当前位置:首页 -> 业内报道
ISMS迎来发展新机遇 |
| 转载时间:2009-07-23 |
| 在海量信息时代,组织或机构的业务越来越依赖计算机、网络和信息,它们共同成为组织或机构赖以生存的重要信息资产。因而,一旦信息资产遭到破坏,将给组织或机构带来直接的经济损失,损害其声誉和公众形象,使其丧失市场机会和竞争力,更为甚者,会威胁到组织或机构的生存。当前,源自欧洲的信息安全管理体系(ISMS)无疑已经成为全球很多组织或机构所推崇的最佳实践,ISMS认证也方兴未艾。 正是在这样的背景下,4月14日,中欧信息安全管理体系认证研讨会在杭州市召开。会议围绕信息安全管理体系认证进行了研讨,包括信息安全管理体系标准动态、欧洲信息安全管理体系认证的经验与进展、国内信息安全管理体系认证发展现状、信息安全管理体系认证的国际互认等议题。 此次会议由工业和信息化部信息安全协调司与国家认监委认可监管部指导,中欧信息社会项目和中国信息安全认证中心联合主办。会议由欧盟驻华代表团一等参赞Alison Birkett女士、工业和信息化部信息安全协调司欧阳武副司长、国家认监委认可监管部生飞主任以及中国信息安全认证中心陈晓桦副主任分别致辞。来自工业和信息化部、国家认监委、国家认可委、欧盟驻华代表团、业内专家以及地方政府各相关部门、研究机构和企业界的代表共约200人参加了会议。 这次研讨会是自“信息安全管理标准应用(ISMS)试点”总结会以来,又一次旨在推动信息安全管理标准应用、促进各单位提升信息安全管理水平的业内重要会议。会上,专家们还对目前我国信息安全管理体系认证行业发展中存在的一些问题进行了讨论,指出未经批准开展认证、恶意降价、卖证等现象已经在这个新兴行业中时有出现,此外还有一些机构故意混淆国际认证的概念,扰乱甚至阻碍了行业的健康发展。专家们呼吁及早对这些现象予以重视。 ISMS的发展变化 ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题,据与会专家介绍,ISMS的发展经历了以下几个阶段的变化: 1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本——“信息安全管理实用规则(Code of practice for information security management)”,这是全球第一份ISMS正式文本。 1995年2月,在该文本的基础上,英国发布了国家标准BS7799-1:1995。 1999年英国对该标准进行了修订后发布了1999年版,2000年12月被采纳为国际标准,即ISO/IEC17799:2000。 2005年6月15日,该标准被修订发布为ISO/IEC17799:2005,2007年4月正式更名为ISO/IEC27002。 而伴随着ISO/IEC27002发展的还有另一个标准,即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年修订后发布了1999版。2000年12月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。 2002年英国又对BS7799-2:1999进行了修订并发布2002版。 2005年10月,这个标准被采纳为国际标准ISO/IEC27001:2005。 全国信息安全标准化技术委员会WG7组副组长赵战生教授认为,按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织或机构解决其信息安全问题的选择。ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。据他介绍,国际标准化组织最新计划已经将该系列标准序号预留到27019,其中将27000~27009留作ISMS基本标准,27010~27019预留作ISMS标准族的解释性指南与文档,27031以后的序号留给第四工作组,围绕控制和服务要制定一系列的标准来使用。