李軍（內(nèi)蒙古公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊）

謝宗曉（中國金融認證中心信息安全服務(wù)部）

本刊特約

信息安全等級保護與信息安全管理體系的比較

李軍（內(nèi)蒙古公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊）

謝宗曉（中國金融認證中心信息安全服務(wù)部）

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之三十一

在之前的系列文章[1]中,我們曾經(jīng)指出國內(nèi)企業(yè)信息安全合規(guī)性的實施路線主要包括部署信息安全等 級保護或者信息安全管理體系,有必要對兩者進行比較,以加強理解。

謝宗曉（特約編輯）

1 信息安全等級保護（CPIS）

信息安全等級保護，或者信息系統(tǒng)安全等級保護（簡稱等級保護），在公文中，一般是前者，但是在標(biāo)準(zhǔn)中，例如，最典型的 GB/T 22239—2008和 GB/T 22240—2008 用 的標(biāo)題是后者。單就這 2 個標(biāo)準(zhǔn)而言的話，描述的對象卻是主要圍繞“信息系統(tǒng)安全”，而不是廣義的“信息安全”。當(dāng)然，本質(zhì)上來說，等級是針對“信息系統(tǒng)”劃分的，而不是針對“信息”劃分的。在實踐中，這兩者不需要刻意區(qū)分。等級保護具體的定義如下:

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信 息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息 安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

這個定義來自《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66 號1））在 http://xxzx.mca.gov.cn/article/zcwj/201212/20121200390103.shtml 可以查閱全文。）[2,3]。

注意信息系統(tǒng)的定義:

信息系統(tǒng)是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò);信息是指在信息系統(tǒng)中存儲、傳輸、處理 的數(shù)字化信息。

信息系統(tǒng)的定義也來自《關(guān)于信息安全等級保護工作的實施意見》。更早的相關(guān)定義，應(yīng)該來自GB 17859—1999， 其中的定義 3.1，定義了計算機信息系統(tǒng)（computer information system），具體為:

計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、實施（含網(wǎng)絡(luò)）構(gòu)成的，按照一 定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

這種人機系統(tǒng)的定義，在實踐中不容易理解，但是最接近學(xué)術(shù)中的最初理解，例如， Davis（2000）[4]認為信息系統(tǒng)包括信息技術(shù)設(shè)施、數(shù)據(jù)、應(yīng)用系統(tǒng)和人員（information technology infrastructure， data，application systems， and personnel that employ IT to...）

2 信息安全管理體系（ISMS）

原則上說，信息安全管理體系（簡稱 ISMS）并不是一個專用術(shù)語，在較早版本的 標(biāo)準(zhǔn)中2）） 較早版本指的是還沒成為國際標(biāo)準(zhǔn)的時候，就有 ISMS 的定義了，當(dāng)時為 BS 7799-2。對其進行了定義3））所有的定義后來被統(tǒng)一放到了 ISO/IEC 27000 中，最新版本為 2016 版，其中定義為:信息安全管理體系 （ISMS）基于業(yè)務(wù)風(fēng)險方法，建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系，是一個組織 整個管理體系的一部分。，滿足其中描述條件的應(yīng)該都是ISMS[5,6]。但實際情況是，由于這 個術(shù)語起源于 ISO/ IEC 27002 和 ISO/IEC 27001 的早期版本，屬于新生出來的一個詞匯，其 他文獻中，就很少見到。所以在實踐中，ISMS 幾乎成了一個專用術(shù)語。這如同，一提“質(zhì) 量管理體系（QMS4））QMS，Quality Management System，質(zhì)量管理體系。）”，大家就認為是 ISO 9000 標(biāo)準(zhǔn)族道理是一樣的。因為某種產(chǎn)品過于普 及，就成為某類行為的代名詞，這是很常見的現(xiàn)象。例如，你把快遞地址微信給我，或者， 回頭我把文件QQ給你。 由于ISO/IEC27000標(biāo)準(zhǔn)族在全球范圍內(nèi)實施廣泛，在實踐中， 就會有此類對話，例如:我們在做 27001，意思是說，我們在部署 ISMS，或者說，我們在 根據(jù) ISO/IEC 27001 部署信息安全。

換個說法， ISMS 是一整套的保障組織信息安全的方案(或方法)，是組織管理體系的 一部分，定義和指導(dǎo)ISMS的標(biāo)準(zhǔn)是ISO/IEC 27000標(biāo)準(zhǔn)族，而這其中，ISO/IEC 27002和 ISO/IEC 27001 是最重要也是出現(xiàn)最早的 2 個標(biāo)準(zhǔn)。由于這個原因，導(dǎo)致這一堆詞匯在實踐 中開始混用，而不必刻意地去區(qū)分。因此，在下文中，這幾個詞匯都認為是同義詞：

