信息安全管理体系在国内的发展及其产业链

谢宗晓（中国金融认证中心）

信息安全管理体系在国内的发展及其产业链

谢宗晓（中国金融认证中心）

谢宗晓（特约编辑）

首先分析了ISO/IEC 27000标准族的架构及其进展，然后介绍了对应的国家标准的开发进展，最后概述了对应的管理体系产业链。

信息安全 信息安全管理体系 管理体系产业链

1 ISO/IEC 27000标准族概述

信息安全管理体系（ISMS）与ISO/IEC 27000标准族通常被用作同义词[1,2]。

ISO/IEC 27000标准族，编号从ISO/IEC 27000开始直至ISO/IEC 27059，共包括了60项标准1）从ISO/IEC JTC 1/SC 27的架构我们可以知道，这是广义的ISMS，因为真正负责ISMS的是WG 1，其他几个组各有侧重，WG 1不可能解决所有的信息安全问题。，另外还有3项相关标准。ISO/IEC 27000标准族不是一开始就被精巧地设计，而是在发展过程中逐步清晰，中间差不多用了15年。当然，之前并不是没有成功案例，ISO 9000标准族虽然没有这么体系庞大，至少在应用中也能称其为“族（family）”。之所以呈现了这样的发展路径，大约更多的还是市场考虑。如果一次性开发60项标准，然后等着市场接受，这不现实。

事实情况是，因为ISO/IEC 27002，包括紧随其后的ISO/IEC 27001，都获得了良好的市场认可度，使得其他标准的开发变得现实起来，还有一种情况是，已有的标准，重新编号，也进入了这个系列。最典型的例如，ISO/IEC 27033和ISO/IEC 27035，这2个标准在之前就已经有很广泛的应用了。

ISO/IEC 27000标准族大致可以分为3类[3,4]：

（1）ISO/IEC 27000至ISO/IEC 27008，这是纯粹关于ISMS，或者说，从不同的方面定义了ISMS，其架构如图1所示。

（2）ISO/IEC 27009至ISO/IEC 27030，包括了分行业应用，以及更外围的方面，或者与其他体系的整合问题，其架构如图2所示。

（3）ISO/IEC 27031至ISO/IEC 27059，主要是不同控制域的指南，例如，包括了信息安全事件管理和业务连续性管理等各个方面，其架构如图3所示。

2 ISMS在国内的发展

国内对ISMS相关标准的关注是比较早的，之前发布了GB/T 19716—2005（ISO/IEC 17799：2000，MOD），由于太早，信息安全意识远远不够，没有得到大规模的应用。随着ISO/IEC 27002：2005的发布，这个标准被GB/T 22081—2008/ISO/IEC 27002：2005替代，当然同时发布的还有GB/T 22080—2008 / ISO/IEC 27001：2005。

成为国家标准的ISO/IEC 27001和ISO/IEC 27002，版本的变化如图4所示。

如图所示，成为国家标准的ISO/IEC 27001和ISO/IEC 27002，目前最新版本为：

· GB/T 22080—2016/ISO/IEC 27001：2013《信息技术 安全技术 信息安全管理体系 要求》；

· GB/T 22081—2016/ISO/IEC 27002：2013《信息技术 安全技术 信息安全控制实践指南》；

当然，还有诸多ISO/IEC 27000标准族的标准也成为国家标准，例如：

图1 ISO/IEC 27000至ISO/IEC 27008的架构

图2 ISO/IEC 27009至ISO/IEC 27030的架构

· GB/T 29246—2012/ISO/IEC 27000：2009《信息技术 安全技术 信息安全管理体系 概述和词汇》；

· GB/T 31722—2015/ISO/IEC 27005：2008《信息技术 安全技术 信息安全风险管理》；

· GB/T 28450—2012（ISO/IEC 27007：2011，MOD）《信息安全技术 信息安全管理体系审核指南》。

图3 ISO/IEC 27031至ISO/IEC 27059的架构

图4 成为国家标准的ISO/IEC 27001和ISO/IEC 27002版本变化

3 国内管理体系产业链

与质量管理体系（ISO 9001）类似，ISMS已经形成完整的产业链[5]。如图5所示。

目前，关于管理体系产业链的国内主要管理结构如图6所示。

中国国家认证认可监督管理委员会（CNCA，http://www.cnca.gov.cn）成立于2001年3月，是国务院决定组建并授权，履行行政管理职能，统一管理、监督和综合协调全国认证认可工作的主管机构。

