信息安全管理体系良好审核案例简析

魏为民, 杨衍宇, 张运琴

(上海电力大学 计算机科学与技术学院, 上海 200090)

ISO/IEC 27001信息安全管理体系(Information Security Management Systems,ISMS)是基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是组织整体管理体系的一部分[1]。采用ISMS是组织的一项战略性决策。

ISO/IEC 27001的前身为英国标准协会(British Standards Institution,BSI)提出的BS 7799标准。该标准分为两个部分:1995年发布的BS 7799-1《信息安全管理实施细则》和1998年发布的BS 7799-2《信息安全管理体系规范》。前者是由信息安全最佳惯例组成的实施规则,适用于大中小组织,供组织中负责启动、实施或维护安全的人员使用;后者规定信息安全管理体系要求和信息安全控制要求,可作为信息安全管理体系认证方案的依据。1999年,结合信息处理技术,特别是网络和通信领域应用的快速发展,BS 7799-1与BS 7799-2修订后重新发布。

2000年12月,国际标准化组织(International Organization for Standardization,ISO)认可BS 7799-1:1999,将其转换为国际标准ISO/IEC 17799:2000《信息技术 信息安全管理实施细则》。2004年9月,BS 7799-2:2002正式发布。2005年,BS 7799-2:2002被ISO组织采纳,于同年10月推出ISO/IEC 27001:2005。2005年6月,ISO/IEC 17799:2000经改版形成新的ISO/IEC 17799:2005,新版本在组织编排和内容完整性上都有了很大辐度的增强和提升。2007年7月1日,ISO/IEC 17799:2005更新并正式发布为ISO/IEC 27002:2005,此次更新内容没有改变,仅变更标准号码。2013年10月19日,ISO正式发布了新版的信息安全管理体系标准ISO/IEC 27001:2013。目前国际上普遍采用该标准对组织的能力是否满足自身的信息安全要求进行评估。该标准包括14个控制域。

信息安全管理体系适用于各种类型、规模或性质的组织(如商业企业、政府机构、非盈利组织等),包括但不限于:银行、证券、保险等金融机构;交通、能源等大型国有企业;互联网数据中心(Internet Data Center,IDC)服务提供商;软件和信息技术服务企业;公共管理、社会保障和社会组织等。

1 我国信息安全管理体系认证发展历程

2002年4月3日,中国国家认证认监管理委员会与中华人民共和国新闻办公室联合召开国家信息安全测评认证体系工作组成立暨第一次工作会议,成立了国家信息安全认证认可体系政策协调小组、工作研究小组和秘书处。2004年10月18日,中国国家认证认监管理委员会、公安部、国家安全部、信息产业部、国家保密局、国家密码管理委员会办公室、国家质检总局、国务院信息化工作办公室联合印发《关于建立国家信息安全产品认证认可体系的通知》(国认证联[2004]57号),提出“从维护国家安全和经济利益的大局出发,在统一监督、管理和综合协调的机制下,建立既符合国家利益的需要,又遵循国际通行规则的统一的国家信息安全产品认证认可体系。为国家信息安全保障体系的有效实施提供强有力的技术支撑”;成立由国务院有关部门、生产方、用户方、研究开发以及标准等方面的代表共同组成的国家信息安全产品认证管理委员会。

2006年6月20日,中央机构编制委员会批复设立中国信息安全认证中心(中央编办复字[2006]70号)。2007年1月29日,中国信息安全认证中心获中国国家认证认监管理委员会颁发的《认证机构批准书》(批准号:CNCA-R-2007-138,No.0000150),取得开展信息安全管理体系认证、信息安全产品认证工作资格[2]。自此,我国建立了统一的信息安全产品认证认可体系。这是我国信息安全认证踏出的重要的一步,也是信息安全认证历史上一个重要的里程碑[3]。

2007年10月22日,中国信息安全认证中心向中国信达资产管理公司颁发了全国第1张信息安全管理体系认证证书[4]。中国信达资产管理公司于1999年4月成立,是经国务院批准成立的首家金融资产管理公司。2010年6月,整体改制为中国信达资产管理股份有限公司[5]。