而已经颁布的ISO/IEC27001和ISO/IEC27002成为ISMS的核心标准,可见,在不久的将来,ISMS标准将成为一个庞大的安全监管家族。 国外开展ISMS认证的情况 ISO27001越来越广泛的应用,其中一个重要的推动因素就是今天信息和通信技术服务市场的激烈竞争。企业在竞争过程中需要某种工具来帮助自己在竞争中胜出,这种工具就是认证,而且今天有很多的客户在跟企业做生意时,也会把“你是不是有认证,是不是有证书”作为一个前提。 欧洲在很多年以前,就已经开展了各种各样的信息安全认证活动,但是一直没有对这些信息安全认证活动进行系统的、归纳性的分析。一年前,欧洲网络与信息安全局有一项研究,对欧洲现有的信息安全认证制度进行了一次总体评估。之后,欧洲认为关于信息安全认证认可制度的各种信息应该被普及,因为它太重要了。但在目前的欧洲报告中,其认证范围也仅限于管理体制的认证以及对产品和人员的认证。 目前ISO27001越来越成为主流标准,但同时也存在一个问题:其是否能适用于各种规模的组织?另外,就像其他一些标准曾经面临的情况一样,ISO27001认证普及遇到的最大问题依然是成本。尤其是在目前情况下,ISO27001还未成为一个成熟的模型。一些批评意见认为ISO27001的标准太过复杂,实施起来成本太高,尤其对一些小型企业而言,迫切需要一个缩减版的ISO27001,以降低认证门槛——虽然目前欧洲已经有3000家小型企业通过ISO27001的认证,但这只是很小的一部分。 鉴于ISO27001认证的重要意义,欧洲有一些专家曾提议将ISO27001认证改为强制性,但也有一些专家明确表示反对。中欧信息社会项目欧方专家Jan Dirk Roggenkamp先生就在会上发言指出:“如果采用强制认证,就有可能造成后院起火的情况。因为,如果通过法律进行强制认证,人们会被迫申请各种各样的证书,容易使一些本来不具备资质的机构拿到证书,从而造成市场混乱。对此,欧盟的观点是,政府应该支持认证,但在参与整个认证体系中的作用应该受到限制,它可以首先定义哪些认证措施可行,并鼓励这些可行性认证系统在政府机构首先实施,之后再到其他社会机构去推行这些认证。另外,将认证看作是政府采购过程中一个最低的要求,也是比较可行的。” Jan Dirk Roggenkamp进一步指出,“如果采用自愿实施的措施,也有利于帮助ISO27001认证的发展,比如获得IT安全证书,就能够帮助人们更多地使用受到认证的产品和服务。” 一些欧洲专家呼吁,政府除了在法律方面规范信息安全认证之外,一些国家还可以在其他领域发挥作用,比如他们可以向这些国际上获得公认的认证机构提供支持,为他们提供充足的资源,尤其是那些负责认可、认证机构的单位。另外,政府还可以帮助欧洲企业找到最合适欧洲的认证制度,由此帮助欧盟来整合各种不同的认证体制,将自己的资源集中起来,用于其他一些主要的计划。通过这样的整合,欧洲认证证书的用户们就不必再去理解各种五花八门的证书,只要对其中几个证书进行深入的了解即可。但是人们也担心,如果政府做了这样的干预,有可能会扭曲自由市场,所以,欧盟在对待各个不同认证体制时非常谨慎。 国内的发展现状 相对于欧盟比较成熟的认证体系,我国的信息安全管理体系起步较晚,但发展较快,取得了很大的进步,早在2006年3月,ISMS认证的国标化工作及其试点工作就已经进入实质阶段。 而在更早的2003年,我国《关于加强信息安全保障工作的意见》(中办发[2003]27号)中第一次全面地提出了我国的信息安全方针,即“积极防御、综合防范”,提出信息安全保障工作中要坚持“管理与技术并重”的原则。这一文件的公布,指出了信息安全管理工作的发展方向,也推动了我国ISMS试点以及有关标准的推行和认证工作的开展。 2005年到2006年,我国先后开展了信息安全等级保护的试点工作,同时开展了信息安全风险评估的试点和推广工作,这也是为什么要研究信息安全管理标准的一个非常重要的动因,因为这两项工作,实际上都是信息安全保障的重点工作,都涉及到管理和技术,在这种情况下,ISMS试点工作应运而生。