BS7799与SSE-CMM的对比研究

●王艳玮，王 娟（陕西师范大学 国际商学院，西安 710062）

科学的信息安全评估标准是信息安全测评认证的基础。英国标准协会和贸工部BSI/DISC的BDD/2信息安全管理委员会制定的BS7799是目前世界上应用最广泛与最典型的安全管理标准，其围绕风险评估从管理和技术两方面建立了一整套信息安全评估体系。BS7799 分为 BS7799-1［1］和 BS7799-2 两部分，［2］已经被国际标准化组织ISO采纳，成为ISO/IEC27000系列信息安全标准族的主要标准之一。

SSE-CMM成为许多国家政府、军队和要害部门组织和实施安全工程的通用方法，是系统安全工程领域里成熟的方法体系，在理论研究和实际应用方面具有举足轻重的作用，同时也被国际标准化组织采用，成为ISO/IEC DIS 21827标准。

本文通过对BS7799和SSE-CMM进行对比研究，一方面可以更好地学习理解标准，为我国标准制定提供借鉴意义；另一方面可以优势互补，将二者结合起来开发高确信度信息安全产品或系统的开发方法。

1 标准的概述

1.1 BS7799

BS7799［3］由英国标准协会 （British Standards Institute，BSI） 于1995年颁布，分为两部分。BS7799-1是信息安全管理实施细则，主要提供了信息安全最佳实践的汇总集，最初从10个方面定义了127项控制措施。BS7799-1几经改版，最终转化为ISO/IEC17799：2005，2007年编号改为ISO/IEC27002，其内容也增加到11个方面的133项控制措施。BS7799-2是建立信息安全管理体系（ISMS）的管理要求和规范，指导相关人员如何去应用BS7799-1。BS7799-2规定了组织基于PDCA模型建立、实施、运行、监视、评审、保持和改进ISMS的总要求及相关文件要求，并规定了在这个过程中的管理职责和管理评审要求。

1.2 SSE-CMM

系统安全工程能力成熟度模型（SSE-CMM，Systems Security Engineer Capability Maturity Model）［4］是一种面向工程过程，衡量系统安全工程实施能力的方法。SSE-CMM的基本思想是：通过对安全工程过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的过程，具有此类成熟过程的组织开发的安全系统或产品具有较高安全确信度和可重复性。SSE-CMM模型中定义了22个安全方面的过程域PA（Process Areas），按照解决问题的不同，过程域可以分为3类：安全工程过程域（PA），包括11个过程；项目过程域（PA），包括5个过程；组织过程域（PA），包括6个过程。SSE-CMM模型又将各种系统安全工程任务抽象划分为11个有明显特征的子任务，由此定义了11项“良好”的安全工程过程即过程域（PA），每个过程域用一组确定的单元—基本实践（Basic Practice，简称BP） 来描述完成的任务；设置了6个能力成熟级别，每个级别的判定反映为一组共同特性（Common Feature，简称CF），而每个共同特性进而通过一组确定的单元一通用实践（Generic Practice，简称GP） 来描述。于是，SSE-CMM模型从整体上定义了一个二维架构，横轴上有11个系统安全工程过程域，纵轴上有6个能力成熟度级别。如果给每个过程域赋予一个能力成熟度级别的评分，所得到的二维图形便形象地反映了一个工程队伍整体上的过程能力成熟性，也间接地反映了这个工程队伍工作结果的安全可信度。

2 BS7799和SSE-CMM的对比研究

2.1 发展历程

BS7799是英国标准协会于1995年颁布的针对信息安全管理制定的一个标准。BS7799最初是由英国贸工部（DTI） 立项，经业界、政府和商业机构共同倡导的，旨在开发一套可供开发、实施和测量有效信息安全管理惯例并提供贸易伙伴间信任的通用框架。1995年，《BS7799-1：1995》首次出版，1998年，BSI颁布了《信息安全管理体系规范》（BS7799-2：1998）。随着BS7799在越来越多的国家得到广泛的认可与应用，2000年12月，国际标准化组织ISO/IEC JTC1/SC27工作组认可《BS7799-1：1999》，正式将其转化为国际标准，即《信息技术—信息安全管理实施细则》（ISO/IEC 17799：2000）。2005年6月15日修订版《ISO/IEC17799：2005》发布，原来版本废止。同时BS7799-2转化为ISO/IEC27001，于2005年10月15日正式发布。

SSE-CMM起源于1993年4月。当时，美国国家安全局（NSA） 对各类能力成熟度模型（CMM） 的工作状况进行了研究，以判断是否需要一个专门适用于系统安全工程的CMM。在此阶段，确定了一个初步的安全工程能力成熟度模型（Security Engineering CMM），以此作为这一判断过程的开始。1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。1997年7月召开会议主要涉及到模型的应用，特别是在采购、过程改进、产品和系统质量保证等方面的应用。1999年4月，模型和相应评估方法2.0版发布。2001年美国将SSE-CMM2.0版提交给ISO JTC1 SC27年会，申请作为国际标准，对应的ISO文件是：《ISO/IEC DIS 21827信息技术—系统安全工程—能力成熟度模型》（SSE-CMM）（Information Technology-Systems Security Engineering-Capability Maturity Model）。

