信息安全评估评测体系研究及ISMS审核实践

作者简介：

李莉，中国信息通信研究院,主要从事信息系统和网络设备安全研究和测试工作

魏巨升，北京天阳睿博科技有限公司,主要从事通信系统研发工作

1 引言

信息系统安全是现代社会正常运行的基础。国际组织及各国都开展了广泛的研究，制定了系列标准，推荐了若干最佳实践。保障信息系统安全的制度及方法有等级保护、风险评估、信息安全管理体系（ISMS）审核等。不同方法制度的侧重点不同，组织在其产品或业务生命周期的不同阶段运用不同的方法，来确保其信息系统的安全。

2风险评估、等级保护与ISMS

2.1风险评估

信息系统风险评估，是指具有风险评估资质的机构，依照风险评估标准的要求，制定特定的风险评估方案，对组织的信息系统及信息安全产品进行评估，给出风险评估结论及改进建议的过程，目的是全面了解信息系统和产品的安全状况水平，控制风险，尽可能保障信息系统和产品安全。

信息系统安全风险评估的研究起源于上世纪70年代，ISO和欧美、亚太等国家和国际组织在该领域进行了积极探索和深入的研究，制定了一系列标准，形成了较成熟的模型和工具。我国也积极开展风险评估方面的研究，制定和同等采用了一系列的标准。

国际组织和各国陆续制定了系列安全风险评估标准。1985年美国国防部发布了《可信计算机系统评估准则》（TCSEC， Trusted Computer System Evaluation Criteria）；90年代，西欧、美、加等国在此基础上提出改进标准《信息技术安全评估准则》（ITSEC， Information Technology Security Evaluation Criteria）、《加拿大可信计算机产品评估准则》（CTCPEC， Canadian Trusted Computer Products Evaluation Criteria）、《通用信息技术安全评估标准》（CC， Common Criteria for IT Security Evaluation）。其中CC标准被批准为信息技术安全评估标准ISO/IEC 15408。此外，国际上风险评估和风险管理标准还有《信息安全管理实施规范》（ISO/IEC 17799）、《信息技术安全管理指南》（ISO/IEC 13335）、《信息安全风险管理》（ISO/IEC 27005）、卡内基梅隆大学提出的OCTAVE评估方法（Operationally Critical Threat, Asset, Vulnerability Evaluation）和《信息安全工程能力成熟度模型》（SSE-CMM，System Security Engineering Capability Maturity Model）等。以上标准对风险评估进行了明确的定义，对规范和指导风险评估工作起到了积极作用。这些标准也有一定的局限性，如TCSEC、ITSEC、CTCPEC更注重技术层面，对于管理层面重视不够；BS ISO/IEC 17799被广泛接受，标准覆盖内容广，但缺少技术测量精度，实施困难。相比之下CC从安全功能和安全保证两个方面予以规范，是比较全面的评估准则。ISO/IEC 27005则从生命周期的角度，将风险评估作为计划的一部分，经过PDCA（Plan-Do-Check-Ack）循环不断完善风险管理过程。

为风险评估能规范实施，各个标准制定机构和研究机构提出了多种信息安全模型。ISO/IEC 13335提出了信息安全风险关系模型，给出了八个安全要素及其之间的关系。八个要素即资产、威胁、脆弱点、影响、风险、防护措施、残余风险和限制条件八个要素。一些IT管理方法可能注重一些方面而忽略另一些方面，ISO/IEC 13335的信息安全风险管理模型提供了一个更通用的方法，促使能够全面考虑安全问题。ISO/IEC 15408同样提出了信息安全风险评估的要素和风险评估模型。ISO/IEC 15408的风险评估要素包括攻击者、属主、资产、威胁、漏洞、风险、措施。ISO/IEC 27005采用了PDCA循环，体现了持续改进不断完善的风险评估方式。这些模型对风险评估的实施起到了积极作用。

风险评估的不同阶段，使用不同的风险评估方法。在资产识别、威胁识别、脆弱性识别、已有安全措施识别阶段通，常使用现场调查、人员访谈、调查问卷的方式，或者使用技术手段进行手动检查或工具协助分析。风险分析阶段，可以采用定性评估方法、定量评估方法或者二者结合的方法。定性评估方法基于评估者的经验，对评估中的多个要素值进行定性分析，如威胁的大小和脆弱性大小。这种方法对评估者素质和经验的要求较高，通常会在类似头脑风暴的会议上协商决定，而不会完全依赖一个专家的意见。定量分析在数据统计的基础上，将风险分析过程量化并得出定量的结果。定量分析的难点是建模，各种复杂的相互影响的因素对风险分析的建模带来挑战，同时数学模型对客观事物抽象的准确程度和侧重点也因模型而异。目前使用较多的是信息安全风险分析的定性分析法。