· 信息安全管理體系（ISMS）；

· ISO/IEC 27000標(biāo)準(zhǔn)族；

· ISO/IEC 27002或ISO/IEC27001視上下文，也可能是指代ISMS。

3 邏輯框架及實施流程的比較

等級保護是強制實施的，建立在一系列國家公文、一個強制性標(biāo)準(zhǔn)以及諸多推薦性標(biāo)準(zhǔn)的基礎(chǔ)之上。ISMS 則是建立在國際互認基礎(chǔ)上的推薦性的標(biāo)準(zhǔn)5），這導(dǎo)致兩者在框架上存在很 大的區(qū)別。兩者的框架對比，如圖1 所示。

或者說，對于 ISMS 來說，“組織（或企業(yè)）自己負責(zé)正確的應(yīng)用6））這句來自 ISO/IEC 27001：2005，原文描述為 Users are responsible for its correct application，但是在 ISO/IEC 27001：2013 中已經(jīng)被刪除了?！保康氖潜Ｗo組織（或企業(yè)）自身的利益，（如果申請第三方認證）同時向其他人證明組織有良好的信息安全 管理水準(zhǔn)。對于等級保護而言，則是國家監(jiān)管機構(gòu)負責(zé)企業(yè)（或組織）正確的應(yīng)用，主要目 的是為了保護國家和公眾利益。

圖1 ISMS 與等級保護的邏輯框架及實施流程對比

4 對“控制措施”理解的比較

等級保護的相關(guān)支持文件主要包括政府公文和國家標(biāo)準(zhǔn)，也可以稱為“政策體系”和“標(biāo) 準(zhǔn)體系”[2]。以一系列的公文作為依據(jù)，是等級保護的一個特點，倒不是因為 ISMS 缺乏國 家監(jiān)管，而是因為 ISMS 的監(jiān)管與其他管理體系（例如，ISO 9000和 ISO 14000 等）基本一 致，整個的架構(gòu)設(shè)計倒顯得沒那么重要。等級保護是一個全新的設(shè)計，因此整個管理架構(gòu)就顯得非常重要，例如，《信息安全等級保護管理辦法》（公安部〔2007〕43 號）就是一個非常重要的公文，從國家層面確立了等級劃分與保護、等級保護實施與管理以及可能涉及的分級保護管理等整個管理架構(gòu)。

但是，就這兩者的框架而言，還存在一個不同，即如何理解“控制措施”7））控制措施，在此處指 control，該詞匯在 GB/T 22080—2016/ISO/IEC 27001：2013中被翻譯為“控制”，“控制措施”是 GB/T 22080—2008/ISO/ IEC 27001：2005 中的翻譯。。簡而言之，等級保護部署“控制措施”為中心, ISMS 部署是以“控制目標(biāo)”8））控制目標(biāo)，指的是 objective。這兩個詞匯我們標(biāo)識了英文，是為了將等級保護與 ISMS 進行對比。為中心。

這僅僅是一個描述方式的區(qū)別，嚴格講，等級保護也是以控制目標(biāo)為中心，雖然沒有非 常明確。因為所有的控制措施，最終還是為了實現(xiàn)安全目標(biāo)。但這兩者還是不同的，在等級 保護中，一旦信息系統(tǒng)的等級被確定，控制措施都是確定的，同時也要注意，等級本身已經(jīng) 隱含了信息系統(tǒng)的控制目標(biāo)。對于 ISMS 而言，由于是自愿部署，組織自己負責(zé)識別安全要 求，自己設(shè)定控制目標(biāo)，之后自愿部署控制措施。

通俗地講，等級保護中，是組織和監(jiān)管機構(gòu)共同確定（是組織確定，之后提交監(jiān)管機構(gòu)確認）信息系統(tǒng)等級（其中隱含著控制目標(biāo)），然后按要求部署。在 ISMS 中，是組織自己確定控制目標(biāo)，然后按照要求部署，是一個自圓其說的邏輯。在下文中，我們討論定級備案 等過程，兩者的區(qū)別就很清晰了。

當(dāng)然，無論是等級保護還是 ISMS，“控制”都是其核心內(nèi)容之一，在等級保護中表現(xiàn)為 GB/T 22239—2008，在 ISMS 中表現(xiàn)為 ISO/IEC 27002：2013。

