信息安全管理系列之三十一 信息安全等级保护与信息安全管理体系的比较

　　摘要：在分析信息系统安全等级保护和信息安全管理体系定义的基础上，从逻辑框架、实施流程和控制措施理解的角度对两者进行了对比。

　　关键词：信息安全等级保护信息安全管理体系

　　ComparisonofCPISandISMS

　　LiJun（InnerMongoliaAutonomousRegionPublicSecurity）

　　XieZongxiao（ChinaFinancialCertificationAuthority，CFCA）

　　Abstract：Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem（CPIS）andinformationsecuritymanagementsystem（ISMS），fromthelogicalframework，theimplementationofprocessesandcontrols，wecomparedboth.

　　Keywords：informationSecurity，CPIS，ISMS

　　1信息安全等级保护（CPIS）

　　信息安全等级保护，或者信息系统安全等级保护（简称等级保护），在公文中，一般是前者，但是在标准中，例如，最典型的GB/T22239—2008和GB/T22240—2008用的标题是后者。单就这2个标准而言的话，描述的对象却是主要围绕“信息系统安全”，而不是广义的“信息安全”。当然，本质上来说，等级是针对“信息系统”划分的，而不是针对“信息”划分的。在实践中，这两者不需要刻意区分。等级保护具体的定义如下：

　　信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和8SeEVmi7me7sxRCjGkySNg==存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

　　这个定义来自《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号1））[2，3]。

　　注意信息系统的定义：

　　信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

　　信息系统的定义也来自《关于信息安全等级保护工作的实施意见》。更早的相关定义，应该来自GB17859—1999，其中的定义3.1，定义了计算机信息系统（computerinformationsystem），具体为：

　　计算机信息系统是由计算机及其相关的和配套的设备、实施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

　　这种人机系统的定义，在实践中不容易理解，但是最接近学术中的最初理解，例如，Davis（2000）[4]认为信息系统包括信息技术设施、数据、应用系统和人员（informationtechnologyinfrastructure，data，applicationsystems，andpersonnelthatemployITto...）

　　2信息安全管理体系（ISMS）

　　原则上说，信息安全管理体系（简称ISMS）并不是一个专用术语，在较早版本的标准中2）对其进行了定义3），满足其中描述条件的应该都是ISMS[5，6]。但實际情况是，由于这个术语起源于ISO/IEC27002和ISO/IEC27001的早期版本，属于新生出来的一个词汇，其他文献中，就很少见到。所以在实践中，ISMS几乎成了一个专用术语。这如同，一提“质量管理体系（QMS4））”，大家就认为是ISO9000标准族道理是一样的。因为某种产品过于普及，就成为某类行为的代名词，这是很常见的现象。例如，你把快递地址微信给我，或者，回头我把文件QQ给你。由于ISO/IEC27000标准族在全球范围内实施广泛，在实践中，就会有此类对话，例如：我们在做27001，意思是说，我们在部署ISMS，或者说，我们在根据ISO/IEC27001部署信息安全。

　　换个说法，ISMS是一整套的保障组织信息安全的方案（或方法），是组织管理体系的一部分，定义和指导ISMS的标准是ISO/IEC27000标准族，而这其中，ISO/IEC27002和ISO/IEC27001是最重要也是出现最早的2个标准。由于这个原因，导致这一堆词汇在实践中开始混用，而不必刻意地去区分。因此，在下文中，这几个词汇都认为是同义词：

　　·信息安全管理体系（ISMS）；

　　·ISO/IEC27000标准族；

　　·ISO/IEC27002或ISO/IEC27001视上下文，也可能是指代ISMS。

　　3逻辑框架及实施流程的比较

　　等级保护是强制实施的，建立在一系列国家公文、一个强制性标准以及诸多推荐性标准的基础之上。ISMS则是建立在国际互认基础上的推荐性的标准5），这导致两者在框架上存在很大的区别。两者的框架对比，如图1所示。