风险评估通常用到多种不同的工具。包括漏洞扫描工具、漏洞挖掘、主机配置检查工具、主机安全审计工具、渗透测试工具、入侵检测工具等。有些工具是安全公司依据特定标准和特定目的开发的，也有开源免费软件。COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A公司基于ISO 17799发布的风险评估工具。COBRA在知识库和专家系统的基础上，通过问卷调查的方式，评估风险并生成风险评估报告。 CRAMM（CCTA Risk Analysis and Management Method）是1985年英国政府中央计算机与电信局开发的风险分析工具。CRAMM依据BS 7799开发，同时支持定量分析和定性分析。美国NIST针对NIST SP800-26标准，开发了免费的安全风险自我评估软件ASSET（Automated Security Self-Evaluation Tool）。ASSET也采用问卷调查的方式收集数据，具有定性和定量调查的分析特点。还有很多偏重技术的风险评估工具，如Synopsis公司的Defencics漏洞挖掘工具和Beyond Security公司开发的 beSTORM自动化模糊测试工具。这些软件工具各具体点，多是针对特定标准或特定协议开发的，能一定程度上提高评估效率和评估客观性。

我国于1999年颁布了与TCSEC对应的《GB 17859-1999 计算机信息系统安全保护等级划分准则》，于2001年颁布了与CC标准对应的系列标准《GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则》，2001年同等采用ISO/IEC1333-1，发布了《GB/T 19715-2005 信息技术 信息技术安全管理指南》系列标准。随后，我国制定和颁布了一系列信息安全技术标准。2005年颁布《GB/T 19716-2005信息技术 信息安全管理实用规则》， 2007年颁布了《GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南》、《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》和《GB/Z 20985-2007信息技术 安全技术 信息安全事件管理指南》，2009年颁布《GB/Z 24364-2009 信息安全技术 信息安全风险管理指南》，2015年颁布《GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南》。国内信息安全标准的发布，充分体现出我国对信息安全的重视，各个标准在信息技术行业的实施，提高了社会对信息安全的重视程度，积极促进信息安全水平不断提高。如启明星辰提供专业的风险评估服务，绿盟推出基于大数据的风险评估产品NSFOCUS IDR（NSFOCUS Insight for Discovery and Risk）等。

2.2等级保护

在美国国防部制定的TCSEC中及后续的系列安全指南中，计算机系统评估准则从操作系统、数据库和计算机网络的不同角度，对信息系统安全进行了规范要求，结合已有安全措施、安全策略、系统应用等方面的信息，将系统分为四类（A~D）八个等级（D、C1、C2、B1、B2、B3、A1、超A1）。最低级D级是无保护级，即不能处理敏感信息的系统。C类是自主保护等级，B类为强制保护即，A类为验证保护级。

我国的等级保护制度是在国家行政制度引导和推动下建立发展的。1994国务院发布《中华人民共和国计算机信息系统安全保护条例》，标志我国开始施行计算机信息系统安全等级保护制度。为推进保护条例的落实，公安部制定了国家标准《GB 17859-1999计算机信息系统安全保护等级划分准则》和一系列公共安全行业标准。公共安全行业标准包括《GA/T 387-2002 计算机信息系统安全等级保护网络技术要求》、《GA 388-2002 计算机信息系统安全等级保护操作系统技术要求》、《GA/T 390-2002 计算机信息系统安全等级保护通用技术要求》、《GA 391-2002 计算机信息系统安全等级保护管理要求》。我国的信息系统划分为五个等级，由低到高为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。等级保护是从信息系统本身业务的重要程度和遭到破坏后对组织自身、社会及国家造成影响的严重程度来划分的，自主保护级为最低级，专控保护级为最高级。

随着社会的发展和技术的进步，我国在发布了《信息安全技术网络安全等级保护基本要求》2.0版本，于2019年12月1日开始实施。等保2.0的重大变化在于从之前的被动防御发展为主动防御，注重全流程的全面审计和安全感知，在传统信息系统和基础信息网络的基础上拓展覆盖了工业控制信息系统、云计算平台、物联网、移动互联网及其他网络和大数据。

