为了更好地推进我国信息安全管理工作,国家相关部门引进了国际上著名的ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准,并制定了中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》、GB/T 18336:2001-信息技术安全性评估准则和GB/T 20269-2006《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等有关信息安全管理的法律法规文件。
我国国务院信息化工作办公室(国信办)还在于2006年3月启动了“信息安全管理标准应用(ISMS)试点工作,验证国际上通用的信息安全管理标准(ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》)在我国的适用性和合理性,相信这项工作将为国家信息安全主管部门制定相关管理政策提供很重要的客观依据,将会为政府机关、税务系统、大型制造企业、证券交易系统、医疗保险系统、住房公积金管理等行业和系统建立实施ISMS提供宝贵的经验和借鉴,将会为推动我国信息安全管理工作的顺利进行起到积极的作用。
虽然信息安全管理工作正在积极的推动与建设,但是在信息安全管理工作中目前存在的不少的问题,信息安全管理现状仍还比较混乱,主要表现为:
• 缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规不成体系和执行难度较大。
• 信息安全管理并没有在IT系统建设过程中充分考虑,导致后期安全建设和管理工作比较被动,同时业务的发展及IT的建设与信息安全管理建设不对称;
• 目前大部分的安全建设多局限于局部性地使用安全产品,或使用有洞补洞的方式被动地解决问题,缺乏科学的、全面的安全管理规划;
• 目前的技术人员多偏重于网路、主机及应用系统开发,安全管理的力量薄弱;
• 信息安全管理的一个重要方面是运用法律法规的约定方法去进行管理,但是多数企业没有切实可行的管理办法。
• 信息安全管理不仅仅是CIO或CFO的事情,这项工作更应该引入企业高层领导的重视与参与,但是多数企业的领导还是没有时间和精力顾及这方面的工作。
三、信息安全管理标准
1、国际信息安全管理标准
ISO和IEC是世界范围的标准化组织,各国的相关标准化组织都是其成员,他们通过各技术委员会,参与相关标准的制定。近年来,国际ISO/IEC和西方一些国家开始发布和改版一系列信息安全管理标准,使安全管理标准进入了一个繁忙的改版期。这表明,信息安全管理标准已经从零星的、随意的、指南性标准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。
ISO/IEC联合技术委员会子委员会27(ISO/IECJTC1SC27)是信息安全领域最权威和国际认可的标准化组织,它已经为信息安全保障领域发布了一系列的国际标准和技术报告,目前最主要的标准是ISO/IEC13335、ISO/IEC 27000系列等。
ISO/IECJTC1SC27的信息安全管理标准(ISO13335)《IT安全管理方针》系列(第一至第五部分),已经在国际社会中开发了很多年。5个部分组成分别如下:ISO/IEC13335-1:1996《IT安全的概念与模型》;ISO/IEC13335-2:1997《IT安全管理和计划制定》;ISO/IEC13335-3:1998《IT安全管理技术》;ISO/IEC13335-4:2000《安全措施的选择》;ISO/IEC13335-5《网络安全管理方针》。27000系列综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准,是目前国际信息安全管理标准研究的重点。27000 系列当前已经发布和在研究的有6个,分别为:1、ISO/IEC 27000《信息安全管理体系 基础和词汇》;2、ISO/IEC 27001:2005《信息安全管理体系要求》;3、ISO/IEC 27002(17799:2005)《信息安全管理实用规则》; 4、ISO/IEC 27003《信息安全管理体系实施指南》;5、ISO/IEC 27004《信息安全管理测量》;6、ISO/IEC 27005《信息安全风险管理》。随着ISO/IEC 27000系列标准的规划和发布,ISO/IEC已形成了以ISMS为核心的一整套信息安全管理体系。
