等级保护、风险评估、建立信息安全管理体系这3种实现信息安全的方法都是当前国家信息安全保障体系建设中的热点话题。在这里,我们对这3种信息安全保障方法进行分析和比较,以了解其优缺点。
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
2)优点
等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。
3)缺点
具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。
2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
2)优点
ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。
3)缺点
它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会有高下之分。
3.风险评估
1)主要内容
风险评估是获知组织当前风险水平的一种手段,在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时,就是对信息安全的风险评估。
2)优点
风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好的指导意义。
3)缺点
《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。
另一方面,《信息安全风险评估指南》主要是对所识别的一个个静态资产进行风险评估,涉及IT治理、IT管理流程、IT运维、IT审计、IT价值实现等方面的风险,并不能完全套用以上信息资产的风险评估方法,由于这类风险涉及组织的核心业务,组织对此更加关心,因此,在实施信息安全过程中,准确地识别其中的风险并能加以控制,对组织具有重要意义。
通过以上比较,我们认为这3中方法都是实现信息安全的有效手段,但各有不同的侧重点,要真正实现信息安全要把这3者结合起来,并进行相应的扩展,探索出一条适合中国特色的信息安全保障之路。