1.1 安全组织与标准

讲到信息安全就不得不提到IT治理，IT治理是企业在信息时代面临的重要治理内容，进行IT治理能确保IT应用完成组织赋予它的使命，并实现组织的战略目标。IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。按照IT治理的对象不同，我们可以将IT治理的服务划分为5类：IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。

通常，IT治理对应的管理职位是首席信息官（CIO），而信息安全是IT治理中的重要一环，对应的管理职位为首席信息安全官（CISO）。随着IT治理自动化的普及，信息安全变得越来越重要，也有互联网企业直接将信息安全划归到CEO的职责范围。下图为IT治理框架图。

IT治理领域涉及的标准及规范众多，在IT治理的每个阶段，其覆盖内容及相应的标准如下表所示。

下面对IT治理常用的标准分别做一下具体说明。

●第一个IT治理国际标准：ISO 38500

ISO 38500是有关IT治理方面的国际标准，它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了被大众正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理在理论上得到统一。

●信息及相关技术的控制目标：COBIT

COBIT（Control Objectives for Information and related Technology，信息及相关技术的控制目标）由ISACA（Information Systems Audit and Control Association，国际信息系统审计协会）发布并维护。COBIT是把IT处理过程与公司业务要求相连接的控制框架。从IT战略融合、IT价值交付、IT资源管理、IT风险管理、IT绩效测评这5个方面提出了具体要求，并提出了IT审计的技术方法。从1998年增加了管理方针的版本开始，COBIT越来越多地被作为IT治理框架来使用，并提供诸如衡量标准和成熟度模型这样的管理工具来作为控制框架的补充。

●IT基础架构库：ITIL

ITIL（Information Technology Infrastructure Library，IT基础架构库）汇集了在IT服务管理方面的最佳实践，包括业务管理、服务管理、ICT（Information and Communication Technology，信息和通信技术）基础架构管理、IT服务管理规划与实施、应用管理和安全管理等6个模块。它关注IT服务的过程并考虑了使用者的核心作用，对IT的应用、管理、变更、运维等方面提出了要求，明确了每个阶段、每个环节的目标和工作流程。以ITIL v3为基础的国际标准《ISO/IEC 20000:2005 IT服务管理体系》于2005年正式颁布。

●信息安全管理体系要求：ISO/IEC 27001：2005系列

目前应用最广泛的信息安全管理标准，适用于各种性质、各种规模的组织，如政府、银行、ICT企业、研究机构、外包服务企业、软件服务企业等。该标准偏重于安全，从组织架构、人力、安全策略、访问控制等11个方面提出了信息系统管理的要求和操作实践。该系列标准已被定为国家标准，参见GB/T 22080-2008和GB/T 22081-2008。

●受控环境中的项目管理：PRINCE 2

PRINCE 2（Projects In Controlled Environments 2）是基于过程的结构化的项目管理方法，定义每个过程的关键输入、需要执行的关键活动和特殊的输出目标。PRINCE 2为包括IT项目在内的项目管理提供了通用的管理方法，内置了已在项目管理实践中被证明的最佳实践。

除了上述IT治理的标准，还有一些互联网企业常见的安全标准规范，如ISMS、DJCP、CSA STAR、PCI DSS、GDPR等。

●ISMS

ISMS（Information Security Management System）的全称为信息安全管理体系，起源于英国标准协会（British Standards Institution，BSI）20世纪90年代制定的英国国家标准BS7799，是系统化管理思想在信息安全领域的应用。基于国际标准ISO/IEC27001:2005的ISMS是国际上公认的先进的信息安全解决方案。在信息安全管理方面，ISO/IEC27001:2005已经成为世界上应用最广泛的典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的，最新版本为ISO27001:2013。除了ISO27001，还有ISO27002，ISO27001主要侧重于要求的标准，ISO27002侧重于信息安全管理的最佳实践，所以一般认证都是基于ISO27001进行的。ISO27001就像是一本信息安全相关的百科全书，基本涵盖了信息安全的方方面面，一般是信息安全认证的必备选项。关于ISMS的详细介绍可以参考官网资料（即参考资料[1]）。

●DJCP

DJCP即信息系统安全等级保护认证，是我国信息安全保障的一项基本制度，是国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护的标准。等级保护根据信息系统的重要程度由低到高划分为1~5这5个等级，根据安全等级实施不同的保护策略。一般的信息系统通过3级测评就达到了合格的安全标准，之后相关机构会为通过测评的信息系统颁发安全等级保护认证证书并在公安系统为其备案。很多行业要求达到GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》中第三级对应的安全指标要求，等级测试可以找专门的测评备案公司来做。关于DJCP的详细介绍可以参考官网资料（即参考资料[2]）。

●CSA STAR

CSA STAR（CSA Security,Trust&Assurance Registry）的全称为云安全可信与保障认证，是一项全新而有针对性的国际专业认证项目，由全球标准奠基者——英国标准协会（BSI）和国际云安全权威组织——云安全联盟（CSA）联合推出，旨在应对与云安全相关的特定问题。云安全可信与保障认证以ISO/IEC27001认证为基础，结合云控制矩阵（CCM，Cloud Control Matrix）的要求，运用BSI提供的成熟度模型和评估方法，为提供和使用云计算的任何组织，从沟通和利益相关者的参与，策略、计划、流程和系统性方法，技术和能力，所有权、领导力和管理，监督和测量等5个维度，综合评估组织在云端安全管理和技术方面的能力，最终给出独立第三方外审所做的结论。CSA STAR是提供云服务的企业必备的信息安全认证，详细介绍可参考官网资料（即参考资料[3]）。

●PCI DSS

PCI DSS（Payment Card Industry Data Security Standard）的全称为支付卡行业数据安全标准，是支付卡行业必备的安全认证，由PCI安全标准委员会的创始成员（VISA、MasterCard、American Express、Discover Financial Services、JCB等）制定，致力于成为一套在国际上一致采用的数据安全措施。PCI DSS对所有信用卡信息机构涉及的安全方面做出了标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求等，全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商，以及储存、处理或传输持卡人资料的所有其他实体。关于PCI DSS的详细介绍可参考官网资料（即参考资料[4]）。

●GDPR

GDPR（General Data Protection Regulation）的全称为一般数据保护条例，是一个合并的法律框架，由欧盟推出，旨在保护自然人的基本权利和自由，特别是保护个人数据的权利。这是一项强制性法律，要求企业遵守整个欧盟适用于个人数据业务的条款。GDPR取代了存在了20年的数据保护指令（95/46/EC）。该条例明确了企业对个人数据的保护要求和处罚措施，大大加强了对个人数据隐私的保护。其他各国也纷纷参考GDPR建立自己的相关标准，例如我国最近提出的《信息安全技术 个人信息安全规范》。关于GDPR的详细介绍可参考官网资料（即参考资料[5]）。

以上对常见安全组织与标准做了一个大概介绍。随着信息网络的全球化快速发展，网络违法犯罪呈多发态势，为此各国也纷纷制定了自己的网络安全相关法律，比如我国的《中华人民共和国网络安全法》。法律法规对隐私保护的逐步完善也迫使各个企业需要加大企业信息安全的相关投入和建设，保障自身信息安全，并遵守国家法律要求。