2008年6月19日,国家质量监督检验检疫总局和国家标准化管理委员会发布GB/T 22080—2008/ISO/IEC 27001:2005《信息技术安全技术信息安全管理体系要求》和GB/T 22081—2008/ISO/IEC 27002:2005《信息技术安全技术信息安全管理实用规则》,标准等同采用相应国际标准,仅有编辑性修改,于2008年11月1日起实施。

2010年5月1日,统一的信息安全产品认证制度落地执行,防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性描述、安全审计、网站恢复等13种产品,只有获得国家信息安全认证证书的产品,才能进入政府采购范围。

2016年8月29日,国家质量监督检验检疫总局和国家标准化管理委员会发布GB/T 22080—2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,代替GB/T 22080—2008,于2017年3月1日实施。

经过10余年的发展,我国信息安全领域认证业务体系不断扩大,基本建立了完整的认证业务体系,涵盖了ISMS认证、信息技术服务管理体系(Service Management System,SMS)认证、业务连续性管理体系(Business Continuity Management Systems,BCMS)认证、信息安全服务资质认证(包含信息安全风险评估、信息系统安全集成、信息安全应急处理、信息系统灾难备份与恢复、软件安全开发、信息系统安全运维、网络安全审计、工业控制系统安全服务等)。截至2019年6月[6-7],全国共有有效认证证书数214万张,获证企业67万个,其中管理体系认证证书数1 086 251张,组织数572 936个。信息安全管理体系认证证书10 393张,获证组织9 996个,在管理体系认证证书数和获证组织数上分别占比0.96%和1.74%。

2 ISMS良好认证审核案例同行评议活动

中国认证认可协会(Chinese Certification and Accreditation Association,CCAA)从2008年开始策划到2010年7月止,完成了2009—2010年良好认证审核、认证咨询案例同行评议交流活动[8],协会从参加此次活动的100多个案例中选编了30个案例,但其中没有ISMS良好案例入选。2011年度的同行评议活动选编了34个良好案例,与首次活动类似,入选的主要为质量管理体系(Quality Management System,QMS)、环境管理体系(Environmental Management System,EMS)和个别职业健康安全管理体系(Occupational Health and Safety Management Systems,OHSMS)案例,同样没有ISMS良好案例入选。

在2012年5月底中国认证认可协会举办的第3次良好认证审核案例评议交流活动中,ISMS良好案例终于有了零的突破。由中国信息安全认证中心路津审核员撰写的《××研究院ISMS认证审核案例》作为第一个信息安全管理体系良好审核良好案例入选。

此后,每年度的良好认证审核案例同行评议交流活动中均有ISMS良好案例入选。2018年5月,中国认证认可协会开展了“2018年度良好认证案例同行评议交流系列活动暨第一届认证技术交流研讨会”,共收到各认证机构推荐的交流案例404个,经过协会组织初审,共有131个案例参加了现场评议交流活动。通过现场评议,最终确定42个案例为2018年良好认证案例。根据中国认证认可协会网站公布的2018年度良好认证案例材料汇编[8],其中至少有2个ISMS案例入选。

根据CCAA网站公布的良好案例材料,截至2019年度良好审核案例现场评议交流系列活动暨第二届认证技术交流研讨会,共入选案例365个,其中信息安全管理体系良好案例共16个,在全部案例中占比为4.38%,具体如表1所示。

表1 良好认证审核案例汇总(2009—2019年)

根据中国认证认可协会2018年12月31日发布的各类认证人员证书统计年报,QMS,EMS,OHSMS,食品安全管理体系,危害分析与关键控制点认证,ISMS,ITSMS,能源管理体系等管理体系审核员(含实习审核员、审核员、高级审核员)的有效注册证书数量总计100 818张,其中信息安全管理体系895张,占比为0.89%。因此,从管理体系认证证书数、组织数以及审核员有效注册证书数来看,信息安全管理体系良好案例数量都明显增加。这说明ISMS重要性日益凸显,ISMS审核员的工作得到了专家的高度肯定。