中国合格评定国家认可委员会（CNAS，http://www.cnas.org.cn）是根据《中华人民共和国认证认可条例》的规定，由中国国家认证认可监督管理委员会批准设立并授权的国家认可机构，统一负责对认证机构、实验室和检查机构等相关机构的认可工作。中国合格评定国家认可委员会于2006年3月正式成立，是在原中国认证机构国家认可委员会（CNAB）和原中国实验室国家认可委员会（CNAL）基础上整合而成的。

中国认证认可协会（CCAA，http://www.ccaa.org.cn/）成立于2005年9月，是由认证认可行业的认可机构、认证机构、认证培训机构、认证咨询机构、实验室、检测机构和部分获得认证的组织等单位会员和个人会员组成的非营利性、全国性的行业组织。依法接受业务主管单位国家质量监督检验检疫总局、登记管理机关民政部的业务指导和监督管理。

图5 管理体系产业链

图6 管理体系产业链的国内管理结构

中国国家标准化管理委员会（SAC，http://www.sac.gov.cn/）是国务院授权的履行行政管理职能，统一管理全国标准化工作的主管机构。此外，在其官网上，可以查询所有的标准目录、标准计划以及强制性标准全文，当然，也可以查询各种各样的技术委员会的工作进展，例如TC 2602）TC 260负责专业范围为国内信息安全，秘书处设在中国电子技术标准化研究院。。

4 小结

总体而言，（1）国内对于ISO/IEC 27000标准族虽然关注得比较早，但是对应国家标准的开发速度远远低于国际标准的开发速度；（2）产业链发展比较成熟，但这主要是得益于已有的QMS等管理体系的既有成果。

（注：本文仅做学术探讨，与作者所在单位观点无关）

[1]谢宗晓，甄杰，董坤祥，等. 网络空间安全管理[M]. 北京：中国质检出版社/中国标准出版社，2017.

[2]谢宗晓. 信息安全管理体系实施指南（第二版）[M]. 北京：中国质检出版社/中国标准出版社，2017.

[3]谢宗晓，董坤祥. 截至2016年底ISO/IEC 27000标准族的进展(上)[J]. 中国质量与标准导报，2017（01）：36-40.

[4]谢宗晓，甄杰. 截至2016年底ISO/IEC 27000标准族的进展(下)[J]. 中国质量与标准导报，2017（02）：34-38，41.

[5]谢宗晓. 信息安全管理体系实施案例（第二版）[M]. 北京：中国质检出版社/中国标准出版社，2017.

ISMS and Its Industry Chain in China

Xie Zongxiao ( China Financial Certi fi cation Authority )

This paper analyzes the schema of the ISO/IEC 27000 standards and progress, then introduced the corresponding development of Chinese standards, outlined the corresponding management system industry chain.

Information Security, Information Security Management System (ISMS), management system industry chain

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文80多篇，出版专著近20本。

信息安全管理系列之三十四

在本系列中，2017年第1期与第2期，介绍了ISO/IEC 27000标准族的最新进展。实际上ISO/IEC 27000标准族，尤其ISO/IEC 27001和ISO/IEC 27002，所对应的国家标准也已经经过了数次版本变化，并且形成了较为完善的管理体系产业链，了解这个过程对于组织部署信息安全管理体系很有帮助。本文中介绍了与信息安全管理体系相关的国家标准以及对应的产业链。