2.1 标准化组织
2.1.1 国际的标准化组织
2.1.1.1 国际的标准化组织
标准化组织包括国际标准化组织和各个国家自己的标准化组织,各行业一般也有自己的标准化组织,但是其影响力相对有限。国际上最著名的标准化组织主要有国际标准化组织(International Organization for Standardization,ISO)[9]、国际电工委员会(International Electrotechnical Commission,IEC)[10-11]和国际电信联盟(International Telecommunication Union,ITU)。
国际标准化组织(ISO)总部设在瑞士日内瓦,是一个全球性的非政府组织,成立于1947年。国际标准化组织(ISO)现有会员国164个,技术委员会(SC)782个,共发布了23067项国际标准及相关文件,涵盖了几乎所有的行业。中国于1978年加入国际标准化组织(ISO),2008年成为该组织的常任理事国;2013年,张晓刚当选国际标准化组织(ISO)主席。国际电工委员会(IEC)成立于1906年,是世界上成立最早的国际性电工标准化组织,总部设在瑞士日内瓦,是一个全球性的非政府组织。国际电工委员会(IEC)现有成员国88个,下设技术委员会和分技术委员会209个。我国于1957年加入国际电工委员会(IEC),2011年成为常任理事国。国际电信联盟(ITU)成立于1865年,总部设在瑞士日内瓦,1947年成为联合国15个专门机构之一。国际电信联盟(ITU)现有成员国193个有约900个企业、大学等组织参与。中国于1920年加入国际电信联盟(ITU),1972年恢复合法席位,2014年,赵厚麟当选国际电信联盟新一任秘书长,并于2018年11月1日高票连任。每年的5月17日是世界电信日。
2.1.1.2 国际风险管理标准化组织及标准
与信息安全风险管理相关的国际标准化组织(ISO)包括ISO/TC 262(风险管理技术委员会)和ISO/IEC JTC1-SC 27(信息技术联合技术委员会下设的信息安全分技术委员会)[12]。
1.ISO/TC 262:国际标准化组织/风险管理技术委员会
ISO/TC 262于2011年成立,是国际标准组织(ISO)下属的风险管理技术委员会,秘书处设在英国BSI(British Standards Institution,英国标准学会),参加国59个,观察员国23个,工作组12个,目前已经发布标准4个,正在研制的标准有5个。ISO/TC 262是制定风险管理标准的技术委员会,目的是根据市场需要构建一套逻辑严谨、前后一致的系列标准。ISO/TC 262在风险管理领域所制定的国际标准,可以帮助组织在遇到系统事故、灾难或者故障时,对其影响进行管理并最小化、对大型破坏性风险做出响应并恢复。
ISO/TC 262已经发布的风险管理相关标准:
● ISO Guide 73《风险管理—术语》
● ISO 31000:2018《风险管理—指南》
● ISO/TR 31004:2013《风险管理—ISO 31000实施指南》
● IEC 31010:2019《风险管理—风险评估技术》
● ISO 31022:2020《风险管理—法律风险管理指南》
ISO/TC 262正在研制的标准有:
● ISO 31030《旅行风险管理—组织指南》
● ISO 31050《管理新型风险增强应变能力指南》
● ISO 31070《风险管理—核心概念指南》
● ISO 31073《风险管理—风险管理词汇》
2.ISO/IEC JTC1 SC 27:ISO/IEC信息技术联合技术委员会/信息安全分技术委员会
国际标准化组织(ISO)和国际电工委员会(IEC)联合下属的信息技术第一联合技术国际标准化组织(ISO)和国际电工委员会(IEC)联合下属的信息技术第一联合技术委员会JTC1成立于1987年,由ISO/TC97、IEC/TC47/SC47B、IEC/TC83合并而成,秘书处设在美国ANSI(American National Standards Institute,美国国家标准学会)。参加国34个,观察员国66个。JTC1目前已发布标准3240个(其中由JTC1直接负责的标准493个),正在研制的标准559个(其中由JTC1直接负责的有20个)。
JTC1下设22个分技术委员会、17个顾问组和3个工作组。其中SC 27是负责信息安全、网络空间安全和隐私保护的分技术委员会。SC 27成立于1989年,秘书处设在德国标准化组织DIN,参加国50个,观察员国28个,SC 27目前已发布标准190个,正在研制的标准74个。