2006年3月,国信办在组织专家研究的基础上,与有关部门和地方政府进行了协商,下达了2006年24号文件,即信息安全管理标准应用试点工作方案,正式部署了“信息安全管理标准应用(ISMS)”试点工作。 在试点工作的具体实施上,全国信息安全标准化技术委员会副主任委员、WG5组组长崔书昆教授介绍说,“当时的试点单位共7家,即北京市海淀区信息办、北京市住房公积金管理中心、上海市宝山区信息委、上海市医疗保险信息中心、福建省地税局、深圳证交所及武汉钢铁集团公司。试点工作分为3个阶段,第一阶段是准备阶段,各单位设立试点单位,进行人员培训,并于2006年6月由国信办组织了试点准备工作情况交流会;第二阶段是实施阶段,各单位于当年6月先后启动试点工作,专家组按计划于8月进行了调研与指导;最后是总结阶段,从2006年年底一直持续到2007年1月,期间专家组根据国信办的指示与有关部门的意见,多次对验收方案、标准进行了修改、完善,制定了量化打分表,进行了试行,之后和各试点单位以及有关的主管部门一起,在各试点单位自我评估的基础上,逐一进行了验收。” 通过试点,我国在ISMS认证方面取得了如下收获:第一,提高了信息安全管理水平,使信息安全管理从相对粗放走向了精细化;第二,验证了相关标准,特别是国际标准在国内的适用性、合理性以及可实施性;第三,了解、掌握了构建信息安全管理体系的程序、步骤和方法;第四,探索了信息安全管理体系和风险评估、等级保护以及与其他管理体系之间相辅相成的关系。在这次试点当中,很多试点单位都同时做了风险评估和等级保护;第五,通过试点摸清了各单位信息资产的家底,形成了本单位自己的系统管理文件、档案、资料;第六,为各单位进一步通过信息安全管理体系认证奠定了基础,比如武汉钢铁集团公司,这次做了ISMS试点之后,为将来的国际国内认证打下了基础;第七,探索了相关的理论,初步开发了一批相关的软件工具。第八,培养了一批信息安全管理体系专业人员,促进了相关服务的萌生与发展。 试点结束以来,我国在信息安全管理体系的建设实施以及标准化方面取得了一系列进展。目前,我国已完成了信息安全管理体系国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005的转化工作,等同采用上述国际标准的国家标准GB/T 22080-2008和GB/T 22081-2008已于2008年11月1日实施。另外,我国在参与信息安全管理体系国际标准化活动方面取得突破,由我国提交的国际标准提案《信息安全管理体系审核指南》已经成为国际标准项目(ISO/IEC 27007)。同时,我国信息安全管理体系认证需求明显增长,据不完全统计,目前我国获得信息安全管理体系认证证书的机构约有200家,2008年同比增长率超过100%。 ISMS认证如何健康发展 目前,国内已经取得了信息安全管理体系认证资质的认证机构有6家。其中,国家认监委最初批准了中国电子技术标准化研究所认证中心、上海质量体系审核中心、赛宝认证中心、华夏认证中心作为试点机构开展ISMS试点认证,此后又批准了中国信息安全认证中心和一家外资认证机构正式开展ISMS认证。 而对信息安全管理体系认证咨询机构和培训机构,国家同样也有相应的管理制度。目前,国家认监委负责认证咨询机构及其认证咨询活动的统一管理和监督,并委托省、自治区、直辖市的质量技术监督部门承担所辖区的认证咨询机构的审批工作。对信息安全管理体系培训机构,国家也实施统一的审批与管理政策,目前仅批准了中国信息安全认证中心和北京知识安全工程中心为信息安全管理体系培训机构。中国信息安全认证中心体系认证处李莉博士在接受记者采访时谈到,“国家认监委对信息安全管理体系培训机构有统一的管理,它不同于社会上的一般培训机构,任何人必须通过信息安全管理体系培训机构培训合格之后,才可以在国家认证认可协会进行注册,从而成为国家批准的正式的审核员。” 据了解,目前在国家认监委备案的信息安全管理体系认证证书数量为108张,加上未备案的证书,国内获得ISMS认证证书的组织约有200家,主要集中在金融、保险、证券、软件外包、电信、电子制造等领域。