在 GB/T 22239—2008 中，針對不同安全保護等級應(yīng)該具有的基本安全保護能力，提出基 本安全要求。標(biāo)準(zhǔn)的架構(gòu)，如圖2 所示。

圖2 GB/T 22239—2008的架構(gòu)

在基本要求的基礎(chǔ)上，自上而下又分為：類、控制點和控制項[7]。在圖2 的 10 個大類中，每個大類下面分為一系列的關(guān)鍵控制點，控制點下又包括了具體的控制項。本文中不再討論具體條款，具體可以見參考文獻[8]。

在 ISO/IEC 27002：2013 中，并不區(qū)分技術(shù)要求或管理要求，或者說，不關(guān)心實現(xiàn)途徑。 其中控制的描述結(jié)構(gòu)，自上而下又分為：類、目標(biāo)和控制。具體而言，就是包含了如表1 所示，ISO/IEC 27002：2013 描述了14 個大類，這些大類又細化為35 個目標(biāo)，接著由114 項 控制來實現(xiàn)相應(yīng)的目標(biāo)。

表1 ISO/IEC 27002：2013 中控制的描述結(jié)構(gòu)

具體到每一個主要安全控制類和控制的描述結(jié)構(gòu)，參考 ISO/IEC 27002:2013 中的描述， 如下所述:

每一個主要安全控制類別包括11））引用自GB/T 22081—2016/ISO/IEC 27002：2013中的4.2。：

a）一個控制目標(biāo)，聲明要實現(xiàn)什么;

b）一個或多個控制，可被用于實現(xiàn)該控制目標(biāo)。

控制的描述結(jié)構(gòu)如下：

控制

為滿足控制目標(biāo)，給出定義特定控制的陳述。實現(xiàn)指南

為支持該控制的實現(xiàn)并滿足控制目標(biāo)，提供更詳細的信息。該指南可能不能完全適用或不足以在所有情況下適用，也可能不能滿足組織的特定控制要求。

其他信息

提供需要考慮的進一步的信息，例如法律方面的考慮和對其他標(biāo)準(zhǔn)的參考。如無其他信 息，本項將不給出。

關(guān)于 ISO/IEC 27002：2013，可見參考文獻[9]和[10]。

5 小結(jié)

本文中重點從邏輯框架、部署流程和控制措施理解的角度對等級保護與 ISMS 進行了比 較，當(dāng)然，這兩者還存在諸多其他區(qū)別，例如，等級保護的部署起點是“定級與備案”，ISMS 的部署起點是“風(fēng)險評估”。在后續(xù)的文章中，我們會陸續(xù)介紹。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）

參考文獻

[1]謝宗曉. 信息安全合規(guī)性的實施路線探討[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2015（02）：24-26.

[2]郭啟全，等. 信息安全等級保護政策培訓(xùn)教程(2016版) [M]. 北京：電子工業(yè)出版社，2016.

[3]林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標(biāo)準(zhǔn)出版社，2015.

[4]Davis G B. Information Systems Conceptual Foundations: Looking Backward and Forward [C] // Organizational and Social Perspectives on Information Technology, Boston: Springer, 2000：61-82.

[5]ISO/IEC 27000：2016 Information technology—Security techniques—Information security management systems—Overview and vocabulary [S].

[6]謝宗曉，王靜漪. ISO/IEC 27001與ISO/IEC 27002標(biāo)準(zhǔn)的演變[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2015（07）：48-52.

[7]陸寶華. 信息安全等級保護等級基本要求培訓(xùn)教程[M] .北京：電子工業(yè)出版社，2010.

[8]謝宗曉. 政府部門信息安全管理基本要求理解與實施[M].北京：中國標(biāo)準(zhǔn)出版社，2014.

[9]謝宗曉. 信息安全管理體系實施指南（第2版）[M]. 北京：中國標(biāo)準(zhǔn)出版社，2017.

[10]謝宗曉. 信息安全管理體系實施案例（第2版）[M]. 北京：中國標(biāo)準(zhǔn)出版社，2017.

Comparison of CPIS and ISMS

Li Jun ( Inner Mongolia Autonomous Region Public Security )
Xie Zongxiao ( China Financial Certification Authority, CFCA )

在分析信息系統(tǒng)安全等級保護和信息安全管理體系定義的基礎(chǔ)上，從邏輯框 架、實施流程和控制措施理解的角度對兩者進行了對比。

信息安全 等級保護 信息安全管理體系

Based on the analysis of definition of classified protection of information system (CPIS) and information security management system (ISMS), from the logical framework, the implementation of processes and controls, we compared both.

information Security, CPIS, ISMS