电子商务、终端时限、连接时间限制等标准列为完全不适用项。
海淀区信息办副主任王晖说:落实标准首先要理解标准,但是我们的标准翻译过来的语言比较晦涩难懂。此外,在对标准的剪裁上,ISO/IEC 27001和ISO/IEC 17799中的条框并不完全适用,
这也是海淀区政府为什么对电子商务标准进行了适度删减的原因。
福建地税局信息技术处工程师李晓虹也提出:标准翻译过来的语言,要让非技术人员同样能够理解才行。此外,ISO/IEC 27001是基于国外的企业管理制度建立起来的,当我们应用于政府机关时,有些标准需要调整和修改,并进行一些增补。虽然ISO/IEC 27001中的管理方法和流程控制具有普适性,但是在具体实施过程中也要结合自己行业的特点和实际工作需要来执行。
不仅是翻译语言的问题,武汉钢铁(集团)公司王清还感觉到:ISO/IEC 17799和ISO/IEC 27001的部分内容存在重叠且实施的指导性不强的问题。
此外,中国信息安全产品评测认证中心张利还提出:ISO/IEC 17799指出的信息安全管理的133个控制目标很零散。如果能在ISMS的实施过程中,根据133个控制目标之间的逻辑关系,把它们串联起来,将有助于大家加深对标准的理
2、责任落实难题
王渝次说,3年来,国务院信息办提出了一系列要求,从一开始就反复强调抓责任制,提出“谁主管、谁负责”,现在配套政策都出来了,个别单位却没有真正把各项要求都落实,责任落实还真是一个难题。
北京市信息办副主任白新说,一直以来信息安全管理的原则都是“谁主管谁负责,谁运行谁负责”,这个原则很好,但是这个原则也成为信息部门推卸责任的一种说法。ISO/IEC 27001在试点运行时特别要注意将“主管”与“运行”中的责任划分明确,要给133个控制点都找到相对应的责任人。
说到落实责任,北京数字认证中心总经理詹榜华也有类似体会,以前海淀区在信息安全管理上是“有一个问题做一个管理文件”,而这次他们共清查出了34种不成体系的信息安全管理文件。这么多的管理文件造成了一个问题:同一个安全责任在很多文件中都写了,但却没有人去落实。
为了落实责任,上海宝山区提出了“1+n+m”模式。上海宝山区信息委副主任龚东耀解释说:“1”就是信息安全策略,“n”是指相关技术活动的管理文件,“m”代表各联网单位安全管理要求。形象地说就是:宝山区电子政务平台属于“1”,宝山区信息委属于“n”,各接入单位包括各委办局、居委会和街道属于“m”,这样一来,各级组织机构就能够明确地找到与本部门相对应的责任。
3、ISMS与现有组织体系的融合难题
上海宝山区信息委副主任龚东耀说,电子政务涉及政府机关、各团体、企业和社会公众,政府更关心的是对全局安全的掌控,而不是某个部门。如果安全管理体系的主体设定像企事业单位一样相对独立,将使得基于ISO/IEC 27001的管理体系在实施中难以获得实际效果,因为政府机关中很多工作,是需要与其他部门联合完成的,在管理流程上还需要其他部门的配合。
类似的问题不止上海宝山区一家。上海市医疗保险信息中心副主任秦德霖说:ISMS体系的建立要与现有组织体系相融合,一方面,ISMS要自上而下覆盖所有单位,另一方面,还要考虑到不同单位的需求和应用特点,允许下级单位ISMS的个性化要求。
4、ISMS与现有管理体系的融合难题
要通过探讨把ISO/IEC 17799和ISO/IEC 27001标准与ISO9001、等级保护、风险评估等工作接续起来,这样信息安全管理才能真正形成一套科学的管理体系。
海淀区信息办副主任王晖指出,ISO/IEC 27001与ISO9001是相互关联的,它们的基础是一致的,不同点在于两种标准的管理目的、管理对象、管理内容和具体控制要求,“我们感觉可以将这两个体
系进行有效的整合。”
上海市医疗保险信息中心副主任秦德霖同样认为,ISMS要与ISO9000管理体系整合,“这就需要充分融合相关体系或制度,以免一事多规,浪费管理资源。”他认为,具体地说,应该是将ISO9000与ISMS两个体系中要求相似的文件纳入ISMS体系;将现有的其他符合ISMS体系要求的管理制度,重新修改编入ISMS管理体系;根据行业特点,以ISMS制度为核心和基础,建立科学的信息安全管理体系。
此外,福建地税局信息技术处工程师李晓虹还提出,在ISMS建立过程中要在深度上强化等级保护的作用、强化风险评估用,就应该结合其他管理标准综合建立信息安全管理体系,但是这在实际操作中很困难。
对此,北京市住房公积金管理中心总工程师张国华深有体会,他说,ISMS从横向上对信息安全管理进行规范,等级保护则从纵向对信息安全管理提出了要求,二者如何科学地结合,实现立体的安全管理体系,是这次试点的难点。
国家信息中心网络安全部主任吴亚非还指出了一个新问题——静态风险与动态风险问题,他说,这个问题主要表现在两个层次:一个是在系统IT层面的风险评估;另一个是在业务流程中进行风险评估。“这个问题很重要,解决比较困难,值得试点单位进行深入探讨,同时也需要专家组进行重点探索。”
寻求解决之道