现在,国内的认证市场近一两年呈井喷式快速增长。 李莉博士认为证书数量增长的主要原因有以下4个方面,第一是国家制定了多条鼓励企业通过信息安全管理体系认证的扶持政策,特别是一些补贴政策,有些数额还比较巨大,这对企业来讲是非常重要的一个推动力;第二是国家行业监管部门的大力支持,如证监会、保监会、电监会等针对本部门颁发的企业指导意见当中,规定或者建议其所监管的企业进行信息安全管理体系的认证;第三是出于组织的自身需求,有一些企业发生过信息安全的事故,有比较明确的需求,这样的企业有申请信息安全管理认证的要求;第四是基于客户的要求,这在软件外包行业中很明显,特别是沿海经济发达地区的软件外包业,他们直接面对的客户,如日本、欧洲等往往要求企业获得信息安全管理体系的证书。 对于这样一个发展快速的信息安全管理体系认证市场,我们如何让它健康地发展呢?中欧信息社会项目的中方专家左晓栋博士表达了他的看法。他认为,“目前国内的信息安全管理体系认证市场存在很多不健康因素,使人忧心忡忡。认证机构本身也是认证市场中的竞争者,在争夺客户的过程中,认证机构很可能会屈从于客户,这对其公正第三方的角色带来直接挑战。当务之急,一定要严格信息安全管理体系认证的市场准入制度,加强监管,遏制信息安全管理体系认证可能流于形式,价值可能降低的趋势。但是从长远看,还是要对制度设计进行研究,在如何保持认证机构公正第三方角色上下一番功夫。我们要考虑体制的设计,而不仅仅是加强监管。” 在这点上,国家认监委认可管理部生飞主任也表达了相似的观点,他指出近期国家认监委在总结试点工作的基础上,将采取具体措施,正式全面推进信息安全管理体系认证工作。 一是要完善信息安全管理体系认证机构的审批条件,根据信息安全管理体系的特殊情况,制定认证机构的从业条件和认证人员的能力要求,符合条件的机构经过批准之后,将可以从事信息安全管理体系的认证工作。同时,认监委还将加强对于信息安全管理体系认证工作的监管,进一步规范认证机构的行为,提高认证机构审核的有效性、一致性,提高认证的公信力,推进认证结果的社会采信度。 二是加快信息安全管理体系认可制度和人员注册制度的完善与实施,加强信息安全管理体系国家标准的制定工作,以解决对标准理解的差异,避免造成企业在认证过程中对于标准把握不一致,以提高信息安全管理体系在具体工作中的实际效果。 三是研究制定一些相关的认证实施规则,因为信息安全管理体系虽然是针对一个组织或者是企业,从提高和规范管理的角度提出的加强信息安全的一些要求,但是在具体的实施过程中,认证机构和认证人员也存在着涉及企业信息安全的问题和情况,因此,要与有关部门协商,制定一些在特定领域开展信息安全管理体系认证的相关要求。同时,也提醒想获得认证的组织或机构要在这些方面加强信息安全的意识。 在谈到未来国际间合作时,中国合格评定国家认可委员会技术处刘晓红处长介绍说:“目前阶段,在认可机构这个层面上,是有国际合作组织的,如其全球性的组织叫IAF国际认证论坛,还有一些区域性的组织,如亚太地区有亚太认可机构的论坛,在欧洲有一个欧洲的认可组织EA。他们的一些活动,要受到政府的监督和管理。在我国,实施的是统一的认可制度,并制定了相关的法规,中国合格评定国家认可委员会(CNAS)是国家认可机构。” 那么信息安全管理体系认证是不是可以实现国际间的互认,这一目标什么时候可以实现?刘晓红处长透露,在2008年的IAF大会上,已经决定建立信息安全管理体系认证的国际互认体系,在今后2-3年内,还需经历制定相关程序、培训同行评审员、实施同行评审等过程,最后才有可能签署互认协议。中国信息安全认证中心体系认证处魏军博士也介绍说,在互认协议尚未签署的情况下,认证证书的国际性是个错误的概念,当前一些位于重点行业和重要部门的单位听信一些机构对其证书的国际性价值的误导,盲目选择外资认证机构,甚至选择未经国家认监委批准的外资认证机构,这对国家信息安全带来的隐患不可忽视。 (此文刊发于《信息安全与通信保密》杂志2009年6月刊) |
网上申请
查询专区
专题专栏
 |
 |