2.2 适用范围

BS7799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求，应用范围覆盖了所有类型的组织（如商业企业、政府机构和非盈利组织），遍布整个系统或组织，包括所有的信息系统及其外部接口。虽然我国信息安全标准委员会不是将ISO/IEC 17799作为强制性国家标准引入，而是仅作为推荐性国家标准推行，但是企业和组织仍然可以将ISO/IEC 17799作为衡量信息安全管理体系规范程度的一个标准和指标。建立信息安全管理体系并获得经认可的认证机构的认证，不仅能提高组织自身的安全管理水平，保证业务的可持续运作；并且能向客户及利益相关方展示组织对信息安全的承诺，增强投资方和股票持有者的投资信息，向政府及行业主管部门证明组织对相关法律法规的符合，尤其对于银行、证券、电子商务、ISP等服务提供商来说，可以借此向客户展示其服务相比其他竞争对手更加安全、可靠，并树立和增强企业的信息安全形象，提高企业的综合竞争力。

SSE-CMM涉及到可信产品或者系统整个生命期的安全工程活动，其中包括概念定义、需求分析、设计、集成、安装、运行、维护和终止。SSE-CMM可用于安全产品开发者、安全系统开发者、集成商和提供安全服务和安全工程的组织机构，可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。有各类组织从事安全工程，其中包括产品开发者、服务提供者、系统集成者、系统管理者、直至安全专家。其中部分组织处理高层问题（如运行使用或系统体系结构有关的问题），部分组织处理底层问题（如机制选择和设计），还有一部分组织涉及到这两个层面。某些组织可能专长于某些特殊技术或某些特殊环境（如在海上），SSE-CMM的设计可用于所有这些组织。

2.3 实施流程

BS7799主要遵循风险管理的思想，通过识别和评估风险来建立组织的信息安全管理体系（ISMS），并应用PDCA模型对ISMS进行实施、运行、监视、评审、保持与改进。首先根据组织的业务特征、地理位置、资产、技术等要素来确定ISMS的范围和ISMS方针。组织对ISMS范围内的资产进行风险识别后，通过风险分析选择风险处理的控制目标和控制方式。其次，实施和运行ISMS。这一阶段的工作主要包括实施风险处理计划、实施已选的控制措施、实施培训方案、管理ISMS的运行、管理ISMS的资源、及时检测、响应安全事故等。再次，监视和评审ISMS。组织应执行监视和评审程序，定期审核ISMS的有效性，按照计划的时间进行风险评估并评估残余风险的等级和已识别的可接受风险，记录可能影响ISMS有效性或业绩的措施和事件。最后，保持和改进ISMS。主要包括采取适当的纠正和预防措施，总结组织取得的安全经验教训，对已采取的措施和改进意见与所有相关方进行沟通等。

SSE-CMM具体的实施步骤：① 从11个安全过程域以及其他11个项目和机构活动过程域中选择适合于你的机构业务或任务的一个过程域；② 查看该过程域的摘要描述、目标、所包含的基本实施（BP）；③ 查看你的机构中是否有人在执行该过程域中的所有基本实施，当然并非所有的（BP）都需要你亲自去实施，只要有人完成即可；④ 查看该过程域的目标是否得到了满足；如果所有的基本实施都被执行了，则该过程域的目标应该达到；⑤ 在相应的公共特征1.1处做上标记（即“执行基本实施”的目的已经达到，在所选择的PA上已具备第一级能力）；⑥ 查看公共特征2.1“规划执行”中的描述和包含的通用实施；⑦ 对照公共特征2.1中的通用实施，查看你的机构是否正在计划执行你所选择的过程域；⑧ 如果步骤7得到满足，在公共特征2.1处做上标记，如未满足，则跳至步骤10；⑨ 对第二级中的其他每一个公共特征（即“规范化执行”“验证执行”“跟踪执行”），分别重复步骤6-8；⑩ 对每一个过程域，重复步骤2-9，最终就可以得出你的机构的安全工程能力。

BS7799与SSE-CMM在安全需求分析阶段的流程有所不同，见图1和图2。

图1 BS7799安全需求分析流程

图2 SSE-CMM安全需求流程

2.4 应用现状

越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务，BS7799普及和推广已是势不可当。2005年BS7799转化为ISO/IEC27001至今，世界上已有73个国家的5206家企业通过了ISO/IEC27001认证，其中日本408家，英国157家，中国有49家，其中大陆9家，台湾25家，香港15家。全球已获得BS7799-2认证资格的认证机构有26个，认可机构有3个，分别为欧洲认可联盟（EA），国际认可联盟（IAF） 以及英国的UKAS；认证的还包括政府机构，如英国的Cherwell区自治会、英国政府严重诈骗罪犯办公室、蒂斯河畔斯托克顿市政府、桑德兰市政府、英国信息中心办公室、英国社会保障机构Pensions Regulator、旺兹沃思自治区议会等。ISO/IEC27001在我国也得到了广泛的认可，目前已有电力、银行、企业等组织通过了ISO/IEC 27001认证，如光大银行信用卡中心、浙江省嘉兴电力等。按照ISO/IEC27001进行网络安全管理和建设的企业有奇瑞汽车集团、华为公司等。