信息安全管理体系试点工作实际上就是为我国信息安全管理难题寻求解决之道,专家和代表们经过交流,对ISO/IEC 17799与ISO/IEC 27001的可行性基本认可,国家信息安全专家组对下一阶段的试点工作提出了要求:继续修改标准,深入进行ISMS实施。
专家们认为,要解决前期试点中的一系列难题,就要从以下几个方面入手:
首先要把一般的要求转化成部门的实际要求与实践。政策决定之后,干部是决定的因素,要落实信息安全管理体系的骨干培养与使用。此外,在符合体系要求的基础上,编写的体系文件要易懂、易行。
其次是要组织和探索如何运用技术工具来提高ISMS的执行力,形成常态化。管理部门要及早组织开发一套技术工具,使管理体系的建设工作更加科学严谨,避免由人为因素造成的落实不到位问题。
国内企业和支撑单位在技术工具的开发中扮演重要的角色,国内安全产业也要尽快参与到技术工具的开发中来。同时管理部门应该对国内企业的现有成果和能力进行摸底,组织协作攻关,研发出性能好、价格低、易使用的工具套件。而试点单位则要勇于尝试,使工具在使用中不断得以完善提高以至推广。
第三,试点单位要勇于尝试。安全管理要从信息通信技术领域延伸到信息化的其他应用领域,比如过程控制系统、分步式控制系统、数据采集系统、监控系统等等,通过探索IT和应用两张皮的统一,进而把安全管理进
王渝次指出,在前期试点工作中,北京市住房公积金管理中心的做法值得借鉴。北京市住房公积金管理中心首先从通过现场调研、收集资料,确定了的范围和边界,编写了ISMS范围和边界说明书。然后,从ISMS的目标、信息安全要求、适用范围、责任划分、管理等方面,通过业务系统安全等级定级调研、确定安全等级,最终确定了ISMS的目标和方针——保障综合信息管理系统安全、持续地运行,他们共提出了15条信息安全要求和相关的管理职责。
“他们首先摸清了自己的家底,继而通过风险评估工作找到了本单位的“命门”所在,进一步明确了哪些资产需要重点保护,为实施ISMS(信息安全管理体系)奠定了基础。”对于北京市住房公积金管理中心的做法,与会专家给予普遍的肯定。
链接1:什么是信息安全管理体系(ISMS)?
信息安全管理体系ISMS(Information Security Management System)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所使用的方法体系,它是整个管理体系的一部分,是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它由许多要素组成,如组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等;它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
链接2:信息安全管理体系的标准和内容
BS7799是英国标准协会针对信息安全管理而制定的一个标准,最早始于1995年,后来几经改版,成为了目前由两部分内容构成的并且被广泛
BS7799分两个部分,第一部分,也就是刚刚被ISO组织吸纳成为ISO/IEC 17799:2005标准的部分,是信息安全管理实施细则;BS7799标准的第二部分内容,即最新的ISO/IEC27001:2005,是建立信息安全管理体系(ISMS)的一套规范。
如今,BS7799已经成为国际标准。据统计,截至目前,已有20多个国家和地区引用BS7799作为本国(地区)标准,并有40多个国家和地区开展了于此相关的业务,我国台湾省和香港特区也已经采用并推广了BS7799标准。在台湾,BS7799-1:1999被引用为CNS 17799,而BS7799-2:2002则被引用为CNS 17800。
ISO/IEC 17799:2005即信息安全管理实施细则,它从11个方面定义了133项控制措施,可供信息安全管理体系实施者参考使用。这11个方面包括:安全策略、组织信息安全、资产管理、人力资源安全 、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、业务连续性管理、符合性。这其中,除了访问控制、信息系统获取开发和维护、通信和操作管理这几个方面跟技术关系更紧密之外,其他方面更侧重于组织整体的管理和运营操作。
ISO/IEC 27001:2005是建立信息安全管理系统(ISMS)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。作为一套管理标准,ISO/IEC 27001:2005指导相关人员怎样去应用ISO/IEC 17799:2005,其最终目的还在于建立适合组织需要的信息安全管理系统(ISMS)。
ISO/IEC 27001:2005 标准提出的信息安全管理体系(ISMS)是一个系统化、程序化和文档化的管理体系,它指出信息安全管理系统(ISMS)应该包含如下内容:用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。此外,该标准还特别声明,并不是所有的控制都适合任何组织,组织可以根据自己的实际情况来选择。