2.3ISMS

ISMS是众多风险评估模型中的一种。ISMS的主要特点在于特定情境中的实践性。

1993年，英国的学者和一些自愿参与的公司发起了一个“安全实践指南”项目，项目的发包方英国商务部商业计算机安全中心，希望这个指南能够与ITSEC一同规划设计。但是项目组考虑到项目实践化的目的与ITSEC的方向并不完全一致，最终单独发布，并最终被采纳为英国国家标准BS 7799。2000 年，成为国际标准ISO/IEC 17799。2005 年，重新编号成为ISO/IEC 27002。ISO/IEC 27000标准簇目前已经有二十多个，其中ISO/IEC 27001和ISO/IEC 27002是最重要的两个标准，已被我国同等采用为GB/T 22080和GB/T 22081。通常术语“ISMS”指在ISO/IEC27000标准簇指导下建立的组织信息安全管理体系。

产品的或系统的脆弱性是其固有特性，同样的产品应用于不同的环境，对客户业务的重要程度不尽相同，体现为不同的资产价值。比较而言，CC标准更注重产品的脆弱性，更关注在预期应用场下产品自身的安全风险，而非实际应用中客户的业务和实际资产价值。ISMS是一套保障组织信息安全的方法，是组织管理体系的组成部分。 具有ISMS认证资质的机构对组织进行信息安全管理体系认证，通过认证的组织可以获得证书。

ISMS具有同QMS样的标准结构。ISMS系列标准除基本要求外，还涉及信息安全控制实践指南、管理体系实施指南、测量、风险管理、行业通信安全管理、信息安全治理、及认证机构要求和审核员指南等内容。该标准簇旨在通过行业最佳实践和审核的方式，促进组织的信息安全。

2.4各种信息安全评测制度的对比

等级保护是基本的安全管理原则，等级保护通过按照信息系统的重要性划分安全等级，并针对不同的安全等级提出相应的安全要求。各种风险评估和安全评测都是在等级保护制度指导下的具体的研究分析方法，等级保护制度要高于风险评估和安全评测。各种风险评估和安全评测要充分考虑等级保护提出的要求，在资产识别、脆弱性识别、威胁识别、风险分析评价等各个阶段都要考虑到等级保护要求，判断安全现状与等级保护要求的符合程度和差距，合理处置残余风险，使不可接受风险的处置计划与等级保护工作的要求相一致。

风险评估是开展等级保护和安全建设、运维的重要手段。风险评估与传统的以技术为导向的安全设计和安全方案不同，它从安全建设的实际出发，结合成本效益因素，对用户的重要软硬件资产进行分级，全面分析安全威胁，考虑安全威胁利用脆弱性的可能，通过分析已有安全措施，用定性或定量分析的方法，推断出客户资产的安全风险，提出风险处置计划，并跟踪风险处置计划的实施效果来确保业务系统的安全。

多数风险评估方法主要关注产品或信息系统在预期应用中的固有安全风险，而不是实际应用中的安全。然而，任何产品或信息系统，都必须在实际应用的场景中发挥其功能。ISMS的关注点是应用场景，是一种实践指南。ISMS通过在客户业务现场审计，对信息安全策略、人力资源、资产、物理和环境安全、通信安全、供应商安全等各种现实情况进行审计。ISMS中对风险评估有强制性的要求，这个风险评估可以由第三方，也可组织自身或第二方实施。具有ISMS审核资质的机构对组织进行信息安全管理体系整体符合性审核，审核通过后颁发证书。

3 ISMS的第三方审核实践

ISMS依据ISO/IEC 27000标准簇，由ISO/IEC JTC 1/SC 27/WG 1 发布。ISMS具有和QMS、EMS和OHSMS相同的标准结构，ISO系列标准采用相同体系章节架构的目的是为了加强各管理系统的兼容性，使组织在选择多个标准增强组织的管理时，能有效地将组织的业务和各管理体系相融合。信息安全管理体系审计主要依据GB/T 22080-2016/ISO/IEC 27001:2013，该标准采用正文加附录的形式，正文提出了安全通用要求，附录制定了具体的安全控制目标。组织声称符合ISO/IEC 27001时，对于正文中的章节都不能删减，必须满足全部要求；而附录A中的参考控制目标和控制可以增加也可以删除，即组织可以声称满足部分控制目标也可以增加内容声称满足更多的安全目标。在审核实践中，ISO/IEC 27001的正文和附录都是审核准则。