　　或者说，对于ISMS来说，“组织（或企业）自己负责正确的应用6）”，目的是保护组织（或企业）自身的利益，（如果申请第三方认证）同时向其他人证明组织有良好的信息安全管理水准。对于等级保护而言，则是国家监管机构负责企业（或组织）正确的应用，主要目的是为了保护国家和公众利益。

　　4對“控制措施”理解的比较

　　等级保护的相关支持文件主要包括政府公文和国家标准，也可以称为“政策体系”和“标准体系”[2]。以一系列的公文作为依据，是等级保护的一个特点，倒不是因为ISMS缺乏国家监管，而是因为ISMS的监管与其他管理体系（例如，ISO9000和ISO14000等）基本一致，整个的架构设计倒显得没那么重要。等级保护是一个全新的设计，因此整个管理架构就显得非常重要，例如，《信息安全等级保护管理办法》（公安部〔2007〕43号）就是一个非常重要的公文，从国家层面确立了等级划分与保护、等级保护实施与管理以及可能涉及的分级保护管理等整个管理架构。

　　但是，就这两者的框架而言，还存在一个不同，即如何理解“控制措施”7）。简而言之，等级保护部署“控制措施”为中心，ISMS部署是以“控制目标”8）为中心。

　　这仅仅是一个描述方式的区别，严格讲，等级保护也是以控制目标为中心，虽然没有非常明确。因为所有的控制措施，最终还是为了实现安全目标。但这两者还是不同的，在等级保护中，一旦信息系统的等级被确定，控制措施都是确定的，同时也要注意，等级本身已经隐含了信息系统的控制目标。对于ISMS而言，由于是自愿部署，组织自己负责识别安全要求，自己设定控制目标，之后自愿部署控制措施。

　　通俗地讲，等级保护中，是组织和监管机构共同确定（是组织确定，之后提交监管机构确认）信息系统等级（其中隐含着控制目标），然后按要求部署。在ISMS中，是组织自己确定控制目标，然后按照要求部署，是一个自圆其说的逻辑。在下文中，我们讨论定级备案等过程，两者的区别就很清晰了。

　　当然，无论是等级保护还是ISMS，“控制”都是其核心内容之一，在等级保护中表现为GB/T22239—2008，在ISMS中表现为ISO/IEC27002：2013。

　　在GB/T22239—2008中，针对不同安全保护等级应该具有的基本安全保护能力，提出基本安全要求。标准的架构，如图2所示。

　　在基本要求的基础上，自上而下又分为：类、控制点和控制项[7]。在图2的10个大类中，每个大类下面分为一系列的关键控制点，控制点下又包括了具体的控制项。本文中不再讨论具体条款，具体可以见参考文献[8]。

　　在ISO/IEC27002：2013中，并不区分技术要求或管理要求，或者说，不关心实现途径。其中控制的描述结构，自上而下又分为：类、目标和控制。具体而言，就是包含了如表1所示，ISO/IEC27002：2013描述了14个大类，这些大类又细化为35个目标，接着由114项控制来实现相应的目标。

　　具体到每一个主要安全控制类和控制的描述结构，参考ISO/IEC27002：2013中的描述，如下所述：

　　每一个主要安全控制类别包括11）：

　　a）一个控制目标，声明要实现什么；

　　b）一个或多个控制，可被用于实现该控制目标。

　　控制的描述结构如下：

　　控制

　　为满足控制目标，给出定义特定控制的陈述。

　　实现指南

　　为支持该控制的实现并满足控制目标，提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用，也可能不能满足组织的特定控制要求。

　　其他信息

　　提供需要考虑的进一步的信息，例如法律方面的考虑和对其他标准的参考。如无其他信息，本项将不给出。

　　关于ISO/IEC27002：2013，可见参考文献[9]和[10]。

　　5小结

　　本文中重点从逻辑框架、部署流程和控制措施理解的角度对等级保护与ISMS进行了比较，当然，这两者还存在诸多其他区别，例如，等级保护的部署起点是“定级与备案”，ISMS的部署起点是“风险评估”。在后续的文章中，我们会陆续介绍。