目前，全球经济领域的数千个组织在利用SSE-CMM的系统安全工程改进与评价。在国外，SSE-CMM在系统安全工程的实践方面已有很大的影响，已经成为西方发达国家政府、军队和要害部门组织和实施系统安全工程的通用方法，是系统安全工程领域里的成熟体系。它不仅已用于军事控制系统，而且在工业界也已得到广泛接受，2000年9月，该标准提交给国际标准化组织，国际标准化组织将其看作是目前最有希望成为ISO/IEC15408《信息技术安全评价公共准则》（CC） 的替代认证技术。我国国家信息安全测评认证中心［5］已采纳和确定SSE-CMM为信息系统安全工程所需遵循的标准，并于2000年5月组织我国领域内权威研究机构和专家起草了基于SSE-CMM的《信息系统安全工程质量管理要求（标准推荐稿）》，国家认证中心已计划在我国信息安全测评认证体系内全面采纳这一评定方法。但是，总体来看，SSE-CMM在我国理论研究和实践应用都处于刚刚起步的阶段，随着我国国防、政府、企业、社会信息化程度的急剧提高，信息安全问题对我们的挑战将越来越严峻，相信随着网络应用在中国的不断发展，电子商务、政府上网工程等将逐渐展开，系统工程会变的越来越重要。SSE-CMM模型作为一套全新的系统安全工程实施与评估标准，包含了许多先进的管理思想，在我国有着很好的、广泛的应用前景。

2.5 标准的综合应用

BS7799作为一项通行的信息安全管理标准，旨在为组织实施信息安全管理体系（ISMS）提供指导性框架，尽管BS7799的第一部分也提供了诸多控制措施，但更多体现的是一种目标要求，总体来说，BS7799并没有提及实施的细节，这是作为通行标准必然的局限。其次，在BS7799的10个核心控制领域中，没有对任何一个领域或控制目标的权重分配，因此在进行风险评估时，没有一个标准依据来对这127项控制目标进行加权，不同的评估人员得出的评估结果可能也不相同。最后，BS7799中没有划分评估等级，也没有考虑实施者在信息安全建设过程中表现出来的能力和水平。SSE-CMM是一个评估标准，它定义了实现最终安全目标所需要的一系列过程，并对组织执行这些过程的能力进行等级划分。因此组织在实施BS7799的过程中，SSE-CMM是一个不错的参照。

分析SSE-CMM的各项基本实施发现，SSE-MM并没有对每个过程域的实现方法作规定（例如没有规定出威胁评估的方法），而是强调了安全工程的结果，并通过“工作结果示例”来进一步突出安全工程过程的可视化。因此，虽然SSE-CMM是一种面向过程的信息安全方法，但它仍然离不开对结果的考虑。而且这种“工作结果示例”中要求的工程结果是粗线条的，在一定程度上提供了可扩充性的余地。但在具体应用方面，该模型缺乏工程化，可操作性差，尤其在我国对于信息系统安全工程的研究并不很成熟。SSE-CMM本身并不是安全技术模型，它仅给出了信息系统安全工程需考虑的关键过程域，对于评估的内容和定义没有做具体规定。因此，我们采用目前已在国际上被广泛接受的BS7799（ISO/IEC17799） 来指导这方面的工作。BS7799（ISO/IEC17799） 包括了10类需要进行控制的方面，共127个控制项。在使用时，将这127个控制项共300多项条款根据SSE—CMM中的过程域和基本实践进行分类，把它们作为铺设在SSE--CMM的基本实践底层的用于指导安全管理的条款，简称为“BA条款”。

3 结束语

通过研究源评估方法的结合，可以确保新评估方法的完备。本文通过BS7799与SSE-CMM对比研究，发现两类标准在内容、发展历程、适用范围、实施流程、涵盖范围、及应用现状方面各有优势，可以相互借鉴。中国国家信息安全评测认证中心将以SSE-CMM版本2.0为主要参考着手制订安全工程过程能力和安全工程服务资质方面的认证标准，这些标准既符合国际规范又结合了中国实际，无疑将对规范信息安全领域的活动起到基础性作用，并将极大地促进中国信息技术安全领域的发展。建议我国信息安全评测认证中心，细化SSE-CMM对BS7799标准的借鉴内容，将二者结合起来开发高确信度信息安全产品和系统的开发方法，提升中国在国际标准中的地位。