组织进行ISMS认证的目的可能是主动的，源于自身提高管理水平要求的目的，也可能是被动的，为了满足市场招投标等要求的目的。在理解组织及其环境的条款审核中，首先要与领导层沟通，了解组织所处的内外部环境、组织进行ISMS认证的目的、组织关注的信息安全风险点，这有利于提高ISMS审核的有效性和针对性。组织所处的外部环境，主要从物理环境、网络环境、政策法规对信息安全方面的要求、客户和供方对信息安全的要求等方面去考虑；组织所处的内部环境，主要考虑技术资源、设备资源、网络资源和人力资源等。在确定信息安全管理体系范围的审核中，要确认组织的物理边界、逻辑边界和业务边界是否清晰，是否考虑了相关方及其信息安全要求，并形成文件化信息。注意识别是否有不包含在ISMS体系范围内的业务过程，这些业务过程对体系运行的有效性是否有影响。对于这点，一般的原则是独立的业务过程可以不包含在ISMS体系内，但是行政、人力、财务这样的支持部门的业务不支持分割在体系外，应当作为ISMS体系审核的对象。信息安全管理体系的审核中，关注体系建立运行的时间，体系运行的效果是否达到了预期。

在审核组织的信息安全管理角色、责任和权限时，ISMS没有要求建立管理者代表，有关于设立风险责任人的要求。风险责任人指对风险责任有权利和责任的人或实体，有对组织的风险处置计划和残余风险接受进行批准的权限，一般都是公司的总经理兼任风险责任人。审核中可查看信息安全风险责任权限分配表，或者是部门岗位责任说明书一类的文件，检查文件中是否包含信息安全职责的内容。

ISMS要求实施具体的风险评估，风险评估报告是ISMS审核内容之一。ISMS体系建立的时间和风险评估的时间间隔不宜过长，否则风险评估的结果不能真实反映ISMS体系运行的真实有效性。ISO/IEC27001的风险管理流程是按照ISO31000的风险框架实施的，是ISMS审核的重要组成部分。最新的《ISO31000：2018 风险管理指南》着重在管理层面上提升企业对风险管理的重视程度。信息资产识别是按照组织的信息资产分类办法规定识别的，典型的信息资产包括硬件、软件、信息、数据、服务、人员、无形资产等。组织的重要资产价值通过完整性、机密性、可用性赋值加权计算和对比得到。风险处置结束后要进行风险再评价，通过风险处置方式的引入，风险可能会升高。如果风险责任人接受风险处置报告，风险评估就告一段落；如果不能接受，则要继续进行风险评估。风险处置的原则是适度接受风险，根据组织可接受的处置成本，将残余风险控制在可接受的范围内。一般选择较低的支出就可以减少大量风险的处置办法。

信息安全风险评估和处置过程的审核，重点审核信息安全风险责任人或信息安全风险主责部门，了解信息安全风险管控流程是否符合信息安全标准的要求，检查受审核方实施信息安全风险管理程序的情况，包括信息安全风险评估计划、风险管理程序、风险识别与评价表、风险接受准则、风险处置计划等。ISO/IEC 27001:2013在信息安全风险识别方面不再强调以信息资产为导向，而是与 ISO31000更加保持一致，支持更多的方法识别进行风险识别，头脑风暴法、情境分析法、检查表法等都是有效的风险识别方法。

4 总结

为实现信息安全保障，组织应关注等级保护制度的要求，同时实施风险评估，必要时进行ISMS评估，从制度、管理和技术的不同角度入手，合理利用信息安全评估评测制度和相关技术，提升组织的信息安全水平。

参考文献：

[1]谭良,罗讯,佘堃,周明天.CC与SSE-CMM的研究与比较[J].计算机应用研究,2006(05):38-40+43.

[2]王伏华,姚杰.风险评估与管理工具研究[J].电脑知识与技术,2011,7(30):7388-7389+7392.

[3]谢宗晓,李宽.通用准则(CC)与信息安全管理体系(ISMS)的比较分析[J].中国质量与标准导报,2018(07):28-32.

[4]郭琳. 基于ITBPM的校园网信息安全防护研究[D].陕西师范大学,2011.

[5]李成,曲振华.物联网风险评估和等级保护浅析[J].现代电信科技,2014,44(10):32-35.

[6]钟瑞琼,姜灵敏,蒋吉频,邝丽敏.信息服务外包安全监管对策研究[J].广东农工商职业技术学院学报,2012,28(02):73-77.

(注：本文来自于《电子产品世界》2020年11月刊)