SC 27下设1个专家组(或者叫顾问咨询组)、3个研究组、1个技术特别工作组和5个工作组。其中第1工作组WG1负责信息安全管理体系(Information Security Management Systems,ISMS)标准的制定,发布了著名的ISO/IEC 27000系列标准,如图2-1所示。
图2-1 ISO/IEC 27000系列标准的创建组织图
ISO/IEC JTC1 SC 27已经发布的风险管理相关标准主要有ISO/IEC 27005等。
ISO/IEC JTC1 SC 27正在研制的风险管理相关标准主要有ISO/IEC AWI 27554《ISO 31000在身份管理风险评估中的应用》。
2.1.2 部分国家的标准化组织及相关标准
ANSI(American National Standards Institute,美国国家标准学会)成立于1918年,总部设在纽约,是一个非营利性质的民间标准化团体,也是国际标准化组织(ISO)的成员单位。截至2020年1月,有超过240个标准开发机构通过了ANSI认证,有超过12.5万家公司和350万专业人士参与。ANSI已发布美国国家标准11500多个。
BSI(British Standards Institution,英国标准学会)成立于1901年,总部设在伦敦,是一个非营利机构。经过100多年的发展,现已成为世界闻名的,集标准研发、标准技术信息提供、产品测试、体系认证和商检服务五大互补性业务于一体的国际标准服务提供商,面向全球提供服务。BSI目前在世界110个国家和地区设有办事处或办公室,拥有员工5500人,其中75%在英国之外。
SAC(Standardization Administration of the People's Republic of China,中国国家标准化管理委员会)成立于2001年10月,总部设在北京,是国家质检总局管理的直属事业单位,履行国务院授权的行政管理职能,统一管理全国标准化工作。2018年3月起,SAC划入国家市场监督管理总局,SAC职责和名称不变。
2.1.2.1 我国风险管理标准化组织及标准
我国与风险管理方向相关的标准化组织有“全国风险管理标准化技术委员会”(SAC/TC 310)和“全国信息安全标准化技术委员会”(SAC/TC 260)[13]。
1.全国风险管理标准化技术委员会(SAC/TC 310)
2007年11月,全国风险管理标准化技术委员会(SAC/TC 310)成立,秘书处设在中国标准化研究院,主要负责风险管理领域国家标准的制定和修订工作,对口ISO/TC 262。全国风险管理标准化技术委员会(SAC/TC 310)是我国负责风险管理标准化的技术委员会,风险管理的术语、方法、指南等相关基础,风险识别、风险分析、风险评估等风险管理技术,以及公司治理、业务持续管理、合同、人力资源管理、外购管理、公共政策制定等典型活动的风险管理等标准化技术工作。全国风险管理标准化技术委员会(SAC/TC 310)已经制定的风险管理相关国家标准如下。
● GB/T 23694—2009《风险管理 术语》
● GB/T 24353—2009《风险管理 原则与实施指南》
● GB/T 24420—2009《供应链风险管理指南》
● GB/T 26317—2010《公司治理风险管理指南》
● GB/T 27921—2011《风险管理 风险评估技术》
● GB/T 27914—2020《企业法律风险管理指南》
2.全国信息安全标准化技术委员会(SAC/TC 260)
全国信息安全标准化技术委员会(SAC/TC 260)于2002年4月15日成立,秘书处设在中国电子技术标准化研究院,是国际标准化组织/第一联合技术委员会/安全技术分技术委员会安全技术分技术委员会(SC27)在中国开展标准化工作的接口单位,主要工作范围包括信息安全技术、机制、服务、管理、评估等领域的标准化技术工作。
图2-2是SAC/TC 260工作组布局。共有七个组:WG1(信息安全标准体系与协调工作组)的任务是研究信息安全标准体系,跟踪国际信息安全标准发展动态,研究、分析国内信息安全标准的应用需求,研究并提出新工作项目及工作建议;WG2(涉密信息系统安全保密标准工作组)的任务是研究提出涉密信息系统安全保密标准体系,制定和修订涉密信息系统安全保密标准;WG3(密码技术标准工作组)的任务是对密码算法、密码模块、密钥管理标准进行研究与制定;WG4(鉴别与授权标准工作组)的任务是对国内外PKI(Public Key Infrastructure,公钥基础设施)/PMI(Project Management Institute,项目管理协会)标准进行分析、研究和制定;WG5(信息安全评估标准工作组)的任务是调研国内外测评标准现状与发展趋势,研究提出测评标准项目和制定计划;WG6(通信安全标准工作组)的任务是调研通信安全标准现状与发展趋势,研究提出通信安全标准体系,制定和修订通信安全标准;WG7(信息安全管理标准工作组)的任务研究信息安全管理动态,调研国内管理标准需求,研究提出信息安全管理标准体系,制定信息安全管理相关标准;SWG-BDS(大数据安全特别工作组)的任务是负责大数据和云计算相关的安全标准化研制工作。