3 ISMS良好认证审核案例汇总

汇总2009—2019年良好认证审核案例材料,抽取其中关于ISMS良好审核案例,具体如表2所示。

表2 ISMS良好认证审核ISMS案例汇总(2009—2019年)

除2017年《北京市首都公路发展集团有限公司京开高速公路管理分公司信息安全管理体系审核案例》和2018年《江苏省邮电规划设计院有限责任公司审核案例》中不符合项对应标准条款分别涉及标准正文“8.2信息安全风险评估/8.3信息安全风险处置”外,其余案例均为标准附录A。考虑自2017年以来实施ISO/IEC 27001:2013新版标准审核案例,不符合项对应标准附录A的14个控制域分布情况如图1所示。

由图1可知,涉及控制域最多的是“A.12运行安全”,值得特别关注的是“A.12.6.1技术方面脆弱性的管理”和“A.13.1.3网络中的隔离”,分别出现在3个和2个案例中,应重点对照举一反三整改;其次是“A.11物理和环境安全”和“A.13通信安全”;另外,“A.6信息安全组织”“A.8资产管理”“A.9访问控制”“A.17业务连续性管理的信息安全方面”也有所涉及,比较真实地反映了实际的审核情况,从另一个侧面也说明,受审核组织应在这些方面加强管理。

图1 案例分布情况(2017—2019年度)

这些不符合项对应的标准条款及内容如下。

A.6.1.5 项目管理中的信息安全 应关注项目管理中的信息安全问题,无论何种类型的项目。

A.8.3.1 移动介质的管理 应按照组织采用的分级方案,实现移动介质管理规程。

A.8.3.2 介质的处置 应使用正式的规程安全地处置不再需要的介质。

A.9.2.6 访问权的移除或调整 所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。

A.11.1.4 外部和环境威胁的安全防护 应设计和应用物理保护以防自然灾害、恶意攻击和意外。

A.11.2.7 设备的安全处置或再利用 包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。

A.11.2.9 清除桌面和清屏策略 应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略。

A.12.3.1 信息备份 应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。

A.12.4.3 管理员和操作员日志 系统管理员和系统操作员活动应记入日志,并对日志进行保护和定期评审。

A.12.4.4 时钟同步 一个组织或安全域内的所有相关信息处理设施的时钟,应与单一一个基准的时间源同步。

A.12.6.1 技术方面脆弱性的管理 应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施应对相关风险。

A.13.1.3 网络中的隔离 组织应在网络中隔离信息服务、用户及信息系统。

A.13.2.3 电子消息发送 应适当保护包含在电子消息发送中的信息。

A.17.1.3 验证、评审和评价信息安全连续性 组织应定期验证已建立和实现的信息安全连续性控制,以确保这些控制在不利情况下是正当和有效的。

4 结 语

ISMS能否有效落地,很大程度上决定了信息安全管理水平。如何建立相对可落地的ISMS,是贯穿安全管理岗工作的核心问题。

建立并实施一个满足标准要求的管理体系是受审核方的责任。认证机构的责任在于客观、真实地评价管理体系满足标准要求的程度,确保认证结论的可靠性。受审核方应当按照ISMS标准中信息安全目标、监视、测量、分析和评价,以及内部审核和管理评审、改进等标准条款,发现问题并解决问题,采取有效的措施避免问题的再次发生。同时,认证机构应当经常组织审核员交流审核体会,总结推广审核经验,规范审核流程,定期分析认证中多年出现的不符合项,从而提高认证机构审核员队伍水平,统一审核要求,避免审核的“系统误差”。另外,作为审核员,可以跟踪前期审核过的组织,关注随后审核出现的不符合项,分析产生的原因。良好认证审核案例评议交流活动是基于实事求是、客观、可信、可追溯的基本原则进行的推荐和评选的过程,可以促进认证机构之间的交流,促进认证机构和审核员提高现场工作质量,激励他们持续提高认证有效性,向社会宣传、展示认证审核活动的良好例证。