图2-2 SAC/TC 260工作组布局
全国信息安全标准化技术委员会(SAC/TC 260)目前已发布标准290个,其中与信息安全风险管理相关的也有很多,本书主要涉及以下国家标准:
● GB/T 20984《信息安全技术 信息安全风险评估规范》(2018征求意见稿)
● GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》
● GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》
● GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》
● GB/T 33132—2016《信息安全技术 信息安全风险处理实施指南》
● GB/T 36466—2018《信息安全技术 工业控制系统风险评估实施指南》
● GB/T 36637—2018《信息安全技术 ICT供应链安全风险管理指南》
2.1.2.2 其他国家风险管理标准化组织及标准
国际上很多国家都在风险管理、信息安全等领域设立了相关的标准化组织,并制定了自己的标准。
1.美国ANSI及标准
美国ANSI等标准化组织是国际标准的积极制定者,ANSI与风险管理相关的标准,叫作《网络风险的财务管理:首席财务官实施框架》,网络风险的财务管理标准引入了一个新的框架来管理和降低与网络攻击相关的财务风险,这些攻击会威胁到企业和社会的安全。
除了ANSI,美国还有一个重要的标准化组织,名为NIST(National Institute of Standards and Technology,美国国家标准与技术研究院)。NIST直属美国商务部,从事物理、生物和工程方面的基础和应用研究,以及测量技术和测试方法方面的研究,提供标准、标准参考数据及有关服务,在国际上享有很高的声誉。NIST SP 800(Special Publications 800)是美国NIST发布的一系列关于信息安全的指南。在NIST的发布的系列文件中,虽然NIST SP系列并不是正式的法定标准,但在实际工作中,该系列已经成为许多国家认可的事实标准和权威指南。目前,NIST SP 800系列包含近90个同信息安全相关的正式文件,形成了从计划、风险管理、安全意识培训和教育到安全控制措施的一整套信息安全管理体系。目前已经发布的SP标准为182项,其中有关信息安全风险管理的标准如下:
● NIST SP 800-30《IT系统风险评估实施指南》
● NIST SP 800-37《信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法》
● NIST SP 800-39《信息安全风险管理:组织、使命和信息系统》
● NIST SP 800-53《联邦信息系统和组织的安全和隐私控制》
● NIST SP 800-55《信息安全评测指南》
● NIST SP 800-60《信息和信息系统安全分类指南》
2.英国BSI及标准
作为全球权威的标准研发和国际认证评审服务提供商,BSI倡导制定了世界上流行的ISO 9000、ISO/IEC 27000系列管理标准,在全球多个国家拥有注册客户,注册标准涵盖质量、环境、健康和安全、信息安全、电信和食品安全等几乎所有领域。BSI有5大业务部门,4大业务,管理着24万个现行的、7000个正在研制的英国国家标准。BSI已经发布与风险管理相关的标准包括BS 7799-3《信息安全风险管理指南》、BS ISO/IEC 19770-5《IT 资产管理的概述和术语》、BS ISO/IEC 19770-8《IT资产管理—工业实践与ISO/IEC 19770系列标准之间的映射指南》等。
3.德国、法国、日本、澳大利亚、加拿大等国家的标准化协会及标准
DIN(德国标准化学会),成立于1917年,总部设在德国柏林,是德国最大的具有广泛代表性的公益性标准化民间机构。DIN于1951年加入了国际标准化组织。
AFNOR(法国标准化协会),成立于1926年,总部设在法国巴黎,是法国政府认可并资助的公益性非营利机构。AFNOR于1947年加入了国际标准化组织。
JISC(日本工业标准调查会),成立于1949年,总部设在日本东京,是根据日本工业标准化法建立的全国性标准化管理机构。JISC于1952年加入国际标准化组织。
SA(澳大利亚标准协会),成立于1922年,总部设在澳大利亚悉尼,是非政府非营利的标准化组织。SA于1947年加入国际标准化组织。澳大利亚/新西兰标准联合技术委员会在1995年发布的AS/NZS 4360:1995在全球引起了一定的关注。
CSA(加拿大标准协会),成立于1919年,总部设在加拿大多伦多,是一个独立的私营机构。CSA于1947年加入国际标准化组织。1997年,加拿大发布了CAN/CSA-Q850《风险管理—决策者指南》。与AS/NZS 4360:1995不同的是,加拿大的风险管理专家们在其标准中强调了沟通与咨询的重要性。
1991年,挪威标准机构在奥斯陆发布的《风险分析要求》(挪威语),是全球第一个与风险相关的标准,从此开始了持续至今的风险管理标准化之路。《风险分析要求》虽然不是一个典型的风险管理标准,但已经开始具备了一些风险管理标准的要素,这些要素到今天仍然存在。各个国家在国际标准化组织的指导下,不同程度地开展了对风险管理相关标准的研究、制定和实施。
2.1.3 我国信息安全风险管理标准体系框架
风险管理在各行各业有着很好的应用,发挥了非常重要的作用。比如:企业全面风险管理已经成功地在国内推广,帮助许多企业在发展、壮大的过程中规避风险,化险为夷,持续发展。又比如风险管理在银行业的应用也相对成熟,有不少的成功案例。大部分银行内部设有风险管理专职部门,一般对管理层或董事会负责,银行从业者要通过相关考试后方能上岗。但是风险管理在信息安全的应用还很不规范,还有很长的路要走。特别是新形势下信息安全面临着巨大的挑战,各种新技术广泛应用,网络空间攻防之间对抗强度增加,网络攻击的规模化、专业化程度和趋利性日益增强,新的攻击形态层出不穷,这些都亟待用风险管理的思想、原则、架构、过程和方法加以解决。所以,业界有识之士开始关注风险管理在信息安全领域里的应用、推广和普及,这自然也就关注到了信息安全风险管理标准体系的研究问题。
国家信息中心信息与网络安全部承接了全国信息安全标准化技术委员会(简称信安标委,TC 260)信息安全风险管理标准体系研究的项目课题,2018年10月在《信息安全研究》杂志上发表了《信息安全风险管理标准体系研究》,指出了风险管理标准体系亟待调整、新技术下标准不能适应、我国标准与国际标准接轨等问题,提出了在当前形势下我国信息安全风险管理标准体系的框架结构。
我国的信息安全风险管理标准体系框架分为四个层面,包括:政策法规支撑、基础标准、新技术标准和行业标准。
框架的底层是政策法规支撑。我国从2003年起发布了多项相关政策,引导风险管理的发展,包括《关于开展信息安全风险评估工作的意见》《国家信息化领导小组关于加强信息安全保障工作的意见》等,为国内信息安全风险管理奠定了良好的基础。特别是2016年颁布的《中华人民共和国网络安全法》,使信息安全行业有法可依。
框架的第二层是基础标准。基础标准包括已经发布的GB/T 20984—2007《信息安全技术 信息安全风险评估规范》、GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》、GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》、GB/T 33132—2016《信息安全技术 信息安全风险处理实施指南》等,这些标准作为基础标准的基础,指导了国内信息安全风险管理和风险评估工作的开展,为国内信息安全风险管理工作的落地提供了最佳实践。
框架的第三层是新技术标准。新技术标准给出了风险管理和风险评估标准在新技术领域的实施流程和方法,包括GB/T 39335《信息安全技术 个人信息安全影响评估指南》GB/T 36637《信息安全技术ICT供应链安全风险管理指南》、GB/T 36466《信息安全技术 工业控制系统风险评估实施指南》,以及正在研究制定中的《大数据业务安全风险控制实施指南》《云计算安全风险评估实施指南》《区块链安全风险评估指南》等。
框架的顶层是行业标准。行业标准指导具体工作在各行业的开展和实施,包括《金融行业信息安全风险评估规范》《政务信息安全风险评估规范》《交通行业信息安全风险评估规范》《金融行业信息安全风险评估指南》《政务信息安全风险评估指南》《交通行业信息安全风险评估指南》等。
这样就基本上形成了以国家颁布的法律法规和行业政策为支撑,由信息安全风险管理过程各阶段标准为基础,层出不穷的新技术标准为补充,行业标准落地应用为实践的信息安全标准体系架构,用来支撑和指导我国的信息安全风险管理工作,同时也在信息安全风险管理过程中,取其精华去其糟粕,不断地补充和完善。